viernes, 30 de septiembre de 2005

Publicación del Service Pack 2 para Microsoft Office 2003

Microsoft ha publicado el Service Pack 2 para su suite ofimática
Office 2003. Este SP, de naturaleza acumulativa, agrupa un buen número
de parches previamente publicados para dicha suite, entre los que se
encuentran los siguientes:

* Office 2003 con Service Pack 1
* Actualización de seguridad para Office 2003 WordPerfect 5.x
Converter (KB873378)
* Actualización de seguridad para Office 2003 (KB838905)
* Actualización para la revisión gramatical en francés de Office 2003
(KB873381)
* Actualización para Office 2003 Tablet PC: Reconocimiento de tinta
mejorado
* Actualización para Microsoft Office InfoPath® 2003 (KB887982)
* Actualización para Office 2003 (KB887980)
* Actualización para Office 2003 (KB885828)
* Actualización para el corrector ortográfico y tesauros en francés de
Office 2003 (KB892258)
* Actualización de seguridad para Word 2003 (KB887979)

Las actualizaciones afectan a componentes como Access, Excel,
Frontpage, PowerPoint, Publisher y word, por lo que resulta
recomendable aplicarlo para uniformizar y asegurar el parcheado
de todos los componentes que conforman la suite.

El SP2 incluye también mejoras en la estabilidad desarrolladas a
partir de los comentarios de usuarios en Microsoft Online Crash
Analysis en Office 2003 y de los comentarios del soporte técnico de
Microsoft.

Las direcciones para descargar este Service Pack son las siguientes:
Cliente (Español)
http://download.microsoft.com/download/3/a/2/3a2db30f-d3b8-473a-8513-1b9f9aadc38c/Office2003SP2-KB887616-Client-ESN.exe
Client (English)
http://download.microsoft.com/download/9/b/3/9b37f157-123d-41fd-a3f4-f4aedd0cc847/Office2003SP2-KB887616-Client-ENU.exe
Archivo Completo (Español)
http://download.microsoft.com/download/3/a/2/3a2db30f-d3b8-473a-8513-1b9f9aadc38c/Office2003SP2-KB887616-FullFile-ESN.exe
Full file (English)
http://download.microsoft.com/download/9/b/3/9b37f157-123d-41fd-a3f4-f4aedd0cc847/Office2003SP2-KB887616-FullFile-ENU.exe


Julio Canto
jcanto@hispasec.com


Más información:

Office 2003 con Service Pack 2
http://www.microsoft.com/downloads/details.aspx?displaylang=es&FamilyID=57e27a97-2db6-4654-9db6-ec7d5b4dd867

jueves, 29 de septiembre de 2005

Auguran que los troyanos sustituirán al phishing tradicional

Un estudio llevado a cabo por Information Security Forum (ISF) prevé una mayor proliferación de troyanos, que vendrán a sustituir la oleada de ataques phishing que sufre en estos momentos Estados Unidos y parte de Europa.

Según la ISF, se ha detectado que los phishers comienzan a diversificar sus ataques y a fijar su atención en otros países de habla no inglesa, por lo que a medio plazo es previsible que comiencen a ser más constantes los ataques phishing en regiones de Asia, China y Oriente Medio.

Para los países que ya llevan tiempo sufriendo la plaga del phishing, ISF augura que aumentarán los ataques con troyanos más sofisticados y coordinados.

Desde Hispasec podemos corroborar algunas de estas previsiones, si bien no se trataría de algo futurible, ya que llevamos tiempo observando un aumento considerable de los troyanos especializados en el robo de credenciales y estafas económicas.

A través de las estadísticas de nuestro servicio gratuito VirusTotal (http://www.virustotal.com) se puede observar como en el Top10 se suceden los troyanos de la familia "Banker", entre otros.

La proliferación de estos troyanos está íntimamente relacionada con el phishing, como ya hemos apuntado en ocasiones anteriores. Los grupos de phishers son en muchos casos los que distribuyen estos especímenes, a veces incluso realizando ataques combinados basados en troyanos y phishing tradicional. No son tecnologías o estrategias excluyentes, más bien al contrario.

A diferencia del phishing tradicional, los troyanos no requieren necesariamente un diseño puntual para afectar a determinadas entidades o dirigirse a usuarios de una región o en un idioma concreto, aunque también están en boga los especímenes personalizados. Por su forma de trabajar, son muchos los troyanos que representan una amenaza global que traspasa fronteras.

