martes, 31 de mayo de 2005

Actualización de Apple para QuickTime de Mac OS X

Apple publica QuickTime 7.0.1 para Mac OS X con una actualización de
seguridad para el Quartz Composer Plugin.

El reproductor de medios QuickTime 7.0, contiene una vulnerabilidad
que puede permitir a un objeto Quartz Composer maliciosamente
construido la filtración de datos a un sitio web arbitrario. Este
problema no afecta a QuickTime para Windows.

Los objetos Quartz Composer se pueden envolver en una pista de
QuickTime, y entregarse como película QuickTime. Con QuickTime 7.0,
un objeto Quartz Composer puede recopilar datos locales y enviarlos
a través de una URL al sitio web preparado por el atacante. La
actualización QuickTime 7.0.1 modifica el plugin Quartz Composer
de QuickTime para evitar el acceso a sitios web remotos.

QuickTime 7.0.1 esta disponible en:
http://www.apple.com/quicktime/download/mac.html


Antonio Ropero
antonior@hispasec.com


Más información:

APPLE-SA-2005-05-31 QuickTime 7.0.1
http://www.securityfocus.com/advisories/8642

Quartz Composer / QuickTime 7 information leakage
http://remahl.se/david/vuln/018/

lunes, 30 de mayo de 2005

Malware diseñado para el espionaje industrial

Detenidas en Israel 18 personas, entre las cuales destacan altos
ejecutivos de tres grandes corporaciones, por espionaje industrial
a través de troyanos. Durante la investigación se ha localizado, en
posesión de los acusados, documentos e imágenes de la competencia y
terceras empresas de un enorme valor comercial. Estiman que el
espionaje se llevó a cabo durante más de un año.

A medida que avanza la investigación aumenta el revuelo en Israel, el
análisis de los miles de documentos incautados amplía el número de
grandes empresas que se encontraban bajo el control de los troyanos
espías. Aunque las empresas víctimas mantenían los sistemas de
seguridad informática tradicionales (firewalls, antivirus, etc),
ninguna detectó nada irregular que le hiciera sospechar que eran
víctimas del espionaje.

Dejando a un lado los detalles concretos del caso (más información en
los enlaces al final de la noticia), el problema es que no nos
encontramos ante un caso aislado. El hecho de que este tipo de
espionaje a través de malware profesional no salga más a la luz se
debe en gran parte al sigilo y éxito con el que se llevan a cabo los
ataques, no a la ausencia de ellos.

En mi faceta como auditor dentro de Hispasec me toca en muchas
ocasiones realizar pruebas de concepto para documentar a nivel
ejecutivo el alcance real de una intrusión. Llegados a ese punto
no vale hablar de explotar vulnerabilidades, ni de escalada de
privilegios, y mucho menos de desbordamientos de buffer.

Una imagen vale más que mil palabras: desde documentos confidenciales,
hasta la foto de la hija que un directivo tiene como fondo de
escritorio, pasando por un vídeo que muestre todo lo que visualizó
su pantalla durante varias horas la jornada anterior.

Hasta que el equipo directivo no ve un informe en esos términos no
toma conciencia del impacto que la seguridad informática puede
tener en su negocio. Y hasta que los técnicos no lo ven no son
conscientes de las debilidades intrínsecas de las tecnologías y
soluciones de seguridad implantadas, inútiles cuando se logra
comprometer una estación de trabajo.

Da igual que tengas varios firewalls, soluciones antivirus, o que
cifres los mensajes con PGP, si logran comprometer un PC todo queda
anulado. Y ello es posible hacerlo desde Internet aunque el PC esté
en la red local, con IP privada, y sin conexión directa al exterior.

Por ejemplo, a día de hoy se están poniendo muchas esperanzas en el
futuro DNI electrónico español que, si bien es cierto posibilitará
popularizar y democratizar ciertas funcionalidades a nivel de
seguridad informática, está lejos de ser la panacea. Toda la
confiabilidad de los sistemas que hagan uso del DNI electrónico
puede quedar invalidada desde el momento en el que un PC se
encuentre comprometido.

Todos estamos de acuerdo en que en este ámbito no se puede hablar
de seguridad al 100%, si bien también hemos de destacar que a día
de hoy las empresas no son conscientes del riesgo real al que están
expuestas. Vivimos bajo una falsa sensación de seguridad.


Bernardo Quintero
bernardo@hispasec.com


Más información:

YES, Pele-Phone, Cellcom execs arrested for computer espionage
http://www.globes.co.il/serveen/globes/docview.asp?did=918528&fid=942

Top-tier Israeli firms suspected of spying on competition
http://www.haaretz.com/hasen/spages/581718.html

domingo, 29 de mayo de 2005

Denegación de servicio en dispositivos Cisco por paquetes DNS

Se ha descubierto una vulnerabilidad en diversos productos de Cisco
que permitirían a usuarios maliciosos provocar denegaciones de
servicio en dichos dispositivos.

La vulnerabilidad se debe a un error de la implementación DNS a
la hora de descomprimir mensajes DNS. Esta circunstancia puede
explotarse por un atacante enviando un paquete DNS que contenga
información no válida en la sección comprimida. El uso con éxito
de esta vulnerabilidad provocaría el funcionamiento anormal del
dispositivo, o incluso la caída de la aplicación.

La vulnerabilidad afecta a los siguientes productos:
Cisco IP Phones 7902/7905/7912
Cisco ATA (Analog Telephone Adaptor) 186/188
Cisco Unity Express

Los siguientes dispositivos ACNS también se ven afectados:
Cisco 500 Series Content Engines
Cisco 7300 Series Content Engines
Cisco Content Routers 4400 series
Cisco Content Distribution Manager 4600 series
Cisco Content Engine Module para Integrated Service Routers Cisco
series 2600, 2800, 3600, 3700, y 3800

Los usuarios que se vean afectados por este problema podrán
actualizarse en:
http://www.cisco.com/public/sw-center

La descripción de parches según versión de producto afectado está
disponible en el patch matrix del aviso de la compañía:
http://www.cisco.com/warp/public/707/cisco-sn-20050524-dns.shtml#software


Antonio Román
roman@hispasec.com


Más información:

Cisco Security Notice: Crafted DNS Packet Can Cause Denial Of Service
http://www.cisco.com/warp/public/707/cisco-sn-20050524-dns.shtml

NISCC Vulnerability Advisory DNS - 589088
http://www.niscc.gov.uk/niscc/docs/al-20050524-00433.html

sábado, 28 de mayo de 2005

Denegación de servicio remota en routers Nortel VPN

Se ha anunciado la existencia de una vulnerabilidad de denegación de
servicio, explotable de forma remota, en los dispositivos Nortel VPN
Router.

El problema afecta a las versiones anteriores a la 5.05.200; con los
modelos 1010, 1050, 1100, 600, 1600, 1700, 1740, 2600, 2700, 4500,
4600 y 5000.

Un usuario remoto podrá enviar al dispositivo atacado un paquete IKE
con una cabecera ISAKMP maliciosamente creada de forma que provocará
la caída del router. En algunos casos el router se reiniciará, sin
embargo, en otros casos será necesaría la intervención manual para
reiniciarlo y devolver el sistema a su operación habitual.

Nortel Networks ha publicado la versión 5.05.200 en la que se corrige
la vulnerabilidad y planea distribuir correcciones adicionales (4.76_16,
4.85_20, 4.90_31 y 5.00_30) para versiones anteriores.


Antonio Ropero
antonior@hispasec.com


Más información:

Nortel VPN Router Lets Remote Users Deny Service
http://www.securitytracker.com/alerts/2005/May/1014068.html

Nortel VPN Router Malformed Packet DoS Vulnerability
http://www.nta-monitor.com/news/vpn-flaws/nortel/vpn-router-dos/

viernes, 27 de mayo de 2005

Alarmante crecimiento de máquinas zombie y botnets

El creciente número de máquinas "zombie" en las redes empieza a ser
realmente preocupante. Nadie sabe a ciencia cierta el porcentaje exacto
de máquinas de este tipo que están operando en la actualidad. Los datos
de los que se dispone son siempre aproximados, ya que por motivos
obvios, es difícil determinar con exactitud el número y tipología de
las mismas.

Las máquinas "zombie" son máquinas comprometidas al servicio de
usuarios maliciosos, que utilizan las plataformas corruptas para,
fundamentalmente, enviar email de publicidad no deseada, con el total
desconocimiento de los propietarios y/o administradores. Las máquinas
"zombie" se aglutinan en los denominados botnets, anglicismo que se
refiere a la asociación en red (nets) de máquinas autónomas (bots,
apócope del término sajón robots)

Los botnets pueden concentrar un gran número de máquinas "zombie". La
misión de los botnets es esencialmente, tal y como se ha dicho,
gestionar el envío de correo basura, a través de servidores que permiten
el relay sin las preceptivas medidas de control SMTP, aunque el rango de
ataques no termina ahí: otros posibles usos son los ataques de
denegación de servicio distribuido (DDoS) y la gestión de servicios
relativos al fraude, como por ejemplo, el phishing.

Un estudio de Honeynet.org, especialistas en el seguimiento de redes
automatizadas de máquinas comprometidas autónomas, efectuado entre
Noviembre de 2004 y Enero de 2005, monitorizó más de 100 botnets
diferenciados, alguno de ellos con más de 50.000 máquinas "zombie"
comprometidas. Se llegaron a censar más de 226.000 direcciones IP
distintas por canal auditado, lo que nos ofrece una idea aproximada de
la magnitud del problema, el cual se considera poco a poco como un
problema no abordado con éxito y totalmente subestimado. Con la debida
coordinación, un sólo "click" permitiría ordenar a una red de 250.000
máquinas ejecutar una misma orden de ataque.

La U.S. Federal Trade Commission (FTC), en conjunción a más de 30
organismos reguladores a nivel internacional, ha anunciado la puesta en
marcha de una severa campaña de concienciación y actuación sobre este
problema, orientada primordialmente a los proveedores de servicios de
Internet (ISPs). El mensaje a transmitir está claro: deben aportar su
granito de arena para frenar el crecimiento de máquinas comprometidas.
El coordinador del laboratorio de Internet de la FTC, Don Blumenthal,
declaró recientemente que alrededor del 80-90% del spam a nivel mundial
se procesa en máquinas "zombie" fuera de control. Otros estudios, como
el que realizó la consultora CipherTrust, ofrecen datos todavía mas
alarmantes: diariamente, se identifican de media unas 157.000 máquinas
"zombie".

Desde el punto de vista legal, hay muchas voces que empiezan, no sin
razón, a sugerir que los ataques coordinados a través de botnets podrían
ser catalogados como crimen telemático organizado, ya que en síntesis,
los botnets facultarían un ataque no sólo coordinado, sino además,
premeditado y perfectamente estructurado, con fines maliciosos y
catalogables como de alta gravedad.

