domingo, 31 de julio de 2005

Más de 2.650 alertas en el primer semestre de 2005 a través de SANA

El Servicio de Análisis, Notificación y Alertas (SANA) de Hispasec
distribuyó durante el primer semestre del año un total de 2.671 alertas
de seguridad.

A través de este servicio a medida, que puede considerarse como una
versión profesional de una-al-dia, se documentaron y distribuyeron más
de 2.600 alertas durante los primeros seis meses del presente año, lo
que ofrece una media de 15 diarias.

Los fabricantes que han destacado por el número de actualizaciones y
parches publicados han sido Microsoft del que se han notificado 188 (un
7%) alertas, las distribuciones Linux con una media de 144 alertas para
Red Hat y 130 de Debian, IBM también ocupa un puesto destacado con
126 alertas.

Hay que señalar como dato significativo que aunque Microsoft solo ha
publicado 37 boletines de seguridad hasta la fecha, a través de este
servicio se han documentado 188 alertas de este fabricante incluyendo
parches, vulnerabilidades, actualizaciones, service packs, etc.

Según la clasificación de SANA, 408 (un 15,2%) de las alertas se han
considerado de riesgo alto, el 10,1% medio-alto, 1.065 de ellas (el
39,8%) de nivel medio, mientras que el resto recibió una calificación
de riesgo medio-bajo y bajo.

Una gran mayoría de las alertas, 2.212 en concreto (un 82,8%), trataban
de parches propiamente dichos o de vulnerabilidades que contaban con
actualizaciones para corregirlas. Mientras que para el resto Hispasec
documentó contramedidas y acciones preventivas adicionales a la espera
de la solución oficial.

El Servicio SANA de Hispasec Sistemas, nació como una versión profesional
de una-al-dia, al ofrecer un servicio de información sobre seguridad
informática personalizado según el perfil de cada cliente, sin ningún
tipo de limitaciones de horario o cantidad de información, siendo el
primer servicio de estas características que se presta en español. Los
suscriptores de SANA reciben puntualmente, en tiempo real, la información
sobre nuevas vulnerabilidades que realmente puedan afectar a los sistemas
de su empresa, junto con las medidas preventivas y/o parches para
subsanarlas.

Un servicio como SANA puede ayudar a todos los administradores a
tener actualizados al día todos sus sistemas. Si desean obtener
información extendida sobre SANA, visite la página del servicio
disponible en http://www.hispasec.com/corporate/sana.html

En dicha página hallará información comercial y un formulario de
contacto mediante el cual podrá hacernos llegar sus dudas, cuestiones
o comentarios sobre el servicio.


Antonio Ropero
antonior@hispasec.com



sábado, 30 de julio de 2005

Tegam Vs Guillermo T., la saga judicial se clarifica

Desde las últimas informaciones publicadas en Hispasec se han sucedido
algunas novedades que seguramente van a tener una influencia en el
desarrollo de los procesos judiciales emprendidos por TEGAM contra el
investigador francés Guillaume T., más conocido en los grupos de
noticias de Usenet como 'Guillermito'.

En primer lugar, Guillaume T. ha recurrido las dos sentencias
condenatorias, la penal y la civil. Sin que estos procedimientos hayan
concluido (siguen su curso las apelaciones que pueden y deberían dar
un vuelco de la situación judicial a favor de Guillaume T.), se ha
producido una última novedad que ayuda a situar los hechos que hasta
la fecha se han juzgado desde una perspectiva documental nueva, aunque
no inédita.

Recordemos que una de las pruebas para basar sus acusaciones presentadas
por TEGAM contra Guillaume T., fue que éste junto a 'otros' actuaba por
intereses oscuros, acusándole en una carta dirigida el 7 marzo 2002 a
la dirección del CNRS como un 'terrorista informático conocido por el
FBI y la DST'.

En esa carta también se acusaba directamente a otra persona, R.G., que
también escribe con asiduidad en los foros de usenet.

Pues bien, en un nuevo juicio de carácter civil, un Tribunal de
Toulouse ha condenado a TEGAM por una falta por injurias cometida
contra R.G.

Mientras las grandes empresas privadas colaboran cada vez más
estrechamente con los investigadores independientes, parece que aun
existe una Justicia más proclive a 'aplicar la letra' que no a
interpretar las nuevas realidades en el campo del conocimiento y de
las nuevas tecnologías.

Que esta nueva sentencia, una pieza más del 'puzzle' legal del
'affaire Guillermo T.' pueda servir para dejar en su sitio a los
actores y los intereses que defienden.




Más información:

C'est Vendredi : suite du grand feuilleton de l'été
http://blog2.lemondeinformatique.fr/management_du_si/2005/07/cest_vendredi__.html

Tegam condamnée pour sa lettre de dénonciation au CNRS
http://www.kitetoa.com/Pages/Textes/Textes/25012005-Tegam_versus_Guillermito/20050807-tegam-condamnee-pour-sa-lettre-de-denonciation-au-cnrs---dotan-kaminsky-guillermito-roland-garcia.shtml

08/03/2005 Fallo del caso Tegam vs. "Guillermito"
http://www.hispasec.com/unaaldia/2327

29/12/2004 - El jucio Tegam vs. Guillermito se celebrará el 4 de enero de 2005
http://www.hispasec.com/unaaldia/2258

27/09/2004 Se aplaza el juicio Tegam vs. "Guillermito"
http://www.hispasec.com/unaaldia/2165

16/09/2004 Tegam vs. Guillermito, segundo asalto
http://www.hispasec.com/unaaldia/2154

20/05/2004 Juicio contra la seguridad informática y el "full disclosure"
http://www.hispasec.com/unaaldia/2034

viernes, 29 de julio de 2005

Actualización de seguridad de Ethereal

Se han detectado graves vulnerabilidades, que las convierten en
extremadamente críticas, en la aplicación de auditoría Ethereal. Las
versiones afectadas están en la horquilla existente entre la 0.8.5 y la
0.10.11. El equipo de desarrollo de Ethereal ha liberado una versión
nueva, numerada como 0.10.12, para corregir los problemas acumulados.

Ethereal es una aplicación de auditoría orientada al análisis de tráfico
en redes, que goza de mucha popularidad, ya que está disponible en
múltiples plataformas, soporta una gran cantidad de protocolos y es de
fácil manejo

Esta nueva versión corrige varios errores que podrían facilitar
enormemente denegaciones de servicio y el compromiso del sistema donde
corra la aplicación. La explotación exitosa de las vulnerabilidades
podría permitir la ejecución de código arbitrario, el colapso de la
plataforma y el consumo masivo de recursos del sistema.

Los errores corregidos incluyen problemas de diversa índole en la
mayoría de disectores de la aplicación, como los disectores LDAP,
AgentX, 802.3, PER, DHCP, BER, MEGACO, GOIP, SMB, WBXML, H1, DOCSIS,
SMPP, SCTP, HTTP, DCERCP, CAMEL, RADIUS, Telnet, IS-IS LSP y NCP. Estos
errores incluyen referencias a punteros NULL, errores en el formato de
cadenas y errores de bucle infinito.

Se ha documentado igualmente un error en la versión Windows, debido a
que el instalador contiene una versión vulnerable de la librería zlib. A
partir de ahora, se incluye la versión 1.2.3 de zlib, que evita los
problemas en versiones anteriores. Adicionalmente, se ha actualizado el
gestor de captura de tráfico WinPcap, que pasa a ser versión 3.1 beta 4

La solución a los fallos descritos pasa por la actualización a la
versión publicada el 26 de julio de 2005, con numeración 0.10.12, que
corrige todos los fallos documentados


Sergio Hernando
shernando@hispasec.com


Más información:

Ethereal
http://www.ethereal.com

Ethereal 0.10.12 Released
http://ethereal.com/news/item_20050726_01.html

Descargar Ethereal
http://www.ethereal.com/download.html

jueves, 28 de julio de 2005

Filtro antiphishing en Internet Explorer 7

La próxima versión del navegador de Microsoft, Internet Explorer 7,
incorporará un filtro antiphishing destinado a proteger a los usuarios
de las estafas basadas en sitios webs falsificados.

Básicamente la tecnología será similar a la ya desplegada en la
actualidad por las barras de herramientas antiphishing disponibles
para varios navegadores, incluido Internet Explorer, basándose tanto
en la detección "heurística" (patrones genéricos), listas negras,
y listas blancas de sitios confiables.

A efectos prácticos, el usuario podrá visualizar diferentes avisos
que le indicarán el grado de peligrosidad de la página web que visita.
Así recibirá una alerta amarilla de Sitio Web Sospechoso si detecta
algún indicio de que la página puede ser un phishing, o una alerta
roja si se trata de un sitio web que está confirmado que es un phishing
(que se encuentra en la lista negra), dándole la opción al usuario de
cerrar la página web o continuar visitando el sitio bajo su propio
riesgo (opción no recomendada).

Microsoft también dispondrá de un mecanismo para notificar y
rectificar posibles falsos positivos motivados por la "heurística", ya
que puede darse el caso de que un sitio web legítimo haga saltar la
alerta amarilla del filtro antiphishing.

Desde Hispasec creemos que se trata de una iniciativa positiva e
interesante que ayudará a mitigar el problema acuciante del phishing.
Si bien desde el punto de la tecnología no aporta ninguna novedad,
el hecho de que se integre por defecto en el navegador más utilizado
ayudará a que gran parte de los usuarios cuenten con una primera
línea de defensa.

Evidentemente éste, o cualquier otro sistema, no acabará de raíz
con el problema del phishing. De hecho, al ser una solución que
contará con un gran despliegue, motivará que los phishers diseñen
sus ataques específicamente para burlar a este filtro en concreto.

También es cierto que no se trata de una solución estática, y lo
lógico es que el filtro antiphishing de Microsoft irá evolucionando
para adaptarse a los nuevos ataques más sofisticados.

Si el filtro de Microsoft pone finalmente en aprietos el esquema
actual del phishing, es más que probable que aumente la corriente
actual y que los phishers enfoquen aun más su actividad en el uso
de troyanos para robar las credenciales de acceso a servicios como
la banca electrónica, que no pueden ser prevenidos con este tipo
de filtros.

En cualquier caso el panorama será cuando menos mejor que el actual,
donde gran parte de los usuarios se encuentran desprotegidos por
defecto contra los ataques phishing más básicos.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Servicio antiphishing de Hispasec Sistemas:
http://www.hispasec.com/corporate/antiphishing.html

miércoles, 27 de julio de 2005

Troyanos y phishing, una amenaza en alza

Los phishers incorporan masivamente el uso de troyanos especializados
en la captura de credenciales como complemento a las técnicas
habituales de fraude, basadas en la falsificación de páginas web y
formularios de entidades bancarias.