Además son muchos más constantes en el tiempo. Un ataque de phishing tradicional tiene una "esperanza de vida" limitada, que oscila entre varias horas o a lo sumos unos días hasta que consiguen desactivar el servidor que hospeda el phishing. Por el contrario, los troyanos suelen ser menos visibles, son más difíciles de detectar de forma temprana, y por tanto son más duraderos en el tiempo, los que les permite estar activos incluso meses.

Por todo lo anterior es importante enfocar la lucha contra el phishing y estafas derivadas con una visión más global, ya que a día de hoy es una realidad que los atacantes están utilizando diferentes estrategias y tecnologías de forma paralela y coordinada. Una visión parcial de la problemática puede dar lugar a soluciones también parciales y poco efectivas.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Trojan army invades Europe and the U.S.
http://www.scmagazine.com/news/index.cfm?fuseaction=newsDetails&newsUID=f230e1b9-ce93-4f40-992b-47b5f530d4e2

miércoles, 28 de septiembre de 2005

Salto de restricciones de seguridad en Check Point Firewall

Se ha descubierto una vulnerabilidad en diversos productos Firewall
de Check Point que potencialmente puede ser explotada por usuarios
maliciosos para saltarse ciertas restricciones de seguridad.

El problema se ha detectado en los siguientes productos:
* VPN-1/FireWall-1
* VPN-1 VSX
* Provider-1

La vulnerabilidad se debe a un error en la implementación de grupos
de servicio CIFS, ya que tanto el nombre de grupo como el tipo de
protocolo tienen el mismo nombre "CIFS". De forma que cuando se busca
el servicio CIFS, erróneamente se encuentra el tipo de protocolo y por
tanto cualquier puerto puede aceptar la aplicación de la regla.

Esto puede provocar que todo el tráfico de una red en el grupo de
servicio CIFS pase por el firewall o bien que sea descartado,
dependiendo de la regla de configuración.

El fabricante sugiere como contramedida renombrar el grupo de servicio
"CIFS" a "CIFS_GROUP", con el siguiente procedimiento:
* En SmartDashboard, en la pestaña 'Services', abrir 'Group', y editar
el objeto "CIFS".
* Renombrarlo a "CIFS_GROUP" y pulsar OK.
* Pulsar con el botón derecho en el objeto "CIFS_GROUP", elegir "Where
used...", y verificar que todos los sitios mencionados en la ventana de
resultados se refieren adecuadamente a "CIFS_GROUP".
* Instalar la política en todos los gateways.


Antonio Ropero
antonior@hispasec.com


Más información:

Firewall accepts/drops invalid traffic when the CIFS Service Group is used
http://secureknowledge.us.checkpoint.com/SecureKnowledge/viewSolutionDocument.do?id=sk31196

martes, 27 de septiembre de 2005

Múltiples actualizaciones críticas en Mac OS X

Apple ha liberado un parche acumulativo que corrige un total de diez
vulnerabilidades de diferente índole para sus sistemas operativos Mac OS
versiones 10.3 "Panther" y 10.4 "Tiger"

Mac OS X es el último sistema operativo nativo de la compañía Apple,
que proporciona un entorno moderno y de calidad para plataformas
PowerPC.

El parche publicado recoge un total de diez actualizaciones de diversa
graduación para las versiones 10.3 y 10.4 de OS X. Pese a que Apple no
ha dictaminado oficialmente la gravedad de las vulnerabilidades, podrían
ser consideradas como muy críticas, ya que los problemas que se han
corregido podrían permitir, en entornos no actualizados, el salto de
restricciones de seguridad, ataques de Cross-Site Scripting, revelación
de información sensible, escalada de privilegios y ganancia no
autorizada de acceso al sistema.

Los códigos CVE de los problemas documentados corresponden a
CAN-2005-1992, CAN-2005-2524, CAN-2005-2741, CAN-2005-2742,
CAN-2005-2743, CAN-2005-2744, CAN-2005-2745, CAN-2005-2746,
CAN-2005-2747, CAN-2005-2748

El ramillete de actualizaciones afecta además a ciertas aplicaciones,
así como al núcleo del sistema. Los componentes actualizados son
LibSystem, LoginWindow, Mail, QuickDraw, QuickTimeJava, Safari,
SecurityAgent, SecurityServer. Esquemáticamente, los errores corregidos
son los siguientes:

1) Un error de límites en ImageIO podría ser explotado para causar un
desbordamiento de búfer así como la ejecución de código arbitrario, ante
la apertura de documentos GIF especialmente preparados.