La recomendación que desde Hispasec podemos hacerle a los usuarios es
bien sencilla: para usuarios profesionales, sobre todo ISPs, animar a
que revisen periódicamente los logs de sus servidores y a que gestionen
la seguridad de sus máquinas con proactividad. Para los usuarios
domésticos, concienciarlos de que los ordenadores personales deben tener
unas mínimas condiciones de seguridad cuando salimos a la red, con lo
que la correcta instalación de medidas de filtrado de paquetes y
soluciones antivirus actualizadas es fundamental.


Sergio Hernando
shernando@hispasec.com


Más información:

FTC plans international 'zombie' awareness campaign
http://www.infoworld.com/article/05/05/23/HNftcawareness_1.html

FTC Operation Spam Zombies
http://www.ftc.gov/bcp/conline/edcams/spam/zombie/index.htm

Conociendo al enemigo: Botnets y su seguimiento
http://www.sahw.com/wp/archivos/2005/03/15/conociendo_al_enemigo_botnets_y_su_seguimiento/

ISPs urged to throttle spam zombies
http://www.securityfocus.com/news/11230

New Study Revealing Behind the Scenes of Phishing Attacks
http://www.circleid.com/article/1086_0_1_0_C/

Botnets strangle Google Adwords campaigns
http://www.channelregister.co.uk/2005/02/03/google_adwords_attack/

Viruses 'a thing of the past'
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1082571,00.html?track=NL-102&ad=512199

Botnets trawl for phishing victims
http://www2.theregister.co.uk/2004/10/20/phishing_botnet/

Wikipedia: Definition of Botnet
http://en.wikipedia.org/wiki/Botnet

Informática personal segura
http://www.kriptopolis.org/pcseguro

jueves, 26 de mayo de 2005

Nueva generación de phishing rompe todos los esquemas

Hispasec demuestra como es posible realizar ataques phishing
en servidores seguros de entidades bancarias, aun cuando el usuario
visualice que la URL comienza por https:// seguido del nombre de
la entidad y que el icono del candado que aparece en la parte
inferior del navegador certifique que se encuentra en el servidor
seguro del banco.

Hasta la fecha las recomendaciones para acceder de forma segura a la
banca electrónica hacían hincapié en comprobar que la URL del
navegador comenzara por https:// seguido del nombre de la entidad, así
como que haciendo doble click en el candado que aparece en la parte
inferior del navegador se comprobara el certificado, para cerciorarse
de que el usuario estaba navegando en el servidor seguro de la entidad.

En un estudio sobre phishing avanzado, llevado a cabo por Hispasec de
cara a prevenir futuras técnicas de ataque, se han detectado varias
áreas de oportunidad, una de ellas hace inútiles las recomendaciones
anteriores.

Básicamente se trata de aprovechar un tipo de vulnerabilidad muy común
en aplicaciones webs, como es el Cross-Site Scripting (XSS), para
modificar el contenido de la web que el usuario visualiza en su
navegador. Este tipo de vulnerabilidad es bien conocida en el mundo
de la seguridad, si bien en contadas ocasiones se considera de un
riesgo medio y no se le presta la atención que se merece.

En el análisis realizado por Hispasec en webs reales de entidades
bancarias se demuestra como es posible aprovechar este tipo de
vulnerabilidad para llevar a cabo ataques de phishing avanzados.

Este tipo de ataque permite al usuario comprobar el certificado de
seguridad del web de la entidad que está visitando sin que pueda
observar nada irregular, hasta la fecha uno de los métodos más
seguros que el usuario tenía para cerciorarse de que no estaba
siendo víctima de un phishing y que sus datos se transmitían de
forma cifrada a la entidad bancaria.

Para hacer más visual y comprensible el alcance del problema, Hispasec
ha preparado tres vídeos (flash) donde se detalla un caso real de
phishing sobre una entidad realizado como prueba de concepto (avisado
y corregido antes de publicar estas líneas). El primero de los vídeos
muestra la perspectiva de la víctima que sufre la estafa, el segundo
como el atacante ha preparado el phishing, y un tercero genérico
explicando de forma gráfica las implicaciones de los Cross-Site
Scripting en los servidores seguros.

Recomendamos encarecidamente la visualización de los vídeos flash
disponibles en la dirección:

http://www.hispasec.com/directorio/laboratorio/phishing/demo

De manera independiente a si es un problema de implementación o vacío
en las especificaciones, parece también oportuno que los navegadores,
al igual que avisan cuando desde una conexión segura se van a
visualizar elementos no seguro, incorporaran un mecanismo para alertar
cuando se están cruzando contenidos de diferentes servidores seguros.
De lo contrario siempre rondará la duda en el esquema de autenticación
de servidores web seguros.

Además de las implicaciones técnicas y de la dificultad que entrañaría
a los usuarios detectar este nuevo tipo de phishing, el ataque sitúa
gran parte de la responsabilidad en manos de la entidad bancaria
afectada, ya que es posible llevarlo a cabo aprovechando
vulnerabilidades en la programación de su web, y no se facilitan al
usuario mecanismos adicionales para poder prevenir y detectar el
fraude de forma sencilla.

Hispasec ha llevado a cabo un estudio preliminar sobre 50 sitios webs
de entidades bancarias españolas, realizando un análisis superficial
de la portada, detectando que 6 de ellas (12%) presentaban
vulnerabilidades del tipo Cross-Site Scripting (XSS) evidentes en su
primera página.

Debemos hacer hincapié en que las vulnerabilidades XSS pueden estar
presentes en cualquier página de la entidad, no sólo en la portada,
por lo que el número real de entidades afectadas puede ser muy
superior.

Dada las implicaciones en materia de seguridad que puede tener este
tipo de debilidades para sus clientes, Hispasec recomienda
encarecidamente a todas las entidades bancarias realicen
periódicamente auditorias de sus servicios webs incluyendo, de forma
especial, el análisis por parte de expertos del diseño y programación
de sus páginas.

Por su parte los usuarios deberán evitar a toda costa utilizar enlaces
que les lleguen a través del correo electrónico o mediante otra vía
para enlazar con servicios sensibles, como es el caso de la banca
electrónica. Para evitar en concreto este nuevo tipo de ataque se
recomienda que los usuarios escriban de forma manual y directa la
dirección web de su banco en el navegador.

Hispasec ha notificado los detalles de las vulnerabilidades detectadas
a las entidades bancarias que forman parte del grupo de cooperación
anti-phishing recientemente formado, y de forma especial a las
entidades afectadas, de manera independiente a su participación en el
grupo, para que puedan proceder a su pronta corrección y prevenir este
tipo de ataques.

Por ultimo destacar el interés y eficiencia de las entidades afectadas
en la corrección de los casos detectados, de forma especial queremos
agradecer a Bankpyme por su diligencia ejemplar a la hora de abordar
y solucionar el problema.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Vídeos (flash) sobre phishing basado en XSS
http://www.hispasec.com/directorio/laboratorio/phishing/demo

miércoles, 25 de mayo de 2005

Actualización crítica para antivirus de Computer Associates

Una vulnerabilidad en el motor Vet de Computer Associates permite a
un atacante controlar de forma remota los sistemas que tengan
instalados una versión afectada de este motor antivirus.

El problema detectado en el motor de Vet, basado en un desbordamiento
de entero al analizar OLE, podría ser explotado de forma remota por un
atacante enviando un documento de MS Office especialmente construido
para provocar la ejecución de código arbitrario.

A efectos prácticos, un atacante podría controlar la máquina donde se
encuentre una versión afectada del motor de Vet Antivirus, incluido en
varios productos de Computer Associates, con tan sólo enviar un
documento adjunto a través del correo electrónico. Al intentar el
antivirus analizar el documento enviado provocaría la ejecución del
código del atacante de forma automática, sin necesidad de intervención
alguna por parte del usuario víctima.

La mayoría de los productos afectados son corregidos gracias a las
actualizaciones automáticas, si bien los usuarios de eTrust EZ
Antivirus 6.x y eTrust EZ Armor 2.x deberán actualizar a versiones
superiores para prevenir los ataques.

Actualización de eTrust EZ Armor 2.x a versión 3.1.
http://consumerdownloads.ca.com/myeTrust/apps/EZArmor.exe

Actualización de eTrust EZ Antivirus 6.x a versión 7.
http://consumerdownloads.ca.com/myeTrust/apps/EZAntivirus.exe


Los productos afectados, según el aviso de Computer Associates, son:

Computer Associates: BrightStor ARCserve Backup (BAB) r11.1 Windows
Computer Associates: eTrust Antivirus 6.0 Linux
Computer Associates: eTrust Antivirus 6.0 Notes/Exchange
Computer Associates: eTrust Antivirus 6.0 Solaris
Computer Associates: eTrust Antivirus 6.0 Windows 95/98/ME
Computer Associates: eTrust Antivirus 6.0 Windows NT/2000/XP
Computer Associates: eTrust Antivirus 6.0 Windows NT/2000/XP SP1
Computer Associates: eTrust Antivirus 6.0 Windows NT/2000/XP SP2
Computer Associates: eTrust Antivirus 7.0 Notes/Exchange
Computer Associates: eTrust Antivirus 7.0 Solaris
Computer Associates: eTrust Antivirus 7.0 Windows 95/98/ME
Computer Associates: eTrust Antivirus 7.0 Windows NT/2000/XP
Computer Associates: eTrust Antivirus 7.1 Notes/Exchange
Computer Associates: eTrust Antivirus 7.1 Solaris
Computer Associates: eTrust Antivirus 7.1 Windows NT/2000/XP
Computer Associates: eTrust Antivirus for the Gateway 7.0
Computer Associates: eTrust Antivirus for the Gateway r7.1
Computer Associates: eTrust EZ Antivirus 2005 (v6.2)
Computer Associates: eTrust EZ Antivirus 6.1
Computer Associates: eTrust EZ Antivirus 6.1.0.24
Computer Associates: eTrust EZ Antivirus 6.1.3.1
Computer Associates: eTrust EZ Antivirus 6.1.4.0
Computer Associates: eTrust EZ Antivirus 6.1.5.8
Computer Associates: eTrust EZ Antivirus 6.1.7.0
Computer Associates: eTrust EZ Antivirus 6.2
Computer Associates: eTrust EZ Antivirus 6.3
Computer Associates: eTrust EZ Antivirus 6.4
Computer Associates: eTrust EZ Antivirus 7
Computer Associates: eTrust EZ Antivirus 7.0.0
Computer Associates: eTrust EZ Antivirus 7.0.1
Computer Associates: eTrust EZ Antivirus 7.0.1.4
Computer Associates: eTrust EZ Antivirus 7.0.2
Computer Associates: eTrust EZ Antivirus 7.0.2.1
Computer Associates: eTrust EZ Antivirus 7.0.3
Computer Associates: eTrust EZ Antivirus 7.0.4
Computer Associates: eTrust EZ Antivirus 7.0.5
Computer Associates: eTrust Intrusion Detection 1.4.1.13
Computer Associates: eTrust Intrusion Detection 2.0
Computer Associates: eTrust Intrusion Detection 2.0 SP1
Computer Associates: eTrust Intrusion Detection 3.0
Computer Associates: eTrust Intrusion Detection 3.0SP1
Computer Associates: eTrust Secure Content Manager 1.0
Computer Associates: eTrust Secure Content Manager 1.0 SP1
Computer Associates: eTrust Secure Content Manager 1.1
Computer Associates: EZ Armor 2.0
Computer Associates: EZ Armor 2.0.13
Computer Associates: EZ Armor 2.0.6
Computer Associates: EZ Armor 2.3
Computer Associates: EZ Armor 2.4
Computer Associates: EZ Armor 2.4.4
Computer Associates: EZ Armor 3.1
Computer Associates: EZ Armor LE 2.0
Computer Associates: EZ Armor LE 3.0.0.14
Computer Associates: InoculateIT 6.0
Computer Associates: Vet Antivirus 10.66


Bernardo Quintero
bernardo@hispasec.com


Más información:

Computer Associates Vet Antivirus engine heap overflow vulnerability
http://www3.ca.com/securityadvisor/vulninfo/vuln.aspx?id=32896

martes, 24 de mayo de 2005

Firmas antivirus más allá del malware tradicional

Ya son pocos los antivirus que además de lo que podría considerarse
el malware tradicional (virus, troyanos y gusanos), no incluyen en sus
firmas la detección de spyware o adware, entre otras formas de código
malicioso. Sin embargo la detección basada en firmas tiene muchas
otras posibilidades que hasta la fecha no están siendo aprovechadas
por todos los productos antivirus.