Que el número de ataques phishing no deja de aumentar es un hecho
evidente, así lo reflejan tanto las estadísticas que recopilan este
tipo de incidentes como los casos concretos que cualquiera de
nosotros podemos llegar a recibir en nuestro buzón de correo.

Existe además una amenaza íntimamente relacionada con el phishing
tradicional, los troyanos especializados en el robo de las
credenciales de acceso a servicios de entidades bancarias.

El fin de estos troyanos y el daño que causan al usuario es el mismo
que cualquier phishing basado en el engaño mediante mensajes y páginas
falsas. Con el agravante de que el troyano puede permanecer en el
sistema del usuario semanas o meses capturando y enviando a los
phishers todas las credenciales de acceso utilizadas durante ese
tiempo, sin que el usuario pueda percatarse a simple vista de lo que
ocurre.

La realidad es que, en la actualidad, el número de incidentes
relacionados con la suplantación de identidades en los servicios
de banca electrónica tiene su principal origen en este tipo de
troyanos, más que en el phishing más tradicional y reconocido basado
en el engaño mediante mensajes y páginas webs que imitan las de la
entidad legítima.

En los últimos casos de phishing analizados por Hispasec, y en los
que hemos logrado el acceso a los datos obtenidos por los phishers,
se comprueba que cuantitativa y cualitativamente los troyanos son
más efectivos para los intereses de los atacantes, en comparación
con los datos obtenidos mediante la imitación de los formularios
de acceso a banca electrónica.

Por su naturaleza, los troyanos plantean más problemas de prevención
a las propias entidades bancarias. Ya que a diferencia del phishing
tradicional no es un ataque contado en el tiempo, con un principio
(cuando se detecta el envío del spam con el mensaje falso) y un fin
(cuando se logra desactivar la página fraudulenta), y por tanto no
pueden establecer las medidas de vigilancia especial que ponen en
marcha en estos casos.

Además los troyanos bancarios pueden tener un campo de acción muy
amplio. Mientras que un phishing tradicional se diseña contra una
entidad en concreto, el troyano permite diseñarlo para que actúe
capturando las credenciales de un gran número de entidades. De hecho,
a día de hoy se están capturando credenciales de usuarios cuyas
entidades no han sufrido ataques de phishing tradicional.

Dada las ventajas que los troyanos suponen para los phishers, no es
de extrañar que la corriente actual de este tipo de ataques combine
ambas técnicas, de modo que los ataques de phishing que simulan las
páginas webs de servicio de banca electrónica incluyen además la
instalación de troyanos para capturar las credenciales de acceso.

Un ejemplo de como funcionan este tipo de ataques combinados lo
podemos encontrar en el último caso de phishing contra clientes del
BBVA.

Desde el punto de vista del usuario, recibe en su buzón de correo
electrónico un mensaje supuestamente emitido por el BBVA, con
dirección de remite bbva-supporte.es y la imagen corporativa de
la identidad (logotipos, etc.), donde se le informa que debe
rellenar un formulario para validar su identidad o de lo contrario
su cuenta será bloqueada.

El formulario incluye el número de usuario, clave de acceso, clave
de operaciones, PIN de la tarjeta, código de verificación de la
tarjeta y documento de identidad.

Si el usuario, víctima del engaño, introduce sus datos en el
formulario, éstos serán enviados a los phishers, que desde ese
momento podrán suplantar la identidad del usuario para acceder y
realizar operaciones a través de la banca electrónica en su nombre.

Cuando el usuario pulsa el botón de aceptar del formulario, además
de proceder al envío de los datos introducidos (aunque éstos sean
falsos), se le redirige a una página web que incluye diversos
scripts que tienen como fin explotar algunas vulnerabilidades de
Internet Explorer para instalar un troyano.

Si el usuario no cuenta con una versión actualizada de Internet
Explorer o una solución antivirus que detecte los scripts maliciosos
o el troyano, el ejecutable preparado por los phishers se descargará
e instalará en su sistema. A partir de entonces todas las
credenciales que utilice en sus accesos, bien al BBVA u a otros
servicios por Internet, pueden ser capturadas y enviadas a los
phishers.

En el momento de escribir estas líneas el phishing del BBVA sigue
activo, por lo que evitaremos dar detalles de las direcciones para
evitar cualquier infección accidental.

La respuesta de las soluciones antivirus a las diferentes páginas
web, exploits y ejecutable utilizados por los phishers en este caso
concreto ha sido irregular, como suele ocurrir en este tipo de
ataques. No obstante las casas antivirus participantes en VirusTotal
han obtenido las muestras utilizadas en el phishing que no han
detectado y es previsible que en un corto plazo de tiempo ofrezcan
protección contra las mismas.

Es por ello que los usuarios, además de contar con la necesaria
solución antivirus, deben prestar especial atención en mantener
su sistema actualizado, y de forma más especial si cabe el
navegador. Además, y dada la corriente de incluir exploits y
troyanos en las páginas de phishing, se recomienda a los usuarios
que eliminen de forma inmediata cualquier mensaje que sospechen
sea un phishing, evitando visitar las páginas preparadas por los
phishers.

En cuanto a las entidades, que están trabajando diligentemente en la
formación y protección de sus clientes, es recomendable que amplíen
su visión de la problemática del phishing y actualicen sus
conocimientos sobre las técnicas empleadas por los phishers, ya que
existen áreas de oportunidad en la prevención proactiva y mitigación
tanto del phishing tradicional como de la generación de troyanos
especializados en capturar credenciales.

Bernardo Quintero
bernardo@hispasec.com



martes, 26 de julio de 2005

Múltiples vulnerabilidades en Clam Antivirus

Los desarrolladores Neel Mehta y Alex Wheeler han descubierto algunas
vulnerabilidades en Clam AntiVirus, que podrían ser explotadas por
usuarios maliciosos con el fin de ejecutar denegaciones de servicio en
los sistemas afectados, o bien, comprometer las máquinas donde corra el
sistema antivirus. Las versiones afectadas son la 0.86.1 y anteriores.

Clam AntiVirus es un juego de herramientas antivirus de alta calidad
para UNIX, liberado según licencia GPL, que ofrece integración perfecta
con servidores de correo a través de un demonio multihilo muy flexible
y escalable.

Las vulnerabilidades descubiertas son tres, siendo todas altamente
críticas:

1) Un desbordamiento en "libclamav/chmunpack.c" podría ser explotado
para causar desbordamientos de búfer a través de ficheros CHM
especialmente preparados, con entradas truncadas con longitud de nombre
de fichero de -1.

2) Dos errores en "libclamav/tnef.c" a la hora de procesar ficheros TNEF
podrían ser explotados para causar desbordamientos de búfer a través de
ficheros TNEF especialmente preparados, con valor de longitud -1 en la
cabecera.

3) Un error en "libclamav/fsg.c" a la hora de procesar ficheros
comprimidos FSG podría causar desbordamientos de búfer.

La solución a estos problemas pasa por actualizar a la versión 0.86.2,
recomendación que transmitimos a los administradores de servidores UNIX
con carácter urgente, dada la criticidad de los fallos descubiertos.


Sergio Hernando
shernando@hispasec.com


Más información:

ClamAV
http://www.clamav.net

Anuncio original de la vulnerabilidad
http://www.rem0te.com/public/images/clamav.pdf

Descargar ClamAV 0.86.2
http://sourceforge.net/project/showfiles.php?group_id=86638&release_id=344514

lunes, 25 de julio de 2005

Error en tratamiento de permisos de archivos en Kate y KWrite de KDE

Se ha descubierto una vulnerabilidad en Kate y KWrite (dos utilidades
contenidas en KDE) que pueden ser explotadas por usuarios locales para
acceder a información sensible.

KDE (K Desktop Environment) proporciona un entorno de escritorio
gráfico en los sistemas operativos Unix. Se trata de un proyecto
de código abierto, muy maduro y de gran calidad.

El problema de seguridad se debe a que los archivos de backup son
creados con permisos por defecto incluso cuando los archivos
originales tienen permisos más restrictivos. Esto podría ser explotado
por usuarios para acceder a información que normalmente tendrían
restringida.

El problema ha sido confirmado en todas las versiones de Kate y Kwrite
incluidas en las versiones de la 3.2.x a la 3.4.0 de KDE.

Se recomienda aplicar los parches disponibles en la siguiente
dirección:
ftp://ftp.kde.org/pub/kde/security_patches

KDE 3.2.x:
post-3.2.3-kdelibs-kate.diff (56667c05f545e8c9711c35bf78497bfd)

Para KDE 3.3.x:
post-3.3.2-kdelibs-kate.diff (138c3252883171d55ec24ed0318950fd)

Para KDE 3.4.0:
post-3.4.0-kdelibs-kate.diff (50f7bc6d8cf4b7aaa65e4e8062fc46c9)


Julio Canto
jcanto@hispasec.com


Más información:

KDE Security Advisory: Kate backup file permission leak
http://www.kde.org/info/security/advisory-20050718-1.txt

domingo, 24 de julio de 2005

Escalada de directorios en gzip para Sun Solaris 8, 9 y 10

Sun ha anunciado que sus Solaris 8, 9 y 10 se ven afectados por una
vulnerabilidad que puede ser explotada por usuarios maliciosos para
que la extracción de archivos pueda realizarse sobre directorios
arbitrarios de las máquinas afectadas.

El problema se debe a un error de validación de entradas a la hora de
extraer el contenido de archivos con el parámetro '-N' con gunzip.
Esto hace posible que el archivo sea extraído en una localización
arbitraria fuera del directorio destino utilizando secuencias de
escalada de directorio.

También se ha detectado una condición de carrera cuando se activan
permisos de archivos.

Sun recomienda activar el sticky bit en los directorios compartidos y
no usar los parámetros '-N' o '--name' cuando se descomprimen
archivos. La compañía esta actualmente trabajando en parches de
actualización que corrijan el problema de forma más consistente.


Julio Canto
jcanto@hispasec.com


Más información:

Security Vulnerabilities in the gzip(1) Command
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101816-1

sábado, 23 de julio de 2005

Vulnerabilidad de inserción de scripts en Novell GroupWise 6.5

Se ha descubierto una vulnerabilidad en Novell GroupWise 6.5 que
puede ser explotada por usuarios maliciosos para realizar ataques
de inserción de scripts.