2) Otro error en Mail.app cuando se emplea Kerberos 5 para autenticación
de correo saliente, podría causar que se añadieran porciones de
información procedentes de la memoria no inicializada a los mensajes. Lo
que podría conducir a la revelación de información sensible. Para Mac OS
X v10.4.2, el problema fue ya corregido en la actualización 2005-007.

3) Un error de diseño en "malloc" crea ficheros de diagnóstico de forma
insegura cuando la variable de entorno "MallocLogFile" está habilitada
en procesos de depuración de memoria. Esto facultaría a usuarios
maliciosos a crear ficheros arbitrarios o sobreescribirlos.

4) Un error en Mail.app a la hora de procesar reglas de auto respuesta,
podría causar mensajes automáticos de respuesta con copias en texto
plano de los mensajes cifrados, lo que podría revelar información
sensible.

5) Otro error de límites en QuickDraw Manager podría ser explotado para
causar desbordamientos de búfer e incluso la ejecución de código
arbitrario en un sistema cuando las aplicaciones Safari, Mail o Finder
ejecutasen ficheros PICT especialmente preparados.

6) Un error en el agente de seguridad SecurityAgent podría permitir
el acceso al escritorio vigente sin autenticación, al falsearse la
apariencia de los botones de cambio de usuario. La explotación requiere
que la opción de emplear contraseña para activar el ordenador después de
un protector de pantalla o del modo "sleep" esté activada.

7) Un problema en Ruby podría ser explotado para saltar restricciones de
seguridad, en sistemas 10.4 y posteriores.

8) Un error de validación en las extensiones java de QuickTime 6.52 y
versiones anteriores, podría ser explotado por applets no confiables
para hacer llamamientos arbitrarios desde las librerías del sistema. Los
sistemas OS X v10.4 o los que empleen QuicktTime 7 o posteriores no se
ven afectos de éste problema.

9) Un error de validación en Safari a la hora de renderizar archivos web
podría ser empleado para la ejecución de código HTML arbitrario, en
forma de Cross-Site Scripting. El problema, para la versión 10.4.2 y
posteriores, fué subsanado en el parche 2005-007

10) Por último, un error de validación en los servicios de autorización
"securityd" permitiría a los usuarios sin privilegios ganar ciertos
permisos restringidos a usuarios administradores, lo que representaría
una escalada de privilegios.

El parche puede ser instalado a través de las herramientas de
actualización del sistema, o bien descargarse de:

http://www.apple.com/support/downloads/securityupdate2005008macosx1039.html

La actualización tiene un tamaño de 7.1 MB y ofrece soporte multilenguaje,
entre los que está el castellano,



Sergio Hernando
shernando@hispasec.com


Más información:

Apple Computer: Security Update 2005-008
http://www.apple.com/support/downloads/securityupdate2005008macosx1039.html

Apple Computer: Información sobre seguridad y parches
http://docs.info.apple.com/article.html?artnum=61798

Apple España: Mac OS X
http://www.apple.com/es/macosx/

Wikipedia: Mac OS X
http://es.wikipedia.org/wiki/Mac_OS_X

lunes, 26 de septiembre de 2005

Firefox vs. Internet Explorer, ¿cuál es más seguro?

Un estudio de Symantec ha suscitado de nuevo el debate sobre que
navegador es más seguro. El titular que ha transcendido del informe
es que Firefox ha tenido más vulnerabilidades que Internet Explorer
en lo que ha transcurrido de año. Sin embargo, desde Hispasec podemos
argumentar que a día de hoy es más seguro navegar con Firefox que
con Internet Explorer.

Este tipo de informes cuantitativos siempre se presta a debates
donde cada parte implicada hace su propia lectura interesada.

Vamos a intentar ver desde un punto de vista objetivo que dice el
informe de Symantec, partiendo de que en el equipo de Hispasec se
utiliza indistintamente ambos navegadores entre otros, conviven
varias plataformas, sistemas operativos, y no mantenemos intereses
con ningún desarrollador de software.

Por un lado el informe de Symantec pone de relieve que durante el
primer semestre de 2005 Mozilla ha reportado 25 vulnerabilidades
en sus navegadores, mientras que Microsoft en ese mismo periodo ha
confirmado 13 vulnerabilidades en Internet Explorer. Eso es un
dato objetivo que en principio inclinaría la balanza claramente a
favor de Internet Explorer.