Respecto al spyware hoy día parece que no hay duda. Aunque se ha
intentado disfrazar como una nueva categoría no tiene ningún sentido
situarla fuera del ámbito de actuación de los antivirus, es una
división artificial. De hecho, el que surgieran productos específicos
para el spyware y similares puede considerarse un error histórico por
parte de las casas antivirus al no centrar su atención en ese tipo
de malware, dando la oportunidad a que surgieran pequeñas empresas
con productos especializados.

Sin embargo a diario surgen nuevas amenazas que fácilmente podrían
ser prevenidas por las firmas de un antivirus y, generalmente, no
son tenidas en cuenta por este tipo de soluciones.

Un ejemplo podría ser la explotación de determinadas
vulnerabilidades, caso por ejemplo del histórico falseamiento de
URL en Internet Explorer, parcheado en su día, que se utilizó en
ataques reales de phishing (en el Banco Popular lo recordarán). La
detección basada en firma era trivial, bastaba en comprobar si la
URL contenía determinados caracteres, como " %00".

Si pasamos un HTML con un phishing basado en esta vulnerabilidad
por 20 motores antivirus comprobamos que sólo detectan la URL
maliciosa 4 de ellos:

ClamAV :: Trojan.URLspoof.gen.2
McAfee :: Exploit-URLSpoof.gen
Panda :: Exploit/URLSpoof
Sybari :: Exploit-URLSpoof.gen

Otro ejemplo. Hace unos días Sober.q originó una avalancha de spam,
de la que nos hicimos eco en una-al-día. Muchos usuarios consultaron
a Hispasec como podrían librarse de ese "virus" que les llegaba en
forma de correo electrónico en alemán. Evidentemente no se trataba
de un virus propiamente dicho, los mensajes sólo contenían texto y
enlaces, pero no dejaba de ser un incordio debido al gran número
de correos electrónicos que llegaban a recibir.

Soluciones para evitar ese spam había varias, desde meter algunas
reglas en el servidor de correo pasando por cualquier tipo de
solución antispam, que para eso están. Eso pensarían las casas
antivirus, más si cabe en aquellos casos donde, además, venden
soluciones específicas o incorporan el antispam en sus suites de
seguridad.

Pero es un hecho de que muchos usuarios que contaban con solución
antivirus en su PC, incluso muchos otros también en el servidor
de correo, sufrieron la avalancha de spam emitida por Sober.q por
no tener ese tipo de soluciones antispam. Teniendo en cuenta que
Sober.q tenía una serie de mensajes definidos fijos, que no
modificaba, parece que hubiera sido trivial meter una firma en el
antivirus para detectar y eliminar esos mensajes.

Analizamos un mensaje de spam emitido por Sober.q con 20 motores
antivirus, y en esta ocasión sólo uno de ellos lo detecta:

McAfee :: W32/Sober.q!spam

Véase que la firma a partir del pasado 23 no tiene mucha razón de
ser, ya que Sober.q estaba programado para dejar de enviar spam
desde ese día, e intentar descargar e instalar otro ejecutable,
probablemente Sober.r (a día de hoy no ha aparecido aun). Pero
dejando a un lado la temporalidad de la utilidad de la firma,
no deja de ser un ejemplo más de otro uso de las firmas antivirus
que a buen seguro algún usuario agradeció.

Y llegados a este punto muchos se preguntarán hasta donde debe
llegar un antivirus. Viendo la nueva corriente de suites de
seguridad "anti-todo" parece complicado contestar algo concreto,
pero desde el punto de vista de la tecnología antivirus
tradicional parece que en muchas ocasiones se podría exprimir aun
más sus posibilidades sin que ello requiera incorporar nuevos
módulos al antivirus ni repercuta negativamente en la carga del
sistema.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Falsificación de URL y ataque DoS recursivo en Internet Explorer
http://www.hispasec.com/unaaldia/1873

Intento de estafa a los usuarios del Banco Popular
http://www.hispasec.com/unaaldia/1904

Sober.q causa de una avalancha de spam con propaganda neonazi
http://www.hispasec.com/unaaldia/2399

lunes, 23 de mayo de 2005

Múltiples vulnerabilidades en FreeRADIUS

El grupo de seguridad de Gentoo Linux ha publicado recientemente el
descubrimiento de un conjunto de vulnerabilidades en FreeRADIUS.

FreeRADIUS es una implementación libre de servidor de protocolo RADIUS,
para sistemas Un*x y derivados, usada fundamentalmente para la
autenticación y gestión de cuentas en proveedores de servicios de
Internet (ISPs), si bien es posible su empleo en cualquier red donde
deban gestionarse cuentas y autenticación de usuarios de un modo
centralizado.

La función sql_escape_func() de FreeRADIUS podría ser vulnerable y
ocasionar desbordamientos de búfer, así como inyección de código SQL,
lo que facilitaría que un usuario malicioso pudiera modificar datos
sensibles y/o la ejecución de código arbitrario de un modo remoto.

Desde Hispasec sistemas recomendamos actualizar a la última versión
de FreeRADIUS para solventar estos problemas.


Sergio Hernando
shernando@hispasec.com


Más información:

FreeRADIUS: Buffer overflow and SQL injection vulnerability
http://www.gentoo.org/security/en/glsa/glsa-200505-13.xml

FreeRADIUS
http://www.freeradius.org

domingo, 22 de mayo de 2005

Múltiples vulnerabilidades en gestores IOCTL del Kernel Linux

Se han detectado múltiples vulnerabilidades en la rama 2.6.x del Kernel
Linux debidas a errores de diseño en los gestores ioctl de dispositivos
tipo "raw" y los dispositivos de bloque pktcdvd, que los hacen propensos
a corrupciones de memoria.

Los gestores ioctl realizan una amplia variedad de control específico de
dispositivos en ficheros de dispositivo especiales. La función ioctl()
está orientada al control de parámetros de ficheros especiales, como
sockets, los dispositivos de consola y los dispositivos de comunicación
por puertos.

Estas vulnerabilidades están ocasionadas por una falta de comprobaciones
en los valores de los argumentos que se suministran a las funciones de
los gestores 'raw_ioctl()' y 'pkt_ioctl()', lo que podría desencadenar
en la ejecución de código arbitrario en el contexto del núcleo comprometido.

Un atacante local podría explotar estas vulnerabilidades para elevar sus
privilegios en el sistema. La elevación de privilegios requiere que el
usuario tenga permisos de lectura en el dispositivo de bloque afectado,
con lo que la gravedad de la falla es por tanto menor.

Para corregir este comportamiento erróneo , desde Hispasec recomendamos
a los administradores actualizar a la versión 2.6.11.10 del Kernel Linux.


Sergio Hernando
shernando@hispasec.com


Más información:

Multiple Linux Kernel IOCTL Handlers Local Memory CorruptionVulnerabilities:
http://www.securityfocus.com/bid/13651

Linux Kernel pktcdvd and raw device Block Device Vulnerabilities:
http://secunia.com/advisories/15392/

Prueba de concepto:
http://www.securityfocus.com/data/vulnerabilities/exploits/pktcdvd_dos.c

sábado, 21 de mayo de 2005

Grave problema de seguridad en Hyper-Threading

Existe un problema de seguridad en Hyper-Threading implementado en los
procesadores Intel Pentium Extreme Edition,Pentium 4, Mobile Pentium 4
e Intel Xeon, por el que un atacante puede obtener información
sensible de la máquina atacada.

Un atacante podría acceder a información sensible incluyendo la
posibilidad de robar una clave RSA privada que se esté usando en la
máquina de la víctima, este problema sólo afecta a sistemas
multiusuario, por lo que los usuarios que tengan un ordenador
personal para uso particular no tendrían porqué verse afectados.

Hyper-Threading es un nuevo diseño de Intel que permite al software
diseñado para múltiples hilos de ejecución (multi-threaded) procesar
los hilos en paralelo dentro de cada procesador, lo que da como
resultado un incremento en la utilización de los recursos de ejecución
de los procesadores.

Esta vulnerabilidad fue descubierta por Colin Percival, miembro del
equipo de seguridad de FreeBSD.

Se recomienda el desactivar Hyper-treading hasta se encuentre solución
a este problema.


Antonio Román
roman@hispasec.com


Más información:

hFreeBSD: Hyper-Threading Vulnerability
http://kerneltrap.org/node/5103

Hyper-Threading Considered Harmful
http://www.daemonology.net/hyperthreading-considered-harmful/

Hyper-Threading Vulnerability
http://www.bsdcan.org/2005/activity.php?id=65

El hyperthreading puede ser peligroso
http://barrapunto.com/article.pl?sid=05/05/13/1646243

CACHE MISSING FOR FUN AND PROFIT
http://www.daemonology.net/papers/htt.pdf

viernes, 20 de mayo de 2005

Alertas de virus en tu móvil (SMS)

Hispasec lanza un servicio de alerta temprana en tiempo real a través
de teléfonos móviles que, mediante mensajes de texto corto (SMS),
avisará a los usuarios en caso de aparición de malware (virus,
gusanos, troyanos, etc.) de especial incidencia y/o peligrosidad.

La notificación en tiempo real de alertas tempranas a través de
telefonía móvil permite recibir de forma inmediata avisos en
prácticamente cualquier lugar y hora, salvando las limitaciones
típicas del correo electrónico, web, o clientes RSS que utilizamos
mientras estamos delante del PC.

El objetivo principal del servicio es aprovechar la versatilidad
y disponibilidad de los móviles, dispositivo muy extendido y de
uso regular, para alertar al usuario sobre una amenaza, de manera
independiente a si se encuentra fuera del horario laboral,
disfrutando del fin de semana, o realizando cualquier actividad
sin tener que estar frente a un PC y conectado a Internet.