Novell GroupWise es un software de colaboración con funcionalidades
para uso de correo electrónico, calendarios, mensajería instantánea,
coordinación de tareas, control de documentación, etc.

La vulnerabilidad en sí se debe a la falta de robustez en el proceso
de filtrado de entradas usadas por el componente WebAccess. Esta
circunstancia puede ser explotada por atacantes para construir correos
electrónicos maliciosos que ejecutarían código HTML y scripts
arbitrarios en el navegador de la víctima al ser visualizados (en
el contexto de seguridad del sitio afectado).

La vulnerabilidad ha sido corregida en cualquier distribuición de
GroupWise 6.5 con fecha posterior al 11 de julio de este año, y
en GroupWise 6.5 WebAccess SP5 Field Test File revision D. Esta
corrección también será incluida en el Service Pack 5 del producto.


Julio Canto
jcanto@hispasec.com


Más información:

FTF: GroupWise 6.5.5 WebAccess Rev D (NW/Win)
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2971890.htm

Cross-site scripting vulnerability in Webaccess
http://support.novell.com/cgi-bin/search/searchtid.cgi?/10098301.htm

viernes, 22 de julio de 2005

Asociación automática a redes no seguras con Apple AirPort

Se ha descubierto un problema de seguridad en Apple AirPort que puede
provocar que un usuario se asocie a una red no segura sin recibir
aviso sobre tal hecho.

El problema de seguridad se debe a que la tarjeta original AirPort se
asocia automáticamente a una red no segura cuando no lo está a una
conocida o de confianza.

Esta vulnerabilidad afecta a las tarjetas AirPort originales, no a las
AirPort Express, que son las que actualmente se montan en los
sistemas.

Para los afectados, se recomienda actualizar a la versión 4.2 de
Airport, disponible la dirección de descargas de la compañía:
http://www.apple.com/support/downloads/

La actualización está disponible para las versiones de la 10.3.3 a la
10.3.9 y la 10.4.2 de Mac OS X.


Julio Canto
jcanto@hispasec.com


Más información:

About the security content of the AirPort 4.2 update
http://docs.info.apple.com/article.html?artnum=301988

jueves, 21 de julio de 2005

Múltiples vulnerabilidades en Oracle Reports y Forms

Se ha anunciado la existencia de múltiples vulnerabilidades en Oracle
Reports y Forms que pueden ser explotadas por usuarios maliciosos para
realizar escaladas de privilegios, acceder a información sensible,
sobreescribir archivos arbitrarios, perpetrar ataques cross site
scripting o incluso, potencialmente, comprometer un sistema afectado.

La primera de la lista se debe a la falta de un filtrado robusto de
diversos parametros que posteriormente son enviados al usuario. Un
atacante puede aprovechar esta circunstancia para realizar ataques de
tipo cross site scripting (ejecutando código HTML y script arbitrario
en el navegador de la víctima con el contexto de seguridad del sitio
afectado).

Esta vulnerabilidad ha sido confirmada en Oracle Reports 9.0.2 con
patchset 2, aunque no se descarta que pueda afectar a otras versiones.

Otra vulnerabilidad descubierta permite leer una pequeña parte del
principio de cualquier archivo XML en un sistema afectado pasando la
ruta del archivo a otro parámetro, en este caso 'customize'.

La siguiente en la lista de vulnerabilidades permite a un atacante
leer una pequeña parte del principio de cualquier fichero en un
sistema vulnerable poniendo su ruta en otro parámetro, en este caso
'desformat'.

Otra vulnerabilidad descubierta permitiría a un atacante sobreescribir
archivos arbitrarios pasando una cadena especialmente construida al
parámetro 'desname'. En plataformas Windows se puede utilizar esta
vulnerabilidad para sobreescribir cualquier archivo en el sistema,
mientras que en Linux se podrán sobreescribir archivos que pertenezcan
al usuario Oracle Application Server.

Esta vulnerabilidad en concreto ha sido confirmada en Oracle Reports
versiones 6.0, 6i, 9i y 10g.

Se ha descubierto también que es posible ejecutar archivos de informes
(*.rep y *.rdf) arbitrarios especificando la ruta del parámetro
'report'. Esto puede ser explotado por un atacante local para ejecutar
comandos arbitrarios con los privilegios del usuario 'Oracle' o
SYSTEM. Para conseguir esto, sólo tiene que colocar un archivo de
informe malicioso en un directorio del servidor.

Esta vulnerabilidad ha sido confirmada en Oracle Reports versiones
6.0, 6i, 9i y 10g.

Finalmente, se ha descubierto que es posible ejecutar archivos de
formulario (*.fms) arbitrarios especificando su ruta en los parámetros
'form' o 'module'. Al igual que la anterior vulnerabilidad, esta
permitiría ejecutar comandos con los permisos del usuario 'Oracle' o
SYSTEM por parte de atacantes locales que colocasen archivos
maliciosos de este tipo en el directorio del servidor.

Esta última vulnerabilidad se ha confirmado en las versiones 4.5, 5.0,
6.0, 6i, 9i y 10g de Oracle Forms.

A la espera de parches de actualización por parte de Oracle, se
recomienda utilizar algún tipo de mecanismo de filtrado intermedio (un
proxy o un firewall con capacidad de filtrado de URLs) para descartar
peticiones maliciosas. También se recomienda dar acceso a los sistemas
afectados sólo a usuarios de confianza, además de restringir la
capacidad de subida de archivos.

Hay que señalar que todos los problemas anunciados fueron comunicados a
Oracle hace más de 650 días, sin que en el transcurso de casi dos años
se haya publicado ningún parche ni actualización de producto que corrija
ninguna de las vulnerabilidades.

Hay que señalar que todos los problemas anunciados fueron comunicados
a Oracle hace más de 650 días. Durante el transcurso de casi dos años
no se ha publicado ningún parche ni actualización de producto que corrija
ninguna de las vulnerabilidades, motivo por el cual Alexander Kornbrust
_descubridor de los problemas_ ha decidido publicar todos los detalles
sobre de ellos.


Julio Canto
jcanto@hispasec.com


Más información:

Various Cross-Site-Scripting Vulnerabilities in Oracle Report
http://www.red-database-security.com/advisory/oracle_reports_various_css.html

Read parts of any XML-file on the application server via Oracle Report
http://www.red-database-security.com/advisory/oracle_reports_read_any_xml_file.html

Read parts of any file on the application server via Oracle Report
http://www.red-database-security.com/advisory/oracle_reports_read_any_file.html

Overwrite any file on the application server via Oracle Report
http://www.red-database-security.com/advisory/oracle_reports_overwrite_any_file.html

Run any OS Command via uploaded Oracle Report from any directory
http://www.red-database-security.com/advisory/oracle_reports_run_any_os_command.html

Run any OS Command via uploaded Oracle Forms from any directory
http://www.red-database-security.com/advisory/oracle_forms_run_any_os_command.html

miércoles, 20 de julio de 2005

Disponibles Mozilla Firefox y Thunderbird 1.0.6

Apenas han pasado unos pocos días desde el anuncio de la versión 1.0.5
de Mozilla Firefox, y ya tenemos disponible una nueva versión, numerada
como 1.0.6. De un modo paralelo, se ha liberado la versión 1.0.6 de
Mozilla Thunderbird.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Firefox es el
navegador web del proyecto Mozilla, un producto de creciente popularidad
creciente, con más de 70 millones de descargas. Thunderbird es el
cliente de correo y RSS del proyecto.

Las nuevas versiones han sido catalogadas por los desarrolladores de los
proyectos como de estabilización, y nacen para corregir errores en el
interfaz de aplicación de los respectivos motores, los cuales originaban
que algunas extensiones no funcionasen correctamente con las versiones
anteriores.

Hispasec recomienda a los usuarios de las soluciones Mozilla citadas que
actualicen a las nuevas versiones, y que tengan especial cuidado al
actualizar Thunderbird, ya que se han documentado colapsos del sistema
en actualizaciones efectuadas a través del instalador en las mismas
carpetas donde se hallaban las versiones anteriores. En este caso, es
recomendable desinstalar y reinstalar, para actualizar con la máxima
limpieza.


Sergio Hernando
shernando@hispasec.com


Más información:

Mozilla Firefox
http://www.mozilla.org/products/firefox/

Mozilla Firefox 1.0.6 Release Notes
http://www.mozilla.org/products/firefox/releases/1.0.6.html

Mozilla Thunderbird
http://www.mozilla.org/products/thunderbird/

Mozilla Thunderbird 1.0.6 Release Notes
http://www.mozilla.org/products/thunderbird/releases/1.0.6-release-notes.html

martes, 19 de julio de 2005

Grave vulnerabilidad en Greasemonkey

Se ha anunciado en la lista de distribución de GreaseMonkey una grave
vulnerabilidad mediante la cual un atacante remoto podría literalmente
obtener acceso a cualquier fichero del sistema local comprometido. El
problema es independiente de la plataforma empleada y por tanto,
la explotación es posible en cualquier sistema operativo que opere con
Greasemonkey.

Greasemonkey es una extensión para Mozilla Firefox que permite añadir
porciones de scripts de usuario DHTML a cualquier página para cambiar su
comportamiento. Mediante esta extensión, es habitual encontrar scripts
desarrollados por la comunidad de usuarios, con el fin de mejorar la
usabilidad de los sitios web que frecuentamos.

A través de una vulnerabilidad todavía sin documentar claramente, sería
posible explotar el sistema comprometido a través de peticiones del tipo
GM_xmlhttpRequest y acceder a cualquier archivo legible del sistema
comprometido. El problema afecta a todas las versiones de Greasemonkey
inferiores a 0.3.5.

Por citar un ejemplo, el siguiente exploit consigue acceder al fichero
boot.ini, presente en cualquier sistema moderno Microsoft Windows:

http://diveintogreasemonkey.org/experiments/localfile-leak.html

Para añadir más gravedad al problema, ni siquiera existe necesidad de
saber el nombre del archivo al cual queremos acceder. La vulnerabilidad
permite obtener vía GET listados de directorios a través de URLs del tipo
"file:///c:/" , lo que nos devolvería una estructura de directorio
totalmente accesible.

Adicionalmente, GM_xmlhttpRequest permite el uso de GET y de POST, con
lo que la información obtenida podría ser enviada a cualquier lugar sin
nuestro conocimiento.

Hispasec recomienda, de modo urgente e inmediato, en consonancia con las
directrices del equipo de mozdev.org, la desinstalación o en su defecto,
la desactivación de Greasemonkey hasta la publicación de una versión
de la extensión que corrija el problema. Opcionalmente, se puede
instalar la versión 0.3.5, que, como medida cautelar, neutraliza la
presencia de APIs en Greasemonkey, y por tanto, la posibilidad de
explotación del bug descubierto.