Si en vez de quedarse en ese dato se sigue leyendo el informe, en
el mismo encontramos que de las 25 vulnerabilidades de Mozilla
8 de ellas fueron consideradas de alto riesgo, el mismo número que
en el caso de Internet Explorer, también 8 de alto riesgo. En este
punto ambos quedarían en tablas.

Un dato no cuantitativo del informe, pero no menos importante, revela
que sólo se han detectado incidentes de explotación masiva de las
vulnerabilidades reportadas en el caso de Internet Explorer, y no en
ningún otro navegador. Aquí se refleja que la navegación con Firefox
es más segura que con Internet Explorer.

Llegados a este punto del informe de Symantec se puede concluir que
en lo que va de año se han publicado oficialmente más vulnerabilidades
de Firefox que de Internet Explorer. En cuanto a las vulnerabilidades
de alto riesgo, ambos se encuentran emparejados. Mientras que a
efectos prácticos, en el mundo real y no en un plano teórico, navegar
con Internet Explorer resulta más peligroso ya que los ataques se
siguen dirigiendo de forma mayoritaria al navegador de Microsoft.

El que los atacantes decidan fijar su atención más en Internet
Explorer que en Firefox poco tiene que ver con la facilidad de
explotación en aplicaciones de código abierto o cerrado. De hecho,
publicado un parche, sin haber transcendido detalles sobre como
explotar la vulnerabilidad, siempre es más fácil desarrollar el
exploit para una aplicación de la que se tiene acceso al código y que
fomenta el full-disclosure, en vez de tener que recurrir a la
ingeniería inversa como ocurre en casos de aplicaciones cerradas con
políticas más restrictivas en la publicación de vulnerabilidades.

Sin embargo éste no parece ser un handicap importante para los
atacantes, y así lo demostrarían los tiempos de desarrollo y
publicación de exploits en ambos casos. En el informe de Symantec,
por ejemplo, se da como media que el tiempo entre que se publica
una vulnerabilidad y desarrollan el exploit ha descendido a 6 días,
mientras que sitúa la media en 54 días el tiempo que transcurre
entre la aparición de una vulnerabilidad y la publicación del parche,
lo que abre una ventana de 48 días donde los sistemas pueden ser
vulnerables.

¿Por qué los atacantes enfocan en el navegador de Microsoft?
La respuesta es obvia, simplemente es el navegador que tiene mayor
cuota de mercado con diferencia, y los atacantes siempre buscan el
máximo rendimiento a sus fechorías. Si cambiaran las tornas y Firefox
tuviera mayor cuota de mercado, tal y como está la seguridad de
ambos navegadores, lo lógico es que el que sufriera más ataques
fuera Firefox.

En cuanto al revuelo suscitado con el informe de Symantec respecto
a la seguridad de los navegadores, se trata de lecturas interesadas.
Ya que el fin del mismo es ofrecer unas estadísticas globales, y en
ningún caso se trata de una metodología pensada para una comparativa
entre navegadores.

De hecho existen otros indicadores, no recogidos en el informe de
Symantec, que debieran tenerse en cuenta en una hipotética comparativa
de seguridad entre Firefox e Internet Explorer. Por ejemplo, entre
otros:

- Tiempo de reacción en publicar los parches tras detectarse una
vulnerabilidad.

- Vulnerabilidades publicadas no corregidas.

- Tecnologías aprovechadas por el malware.

El tiempo de reacción es obvio que tiene una repercusión directa en
la seguridad de los navegadores. Si atendemos por ejemplo al dato
facilitado de media en el informe de Symantec, que sitúa en 6 días
el desarrollo de exploits tras publicarse una vulnerabilidad, todo
tiempo adicional que transcurra en la publicación del parche supone
una ventaja para los atacantes en perjuicio de los usuarios. Por
ello es muy importante que la política de parches del desarrollador
sea diligente.

En este apartado podemos referenciar a eEye, que mantiene un listado
de vulnerabilidades no publicadas que han sido reportadas por su
laboratorio a los fabricantes de software a la espera de un parche.
En este listado podemos encontrar que Microsoft mantiene 10
vulnerabilidades reportadas sin parchear.

Por ejemplo, la primera de la lista es considerada crítica por
permitir ejecutar código de forma remota, fue reportada a Microsoft
el 29 de marzo de 2005, transcurriendo a día de hoy 121 días sin que
aun haya publicado la correspondiente actualización para corregirla.

Upcoming Advisories
http://www.eeye.com/html/research/upcoming/index.html

El segundo punto también es vital, ya que las vulnerabilidades no
deben contabilizarse en función de los parches oficiales publicados
(como lo hace el informe de Symantec), de lo contrario se podrían
dar situaciones absurdas.