Aun siendo limitada la cantidad de texto que puede enviarse vía
SMS, es suficiente para alertar a los usuarios y ofrecer un breve
resumen sobre lo más destacado a modo de frase. Una vez el usuario
reciba la alerta podrá dirigirse a posteriori a la propia página
web de Hispasec o navegar entre las páginas especializadas en
virus y antivirus que con casi total seguridad irán ampliando la
información con el paso de las horas.

Los virus, gusanos, troyanos, spyware y, en general, cualquier
malware que presente características notables, por ejemplo por su
rápida propagación o especial virulencia, será motivo de alerta
a través de este nuevo servicio.

Las alertas por tanto no tendrán periodicidad prefijada, sino que
dependerán de la aparición de nuevos especímenes especialmente
relevantes. Si atendemos por ejemplo a lo que llevamos de año,
la media podría ser incluso inferior a una alerta mensual. Si bien
podría darse que en el futuro haya varias alertas en un mismo mes.
En cualquier caso se prevé que el servicio emita un número muy
limitado de alertas, únicamente cuando la ocasión lo merezca.

El servicio es ofrecido por Hispasec de forma gratuita, siendo el
único coste pare el usuario el marcado por la pasarela y
operadores de telefonía: 0,15 euros más IVA el primer mensaje
para darse de alta, y 0,20 euros más IVA por alerta recibida.

Para darse de alta en el servicio de alerta virus deberá enviarse
un SMS con el texto:

ALTA VIRUS al número 5512

Una vez dado de alta en el servicio el usuario puede darse de
baja en cualquier momento de forma similar:

BAJA VIRUS al número 5512

En este momento el servicio está operativo para los usuarios de
Amena, Movistar y Vodafone en España, si bien estamos abiertos a
ampliar la cobertura a otros países. Pasarelas con alcance
internacional y operadoras de telefonía móvil interesadas pueden
ponerse en contacto con nosotros.


Bernardo Quintero
bernardo@hispasec.com



jueves, 19 de mayo de 2005

Sober.q causa de una avalancha de spam con propaganda neonazi

En estos últimos días estamos recibiendo numerosas consultas sobre
el aumento considerable de spam, en especial de mensajes con asuntos
y textos en alemán. El origen no es otro que la última versión de
Sober, cuyo autor ha programado para que, desde las máquinas
infectadas, realice envío masivo de mensajes con propaganda neonazi.

A diferencia de las variantes anteriores, Sober.q no es un gusano,
no es capaz de propagarse automáticamente enviándose por correo.
Ha sido descargado desde varias páginas webs e instalado en los
sistemas previamente infectados con su antecesor, el gusano Sober.P.

Recordemos que el gusano Sober.P tenía una rutina en su código que
se activaba a partir del 27/4/2005 y que consistía en intentar
descargar y ejecutar un archivo desde distintos servidores webs.

Sin embargo los servidores webs desde donde Sober.P intentaba
descargar el nuevo módulo han permanecido sin el archivo en cuestión
hasta este último fin de semana, cuando se ha detectado que el autor
o autores han publicado el ejecutable en las webs previstas.

El nuevo ejecutable, reconocido mayoritariamente por los antivirus
como Sober.Q, tiene como misión realizar spam enviando mensajes que
contienen enlaces a sitios webs con contenidos neonazi. El número
de máquinas infectadas previamente con el Sober.P que se han
actualizado con esta nueva versión es tal que está causando una
auténtica avalancha de spam distribuido.

Las buenas noticias son que Sober.Q mantiene una rutina en su código
que desactiva el envío de spam a partir del 23/05/2005. Las malas
noticias son que finaliza el envío masivo de mensajes para intentar
descargar y ejecutar otro archivo, ¿Sober.R?, del que se desconocen
sus propósitos.

Lo que queda claro es el poder que los creadores de malware obtienen
con el control de miles de sistemas infectados que pueden utilizar de
forma coordinada a su antojo. En esta ocasión ha sido spam, la próxima
tal vez sea un ataque DDoS contra un objetivo determinado, o la
propagación de nuevos gusanos, o la instalación de troyanos para
robar credenciales de acceso a servicios bancarios...


Bernardo Quintero
bernardo@hispasec.com



miércoles, 18 de mayo de 2005

Demostrado: el cifrado WEP no sirve para nada

Durante una conferencia en Estados Unidos, tres investigadores
del FBI demuestran como son capaces de romper el cifrado WEP
con clave de 128-bit de una red inalámbrica en tan sólo tres
minutos.

Las conexiones inalámbricas son un método realmente muy
conveniente para ofrecer acceso a una red sin necesidad de
utilizar una cableado que conecte las estaciones a la red,
como tradicionalmente se ha venido haciendo.

Este tipo de conexión se empezó a utilizar en aquellas
situaciones en la que no era posible tender el cableado dentro
de un edificio o bien se deseaba poder acceder a la red desde
cualquier rincón. Hoy en día, la bajada de precios y la
simplicidad de configuración de los puntos de acceso y las
estaciones de trabajo han popularizado la presencia de redes
inalámbricas de forma que, en muchas ciudades es difícil no
detectar la presencia de las mismas.

Evidentemente la introducción de los puntos de acceso
inalámbrico plantea un serio problema a la seguridad. Con las
redes basadas en cable el primer paso para entrar en la misma
pasa por disponer de acceso al cable, lo que requiere un punto
de acceso físico. Por tanto, en el caso de estas redes podemos
identificar donde empiezan y donde acaban (aunque, todo hay
que decirlo, la complejidad que han ido adquiriendo las redes
en los últimos años muchas veces convierten esta frontera en
algo difuso).

La presencia de una red inalámbrica rompe definitivamente
cualquier presencia de una frontera definida: desde el mismo
momento en que conectamos un punto de acceso inalámbrico a la
red, abrimos la posibilidad de acceder a la misma a cualquier
punto donde llegue el señal. que, dependiendo de la potencia y
las condiciones de propagación son unos cuantos metros (o
decenas de metros a la redonda).

Para evitar que cualquier persona no expresamente autorizada
pueda acceder a la red, los puntos de acceso generalmente
ofrecen diversos mecanismos de seguridad. El más básico
consiste en la identificación de las estaciones autorizado,
realizando un filtrado de las tarjetas que disponen de
capacidad de conexión a través de la identificación de la
dirección MAC. Este es un mecanismo simple de control de
acceso, poco eficiente.

No obstante, el filtrado MAC únicamente es un mecanismo de
control de acceso. No impide que alguien capture el tráfico de
la red e identifique que está circulando a través de la misma.
Cualquier persona con acceso a una red WiFi puede utilizar un
sniffer para capturar el tráfico. De esta forma, cualquier
dato que circule a través de la red puede ser capturado,
siempre desde cualquier punto dentro del rango del señal.

La protección para evitar esta fuga de información es el
cifrado del tráfico de la red WiFi. El mecanismo tradicional
es WEP (Wired Equivalency Privacy), basado en el algoritmo de
cifrado RC4 utilizando claves de diversa longitud (entre 64 y
256 bits). Desde hace tiempo se conoce que WEP es,
básicamente, un mecanismo inseguro ya que se basa en la
utilización de un secreto compartido entre el punto de acceso
y las estaciones que acceden a la red. WEP no ofrece ningún
mecanismo para la negociación de las claves utilizadas para le
cifrado del tráfico.

Desde hace un par de años está disponible otro estándar,
conocido como WPA (Wi- Fi Protected Access) que mejora las
prestaciones de WEP mediante el intercambio de claves, aunque
también permite una modalidad de secreto compartido. El año
pasado se presento la especificación 802.11i (también conocido
como WPA2) que ofrece unos mecanismos fuertes de autenticación
y cifrado del tráfico.

Por si alguien continuaba teniendo dudas acerca de la
seguridad de WEP, tres investigadores del FBI realizaron
recientemente una demostración en directo de una nueva técnica
que permite romper el cifrado de cualquier red en cuestión de
minutos. La demostración práctica consistió en identificar la
clave de 128-bit utilizada por una red en tan solo tres
minutos.

Llegados a este punto, es evidente que el cifrado WEP puede
considerarse como totalmente inseguro. Si el FBI demuestra
públicamente como romper el cifrado en tres minutos, no cuesta
mucho imaginarse que disponen de mecanismos mucho más
avanzados que no revelan. hasta el punto que no sería
descabellado pensar en algún hardware o software que pudiera
romper el cifrado WEP en tiempo real.

Por tanto, en cualquier red inalámbrica por la que circule
cualquier información sensible deben utilizarse mecanismos más
fuertes para el cifrado del tráfico. La alternativa natural a
WEP no debe ser, en mi opinión, ni WAP ni 802.11i. Cualquier
red inalámbrica que requiera cifrado debe utilizar protocolos
fuertes como, por ejemplo, IPSec.


Xavier Caballé
xavi@hispasec.com


Más información:

The FEDs can own your WLAN too
http://www.tomsnetworking.com/Sections-article111.php

How to crack WEP
http://www.tomsnetworking.com/Sections-article118.php

una-al-día (11-11-2003): Un estudio cuestiona WAP, el nuevo estándar de
seguridad para WiFi
http://www.hispasec.com/unaaldia/1843

una-al-día (28-11-2003): Dos tercios de las redes inalámbricas madrileñas
desprotegidas ante ataques
http://www.hispasec.com/unaaldia/1860

una-al-día (18-11-2002): Seguridad de las redes inalámbricas: Wardriving y
Warchalking
http://www.hispasec.com/unaaldia/1486

Alertan sobre los riesgos de seguridad en las redes Wi-Fi del Gobierno de EEUU
http://www.elmundo.es/navegante/2005/05/18/seguridad/1116404094.html

martes, 17 de mayo de 2005

Entidades bancarias españolas corrigen deficiencias en torno al phishing

A finales del pasado año desde Hispasec publicamos un estudio en el que se reflejaba que el diseño de un 44% de las páginas web bancarias españolas favorecía el phishing. Desde noviembre del pasado año a la actualidad, cuando han transcurrido seis meses, la cifra de entidades con deficiencias se ha reducido a un 10 por ciento.

El 17 de noviembre de 2004 Hispasec publicó un estudio en el que de 50 entidades bancarias españolas, 22 de ellas (un 44%) presentaban alguna deficiencia en el diseño de las páginas web de acceso a los servicios banca electrónica por las que se facilitaba la realización de ataques de phishing.

Los clientes de cualquier entidad pueden recibir un mensaje incitándoles a visitar un servidor falso, sin posibilidad de que la entidad pueda evitarlo. Sin embargo, el diseño de las páginas web de las entidades financieras es determinante para que el usuario pueda comprobar si realmente se encuentra en el servidor de su banco o, por el contrario, se trata de un servidor web falso que imitando al original trata de robarles sus credenciales. Es ahí donde el estudio centra todo su interés.

Pasado un mes de la publicación del primer informe, se repitieron las pruebas para comprobar con agrado que más de un tercio de las entidades habían corregido sus deficiencias. Tan solo había pasado un mes y las entidades ya habían tomado buena nota de los resultados del estudio, ocho de ellas (un 36,3% de las afectadas) corrigieron las deficiencias que presentaban. En esta ocasión el dato significativo era el corto espacio de tiempo en el que los bancos corrigieron los problemas.