Sergio Hernando
shernando@hispasec.com


Más información:

Greasemonkey for secure data over insecure networks / sites
http://mozdev.org/pipermail/greasemonkey/2005-July/004022.html

Mandatory Greasemonkey Update
http://greaseblog.blogspot.com/2005/07/mandatory-greasemonkey-update.html

Greasemonkey 0.3.5
http://atrus.org/hosted/greasemonkey-0.3.5.xpi

Greasemonkey. Página del proyecto
http://greasemonkey.mozdev.org/

lunes, 18 de julio de 2005

Vulnerabilidad por ataque symlink en Skype 1.1.0.20 para Linux

Se ha descubierto una vulnerabilidad en la versión 1.1.0.20 de Skype
para Linux que puede ser explotada por usuarios locales maliciosos
para realizar escaladas de privilegios.

Skype es una popular aplicación para hablar a través de Internet con
usuarios que posean el mismo software. Creado por los padres de Kazaa,
está disponible para múltiples plataformas (Windows, Windows Pocket
PC, diversas distribuciones Linux y Mac OS X).

La vulnerabilidad se debe a que el archivo temporal
'/tmp/skype_profile.jpg' se crea de forma insegura, lo que puede
ser explotado por usuarios locales mediante ataques tipo enlace
simbólico (symlink) para crear o sobreescribir archivos arbitrarios
con los privilegios del usuario que esté ejecutando Skype.

Si bien el problema ha sido confirmado en la versión anteriormente
nombrada (última disponible y publicada el pasado 5 de julio), no se
descarta que versiones anteriores a la misma estén afectadas
igualmente.

A la espera de la publicación de un parche oficial que solucione el
problema, se recomienda restringir el acceso a los sistemas para que
sean utilizados solamente por usuarios de confianza.


Julio Canto
jcanto@hispasec.com


Más información:

Skype for Linux - Insecure temporary file creation
http://www.zone-h.org/advisories

domingo, 17 de julio de 2005

Vulnerabilidad en Windows Terminal Services y Remote Desktop

Microsoft ha publicado una aviso de seguridad para advertir de una
vulnerabilidad en Remote Desktop Protocol que se ha demostrado puede
ser explotada para causar un ataque por denegación de servicio (DoS).

El protocolo RDP, Remote Desktop Protocol, permite a los usuarios de
Windows conectarse de forma remota a los sistemas creando sesiones
virtuales de sus escritorios. El protocolo es utilizado tanto en la
implementación de Terminal Services en Windows 2000 y Windows 2003
como en Remote Desktop en Windows XP.

Según la investigación de Microsoft, el envío de peticiones RDP
especialmente malformadas puede provocar una denegación de servicios
y el reinicio del sistema, si bien concluyen que la vulnerabilidad
no puede ser utilizada para ejecutar código arbitrario de forma
remota y, por tanto, no puede comprometer el control del sistema.

La vulnerabilidad puede afectar, dependiendo de si posee o no activado
el servicio afectado, a los siguientes sistemas:

Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 for Itanium-based Systems
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 con SP1 for Itanium-based Systems
Microsoft Windows Server 2003 x64 Edition

Entre las acciones recomendadas para para prevenir el ataque
encontramos: bloquear el puerto TCP/3389 en el firewall, desactivar
Terminal Services o Remote Desktop si no son necesarios, o utilizar
IPsec o VPN para las conexiones a estos servicios.

Microsoft ha publicado este aviso de seguridad para informar a sus
usuarios del impacto de la vulnerabilidad y las medidas recomendadas
para mitigarlo, a la espera de publicar el correspondiente parche
en el que ya están trabajando, ya que los detalles para explotar la
vulnerabilidad fueron desvelados en Internet.

De hecho estos últimos días se ha podido comprobar un aumento de los
barridos en Internet buscando el puerto TCP/3389, puerto por defecto
del servicio afectado, lo que podría corresponder a potenciales
atacantes buscando sistemas vulnerables.

En Hispasec hemos criticado alguna que otra vez la política de
Microsoft de publicar los parches un día prefijado, concretamente el
segundo martes de cada mes, ya que según nuestra opinión los parches
deberían ser publicados cuando estén preparados y no retrasarlos de
forma artificial.

Si bien en esta ocasión tenemos que felicitar a Microsoft por avisos
como éste, donde adelanta a los usuarios información sobre
vulnerabilidades y medidas de mitigación aun sin disponer del parche.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Vulnerability in Remote Desktop Protocol (RDP) Could Lead to Denial of Service
http://www.microsoft.com/technet/security/advisory/904797.mspx

sábado, 16 de julio de 2005

Múltiples vulnerabilidades en diversos productos Oracle

Oracle ha publicado su paquete de actualización crítica trimestral para
cubrir múltiples problemas de seguridad. En esta ocasión se ha anunciado
el lanzamiento de diversas actualizaciones de varios de sus productos
para corregir hasta 47 vulnerabilidades descubiertas. Algunas tienen un
impacto desconocido en el sistema, mientras otras pueden ser explotadas
para acceder a información sensible y otras para manipulación no
autorizada de datos.

Los productos afectados por alguna de las vulnerabilidades
descubiertas son las siguientes:
* Oracle Database 10g Release 1, versiones 10.1.0.2, 10.1.0.3,
10.1.0.4
* Oracle9i Database Server Release 2, versiones 9.2.0.5, 9.2.0.6
* Oracle9i Database Server Release 1, versiones 9.0.1.4, 9.0.1.5,
9.0.1.5 FIPS
* Oracle8i Database Server Release 3, versión 8.1.7.4
* Oracle8 Database Release 8.0.6, versión 8.0.6.3
* Oracle Enterprise Manager Grid Control 10g, versiones 10.1.0.2,
10.1.0.3
* Oracle Enterprise Manager 10g Database Control, versiones 10.1.0.2,
10.1.0.3, 10.1.0.4
* Oracle Enterprise Manager Application Server Control, versiones
9.0.4.0, 9.0.4.1
* Oracle Application Server 10g (9.0.4), versiones 9.0.4.0, 9.0.4.1
* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, versión 1.0.2.2
* Oracle Collaboration Suite Release 2, versiones 9.0.4.1, 9.0.4.2
* Oracle E-Business Suite and Applications Release 11i, versiones
11.5.1 through 11.5.10
* Oracle E-Business Suite and Applications Release 11.0
* Oracle Workflow, versiones de la 11.5.1 a la 11.5.9.5
* Oracle Forms and Reports, versiones 4.5.10.22, 6.0.8.25
* Oracle JInitiator, versiones 1.1.8, 1.3.1
* Oracle Developer Suite, versiones 9.0.2.3, 9.0.4, 9.0.4.1, 9.0.5,
10.1.2
* Oracle Express Server, versión 6.3.4.0

La compañía ha dado detalles sólo sobre algunas de ellas:
* JDeveloper arranca sqlplus usando una clave en texto plano como
parámetro.
* Las claves de bases de datos son guardadas en texto plano en
JDeveloper (algunos archivos de ejemplo serían IDEConnections.xml,
XSQLConfig.xml y settings.xml.
* Los archivos temporales creados por Oracle Forms Builder en el
directorio 'temp' local, contienen credenciales de acceso en texto
plano para acceder a la base de datos sobre la que se está trabajando
en Forms Builder. Estos archivos no son borrados cuando el programa
termina.
* Oracle Forms crea un archivo temporal en el directorio '/tmp' del
servidor de aplicaciones si el número de registros pedidos de la base
de datos excede al número especificado en 'buffered records'. Este
archivo temporal es accesible por todos los usuarios y contiene copias
no cifradas de registros de la base de datos.
* Se han descubierto diversas vulnerabilidades de inyección SQL y de
manipulación de parámetros (sin especificar por el fabricante) en
Oracle E-Business Suite.

Los parches aplicables para cada producto implicado en particular
están detallados en el informe oficial, disponible en la siguiente
dirección:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=311088.1


Julio Canto
jcanto@hispasec.com


Más información:

Oracle Critical Patch Update for July 2005
http://www.oracle.com/technology/deploy/security/pdf/cpujul2005.pdf

viernes, 15 de julio de 2005

Actualización de seguridad de Mozilla Thunderbird

La fundación Mozilla ha publicado la versión 1.0.5 de su cliente de
correo electrónico/RSS "Thunderbird", destinada a solucionar todos
los problemas de seguridad conocidos hasta la fecha.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Firefox es el
componente navegador web del proyecto Mozilla, un producto de calidad
y popularidad creciente, con más de 50 millones de descargas.
Thunderbird, por su parte, es exclusivamente el componente de correo del
proyecto Mozilla, muy prometedor y con algunas características muy
novedosas e innovadoras.

Apenas unas horas después de que la fundación Mozilla publicase la
versión 1.0.5 del navegador Firefox, hizo pública también la versión
1.0.5 del cliente de correo electrónico Thunderbird, poniéndolo así al
día en cuestiones de estabilidad y problemas de seguridad.

Esta actualización soluciona nueve problemas de seguridad, la mayoría de
ellos compartidos con Firefox. Se pone fin así -de golpe- al retraso de
las actualizaciones de seguridad, entre Thunderbird y su hermano
Firefox, cuyos mismos problemas de seguridad se han ido solucionando
mediante la publicación de nuevas versiones en los últimos meses.

Hispasec recomienda a los usuarios de Thunderbird que actualicen su
versión instalada.


Jesús Cea Avión
jcea@hispasec.com


Más información:

Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html#Thunderbird

Thunderbird
http://www.mozilla.org/products/thunderbird/

Mozilla
http://www.mozilla.org/

jueves, 14 de julio de 2005

Publicada versión 1.0.5 de Mozilla Firefox

El día 12 del presente mes se ha publicado una nueva versión del
navegador Mozilla Firefox (concretamente la 1.0.5).

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Firefox es el
navegador web del proyecto Mozilla, un producto de calidad y popularidad
creciente, con más de 70 millones de descargas.

Esta nueva versión parchea diversas vulnerabilidades descubiertas, entre
las que se encuentran la ejecución de código mediante objetos de
funciones compartidas, falsificación de nodos XHTML, falsificación del
origen del prompt JavaScript, inyección de scripts desde el panel de la
barra lateral, etc.