Por ejemplo, en el hipotético caso de que yo fuera un desarrollador
de software al que le han detectado 10 vulnerabilidades y hago caso
omiso a los avisos, y no publico ningún parche, en el informe de
Symantec aparecería con 0 vulnerabilidades.

Al hilo de este indicador podemos ver algunos datos gracias a Secunia,
según la cual Internet Explorer mantiene 19 vulnerabilidades sin
corregir, frente a Firefox que tiene sólo 3. Ninguna de estas
vulnerabilidades han sido tenidas en cuenta en el informe de Symantec.

Vulnerabilidades en IE
http://secunia.com/product/11/

Vulnerabilidades en Mozilla Firefox
http://secunia.com/product/4227/

Por último también hay que hacer mención a ciertas tecnologías que,
sin contar con vulnerabilidades específicas, son aprovechadas por los
atacantes. Un ejemplo representativo lo podemos encontrar en la
tecnología Active-X de Internet Explorer, muy utilizada en la
instalación de dialers, troyanos, spyware y adware a través de la web.

Dicho todo lo anterior, y aun partiendo de la base de que hoy día es
más seguro navegar con Firefox porque los ataques van dirigidos
mayoritariamente a usuarios de Windows e Internet Explorer de manera
independiente a la seguridad intrínseca de cada navegador, el
principal origen de incidentes es la falta de actualización.

La mayoría de los exploits utilizados en la web para infectar los
sistemas con malware están desarrollados para vulnerabilidades ya
corregidas por los últimos parches de seguridad. En el caso de Internet
Explorer, por ejemplo, existe un gran parque de usuarios que siguen
utilizando una versión 5.X. También ocurre con Firefox, si bien el
volumen es menos considerable porque su difusión es menor, y eso los
atacantes lo tienen en cuenta.

Tanto Mozilla como Microsoft, además de mejorar por diseño sus
navegadores, respecto a los parches deberían acelerar su publicación,
mejorar la calidad de los mismos, y especialmente facilitar mecanismos
para su notificación automática e instalación. De poco sirve publicar
parches si finalmente los usuarios no los aplican.

Desde Hispasec podemos concluir que ambos navegadores están dedicando
recursos y esfuerzos por mejorar su seguridad, y que esta competencia
redunda en beneficio de los usuarios. La seguridad es un proceso, y el
estado actual de las cosas no va a permanecer estático. No se debe
hablar en términos absolutos de si un navegador es más seguro que
otro, son muchos los factores, algunos externos al propio desarrollo
del navegador, los que pueden ir inclinando la balanza a uno u otro
lado a lo largo del tiempo.

De manera independiente al navegador que decida utilizar, no en vano
es una opción personal que depende de más factores que el de la
seguridad, la recomendación de Hispasec es que preste especial
atención a su actualización. Y que, en cualquier caso, debemos hacer
esfuerzos en convertir el principal talón de Aquiles, que no es otro
que el factor humano, en un aliado más de la seguridad. La tecnología
más segura puede suponer un riesgo si no se utiliza de forma adecuada.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Symantec Internet Security Threat Report Identifies Shift Toward Focused
Attacks on Desktops
http://www.symantec.com/press/2005/n050919a.html

Upcoming Advisories
http://www.eeye.com/html/research/upcoming/index.html

Vulnerabilidades en IE
http://secunia.com/product/11/

Vulnerabilidades en Mozilla Firefox
http://secunia.com/product/4227/

domingo, 25 de septiembre de 2005

Desbordamiento de búfer en Veritas Storage Exec y StorageCentral

Se ha anunciado la existencia de una vulnerabilidad en Veritas Storage
Exec y StorageCentral, que puede ser explotada por usuarios maliciosos
para comprometer los sistemas afectados.

La vulnerabilidad reside en múltiples servidores DCOM accesibles a
través de controles ActiveX asociados debido a que no validan de
forma adecuada las entradas de los usuarios. Este problema permitirá
llevar a cabo desbordamientos de búfer con los que el atacante logrará
la ejecución de código en el sistema.