Sin embargo, aun quedaban 14 entidades, un 28%, con alguna irregularidad en sus páginas web. En la actualidad, cuando transcurrido seis meses desde la primera publicación del informe podemos señalar que otras nueve entidades han tomado las medidas necesarias para evitar los problemas mencionados. La cifra de entidades con problemas queda reducida a cinco (un 10%).

Las entidades que han corregido en esta nueva revisión son, Bancaja, Banco Atlántico, Banco Esfinge, Banco Herrero, Banco Sabadell Atlántico, Santander Central Hispano, Caja Duero, Deutsche Bank y RuralVia.

En la actualidad, la lista de las entidades que presentan fallos queda reducida a Bankpyme, Caixa Catalunya, ING Direct, Inversis y La Caixa.

Hay que recordar que el estudio se ha centrado en analizar los aspectos de diseño de la primera página web de autenticación del usuario que podrían permitir o facilitar la realización exitosa de ataques de phishing.

Las características evaluadas se centran en la posibilidad de que el cliente pueda comprobar de forma sencilla que está conectando con el servidor seguro de la entidad. Para ello se examina el campo de dirección que aparece en el navegador, donde debe estar visible la URL completa, con el dominio al que conecta precedido de https://, así como la existencia del candado cerrado o una llave completa que aparece en la barra de estado (en función del navegador utilizado), icono al que los usuarios pueden hacer doble click para visualizar información detallada del certificado de seguridad y comprobar que pertenece a la entidad bancaria.

Hispasec está trabajando en un nuevo estudio inédito donde se analizan otros aspectos críticos que pueden facilitar la realización de ataques phishing. Adicionalmente vamos a crear un grupo de trabajo donde, bajo un entorno de cooperación, se van a adelantar los detalles del mismo para permitir la corrección preventiva y se evaluarán otras iniciativas de cara a luchar contra esta indeseable técnica fraudulenta.

Los responsables de seguridad informática de las entidades financieras interesadas en formar parte del grupo de trabajo anti-phishing pueden ponerse en contacto en la dirección antiphishing@hispasec.com.

La tabla actualizada con los resultados de los 50 servicios webs analizados puede ser consultada a continuación:









Más información:

una-al-dia (17/12/2004) Más de un tercio de entidades corrigen sus
deficiencias en torno al phishing
http://www.hispasec.com/unaaldia/2246

una-al-dia (17/11/2004) Un 44% de las páginas web bancarias españolas
favorecen el phishing
http://www.hispasec.com/unaaldia/2216

una-al-dia (30/09/2004) Implicaciones del diseño web en los ataques
"phishing"
http://www.hispasec.com/unaaldia/2168



Antonio Ropero
antonior@hispasec.com


lunes, 16 de mayo de 2005

Salto de restricciones de acceso en Cisco Firewall Services Module

Cisco ha anunciado una vulnerabilidad en su módulo FWSM (Firewall
Services Module) versiones 2.3.1 y anteriores que permitiría a cierto
tipo de tráfico saltarse las listas de acceso expresamente dadas para
filtrar tráfico.

El FWSM es un firewall integrado en los switches Catalyst 6500 y
routers Cisco 7600.

Esta vulnerabilidad aparece cuando se activa el filtrado de URL, FTP o
HTTPS y se añaden excepciones a dicho filtrado de contenidos. Si el
añadido de excepciones de filtrado a URL, HTTPS o FTP se hace mediante
el comandos de tipo 'filter < url | https | ftp > except' para excluir
ciertas direcciones del proceso es cuando se presenta el problema, ya
que cuando algún tráfico TCP se ajusta a dicha excepción, deja de
aplicársele el resto de la ACL en cualquier interfaz del dispositivo.

Se recomienda actualizar a la versión 2.3(2) o posterior de FWSM. Si
se dispone de versiones antiguas y no se quiere actualizar a la rama
2.3, los usuarios de la 2.2 pueden actualizar a 2.2(1)18 y los de la
1.1 a la 1.1(4)4 o posterior.

La dirección para descargar las actualizaciones es la oficial de
costumbre:
http://www.cisco.com


Julio Canto
jcanto@hispasec.com


Más información:

FWSM URL Filtering Solution TCP ACL Bypass Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20050511-url.shtml

domingo, 15 de mayo de 2005

Publicado Service Pack 4 para Microsoft SQL Server 2000

Microsoft ha publicado el Service Pack 4 para su SGBD SQL Server 2000.
Esta actualización incluye las correcciones para un elevado número de
problemas, además de agrupar todas las publicadas ya con anterioridad,
por lo que es recomendable su instalación.

La compañía ha publicado una larga lista con los problemas corregidos
por este Service Pack, que se elevan hasta 285. Se especifica que SP4
para SQL Server 2000, también incluye la actualización del boletín de
seguridad MS03-031.

SP4 incluye paquetes para los siguientes componentes de SQL Server 2000:
Componentes de base de datos
(archivo de descarga: SQL2000-KB884525-SP4-x86.EXE)
Actualización de los componentes de base de datos de 32 bits de SQL
Server 2000, incluido el motor de base de datos, duplicación, los
componentes de conectividad de clientes y las herramientas.

Componentes de Analysis Services
(archivo de descarga: SQL2000.AS-KB884525-SP4-x86.EXE)
Actualización de los componentes de Analysis Services de 32 bits de
SQL Server 2000.

Componentes de SQL Server 2000 Desktop Engine (MSDE)
(archivo de descarga: SQL2000.MSDE-KB884525-SP4-x86.EXE)
Para los componentes de MSDE de 32 bits de SQL Server 2000, Microsoft
señala la necesidad de instalar otra instancia de MSDE. Tras lo que
se deben actualizar las instancias existentes de MSDE y por último
actualizar las aplicaciones que han consumido módulos de mezcla.

Las direcciones para descargar las actualizaciones de este SP4 son las
siguientes (contiene actualizaciones para distintos componentes):


Antonio Ropero
antonior@hispasec.com


Más información:

Service Pack 4 de Microsoft SQL Server 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=8E2DFC8D-C20E-4446-99A9-B7F0213F8BC5&displaylang=es

Lista de los errores corregidos en SQL Server 2000 Service Pack 4
http://support.microsoft.com/?kbid=888799

sábado, 14 de mayo de 2005

Factorización de RSA-200

Un equipo multinacional resuelve el reto RSA-200, consistente en
factorizar un número de 200 dígitos decimales.

El equipo, formado por centros de investigación alemanes y holandeses,
ha invertido casi año y medio en encontrar la solución y ha requerido la
potencia equivalente a un AMD Opteron a 2.2 Ghz trabajando durante 55 años.

En el momento de escribir este boletín RSA, la compañía convocante de
los retos, todavía no ha confirmado su validez.

Pero, por supuesto, cualquiera que utilice un programa capaz de
multiplicar dos números de cien dígitos puede comprobar si la solución
propuesta es correcta.

Este tipo de retos tienen una gran importancia para conocer el estado
del arte en cuanto a ataques a los sistemas criptográficos más
utilizados en la actualidad. El algoritmo RSA, por ejemplo, es ubicuo.
Se utiliza en la mayoría de las transacciones electrónicas que hacen uso
de la criptografía, como el cifrado SSL utilizado por los navegadores
web, o el S/MIME o PGP (GPG) empleado en el correo electrónico.

Una de las ventajas del algoritmo RSA, además de su simplicidad, es que
su patente expiró en Septiembre de 2000, por lo que se trata de un
algoritmo que cualquier individuo puede utilizar libremente, al menos en
los países sin legislación restrictiva en cuanto a criptografía.

Para los alarmistas, recordemos que el número factorizado tiene
doscientos dígitos decimales o, aproximadamente, 660 bits,
y que las claves RSA más típicas miden 1024 bits, y que cada bit
adicional duplica la complejidad del problema. Por lo tanto las claves
RSA "normales" siguen siendo seguras, salvo avances teóricos o el
advenimiento de la informática cuántica, que es el espectro que planea
sobre el algoritmo RSA...

Algunos datos de interés:

El número a factorizar era

27.997.833.911.221.327.870.829.467.638.722.601.621.070.446.786.
955.428.537.560.009.929.326.128.400.107.609.345.671.052.955.360.
856.061.822.351.910.951.365.788.637.105.954.482.006.576.775.098.
580.557.613.579.098.734.950.144.178.863.178.946.295.187.237.869.
221.823.983

y sus factores son

3.532.461.934.402.770.121.272.604.978.198.464.368.671.197.400.
197.625.023.649.303.468.776.121.253.679.423.200.058.547.956.528.
088.349

y

7.925.869.954.478.333.033.347.085.841.480.059.687.737.975.857.
364.219.960.734.330.341.455.767.872.818.152.135.381.409.304.740.
185.467


Jesús Cea Avión
jcea@hispasec.com


Más información:

Factors Found in 200-Digit RSA Challenge
http://it.slashdot.org/article.pl?sid=05/05/10/1955226

Two hundred digit number factored
http://en.wikinews.org/wiki/200_digit_number_factored

rsa200
http://www.loria.fr/%7Ezimmerma/records/rsa200

RSA-200 Factored
http://mathworld.wolfram.com/news/2005-05-10/rsa-200/

The RSA Challenge Numbers
http://www.rsasecurity.com/rsalabs/node.asp?id=2093

viernes, 13 de mayo de 2005

Actualización de seguridad para Firefox

La fundación Mozilla ha publicado la versión 1.0.4 de su navegador web
Firefox, con la que soluciona varios problemas de seguridad reseñados en
un reciente boletín Hispasec.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Firefox es el
componente navegador web del proyecto Mozilla, un producto de calidad
y popularidad creciente, con más de 50 millones de descargas.

La fundación Mozilla acaba de publicar la versión 1.0.4 de Firefox,
apenas unos días después de que las vulnerabilidades se hiciesen públicas.

Además de los problemas de seguridad resueltos, ya reseñados hace unos
días, se corrige un problema en la gestión del dibujado del HTML
dinámico, introducido en Firefox 1.0.3. Se proporcionan detalles en los
enlaces al final de este boletín.

Es de destacar la rapidez en la respuesta, publicando una actualización
en menos de una semana desde la difusión pública de las vulnerabilidades.

Hispasec recomienda a todos los usuarios de Firefox que actualicen a
la versión 1.0.4.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Firefox
http://www.mozilla.org/products/firefox/

Mozilla lanza ´parches´ informáticos para reparar su navegador ´Firefox´
http://www.20minutos.es/noticia/23662/0/mozilla/firefox/vulnerabilidad/

Known Vulnerabilities in Mozilla
http://www.mozilla.org/projects/security/known-vulnerabilities.html

Firefox Updated to 1.0.4
http://it.slashdot.org/article.pl?sid=05/05/12/1153218

Working around the Firefox 1.0.3 DHTML regression


09/05/2005 - Grave vulnerabilidad remota en Firefox 1.0.3 permite
ejecución de código
http://www.hispasec.com/unaaldia/2389

jueves, 12 de mayo de 2005

Ejecución remota de código arbitrario en libTIFF 3.x

El equipo de auditoría de seguridad de Gentoo ha descubierto una
vulnerabilidad en la librería libTIFF (versiones 3.x) que
potencialmente podría ser explotada por usuarios maliciosos para
comprometer remotamente un sistema afectado.