Se recomienda actualizar a la mayor brevedad posible. En el momento de
la redacción de esta noticia, la versión 1.0.5 sólo está disponible en
inglés, y en la siguiente URL:
http://download.mozilla.org/?product=firefox-1.0.5&os=win&lang=en-US


Julio Canto
jcanto@hispasec.com


Más información:

Mozilla Firefox 1.0.5 Release Notes
http://www.mozilla.org/products/firefox/releases/1.0.5.html

Fixed in Firefox 1.0.5
http://www.mozilla.org/projects/security/known-vulnerabilities.html#Firefox

miércoles, 13 de julio de 2005

Vulnerabilidades en MIT Kerberos v5

El MIT ha publicado sendos parches de actualización para la v5 de su
implementación de Kerberos debido a que se han detectado en ella
diversas vulnerabilidades que pueden ser explotadas por atacantes
remotos para provocar denegaciones de servicio o incluso comprometer
sistemas afectados.

Kerberos es un protocolo de autenticación de red diseñado para ofrecer
un sistema de autenticación fuerte para aplicaciones cliente/servidor
utilizando criptografía de clave secreta. El Instituto Tecnológico de
Massachusetts (MIT) ofrece una versión gratuita de la implementación de
este protocolo.

La función krb5_recvauth() puede intentar liberar memoria previamente
liberada bajo ciertas circunstancias. Este problema puede ser explotado
por usuarios maliciosos no autenticados para ejecutar código arbitrario
en la máquina afectada.

La implementación del KDC (Key Distribution Center) del MIT krb5 puede
corromper el heap al intentar liberar memoria en direcciones aleatorias
cuando recibe ciertas peticiones vía conexión TCP. Esta liberación
incontrolada de memoria puede terminar con la caída del KDC y con la
consiguiente denegación de servicio. Una petición del mismo tipo,
recibida por el KDC ya sea mediante TCP o UDP, puede provocar un
desbordamiento de búfer en el heap. Un usuario malicioso no autenticado
puede utilizar estas dos vulnerabilidades para ejecutar código
arbitrario en el host KDC.

Las direcciones para descargar los parches que corrigen estas
vulnerabilidades son las siguientes:
http://web.mit.edu/kerberos/advisories/2005-002-patch_1.4.1.txt
http://web.mit.edu/kerberos/advisories/2005-003-patch_1.4.1.txt

Diversas distribuciones de Linux (Fedora, Gentoo, Red Hat, etc.) también
están publicando paquetes actualizados.


Julio Canto
jcanto@hispasec.com


Más información:

MIT krb5 Security Advisory 2005-002
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2005-002-kdc.txt

MIT krb5 Security Advisory 2005-003
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2005-003-recvauth.txt

martes, 12 de julio de 2005

Tres nuevos boletines de seguridad de Microsoft en julio

Como cada segundo martes de mes, Microsoft ha publicado sus ya habituales
boletines de seguridad. Este mes se han anunciado tres nuevos boletines
(MS05-035 al MS05-037) y la revisión de un boletín (MS05-033). Según la
propia clasificación de Microsoft los nuevos boletines presentan un nivel
de gravedad "crítico".

* MS05-035: Destinado a solucionar una vulnerabilidad en Microsoft Word
que podría permitir la ejecución remota de código. Afecta a Office 2000,
Office XP y Microsoft Works Suite 2001, 2002, 2003 y 2004.

* MS05-036: Soluciona una vulnerabilidad en Microsoft Color Management
Module que podría permitir la ejecución remota de código. Afecta a
Windows 2000, Windows XP, Windows Server 2003, Windows 98 y Windows ME.

* MS05-037: Corrige una vulnerabilidad en JView Profiler que podría
permitir la ejecución remota de código. Afecta a Windows 2000, Windows
XP, Windows Server 2003, Windows 98 y Windows ME.

El boletín revisado es el MS05-033, publicado el pasado mes presenta una
actualización destinada a solucionar una vulnerabilidad de divulgación de
información por fallo en el cliente Telnet de Microsoft. La revisión del
boletín es con objeto de informar de la disponibilidad de una actualización
de seguridad para Services for UNIX 2.0 y Services for UNIX 2.1. Está
calificado como "moderado". Afecta a Windows XP, Windows Server 2003 y
Windows Services for UNIX (2.0, 2.1, 2.2, 3.0 y 3.5) bajo Windows 2000.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS05-035
Vulnerability in Microsoft Word Could Allow Remote Code Execution (903672)
http://www.microsoft.com/technet/security/Bulletin/MS05-035.mspx

Microsoft Security Bulletin MS05-036
Vulnerability in Microsoft Color Management Module Could Allow Remote Code Execution (901214)
http://www.microsoft.com/technet/security/Bulletin/MS05-036.mspx

Microsoft Security Bulletin MS05-037
Vulnerability in JView Profiler Could Allow Remote Code Execution (903235)
http://www.microsoft.com/technet/security/Bulletin/MS05-037.mspx

Microsoft Security Bulletin MS05-033
Vulnerability in Telnet Client Could Allow Information Disclosure (896428)
http://www.microsoft.com/technet/security/Bulletin/MS05-033.mspx

lunes, 11 de julio de 2005

Exploits a partir de ingeniería inversa de parches

Por todos es conocida la utilidad de la ingeniería inversa. En este
caso, presentamos una aplicación de la citada técnica a la hora de
analizar parches de actualización, con fines de investigación.

Halvar Flake, especialista en ingeniería inversa y responsable de la
consultora Sabre Security, decidió investigar sobre el parche crítico
publicado para Microsoft Internet Explorer, y se centró en la
vulnerabilidad en la gestión de documentos gráficos portables PNG.
Utilizando herramientas propias, Flake localizó, comparando una versión
parcheada con una sin parchear, los cambios específicos que supuso el
parche MS05-025 en menos de 20 minutos, ante una audiencia atónita.

El software empleado, que el autor ha denominado BinDiff, localiza
cambios entre binarios. Con esta demostración, Flake documentó cómo los
parches rápidos y teóricamente inocuos pueden ser fuente de obtención de
código vulnerable, una vez aplicada una técnica de ingeniería inversa
sobre los mismos.

En un documento aparecido el pasado mes de Junio, los mismos
investigadores analizaron mediante ingeniería inversa un fallo en
SSL que Microsoft había parcheado. Una vez estudiadas las versiones
con y sin parcheo, fue posible deducir un exploit en menos de 10
horas. En el mismo documento, se analiza igualmente la deducción de
una explotación para la vulnerabilidad del servidor ISA (Internet
Security and Acceleration), descubriéndose que el parche corregía la
vulnerabilidad sólo en algunas partes del sistema, habiéndose olvidado
los desarrolladores de corregir el código erróneo en ciertas partes
del mismo, lo que permitía generar código de explotación para una
vulnerabilidad teóricamente corregida.

La técnica de comparación de binarios es muy útil para otros propósitos:
por ejemplo, el análisis de la posible violación de propiedad
intelectual en programas, el análisis de cumplimiento de licencias, el
análisis de cambios en la morfología de virus, y tal y como se ha visto,
deducir problemas de seguridad a partir del código parcheado.

Parece obvio que el principal problema de la deducción de vulnerabilidades
por ingeniería inversa está en el hecho de que algún usuario malicioso
puede desarrollar un exploit una vez se ha publicado el parche, y
distribuirlo con intenciones maliciosas antes de que la gran parte
de los usuarios de dicho sistema se hayan actualizado. Algunas firmas,
como Oracle, dificultan el proceso de ingeniería inversa de parches
suministrando las actualizaciones sólo a los clientes, reduciendo por
tanto el público objetivo que recibirá los cambios. La jefa de seguridad
de Oracle, Mary Ann Davidson, considera que la técnica de ingeniería
inversa de parches no es accesible en masa todavía, y considera que
esta medida de distribución controlada les ayuda a paliar el problema.

Microsoft, y otras muchas empresas, reconocen que el tiempo de deducción
de vulnerabilidades por ingeniería inversa de parches está decreciendo,
y por tanto, están estudiando medidas para prevenir los efectos que las
vulnerabilidades detectadas puedan suponer para los usuarios finales.
Las empresas afectas normalmente argumentan que el análisis de parches
por ingeniería inversa no es fácil, y que la obtención de exploits una
vez analizado los cambios es una tarea compleja, lo que reduce el número
de sujetos capaces de realizar explotaciones a posteriori de fallos
corregidos.

De esta información podemos extraer dos conclusiones importantes: la
primera es que la reducción del tiempo entre la publicación de parches y
la aparición de exploits bien podría ser causa del avance en la rapidez
de obtención de información maliciosa por ingeniería inversa; y por otro
lado, parece más que obvio que el modelo de código abierto no incurre en
este problema, ya que la apertura del mismo hace accesible toda la
información a todos los estamentos, y esto revierte en una clara mejoría
en la gestión de vulnerabilidades.

El código cerrado tiene, en estos casos, un enemigo directo, y ése no es
otro que su propio oscurantismo.


Sergio Hernando
shernando@hispasec.com


Más información:

Reverse engineering patches making disclosure a moot choice?
http://www.securityfocus.com/news/11235

Comparing binaries with graph isomorphisms
http://www.bindview.com/Services/Razor/Papers/2004/comparing_binaries.cfm

Sabre Security: Publicaciones sobre comparación de binarios
http://www.sabre-security.com/resources/publications.html

domingo, 10 de julio de 2005

Microsoft AntiSpyware y el adware de Claria

Microsoft responde tras el aluvión de críticas y consultas a raíz de
que su antispyware dejara de eliminar, por defecto, el adware de
Claria.

Tal y como comentamos la pasada semana en Hispasec, a los rumores
del interés de Microsoft por adquirir a Claria, más conocida
anteriormente como Gator, se sumó a la polémica el hecho de que
su AntiSpyware, aunque lo sigue detectando, dejara de eliminar el
adware de Claria por defecto.

A efectos prácticos, cuando Microsoft AntiSpyware realiza un análisis
del sistema presenta un informe de los componentes detectados junto
a una serie de acciones recomendadas para cada uno de ellos, que
podremos ejecutar de forma global con tan sólo pinchar un botón.

Entre las acciones encontramos "Remove" para eliminarlo, "Quarantine"
para eliminarlo pero guardar una copia por si es necesario
restaurarlo, e "Ignore" que no realiza ninguna acción, no lo elimina.

La mayoría de usuarios, al no tener los suficientes conocimientos
para distinguir el grado de peligrosidad de cada componente detectado,
o de si realmente se trata de archivos necesarios para su sistema,
suele ejecutar las acciones por defecto sin modificarlas, al fin y
al cabo es la recomendación de Microsoft que se supone ha analizado
cada espécimen.