Symantec ha confirmado la existencia de la vulnerabilidad en las
siguientes versiones Veritas Storage Exec 5.3 (rev. 2190R) y Veritas
StorageCentral 5.2 (rev. 322). De igual forma ha publicado las
actualizaciones necesarias para evitar el problema:

Para Veritas Storage Exec 5.3 rev 2190R:
http://support.veritas.com/docs/277566
Para Veritas StorageCentral 5.2 rev 322:
http://support.veritas.com/docs/277567


Antonio Ropero
antonior@hispasec.com


Más información:

VERITAS Storage Exec DCOM Server Buffer Overflows
http://securityresponse.symantec.com/avcenter/security/Content/2005.09.19.html

sábado, 24 de septiembre de 2005

Denegación de servicio en Sun Solaris 8 y 9 por problemas con UFS

Se ha descubierto una vulnerabilidad en Solaris 8 y 9 que puede ser
explotada por usuarios locales maliciosos para provocar denegaciones
de servicio.

La vulnerabilidad se debe a un error sin especificar en UFS (Unix File
System). Esta circunstancia puede ser explotada por usuarios no
privilegiados con acceso de escritura para provocar cuelgues en el
sistema (para ello, el logging UFS ha de estar activado).

Las direcciones para descargar los paquetes actualizados son las
siguientes:

Solaris 8 (sparc):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116950-05&method=f

Solaris 8 (x86):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116951-05&method=f

Solaris 9 (sparc):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=117427-03&method=f

Solaris 9 (x86):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=117476-01&method=f


Julio Canto
jcanto@hispasec.com


Más información:

Security Vulnerability in Solaris UFS When Logging is Enabled
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101940-1

viernes, 23 de septiembre de 2005

Múltiples vulnerabilidades críticas en productos Mozilla

Durante los últimos días han aparecido importantes problemas de
seguridad en diversos productos desarrollados bajo el auspicio de
Mozilla Foundation.

Los productos sobre los que se han emitido alertas son Mozilla Firefox,
el navegador, Mozilla Thunderbird, el cliente de correo, y Mozilla
Suite, la suite de comunicaciones personal. Casi todos los problemas son
parecidos y debidos a causas idénticas, ya que los productos citados
comparten funcionalidad al emanar de código fuente muy parecido,
idéntico en algunos casos. En otros casos, hay nuevos bugs derivados de
fallos anteriores, que no fueron convenientemente abstraídos al
problema raíz.

El compendio de problemáticas y el estado actual de las mismas es el
siguiente:

Mozilla Thunderbird

Un grave problema de seguridad podría comprometer seriamente los
equipos donde corran las versiones 1.0.6 y anteriores, aunque únicamente
se da el problema en entornos UNIX o derivados. Los usuarios de
Microsoft Windows pueden respirar tranquilos, si bien se prevé una
inminente actualización para el cliente de correo y noticias, que debería
ser aprovechada para sincronizar versiones, independientemente de la
plataforma que se emplee.

El problema radica en que el script de shell empleado para lanzar
Mozilla Thunderbird podría facilitar la ejecución de comandos
arbitrarios, ya que es factible construir una URL maliciosa que contenga
comandos adicionales externos, contenidos entre barras invertidas, que
son parseados y ejecutados sin más comprobaciones. En sistemas donde el
gestor de correo por defecto sea Thunderbird, un atacante podría
suministrar a la víctima enlaces maliciosos, que al ser pulsados,
invocarían al cliente de correo. Si a esa URL se le añaden comandos
arbitrarios, éstos serían irremediablemente ejecutados.

Recomendaciones para usuarios de Mozilla Thunderbird: No utilizar la
aplicación hasta la aparición de la versión que corrija el problema.


Mozilla Firefox

Se ha liberado recientemente la versión 1.0.7 que corrige dos
importantes fallos de seguridad, entre los que está la posibilidad
análoga a la descrita para Thunderbird, consistente en la factibilidad
de ejecutar comandos arbitrarios lanzando las aplicaciones desde la
shell. Un ejemplo de secuencia en la shell sería el siguiente:

sergio@hispasec:~$ firefox http://local\`find\`host (ejecución con éxito
del comando "find")

Otro problema resuelto es la conocida vulnerabilidad que provoca el
colapso del navegador cuando se tratan URLs con el carácter 0xAD en su
nombre de dominio 0xAD. También hay una corrección para scripts PAC
(Proxy Auto-Config) que induciría al colapso de la aplicación.