El problema se debe una vez más a un error en el control de tamaños
de variables. La librería no controla bien este aspecto a la hora de
comprobar la etiqueta BitsPerSample, por lo que un atacante puede
construir una imagen en formato TIFF especialmente a tal efecto de
modo que si es procesada por una aplicación que use esta librería,
se podría ejecutar código arbitrario en la máquina afectada con los
derechos de la aplicación implicada.

libTIFF es una librería centrada en la lectura y escritura de archivos
TIFF (Tag Image File Format) en sistemas UNIX.

Se puede acceder a una corrección para el problema a través del
repositorio CVS de dicho componente. Una vez actualizada, se
recomienda recompilar las aplicaciones que hagan uso de esta
librería.


Antonio Román
roman@hispasec.com


Más información:

libtiff:
http://bugzilla.remotesensing.org/show_bug.cgi?id=843

Gentoo:
http://security.gentoo.org/glsa/glsa-200505-07.xml

miércoles, 11 de mayo de 2005

Nueva actualización de seguridad de Mac OS X

Cuando apenas hace una semana que Apple ha sacado al mercado la versión
10.4 de Mac OS X, la compañía publica una importante actualización de
seguridad para las versiones previas de su sistema operativo.

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

Apple ha publicado una actualización para la versión 10.3.9 de su
sistema operativo Mac OS X, solucionando 19 importantes problemas de
seguridad. Algunos de los mismos permiten que un atacante remoto obtenga
privilegios de administrador o "root" en el sistema vulnerable.

Las actualizaciones son demasiado numerosas para publicarlas aquí, pero
atañen a los siguientes componenter: Apache, AppKit, AppleScript,
Bluetooth, Directory Services, Finder, Foundation, Help Viewer, LDAP,
libXpm, lukemftpd, NetInfo, Server Admin, sudo, Terminal y VPN.

La actualización mide unos 6 Megabytes. Hispasec recomienda la
actualización urgente de todos los entornos MacOS X 10.3.9. Otro detalle
que Hispasec quiere hacer notar es que la clave PGP del equipo de
seguridad de Apple ha cambiado. Dicha clave se utiliza para verificar
la integridad y autenticidad de los boletines de seguridad de Apple.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Apple Release Mega Patch to Fix 19 Flaws
http://apple.slashdot.org/article.pl?sid=05/05/05/1854206

Apple mega-patch fixes 19 flaws
http://www.theregister.co.uk/2005/05/05/apple_mega_patch/

About Security Update 2005-005
http://docs.info.apple.com/article.html?artnum=301528

Apple Downloads
http://www.apple.com/support/downloads/

martes, 10 de mayo de 2005

Microsoft sólo publica una actualización de seguridad en mayo

Como es habitual, hoy segundo martes de mes Microsoft ha publicado
las actualizaciones desarrolladas desde el anterior. En mayo, sólo
se ha publicado una nueva actualización, que afecta a Windows 2000
y tiene una nivel de gravedad de importante.

En el boletín publicado, con código MS05-024, se anuncia la corrección
de una vulnerabilidad en Windows 2000 que puede ser explotada por
usuarios maliciosos para provocar la ejecución remota de código
arbitrario. El problema también afecta a sistemas Windows 98, Windows
98 Second Edition y Windows Millennium Edition (ME) aunque Microsoft
no publica actualizaciones para estas plataformas ya que el problema
no se considera de carácter crítico.

La vulnerabilidad reside en la forma en la que el Explorador de Windows
de Windows 2000 trata ciertos caracteres HTML en los campos de vista
previa usando la vista Web. Si un atacante persuade a una victima para
que previsualice un archivo malicioso, podría ejecutar código arbitrario
en la máquina utilizada para ello.

Se recomienda utilizar Windows Update para aplicar esta actualización.
Las direcciones para descargar las versiones en distintos idiomas son
las siguientes (requieren tener previamente instalados el SP3 o 4 de
Windows 2000):

Español:
http://download.microsoft.com/download/c/8/f/c8fc354b-3112-4011-80de-daa7ab3f26f2/Windows2000-KB894320-x86-ESN.EXE

Inglés:
http://download.microsoft.com/download/d/a/f/dafda7aa-7103-45f9-9491-387e5f3faec5/Windows2000-KB894320-x86-ENU.EXE


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS05-024
Vulnerability in Web View Could Allow Remote Code Execution (894320)
http://www.microsoft.com/technet/security/Bulletin/MS05-024.mspx

lunes, 9 de mayo de 2005

Grave vulnerabilidad remota en Firefox 1.0.3 permite ejecución de código

Se han descubierto dos vulnerabilidades en Firefox (versiones hasta la
1.0.3) que pueden ser explotadas por atacantes remotos para realizar
ataques de tipo cross site scripting o incluso para comprometer la
maquina de la víctima.

El primer problema detectado se debe a que las URLs "IFRAME" de
JavaScript no son tratadas adecuadamente a la hora de ser ejecutadas
con el contexto de otra URL en la lista histórica. Esta circunstancia
puede ser aprovechada para ejecutar código HTML y script arbitrario en
el navegador de la víctima con el contexto de un sitio arbitrario.

El segundo problema detectado se debe a que las entradas recibidas
en el parámetro 'IconURL' de 'InstallTrigger.install()' no son
verificadas antes de ser utilizadas, por lo que esta circunstancia
puede aprovecharse para ejecutar código JavaScript con privilegios
escalados al usar una URL JavaScript especialmente formada a tal
efecto. La explotación con éxito de esta vulnerabilidad requiere que
el sitio tenga permitido instalar software (por defecto, los sitios
que pueden hacerlo son update.mozilla.org y addons.mozilla.org).

Un atacante puede combinar ambas vulnerabilidades para provocar la
ejecución remota de código arbitrario en la máquina de la víctima. El
problema es especialmente alarmante si se tiene en cuenta de que hay
constancia de la existencia de código de dominio publico para explotar
esta vulnerabilidad.

Si bien estas vulnerabilidades han sido confirmadas en la versión
1.0.3 del navegador, no se descarta que pueda afectar a otras también.

A la espera de un parche definitivo que corrija esta situación, se
recomiendan dos pasos:
1) Desactivar el soporte de JavaScript
2) Desactivar la instalación de software (Options --> Web Features -->
"Allow web sites to install software")


Julio Canto
jcanto@hispasec.com


Más información:

Firefox onload() History Access Bug and Install Function Scripting
Execution Flaw Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/id?1013913

domingo, 8 de mayo de 2005

Nuevos contenidos en CriptoRed (abril 2005)

Breve resumen de las novedades producidas durante el mes de abril
de 2005 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Evolución de los Sistemas de Cifrado Basados en Caos
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

- Hacking con Google
http://www.criptored.upm.es/paginas/docencia.htm#gtletraH

- Modelo de Secuencias Entrelazadas para la Generación de Secuencias
Cifrantes
http://www.criptored.upm.es/paginas/docencia.htm#gtletraM

- Una Mirada al Criptoanálisis Actual: Tendencias y Casos Prácticos
http://www.criptored.upm.es/paginas/docencia.htm#gtletraU

- Ponencias de Conferencias FIST (para libre descarga desde servidor propio)
http://www.fistconference.org/archivos.php

- Libro Electrónico: AES Advanced Encryption Standard Versión 2005
http://www.criptored.upm.es/paginas/docencia.htm#librose

- Libro Electrónico: Fundamentos de Computación Cuántica para su
Aplicación en Teoría de la Información Cuántica y Criptografía Cuántica
http://www.criptored.upm.es/paginas/docencia.htm#librose

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

- Mayo 24 al 25 de 2005: Workshop on Security In Information Systems
WOSIS-2005 (Miami - USA)
http://www.iceis.org/workshops/wosis/wosis2005-cfp.html

- Junio 6 al 8 de 2005: 7th Information Hiding Workshop IH2005
(Barcelona - España)
http://kison.uoc.edu/IH05

- Junio 9 al 10 de 2005: III Simposio Español de Comercio Electrónico
(Palma de Mallorca - España)
http://www.uib.es/congres/sce05/

- Junio 20 al 22 de 2005: Workshop on Mathematical Problems and
Techniques in Cryptology (Barcelona - España)
http://www.crm.es/Conferences/0405/Cryptology/Cryptology.htm

- Junio 22 al 24 de 2005: V Jornadas Jornadas Nacionales de Seguridad
Informática (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=332

- Septiembre 14 al 16 de 2005: Simposio Seguridad Informática I Congreso
Español de Informática CEDI 2005 (Granada - España)
http://cedi2005.ugr.es/

- Septiembre 22 al 23 de 2005: Information Security Curriculum
Development INFOSECCD 2005 (Kennesaw Georgia, USA)
http://infosec.kennesaw.edu/

- Octubre 03 al 05 de 2005: Congreso CollECTeR LatAm 2005 (Talca - Chile)
http://ing.utalca.cl/collecter

- Noviembre 21 al 25 de 2005: Tercer Congreso Iberoamericano de
Seguridad Informática CIBSI '05 (Valparaíso - Chile)
http://cibsi05.inf.utfsm.cl/

- Diciembre 1 al 2 de 2005: IFIP TC-11 WG 11.1 & WG 11.5 Joint Working
Conference on Security Management, Integrity, and Internal Control in
Information Systems (Fairfax - USA)
http://www.cs.uvm.edu/ifip11.1.5/

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

- Convocatoria a Congresos en la IACR: International Association for
Cryptologic Research
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

- Máster en Auditoría y Seguridad Informática en la UPM (España)
- Máster en Tecnologías de Seguridad Informática esCERT-UPC (España)
- Máster Tecnologías Información y Seguridad en la UCLM (España)
- Máster en Auditoría y Seguridad de Sistemas de Información en la UAB
(España)
- Máster/Experto en Seguridad de la Información en la DU (España)
- Curso Experto en Seguridad Informática en la MU (España)
- Especialización en Criptografía y Seguridad Teleinformática en IESE
(Argentina)
- Diplomado en Seguridad Informática (Colombia)
- Diplomado Seguridad en Tecnología Informática (Venezuela)
- Diplomado en Seguridad Computacional en la Universidad de Chile (Chile)
- Diplomados en Seguridad Informática (México)
- Curso Criptosistemas de tipo RSA: Aplicaciones en el CSIC (España)
- Cursos de Seguridad Informática en el esCERT-UPC (España)
- Cursos de Seguridad Informática del Instituto para la Seguridad en
Internet ISI (España)
- Programa de Formación 2005 en Gestión de la Seguridad de la
Información de AENOR (España)
- Cursos de CYBSEC (Latinoamérica)
- Talleres de Seguridad Informática en la UNAM (México)
- Curso de Preparación para el Examen CISA en Barcelona (España)
-¨Seminario de Introducción a la Algorítmica y Criptografía Cuánticas en
la UPM (España)
- Ciclo de Conferencias Gratuitas en la Universidad Politécnica de
Madrid (España)
- Cursos de Seguridad Informática en Universidad Complutense de Madrid
(España)