Con las últimas modificaciones en sus firmas, en las que algunos
especímenes detectados han pasado de "Remove" o "Quarantine" a
"Ignore", Microsoft AntiSpyware deja por defecto que adware y
spyware continúen instalados en los sistemas de los usuarios.

La publicación de este hecho ha propiciado que Microsoft reciba
cantidad de consultas al respecto, y finalmente ha decidido enviar
una carta abierta en la que explica sus motivos.

Básicamente, Microsoft afirma que no hay ningún tipo de trato de favor
con Claria y que actúan de igual forma con el resto de empresas. Que
Microsoft ofrece a todas las compañías de software la oportunidad de
revisar la clasificación de sus productos respecto a como deben ser
procesados por su AntiSpyware, atendiendo también a una serie de
criterios y categorías preestablecidas. Que Claria pidió una revisión
en enero y que Microsoft, tras estudiar las alegaciones de Claria,
ha estimado oportuno modificar sus firmas para que por defecto no se
eliminen sus componentes.

Recomendamos la lectura completa de la respuesta de Microsoft para
que cada cual saque sus propias conclusiones, disponible en la
siguiente dirección:

Response to questions about Claria software
http://www.microsoft.com/athome/security/spyware/software/claria_letter.mspx

Mi opinión al respecto es que la explicación de Microsoft no aclara el
fondo de la cuestión y plantea más dudas.

Si hace unos meses los técnicos del laboratorio antispyware, tras
analizar los componentes de Claria, decidieron que debía ser eliminado.
¿Qué ha cambiado ahora?

Porque recordemos que el adware de Claria sigue ralentizando el
sistema, sigue conectándose y enviado datos a los servidores de Claria
sin avisar al usuario, sigue resultando complicado desinstalarlo por
completo y deja huellas en el sistema, etc.

La respuesta de Microsoft debería haber zanjado este tema, sin embargo
ha dado una explicación genérica sin ningún detalle técnico y concreto
que permita contrastar su decisión.

Una cosa sí se puede constatar, en la que tengo que darle la razón a
Microsoft, y es que Claria no es la única empresa de adware y spyware
que ha conseguido modificar la política de su AntiSpyware. En pruebas
realizadas en el laboratorio de Hispasec estamos comprobando como la
lista de especímenes que pasa de "Remove" o "Quarantine" a "Ignore"
es mayor. Lo cual, como es evidente, me preocupa aun más desde el
punto de vista de los usuarios que ejecutan las recomendaciones por
defecto de Microsoft AntiSpyware.

En estos momentos resulta irónico que algunos especímenes de adware
y spyware tengan la recomendación de "Ignore" y otros menos dañinos
la de "Remove". Microsoft debería unificar de forma genérica sus
criterios, sean cuales sean, de lo contrario da la impresión de que
las empresas más potentes que lo soliciten pueden obtener el indulto
de su solución antispyware.

Un detalle que me llama la atención de la respuesta de Microsoft es
como en todo momento habla del "software de Claria", de "productos de
Claria", y evita denominarlo "adware" o "spyware" aunque es algo
obvio y su propio antispyware lo identifica como tal. Entiendo que
es simple estrategia desde el punto de vista de comunicación para
defender el nuevo criterio adoptado al respecto por su solución, pero
sería preocupante que fuera tomado por un intento de legitimar el
adware de Claria.

Por último creo que es importante hacer una lectura correcta de todo
lo anterior, sobre todo leído los comentarios extremistas a raíz de
la primera noticia sobre este tema. Por un lado hubo quién
(pro-Microsoft) puso en entredicho la noticia de Hispasec y afirmó
que Microsoft AntiSpyware eliminaba por defecto el adware de Claria,
evidentemente Hispasec realizó las comprobaciones oportunas antes
de afirmarlo y Microsoft con su nota lo acaba de corroborar por si
quedaban dudas. Por otro lado nos encontramos a los detractores de
Microsoft, los más recatados venían a decir que los usuarios debían
desinstalar inmediatamente Microsoft AntiSpyware de sus sistemas.

Por norma general, mi recomendación es que desconfíe de las posturas
extremistas y/o de las opiniones que siempre se inclinan del mismo
lado.

Mi lectura es que el adware es un terreno farragoso, incluso en
ocasiones es complicado delimitar que características debe tener
una aplicación para ser denominada adware, y en muchas ocasiones
entrará en conflicto con software desarrollado por empresas. No
ocurre lo mismo con los virus o los gusanos, por ejemplo.

Ahora bien, una vez se establece una política al respecto, esta
debería ser aplicada de forma independiente y con criterios
puramente técnicos, y no estar a merced de presiones e intereses
de las empresas cuyos productos pudieran verse afectadas. El hecho
de que algo sea legal no quiere decir que sea ético, y cualquier
antispyware o antivirus no debería hacer diferencias de si un
adware ha sido o no desarrollado por una empresa legítima (que no
es sinónimo de que sus prácticas sean éticas), sino limitarse a
defender los intereses de los usuarios. Caiga quién caiga.

Por otro lado, lo realmente crítico sería que Microsoft AntiSpyware
dejara de detectar determinado adware de forma consciente e
intencionada. Hasta el momento no se ha doblegado en ese sentido,
o al menos no tenemos conocimiento de ello, y sigue detectando el
adware de Claria y de otras empresas como tal. Este es un punto
a su favor, y mi experiencia al respecto es que en el terreno de
este tipo de soluciones su comportamiento es bueno, se encuentra
en la gama alta de los productos específicos contra el adware y
spyware.

Llegados a este punto podemos concluir que Microsoft AntiSpyware
ha dado un paso atrás, especialmente para los usuarios que no
pueden discernir entre que es dañino o no para su sistema (la
mayoría), pero sigue manteniendo su poder de detección intacto,
en los que obtiene unos ratios notables, y los usuarios más
experimentados no tendrán mayores problemas que modificar las
opciones recomendadas por defecto para eliminar todo el software
no deseado.

Sin embargo, si tenemos en cuenta que Microsoft AntiSpyware va
dirigido a un público mayoritario, especialmente al usuario final,
y que éste puede ser simplemente el principio de un largo número
de excepciones a la hora de eliminar por defecto el adware
comercial, el futuro se presenta incierto para la efectividad
real de este producto.

En manos de Microsoft queda corregir el rumbo de su antispyware,
por nuestra parte seguiremos atentos a su evolución.


Bernardo Quintero
bernardo@hispasec.com


Más información:

04/07/2005 - Microsoft y su AntiSpyware en entredicho
http://www.hispasec.com/unaaldia/2445

sábado, 9 de julio de 2005

Vulnerabilidad HTTP Request Smuggling en Apache 2.0.x

Tras un reciente descubrimiento por parte del laboratorio de White Dust,
se ha verificado que todas las versiones de Apache previas a la 2.1.6
son vulnerables a un ataque HTTP Request Smuggling (HRS). En un
principio, la rama 1.0.x está excluida del problema.

Apache es un servidor HTTP de código abierto, seguro, eficiente y
extensible, para sistemas operativos UNIX y derivados, así como
plataformas Microsoft Windows, que goza de gran popularidad, siendo la
solución más empleada para servir HTTP a nivel mundial, con una cuota
de mercado estimada en un 68% sobre el total.

La técnica del HRS fue originalmente descubierta y documentada por los
analistas de Watchfire, y consiste básicamente en lanzar varias
peticiones especialmente preparadas, de modo que dos dispositivos HTTP
(clientes, servidores, cachés, etc.) podrían visualizar distintos tipos
de peticiones. Esto permitiría que usuarios maliciosos introdujeran
peticiones camufladas en un dispositivo, sin que el otro se percatara.

En este caso, la petición preparada con una cabecera 'Transfer-Encoding:
chunked' y un 'Content-Length' pueden provocar que Apache remita una
petición modificada con la cabecera 'Content-Length' original. En éstas
condiciones, la petición maliciosa podría ir de polizón junto a la
válida, siendo los posibles resultados tan peligrosos y variopintos como
envenenamiento de caché, Cross Site Scripting, secuestro de sesiones y
otras tipologías de ataque similares.

La solución de esta vulnerabilidad problema pasa por la actualización
de todos los demonios Apache pertenecientes a la rama 2.0.x a la
versión 2.1.16, que corrige el problema. Nótese que la rama 2.1.x
está en experimentación, con lo que instamos a los administradores
de Apache a que repasen concienzudamente los contenidos que el
proveedor ofrece en el sitio web oficial y las posibles repercusiones
en cuanto a estabilidad que origine la actualización.


Sergio Hernando
shernando@hispasec.com


Más información:

Apache Web Server
http://httpd.apache.org

Apache Request Smuggling Vulnerability
http://www.whitedust.net/speaks/825/Apache%20Request%20Smuggling%20Vulnerability/

HRS. Documento original de Watchfire.
http://www.watchfire.com/resources/HTTP-Request-Smuggling.pdf.

viernes, 8 de julio de 2005

Descubierto desbordamiento de búfer en Zlib

Se ha descubierto una vulnerabilidad en la librería zlib que podría ser
explotada por usuarios maliciosos para provocar denegaciones de servicio
o incluso comprometer la seguridad de un sistema que ejecute un programa
que a su vez haga uso de versiones afectadas de esta librería
(concretamente, versiones inferiores a la 1.2.2-r1).

Zlib es una librería de compresión sin pérdidas que es utilizada por una
gran cantidad de programas.

El problema, descubierto por el equipo de auditoría de código de Gentoo,
es un desbordamiento de búfer, localizado en 'inftrees.c'. La
vulnerabilidad se puede dar a la hora de procesar streams corruptos de
datos comprimidos, lo que puede ser aprovechado por un atacante
malicioso para provocar la caída del programa que usa esta librería, o
incluso para ejecutar código arbitrario con los privilegios de la
aplicación vulnerable.

Diversas plataformas (Gentoo en sí, Debian, FreeBSD, SuSE, Red Hat,
etc.) han publicado ya actualizaciones para solventar el problema. Se
recomienda actualizar a la mayor brevedad posible, y posteriormente
recompilar las aplicaciones que puedan verse afectadas por este problema.