Éstos problemas quedan resueltos con la versión de actualización 1.0.7,
y deben actualizar todos los usuarios de Firefox Win32 1.0.6 y
anteriores, Firefox Linux 1.0.6 y anteriores y la versión experimental
Firefox 1.5 Beta 1 (Deer Park Alpha 2)

De todos modos, hay que estar atento a ciertos problemas, recientemente
revisados, y que teóricamente se fueron corrigiendo en las versiones
1.0.5, 1.0.6 y 1.0.7, problemáticas anteriores que pudieran tener
efectos colaterales al no estar resueltos. Éstos problemas, recordemos,
son cuatro, y están siendo revisados o actualizados documentalmente:

Un error en el procesamiento de imágenes XBM podría ser empleado para
causar un desbordamiento de búfer a la hora de que el navegador gestione
una imagen especialmente preparada a tales efectos. La explotación
exitosa de éste problema podría permitir la ejecución de código
arbitrario. Otro error ha sido documentado, en este caso en el procesado
de secuencias Unicode con atributo "zero-width non-joiner", que podrían
corromper la pila y ocasionar el colapso de la aplicación.

El tercer problema de reciente aparición es un error en el procesado de
cabeceras a través de "XMLHttpRequest", que podría ser aprovechada por
usuarios maliciosos para inyectar peticiones no legítimas vía HTTP. El
cuarto error es de tipo sin especificar, pudiéndose falsear objetos DOM
a través de un control XBL.

Recomendaciones para usuarios Mozilla Firefox: Actualizar a 1.0.7 y
permanecer atentos a versiones posteriores, que podrían ser igualmente
inminentes. Debido a las interrelaciones y el carácter de las
vulnerabilidades, la recomendación de actualización es general,
independientemente de si se usa Windows o derivados de UNIX como plataforma.


Mozilla Suite

Todos los usuarios deben actualizar a la versión 1.7.12, que corrige
diversos problemas de seguridad, de carácter crítico, que podrían
facilitar, de un modo remoto, el salto de restricciones de seguridad, la
manipulación de datos y eventualmente, ganar acceso al sistema.

Recomendaciones para usuarios de Mozilla Suite: Actualizar a 1.7.12


Sergio Hernando
shernando@hispasec.com


Más información:

Mozilla/Netscape/Firefox Browsers Domain Name Remote Buffer Overflow
Vulnerability
http://www.securityfocus.com/bid/14784

Mozilla Browser/Firefox Arbitrary Command Execution Vulnerability
http://www.securityfocus.com/bid/14888

Mozilla Suite, Firefox And Thunderbird Multiple Vulnerabilities
http://www.securityfocus.com/bid/14242

Multiple Browser Weak Authentication Mechanism Vulnerability
http://www.securityfocus.com/bid/14325

jueves, 22 de septiembre de 2005

Vulnerabilidad en rama 2.6 del kernel de Linux por problema con routing_ioctl()

Se ha descubierto una vulnerabilidad en la rama 2.6 (versiones
anteriores a la 2.6.13.2) que puede ser explotada por usuarios locales
maliciosos para provocar denegaciones de servicio.

Un usuario local puede realizar una gran cantidad de llamadas fget de
tal forma que se desborde un contador de referencias y una llamada
fput() subsiguiente puede provocar que se liberen recursos equivocados,
con lo que se provoca el cese de la ejecución del kernel.

Los sistemas de multiproceso simétrico de 64 bits pueden verse también
afectados, y se ha detectado además que la función de 32 bits tiocgdev
ioctl() en sistemas x86-64 contiene el mismo tipo de vulnerabilidad.

Se ha publicado una versión libre de esta vulnerabilidad (2.6.13.2),
disponible en la siguiente dirección:
http://kernel.org/


Julio Canto
jcanto@hispasec.com


Más información:

Linux Kernel routing_ioctl() Bug May Let Local Users Crash the System
http://www.securitytracker.com/alerts/2005/Sep/1014944.html

miércoles, 21 de septiembre de 2005

La publicidad web como vía para infectar los sistemas

La publicidad dinámica que muestran las páginas webs a modo de
banners o ventanas está siendo utilizada para hacer llegar a los
usuarios contenidos maliciosos.

En los últimos tiempos se ha visto una clara proliferación en la
utilización de la web como canal para infectar los sistemas y llevar
a cabo estafas de todo tipo. Son muchas las páginas que aprovechan
vulnerabilidades de los navegadores no actualizados, especialmente
Internet Explorer por ser el de mayor implantación, o intentan engañar
a los usuarios con distintas tretas para que instalen los programas
maliciosos.

Hasta la fecha este tipo de infecciones siempre se achacaba a que el
usuario visitaba webs de dudosa procedencia, no confiables. Así los
"dialers", programas que realizan llamadas de tarificación adicional,
se solían relacionar con la navegación por páginas webs de contenidos
adultos, o los troyanos con la descarga de cracks para juegos y
aplicaciones piratas.