Puedes encontrar los enlaces y más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE ABRIL DE 2004

- Seminario Epidemia Digital: Caos Informático (Barranquilla, Colombia)
http://www.deltaomegasecurity.com/eventos.htm

- Recuperación Gratuita de Archivos Borrados vía Internet con eROL
http://www.recoverylabs.com/servicios/recuperar-archivos.htm

- Jornadas SPAM: Problemática, Aspectos Legales y Soluciones (Madrid -
Barcelona, España)
http://escert.upc.edu/index.php/web/es/for_eventos.html

- III Jornada sobre Tecnología para la Seguridad: Tecnologías Wireless
(Madrid, España)
http://www.nebrija.com

- Conferencia ISSA-FIST (Madrid, España)
http://www.fistconference.org/madrid.php

5. OTROS DATOS DE INTERES EN LA RED

- Número actual de miembros en la red: 518
(148 universidades; 175 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

- 37.173 visitas, 114.283 páginas y 50,65 GBytes servidos en marzo de 2005
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

6. CIBSI: CONGRESO IBEROAMERICANO DE SEGURIDAD INFORMÁTICA

- Tercer Congreso Iberoamericano de Seguridad Informática CIBSI '05
Universidad Técnica Federico Santa María
Del 21 al 25 de noviembre de 2005 (Valparaíso, Chile)
http://cibsi05.inf.utfsm.cl/


Jorge Ramió Aguirre
Coordinador de CriptoRed



sábado, 7 de mayo de 2005

V Jornada Nacional de Seguridad Informática - Colombia

Los próximos días 22, 23 y 24 de junio se celebrará en Bogotá, Colombia,
las V Jornadas Nacionales de Seguridad Informática.

La dinámica actual de las organizaciones exige de éstas un aprendizaje
permanente para mantener los niveles actuales de operación y aumentar
la capacidad de reacción ante eventualidades en el desarrollo de sus
negocios.

De igual forma la inseguridad informática evoluciona y propone nuevos
retos a las empresas. Retos que se manifiestan en variables humanas,
técnicas o procedimentales (o combinaciones de las anteriores) que
logran generar importantes niveles de incertidumbre, que de manera
definitiva impactan uno de los activos más importantes de las
organizaciones modernas: la información.

En este contexto, las V Jornadas Nacionales de Seguridad Informática
propone un espacio académico, práctico y empresarial, para compartir
las experiencias alrededor de la administración de la inseguridad
informática de las organizaciones, procurando elementos conceptuales
y aplicaciones prácticas a situaciones de interés en las empresas,
para construir así, de manera colectiva, nuevas distinciones y
estrategias para hacer de nuestros entornos corporativos lugares
menos inseguros y fortalecer la cadena de valor que soporta los
objetivos de negocio.

En esta quinta versión la protagonista es la "inseguridad informática",
como fuente de inspiración para los responsables de la seguridad
informática, pues allí reside la esencia misma de los procesos,
prácticas y estrategias, que hacen de la seguridad informática un
reto permanente, una disciplina en constante formación.

Dentro de los temas que se tratarán en esta nueva versión del evento
tenemos (entre otros):
- Delitos informáticos
- Ingeniería Social
- Balance Scored Card y la Planeación Estratégica de la Seguridad Informática.
- Computación Forense y Atención de Incidentes
- Hacking Memory

Detalles del programa académico y conferencistas en:
http://www.acis.org.co/VJornadaSeguridad (Click en Programa o conferencistas)


Jeimy J. Cano, Ph.D, CFE
Coordinador Académico
V Jornadas Nacionales de Seguridad Informática ACIS 2005


Más información:

"Administrando la Inseguridad Informática"
Fecha: Bogotá 22, 23 y 24 de Junio de 2005
Lugar: Biblioteca "Luis Ángel Arango" Calle 11 No. 4-98
Website: http://www.acis.org.co/VJornadaSeguridad
Asociación Colombiana de Ingenieros de Sistemas - ACIS

viernes, 6 de mayo de 2005

Nueva actualización de seguridad de Ethereal

Las versiones no actualizadas de Ethereal contienen varios problemas de
seguridad, que permiten que un atacante remoto ejecute código arbitrario
en la máquina que utiliza Ethereal.

Ethereal es un popular analizador de tráfico de red que soporta gran
cantidad de protocolos y es de muy fácil manejo, además de estar
presente en diversas plataformas.

Las versiones de Ethereal previas a la 0.10.11, recién publicada,
contienen diversas vulnerabilidades que permiten que un atacante remoto
"mate" el proceso ethereal e incluso, bajo ciertas circunstancias, pueda
ejecutar código arbitrario en la máquina vulnerable, con los privilegios
del usuario que utiliza Ethereal. Normalmente se trata del propio
administrador o "root" del sistema.

Algunos de los problemas resueltos en la actualización son:

* Vulnerabilidades en los disectores "GSM MAP", "AIM", "Telnet", "TZSP",
"WSP", "802.3 Slow", "BER", "SMB Mailslot", "H.245", "BitTorrent",
"SMB", "Fibre Channel", "MGCP", "DHCP", "SRVLOC", "NDPS", "IAX2", "RPC",
"RADIUS", "GSM", "SMB PIPE", "SMB NETLOGON", "MRDISC", "ISUP", "LDAP",
"TCAP", "NTLMSSP" permiten que un atacante remoto pueda "tirar" el
proceso "ethereal".

* Los siguientes disectores permiten la ejecución de código arbitrario:
"ANSI A", "DISTCC", "FCELS", "SIP", "DHCP", "ISIS", "CMIP", "CMP",
"CMS", "CRMF", "ESS", "OCSP", "PKIX1Explitit", "PKIX Qualified",
"X.509", "Q.931", "MEGACO", "NCP", "ISUP", "TCAP" y "Presentation".

* Otros disectores, numerosos, permiten que un atacante consuma una
cantidad de recursos despropocionada (en CPU y memoria), y por tanto
provocar la caída del sistema operativo o, cuando menos, un
comportamiento deficiente del mismo.

Hispasec recomienda a todos los usuarios de Ethereal que actualicen con
la mayor premura posible a la versión 0.10.11 de este programa. Y, dado
el histórico de vulnerabilidades de este producto, no está de más
recomendar la búsqueda de herramientas "sniffers" alternativas, como ya
aconsejamos en un boletín anterior, hace poco más de un mes.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Multiple problems in Ethereal versions 0.8.14 to 0.10.10
http://www.ethereal.com/appnotes/enpa-sa-00019.html

Ethereal 0.10.11 released - Wednesday, May 4, 2005
http://www.ethereal.com/news/item_20050504_01.html

Ethereal: A Network Protocol Analyzer
http://www.ethereal.com/

jueves, 5 de mayo de 2005

Denegación de servicio en RIM Blackberry

Recientemente se ha dado a conocer una vulnerabilidad que afecta
a algunos dispositivos Blackberry, si bien la vulnerabilidad fue
descubierta a finales del pasado año, no se ha dado a conocer
públicamente hasta la actualidad.

RIM Blackberry es un dispositivo de bolsillo inalámbrico con
aplicaciones de teléfono, correo electrónico, SMS, navegador y
organizador en un solo dispositivo. Este dispositivo se basa en los
estándares de la plataforma Java.

La vulnerabilidad afecta a RIM Blackberry 7230, con RIM BlackBerry
Operating System software en su versión 3.7.1.41, cuando hace la
sincronización con Microsoft Exchange Server usando Blackberry
Enterprise Server para Microsoft Exchange.

El problema surge por una deficiencia en la validación en la entrada
de datos en el calendario, que posibilita la realización de un ataque
por denegación de servicios. De esta forma, el atacante podrá conseguir
el reinicio del dispositivo y como consecuencia la perdida de datos ya
que en este proceso también se reinicia la RAM.

La vulnerabilidad ha sido corregida en las versiones 3.8 y superiores,
además de existir un parche para solucionarlo disponible en:
http://www.blackberry.com/support/downloads/hot_fixes.shtml


Antonio Román
roman@hispasec.com


Más información:

RIM BlackBerry DoS (Meeting Location)
http://www.securiteam.com/securitynews/5JP051FFPI.html

RIM Blackberry buffer overflow, DoS, data loss
http://www.hexview.com/docs/20041012-1.txt

RIM Blackberry DoS
http://www.hexview.com/docs/20041014-1.txt

miércoles, 4 de mayo de 2005

Vulnerabilidades en Oracle Web Cache / Application Server

Se han ofrecido los detalles de dos vulnerabilidades en Oracle9iAS
Web Cache y Oracle Application Server que pueden ser explotadas
por usuarios maliciosos para realizar ataques de tipo cross-site
scripting, manipular datos y saltarse ciertos mecanismos de seguridad.

La primera se debe a que las entradas recibidas en los parámetros
'cache_dump_file' y 'PartialPageErrorPage' en 'webcacheadmin' en el
puerto 4000 no son filtradas adecuadamente antes de ser devueltas al
usuario, lo que puede ser explotado para ejecutar código HTML y script
arbitrario en el navegador de la víctima con el contexto de seguridad
del sitio afectado. Esta vulnerabilidad puede ser explotada con
posterioridad para escribir basura en archivos arbitrarios con el
parámetro 'cache_dump_file'.

Se puede acceder a URLs restringidas en Oracle Application Server
(puerto 7779) mediante Web Cache en el puerto 7778.

Estas vulnerabilidades han sido confirmadas en un sistema con Oracle
Application Server y Oracle9iAS Web Cache. La actualización que Oracle
publicó el día 13 de abril y que también fue comentada en una-al-dia,
incluye (entre otros muchos) la corrección para estos problemas. Hay
que recordar que Oracle no facilitó en aquel momento detalle alguno
sobre los problemas corregidos, sus causas y sus incidencias, pero
desarrolladores e investigadores independientes empiezan a publicar
dicha información. Desde Hispasec recomendamos la actualización de
los sistemas con el parche publicado por Oracle, disponible en:
http://metalink.oracle.com/metalink/plsql/showdoc?db=Not&id=301040.1


Antonio Román
roman@hispasec.com


Más información:

Cross Site Scripting in Oracle Webcache 9i
http://www.red-database-security.com/advisory/oracle_webcache_CSS_vulnerabilities.html

Append file in Oracle Webcache 9i
http://www.red-database-security.com/advisory/oracle_webcache_append_file_vulnerabilitiy.html

Oracle corrige 75 vulnerabilidades con su actualización trimestral
http://www.hispasec.com/unaaldia/2364/

Critical Patch Update - April 2005
http://www.oracle.com/technology/deploy/security/pdf/cpuapr2005.pdf

Oracle Corporation
http://www.oracle.com

martes, 3 de mayo de 2005

Lecciones aprendidas con Bagle/Beagle

Un estudio analiza de forma detallada todo lo que la industria antivirus
ha aprendido con el gusano Bagle/Beagle.