Aunque oficialmente aun no ha salido el parche en la página web de
zlib, desde otras distribuciones como Gentoo se facilita un diff que
reproducimos a continuacion:


--- inftrees.c 2005-07-02 08:56:13.000000000 -0400
+++ inftrees.c 2005-07-02 08:57:15.000000000 -0400
@@ -134,7 +134,7 @@
left -= count[len];
if (left < 0) return -1; /* over-subscribed */
}
- if (left > 0 && (type == CODES || (codes - count[0] != 1)))
+ if (left > 0 && (type == CODES || max != 1))
return -1; /* incomplete set */

/* generate offsets into symbol table for each length for sorting */



Julio Canto
jcanto@hispasec.com


Más información:

zlib: Buffer overflow
http://www.gentoo.org/security/en/glsa/glsa-200507-05.xml

DSA-740-1 zlib -- denegación remota de servicio
http://www.debian.org/security/2005/dsa-740

FreeBSD-SA-05:16.zlib
Buffer overflow in zlib
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-05:16.zlib.asc

[suse-security-announce] SUSE Security Announcement:
zlib denial of service attack (SUSE-SA:2005:039)
http://lists.suse.com/archive/suse-security-announce/2005-Jul/0001.html

Important: zlib security update
http://rhn.redhat.com/errata/RHSA-2005-569.html

zlib
http://www.gzip.org/zlib/

jueves, 7 de julio de 2005

El enemigo puede estar dentro

Uno de los factores críticos a la hora de gestionar la seguridad de
la información en las organizaciones, es el factor humano.

Aún así, es frecuente observar cómo, por norma general, los esfuerzos
de seguridad técnica suelen ser muy considerados, pero sin embargo, la
seguridad del factor humano a veces es menospreciada o en el peor de
los casos, pasada por alto. En éstos casos, hablamos del enemigo que
está dentro, bien sea por la intencionalidad de sus actos, bien sea
por negligencia en el tratamiento de los activos de la información.

Si nos ceñimos al marco normativo más reconocido, el que nos ofrece ISO
17799:2000, hay varios puntos de control que tienen que ver con el
factor humano. Además de la seguridad física y del entorno, el punto
de control principal viene reflejado claramente en lo que se suele
denominar seguridad ligada al personal. La idea de controlar al personal
no está relacionada con la restricción de la libertad y la comodidad de
los empleados en las organizaciones: se trata de imponer puntos de
control en el factor humano que opera con la información, de modo que se
eviten fugas de información, errores en el manejo de datos, brechas en
la confidencialidad y que la protección de aspectos importantes, como
los secretos industriales y el "know-how" de los negocios, sea una
realidad no sujeta a posibles fisuras causadas por el espionaje
industrial o la competencia desleal.

En las labores de consultoría de seguridad es frecuente que se realicen
muchos trabajos para definir radiográficamente la situación de una
empresa determinada en cuanto a la robustez de su infraestructura
técnica. Los análisis generales, las auditorías perimetrales, los test
de intrusión, la analítica forense y otros tipos de pruebas son muy
útiles para saber si las puertas de entrada aguantarán los golpes de los
arietes, o si la cerradura será suficientemente segura para que ninguna
ganzúa pueda abrirla. Es el enfoque tradicional de seguridad ante los
ataques de fuerza bruta y ante los intentos de intrusión sigilosos y
técnicamente depurados, metodologías de ataque que aunque pueden actuar
por separado, normalmente, suelen ir de la mano.

Llegados a este punto, sería conveniente plantearnos un paso más allá
de la seguridad tradicional basada en las pruebas técnicas. Según lo que
se plantea, abordar las cuestiones de seguridad relativas al personal
parece una medida muy interesante, ya que a fin de cuentas, el hardware
y el software está operado, supervisado y administrado por usuarios. En
otra ocasión, desde Hispasec Sistemas, hemos hablado de la gestión del
riesgo. Hoy complementaremos esa información con las nociones
elementales de la seguridad ligada al personal.

La seguridad ligada al personal debe ser meticulosamente planificada.
El tratamiento de las medidas de control, aplicadas a seres humanos,
requiere tacto y requiere tener en cuenta que cada empleado tiene sus
propias determinaciones y condiciones laborales. Aún así, es posible
planificar la seguridad del personal como un conjunto de medidas de
control general, que hagan que éstas sean efectivas independientemente
del sujeto afecto, y sin que éstas medidas supongan un menoscabo de
los derechos y el confort de los trabajadores.

Las principales medidas de control que se suelen recomendar son las
siguientes:

* Reducción del riesgo del factor humano, debido a errores, pérdidas,
robos y usos indebidos de la información. Los acuerdos de
confidencialidad, la selección rigurosa del personal y la inclusión de
la seguridad dentro de las responsabilidades contractuales son buenas
prácticas aconsejables en este punto.

* Concienciación del personal en cuanto a política de seguridad y
medidas que deben contemplar para evitar riesgos. La única manera de
propagar la esencia de la gestión de la seguridad es que el personal
conozca los riesgos y sus consecuencias, con lo que la empresa debe
invertir en la formación sobre los principios básicos de gestión
segura de la información.

* Minimización de las consecuencias de los incidentes provocados por
el factor humano, tomando el error como fuente de aprendizaje para la
prevención de futuros problemas. El error es una importante fuente de
retroalimentación que puede permitir que en futuras repeticiones de una
problemática hayamos aprendido a minimizar los impactos. Es imperativo
ajustar y dar a conocer los medios de difusión de los incidentes una
vez ocurran, de modo que todos los integrantes de la cadena de
responsabilidad sepan qué han de hacer y a quién deben informar en
todo momento. Cuando exista intencionalidad en el personal infractor,
temerario o negligente, es evidente que la empresa debe recurrir a
procesos disciplinarios y represalias legales.

* Estudio del personal crítico, es decir, del personal que debe cubrir
las tareas críticas de la organización cuya importancia es vital para la
empresa. Los procesos críticos son más importantes que los procesos de
apoyo, luego el personal que debe atenderlos es más importante para la
empresa, independientemente que todos los empleados son de importancia
vital para las organizaciones. De esto se deduce claramente que un error
o mala intención de un asalariado crítico normalmente será más dañino
que un error de un empleado adscrito a un proceso no crítico.

Existen otras medidas que pueden complementar a estas cuatro medidas
generales. No son las únicas, ni tienen por que ser el referente a la
hora de gestionar la seguridad del personal, pero en circunstancias
normales, son cuatro conjuntos de factores que deberían ser vigilados
estrechamente.

Los consejos, a modo de resumen, que pueden emitirse son de diversa
índole. Estos diez consejos, basados en la documentación de la
consultora norteamericana Covelight Systems, pueden ser un buen resumen
para la amenaza interna de carácter intencionada. Las recomendaciones
para la amenaza no intencionada, son obvias: formación de los empleados
y políticas de concienciación y aprendizaje.

1. Vigile las cajas que contienen las joyas, no las salidas del
edificio. Es decir, céntrese en las medidas y objetivos a priori, y no
en las medidas a posteriori. Éstas son secundarias.

2. Sea proactivo. Trate de anticiparse a los movimientos de los posibles
infractores.

3. Trate la seguridad con independencia y objetividad.

4. Ordene a los empleados en función a los privilegios a los que pueden
acceder. La relación entre riesgo y privilegios de los que se gozan es
directamente proporcional.

5. Esté atento al comportamiento sospechoso de los usuarios. Suele
ser el primer indicativo de que puede haber en curso un problema de
seguridad.

6. No pase por alto lo obvio. La mayoría de las veces, la amenaza
interna es relativamente fácil de visualizar. No busque amenazas
intrincadas, trate primero de analizar lo evidente.

7. Apóyese en sistemas automatizados de vigilancia. Pueden complementar
los resultados de la gestión.

8. Registre toda la actividad crítica, siempre y cuando la legislación
y el respeto a los derechos de los trabajadores se lo permita.

9. Informe claramente a los empleados de cuáles son los riesgos y las
consecuencias de los mismos. Asegúrese de que la política de seguridad
y las condiciones de responsabilidad sean conocidas y practicadas por
todos.

10. La seguridad de la información es un concepto amplio y con
interrelaciones. Consulte a los responsables de todas las áreas
implicadas y establezca los vínculos oportunos.

Poco a poco, las empresas van invirtiendo en una adecuada gestión de
la seguridad, pero el camino para que el factor humano sea un factor
controlado y seguro es largo y tortuoso. Quizás es buen momento para
que usted comience la andadura, si todavía no lo ha hecho.


Sergio Hernando
shernando@hispasec.com


Más información:


La gestión del riesgo
http://www.hispasec.com/unaaldia/2417

Malware diseñado para el espionaje industrial
http://www.hispasec.com/unaaldia/2410

Addressing The Insider Threat
http://www.covelight.com/documents/library_22.pdf

Can you trust your trusted users?
http://www.covelight.com/documents/library_21.pdf

The "Authenticated User" Threat
http://www.covelight.com/documents/library_20.pdf

miércoles, 6 de julio de 2005

Vulnerabilidad en Adobe Acrobat Reader para versiones Unix

Descubierta una vulnerabilidad en Adobe Reader 5.0.9 y 5.0.10
para plataformas Linux, Solaris, IBM-AIX y HP-UX que podría ser
aprovechada por un atacante para ejecutar código arbitrario de
forma remota.

El desbordamiento de buffer explotable se localiza en la función
UnixAppOpenFilePerform(), utilizada por Adobe Reader cuando abre
archivos PDF que contienen la etiqueta /Filespec.

A efectos prácticos, un atacante podría diseñar un PDF que, al
intentar ser visualizado por una versión de Adobe Reader
vulnerable, ejecutara código arbitrario con los mismos privilegios
que el usuario local. El atacante podría hacer llegar a la víctima
el PDF malicioso a través de una página web, adjunto en un e-mail,
o con cualquier otra estrategia.

Para corregir la vulnerabilidad, los usuarios de Adobe Reader
5.0.9 o 5.0.10 para Linux o Solaris deberán actualizar a la
versión 7.0, mientras que los usuarios de plataformas IBM-AIX
o HP-UX deberán actualizar a la versión 5.0.11.

Todas las actualizaciones están disponibles a través de la
dirección: http://www.adobe.com/products/acrobat/readstep2.html


Bernardo Quintero
bernardo@hispasec.com


Más información:

Buffer overflow vulnerability in Adobe Reader (Linux, Solaris, HP-UX,
IBM-AIX)
http://www.adobe.com/support/techdocs/329083.html

Adobe Adobe Reader UnixAppOpenFilePerform() Buffer Overflow Vulnerability
http://www.idefense.com/application/poi/display?id=279&type=vulnerabilities

martes, 5 de julio de 2005

Parche crítico para Internet Explorer

Microsoft obligada a distribuir de forma urgente un parche de seguridad
para Internet Explorer al publicarse los detalles de una grave
vulnerabilidad que afecta al navegador.