Durante todo el año 2004 y principios de este año 2005, hemos asistido
a una continua avalancha de variantes del gusano Bagle, que se propagaba
a través de archivos adjuntos en mensajes de correo electrónico, enviados
de forma masiva desde los sistemas infectados. Las diversas variantes
de Bagle, conjuntamente con los otros gusanos con los que coincidió
temporalmente, provocaron en los dos primeros meses de 2004 más actividad
que la registrada durante todo el año 2003.

En "Lessons from Virus Developers: The Beagle Worm History", estudio
recientemente publicado en tres partes y disponible en la dirección que
facilitamos en el apartado de "Más información", se realiza un completo
análisis de la evolución histórica del gusano, desde las primeras
variantes detectadas a finales de enero de 2004 hasta las últimas,
identificadas en enero de 2005.

El estudio presenta un análisis de las características más destacadas
de las diversas variantes y la evolución en los mecanismos utilizados
para su propagación y como poco a poco el gusano se iba haciendo más
y más complejo, hasta el extremo de llegar a incorporar su propio
servidor de nombres de dominio, la capacidad para desactivar y/o
inhabilitar las medidas de seguridad instaladas en los sistemas
infectados, la distribución en archivos cifrados con contraseña
para saltarse los antivirus en el servidor de correo, etc...

El objetivo de este trabajo no es tanto informar de las capacidades
técnicas del gusano sino presentarlo como un ejemplo de la evolución
histórica de un ejemplo paradigmático de malware. No se trata de un
estudio técnico ni un análisis exhaustivo del funcionamiento del
gusano; solo presenta la evolución histórica del mismo con la idea
que conociendo esta información los administradores de seguridad
podrán aplicar este conocimiento en la optimización de sus herramientas
en vistas a futuros gusanos más o menos equivalentes.


Xavier Caballé
xavi@hispasec.com


Más información:

Lessons from Virus Developers: The Beagle Worm History Through April 24,
2004
http://downloads.securityfocus.com/library/Beagle_Lessons.pdf

Lessons from Virus Developers: The Beagle Worm History Through August 31,
2004
http://downloads.securityfocus.com/library/beagle_lessons_2.pdf

Lessons from Virus Developers: The Beagle Worm History Part III: September
1, 2004 - January 31, 2005
http://www.infectionvectors.com/library/year_of_the_beagle.pdf

Una-al-día (30-10-2004): Reacción antivirus a la avalancha de variantes de
Bagle
http://www.hispasec.com/unaaldia/2198

Una-al-día (09-08-2004): Variantes de Bagle y tiempos de reacción antivirus
http://www.hispasec.com/unaaldia/2115

Una-al-día (08-08-2004): Alerta: gran propagación de una nueva variante de
Bagle
http://www.hispasec.com/unaaldia/2114

Una-al-día (19-01-2004): "Bagle", nuevo gusano de propagación masiva
http://www.hispasec.com/unaaldia/1912

lunes, 2 de mayo de 2005

Propagación de nueva variante del gusano Sober

Detectado en tránsito un gran número de correos electrónicos con una
nueva variante del gusano Sober. Se recomienda a los usuarios extremen
la precaución a la hora de abrir archivos adjuntos no solicitados, en
este caso especialmente los que nos lleguen en formato ZIP con el
cuerpo del mensaje en inglés.

En primer lugar destacar a los antivirus que han detectado esta nueva
variante desde el primer instante de su aparición, bien por heurística
o firma genérica, y por tanto han protegido a sus usuarios sin
necesidad de una actualización a posteriori.

Detección proactiva:

Antivir :: Worm/Sober.gen
Dr.Web :: BACKDOOR.Trojan
NOD32 :: probably a variant of Win32/Sober
McAfee :: W32/Sober.gen@MM
Panda :: [TruPrevent]

A continuación los tiempos en ofrecer la actualización reactiva, a
posteriori de su aparición, con firmas de detección específicas.

Detección reactiva:

ClamAV 02.05.2005 18:39 :: Worm.Sober.P
Kaspersky 02.05.2005 18:44 :: Email-Worm.Win32.Sober.p
F-Prot 02.05.2005 18:57 :: W32/Sober.O@mm
BitDefender 02.05.2005 19:24 :: Win32.Sober.O@mm
NOD32 02.05.2005 20:15 :: Win32/Sober.O
Panda 02.05.2005 20:55 :: W32/Sober.V.worm
eTrust-Iris 02.05.2005 21:57 :: Win32/Sober.53554!Worm
Antivir 02.05.2005 22:26 :: Worm/Sober.P
Norman 02.05.2005 22:51 :: Sober.O@mm
Trend Micro 02.05.2005 23:17 :: WORM_SOBER.S
McAfee 02.05.2005 23:44 :: W32/Sober.p@MM!zip

El gusano está programado en Visual Basic, el ejecutable original ha
ha sido comprimido con UPX, y a su vez el gusano lo envía adjunto por
correo electrónico comprimido bajo formato ZIP.

Si un usuario abre el archivo y lo ejecuta, aparecerá una ventana
simulando un error de descompresión:

WinZip Self-Extractor
Error: CRC not complete
[OK]

Mientras que el usuario visualiza ese mensaje el gusano ya habrá
comenzado la infección del sistema. Copia en la carpeta Windows
dentro del subdirectorio \Connection Wizard\Status\ los archivos

%Windir%\Connection Wizard\Status\csrss.exe
%Windir%\Connection Wizard\Status\packed1.sbr
%Windir%\Connection Wizard\Status\packed2.sbr
%Windir%\Connection Wizard\Status\packed3.sbr
%Windir%\Connection Wizard\Status\services.exe
%Windir%\Connection Wizard\Status\smss.exe
%Windir%\Connection Wizard\Status\sacri1.ggg

Y en la carpeta de sistema de Windows los siguiente:

%System%\adcmmmmq.hjg
%System%\langeinf.lin
%System%\nonrunso.ber
%System%\seppelmx.smx
%System%\xcvfpokd.tqa

Además añade las típicas entrada en el registro de Windows para
asegurarse su ejecución en cada inicio de sistema:

" WinStart" = "%Windir%\Connection Wizard\Status\services.exe"

tanto en
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
como en
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

Para propagarse, busca en el sistema infectado direcciones de correo
electrónico en todos los archivos con extensión:

abc
abd
abx
adb
ade
adp
adr
asp
bak
bas
cfg
cgi
cls
cms
csv
ctl
dbx
dhtm
doc
dsp
dsw
eml
fdb
frm
hlp
imb
imh
imh
imm
inbox
ini
jsp
ldb
ldif
log
mbx
mda
mdb
mde
mdw
mdx
mht
mmf
msg
nab
nch
nfo
nsf
nws
ods
oft
php
phtm
pl
pmr
pp
ppt
pst
rtf
shtml
slk
sln
stm
tbb
txt
uin
vap
vbs
vcf
wab
wsh
xhtml
xls
xml

Evita enviarse aquellas direcciones de correo electrónico que
contengan algunas de las siguientes cadenas:

-dav
.dial.
.kundenserver.
.ppp.
.qmail@
.sul.t-
@arin
@avp
@ca.
@example.
@foo.
@from.
@gmetref
@iana
@ikarus.
@kaspers
@messagelab
@nai.
@panda
@smtp.
@sophos
@www
abuse
announce
antivir
anyone
anywhere
bellcore.
bitdefender
clock
detection
domain.
emsisoft
ewido.
free-av
freeav
ftp.
gold-certs
google
host.
icrosoft.
ipt.aol
law2
linux
mailer-daemon
mozilla
mustermann@
nlpmail01.
noreply
nothing
ntp-
ntp.
ntp@
office
password
postmas
reciver@
secure
service
smtp-
somebody
someone
spybot
sql.
subscribe
support
t-dialin
t-ipconnect
test@
time
user@
variabel
verizon.
viren
virus
whatever@
whoever@
winrar
winzip
you@
yourname

Para enviarse por correo electrónico, en primer lugar examina la dirección
a la que va a enviarse. Si el dominio es GMX o termina con .AT, .CH, .DE o
.LI se envía con textos en alemán, para el resto de direcciones lo hará
en inglés.

El archivo adjunto puede ser uno de los siguientes:


_PassWort-Info.zip
account_info.zip
account_info-text.zip
autoemail-text.zip
error-mail_info.zip
free_PassWort-Info.zip
Fifa_Info-Text.zip
LOL.zip
mail_info.zip
okTicket-info.zip
our_secret.zip

El remite lo elige entre:

Admin
Hostmaster
Info
Postmaster
Register
Service
Webmaster

Mientras que el asunto podrá ser alguno de los siguientes:

mailing error
Re:
Registration Confirmation
Your email was blocked
Your Password

Y en el caso de la versión en alemán:

Glueckwunsch: Ihr WM Ticket
Ich bin's, was zum lachen ;)
Ihr Passwort
Ihre E-Mail wurde verweigert
Mail-Fehler!
WM Ticket Verlosung
WM-Ticket-Auslosung


En cuanto al cuerpo del mensaje, en inglés algunos de los siguientes:

ok ok ok,,,,, here is it

Account and Password Information are attached!
Visit: http:/ /www.[dominio]

This is an automatically generated E-Mail Delivery Status Notification.
Mail-Header, Mail-Body and Error Description are attached

Con una línea al final que elige entre:

Attachment-Scanner: Status OK
AntiVirus: No Virus found
Server-AntiVirus: No Virus (Clean)
http:/ / www.[dominio]


Mientras que en la versión en alemán los textos pueden ser:

Passwort und Benutzer-Informationen befinden sich in der beigefuegten
Anlage.
http:/ /www.[dominio]
*-* MailTo: PasswordHelp


Diese E-Mail wurde automatisch erzeugt
Mehr Information finden Sie unter http://www.[dominio]
Folgende Fehler sind aufgetreten:
Fehler konnte nicht Explicit ermittelt werden
Aus Datenschutzrechtlichen Gruenden, muss die vollstaendige E-Mail
incl. Daten gezippt & angehaengt werden.
Wir bitten Sie, dieses zu beruecksichtigen.
Auto ReMailer#


Nun sieh dir das mal an
Was ein Ferkel ....


Herzlichen Glueckwunsch,
beim Run auf die begehrten Tickets fr die 64 Spiele der
Weltmeisterschaft 2006 in Deutschland sind Sie dabei.Weitere Details
ihrer Daten entnehmen Sie bitte dem Anhang.

St. Rainer Gellhaus
--- Pressesprecher Jens Grittner und Gerd Graus
--- FIFA Fussball-Weltmeisterschaft 2006
--- Organisationskomitee Deutschland
--- Tel. 069 / 2006 - 2600
--- Jens.Grittner@ok2006.de
--- Gerd.Graus@ok2006.de

Con una línea final que elige entre:

Mail-Scanner: Es wurde kein Virus festgestellt
AntiVirus: Kein Virus gefunden
AntiVirus-System: Kein Virus erkannt
WebSite: http://www.[dominio]


Bernardo Quintero
bernardo@hispasec.com