La vulnerabilidad se localiza en un desbordamiento de buffer
explotable en el objeto COM Javaprxy.dll que forma parte de la máquina
virtual Java de Microsoft.

A efectos prácticos un atacante puede provocar la ejecución de código
arbitrario si la víctima visualiza una página HTML especialmente
construida para la ocasión. Es decir, el atacante podría lograr el
control total del sistema afectado.

La mayoría de sistemas Windows se encuentran afectados por la
vulnerabilidad, si bien la máquina virtual Java de Microsoft no se
instala por defecto en Windows XP SP1a, Windows XP SP2 y Windows
Server 2003 SP1. No obstante, estos sistemas también pueden ser
vulnerables si la máquina virtual de Java de MS, y por tanto el
componente afectado, se ha instalado con posterioridad por
necesidades de cualquier otra aplicación.

Para comprobar si nuestro sistema se encuentra afectado abriremos una
ventana de línea de comando y ejecutaremos el comando "jview". Si el
sistema devuelve el siguiente mensaje no somos vulnerables:

"jview" no se reconoce como un comando interno o externo,
programa o archivo por lotes ejecutable.

Si por el contrario devuelve varias líneas de texto, explicando el
uso y argumentos del comando, estaremos afectados. Las primeras líneas
que aparecerían tendría el aspecto de:

Cargador de línea de comandos de Microsoft (R) para Java Versión x.xx.xxxx
Copyright (C) Microsoft Corp 1996-2000. Todos los derechos reservados.

Otra opción es buscar en nuestro sistema la existencia del archivo
donde se localiza la vulnerabilidad, "javaprxy.dll", si se localiza
nos encontraremos afectados.

La publicación en Internet de pruebas de concepto sobre dicha
vulnerabilidad ha forzado que Microsoft tenga que distribuir un parche
de urgencia para mitigar probables usos maliciosos de la
vulnerabilidad, fuera de su ciclo periódico de actualizaciones de
seguridad al que nos tenía acostumbrados el segundo martes de cada mes.

El parche de urgencia, para salir del paso, se basa en una simple
entrada en el registro de Windows para evitar que el objeto vulnerable
pueda ser llamado desde Internet Explorer. Como el CLSID del control
javaprxy.dll es 03D9F3F2-B0E3-11D2-B081-006008039BF0, la clave que el
parche introduce es la siguiente:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{03D9F3F2-B0E3-11D2-B081-006008039BF0}
editando el valor "Compatibility Flags", tipo DWORD, con el dato 00000400

En cualquier caso, en vez de manipular directamente el registro,
especialmente si no se tiene experiencia en ello, se recomienda
instalar el parche publicado por Microsoft.

En el momento de escribir estas líneas no se encuentra disponible el
parche a través de las actualizaciones automáticas de Windows ni en el
sitio WindowsUpdate.

Esperamos que en breve Microsoft corrija el componente afectado y
ofrezca una solución más robusta, si bien mientras tanto, y dada la
gravedad de la vulnerabilidad, desde Hispasec recomendamos a los
usuarios la instalación del parche de urgencia que puede ser
descargado, según versiones, desde las siguientes direcciones:

Internet Explorer 5.01 Service Pack 3 para Microsoft Windows 2000 Service Pack 3
http://www.microsoft.com/downloads/details.aspx?FamilyId=25982E02-EC6D-44CE-82DE-12DDEF1ADDD6&displaylang=es

Internet Explorer 5.01 Service Pack 4 para Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=25982E02-EC6D-44CE-82DE-12DDEF1ADDD6&displaylang=es

Internet Explorer 6 Service Pack 1 para Microsoft Windows 2000 Service Pack 3,
Microsoft Windows 2000 Service Pack 4, o Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=2A506C16-01EF-4060-BCF8-6993C55840A9&displaylang=es

Internet Explorer 6 para Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=C1381768-6C6D-4568-97B1-600DB8798EBF&displaylang=es

Internet Explorer 6 para Windows Server 2003 y Windows Server 2003
Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=F368E231-9918-4881-9F17-60312F82183F&displaylang=es

Internet Explorer 6 para Microsoft Windows XP 64-Bit Edition Version
2003 (Itanium), Microsoft Windows Server 2003 para Itanium-based
Systems y Microsoft Windows Server 2003 con SP1 para Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=D785F9AB-DBE9-4272-A87E-64205690F98E&displaylang=es

Internet Explorer 6 para Windows Server 2003 x64 Edition y Windows XP
Professional x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=68209225-A682-4008-A22B-881C401486F7&displaylang=es

Internet Explorer 5.5 Service Pack 2 para Windows Millennium Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=06F8CD1B-93A0-4522-AF7D-603DD5C2BACB&displaylang=es

Internet Explorer 6 Service Pack 1 para Microsoft Windows 98,
Microsoft Windows 98 SE, o Microsoft Windows Millennium Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=2A506C16-01EF-4060-BCF8-6993C55840A9&displaylang=es


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Security Advisory (903144)
http://www.microsoft.com/technet/security/advisory/903144.mspx

IE6 javaprxy.dll COM instantiation heap corruption
http://www.sec-consult.com/184.html

lunes, 4 de julio de 2005

Microsoft y su AntiSpyware en entredicho

Microsoft interesada en comprar una empresa que se dedica a desarrollar
adware. Lo que en las últimas semanas había sido un rumor cobra
fuerza estos días, tras una noticia aparecida en el New York Times donde
se afirma que Microsoft está en conversaciones con Claria, mas conocida
anteriormente como Gator, una de las principales productoras de adware.

Si mientras navega le aparecen ventanas emergentes con publicidad,
puede que su equipo forme parte de la red de varios millones de
sistemas que se estiman están infectados con el adware de Claria.
Además de haberse infiltrado en su equipo de forma oculta al instalar
cualquier otra aplicación, y de molestarle continuamente con la
aparición de ventanas publicitarias, debe saber que sus hábitos de
navegación pueden estar siendo recogidos por Claria en su base de datos
de más de 12 Terabytes y expuestos al mejor postor.

Aunque Claria es una empresa de marketing en Internet que se mantiene
dentro de la legalidad, al menos en el papel, las tácticas que utiliza
para instalar sus componentes adware se aprovechan principalmente de
que los usuarios no son conscientes de lo que están instalando ni de
las repercusiones que tendrá en sus sistemas. Es una de las empresas
más odiadas por sus prácticas, consideradas, cuando menos, no éticas.

Además de atentar contra la privacidad de los usuarios o de lo molestas
que pueden llegar a ser sus tácticas publicitarias, tampoco debemos
olvidar que el adware de Claria causa problemas de rendimiento y
estabilidad en los sistemas Windows donde se instalan.

Precisamente este último fue uno de los principales argumentos de
Microsoft para distribuir su producto AntiSpyware, librar a los
usuarios de esta plaga y de paso evitar que los fallos que provocan
se les atribuyera al propio Windows.

Aunque el rumor del interés de Microsoft por Claria ha sido una
constante en las últimas semanas, la noticia del New York Times ha
sido la puntilla. Para algunos sigue siendo sólo un rumor, para otros
un globo sonda de Microsoft, y muchos otros se temen lo peor.

Las hipótesis sobre cual es el interés de Microsoft por esta empresa
son variopintas, aunque en relación al marketing todo el mundo piensa
que se trataría de un gran error, a no ser que la adquiera para
erradicarla o cambiar toda su filosofía.

Por un lado estaría legitimando las prácticas de las empresas
dedicadas al adware, además de enviar la señal de que pueden ganar
más dinero aun siendo adquiridas por la propia Microsoft u otra
grande del sector. En estos momentos se baraja la cifra de 500
millones de dólares en el caso concreto de Claria. Por otro lado
estaría dando razones para que el rechazo que ahora despierta Claria
entre los usuarios se traspasara a la propia Microsoft.

Pero aun hay más, el gran damnificado de esta operación sería
Microsoft AntiSpyware y el resto de productos antimalware que a
medio plazo tiene planeado distribuir Microsoft. ¿Cómo podría ser
juez y parte implicada? ¿Detectaría a un producto adquirido, propio
al fin y al cabo, como adware y lo eliminaría de los sistemas? Si
lo hace estaría actuando contra sus propios intereses y reconociendo
de que ha adquirido algo dañino, si no lo hace estaría ofreciendo a
los usuarios un producto parcial que no cumple con su función. Y ya
puestos, ¿bajo que excusa detectaría a otros adware de similares
características si no lo hace con los de Claria?

Todo lo anterior queda en el ámbito de la rumorología y las hipótesis,
desde Hispasec no tenemos a día de hoy ninguna información oficial
sobre las supuestas negociaciones de Microsoft y Claria.

Sin embargo en las últimas horas se ha dado una circunstancia que ha
despertado, aun más si cabe, las sospechas y críticas sobre esta
historia, y en esta ocasión con una base contrastable.

Las últimas actualizaciones de Microsoft AntiSpyware detectan el
adware de Claria instalado en el sistema pero, por defecto,
recomienda la acción de ignorarlo, es decir, de no eliminarlo del
sistema.

De hecho debe ser el propio usuario quien fuerce al antispyware
al escoger la opción de eliminar por cada uno de los adware de Claria
detectados para que proceda a su desinfección. Si tenemos en cuenta
que la gran mayoría de usuarios utilizan las opciones por defecto
de este tipo de programas, el resultado es que una gran proporción
de los usuarios de Microsoft AntiSpyware pueden seguir afectados por
el adware de Claria.

Si el mismo sistema lo analizamos con otra solución antispyware, como
el gratuito y conocido SpyBot, además de detectar el adware de Claria
lo elimina por defecto. Como debe ser.

La polémica está servida.

Si realmente, como deseamos, no existe negociación con Claria,
Microsoft debería modificar sus firmas antispyware a la mayor brevedad
y publicar una actualización donde por defecto elimine o aísle en
cuarentena el adware de Claria. De lo contrario no estará ofreciendo
una protección eficaz a los usuarios ya afectados por este adware,
además de alimentar innecesariamente un rumor tan poco favorable a
sus intereses.

Si por el contrario existe realmente un interés por la adquisición de
Claria, con el posible agravante de que la no eliminación por defecto
de su adware responde a una estrategia por parte de Microsoft, puede
ser el comienzo del final para sus aspiraciones a convertirse en una
opción seria en el terreno de las soluciones antispyware y antimalware
en general.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Microsoft Said to Be in Talks to Buy Adware Developer
http://www.nytimes.com/2005/06/30/technology/30soft.html

Microsoft's Adware-Company Buy Would Reward Deception
http://www.eweek.com/article2/0,1759,1833649,00.asp