Sin embargo a día de hoy se ha diversificado en gran manera los sitios
web que pueden contener malware, una simple descarga de un
salvapantallas o incluso una aplicación antispyware puede esconder en
su interior un programa malicioso.

A diferencia de los métodos de propagación de malware a través del
correo electrónico, donde el programa malicioso llega directamente al
buzón del usuario, la infección a través de los sitios webs requiere
que el usuario vaya a visitar una página determinada.

Las estrategias para llamar la atención del usuario son variadas, la
más habitual consiste en realizar un spam con un mensaje llamativo
para que los usuarios al leerlo se sientan atraídos a visitar la
página web maliciosa. Con la catástrofe del Katrina se han podido
ver varios ejemplos.

Otro de los métodos en boga consiste en hacer llegar los sitios webs
maliciosos a los usuarios a través de publicidad. El resultado es que
los usuarios, visitando webs confiables, pueden visualizar banners
o ventanas que le invitan a instalar supuestas utilidades gratuitas
que en realidad esconden malware.

Normalmente los sitios webs donde aparece esta publicidad maliciosa
no son conscientes de esta práctica, ya que los banners de publicidad
suelen ser gestionados por terceras empresas y se incrustan en sus
páginas de forma dinámica.

Esta práctica constituye un riesgo potencial, ya que el sitio web
no tiene control sobre los contenidos publicitados. Aunque en los
contratos se establece una política de contenidos, lo cierto es que
en muchas ocasiones a las empresas de publicidad se les cuelan páginas
webs maliciosas, debido a que no existe un control exhaustivo para
evitar este tipo de incidentes.

Para ver un claro ejemplo de de como los atacantes están aprovechando
la publicidad para intentar instalar programas maliciosos
recomendamos ver el caso que describimos del conocido sitio de tiras
cómicas dilbert.com en http://blog.hispasec.com/laboratorio/43


Bernardo Quintero
bernardo@hispasec.com


Más información:

Dilbert intenta infectarme
http://blog.hispasec.com/laboratorio/43

Timo para vender anti-spyware
http://blog.hispasec.com/laboratorio/39

"bombing in McDonalds", más malware que aprovecha vulnerabilidades del IE
http://blog.hispasec.com/laboratorio/23

martes, 20 de septiembre de 2005

Actualización de driver tl para Sun Solaris 10

Se ha descubierto una vulnerabilidad en Solaris 10 (arquitecturas
Sparc y x86) que puede ser explotada por usuarios locales maliciosos
para provocar denegaciones de servicio.

La vulnerabilidad se debe a un error sin especificar en el driver
'tl'. Esta circunstancia puede ser explotada por usuarios maliciosos
no privilegiados para provocar un mensaje de pánico del sistema.

Las direcciones para descargar las actualizaciones son las siguientes:
Solaris 10 (Sparc):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=120664-01&method=f
Solaris 10 (x86):
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=120665-01&method=f


Julio Canto
jcanto@hispasec.com


Más información:

A Security Vulnerability in the Solaris 10 "tl" Driver May Allow a Local
Unprivileged User the Ability to Panic the System
http://sunsolve.sun.com/search/document.do?assetkey=1-26-101899-1&searchclause

lunes, 19 de septiembre de 2005

Lluvia de variantes de Bagle

Durante las últimas horas se ha detectado el envío masivo e
indiscriminado, a modo de spam, de numerosas variantes del gusano
Bagle. Aunque el tránsito de mensajes infectados es muy alto en
estos momentos por la estrategia de distribución, desde Hispasec
esperamos no se den casos de infecciones significativas.

Los mensajes infectados suelen incluir un archivo adjunto .ZIP de
unos 17KB, y la cadena "price" en su nombre: price.zip, price2.zip
newprice.zip, price_new, 08_price.zip, 09_price.zip, etc.

Esta particularidad hace que sea fácil frenar el spam de variantes
de Bagle desde el perímetro, con una sencilla regla en el servidor
de correo, filtro de contenidos, o solución similar.

Como siempre, la recomendación para los usuarios es no abrir archivos
adjuntos que no hayan sido solicitados explícitamente, además de
mantener sus soluciones antivirus puntualmente actualizadas.

Hace apenas una semana se produjo un incidente similar, con el spam
de nuevas variantes también del gusano Bagle. En esta ocasión el
número es mayor, pero el fin de la estrategia es la misma, aumentar
las máquinas infectadas bajo el control de los atacantes que
aprovechan para llevar a cabo diferentes ataques y estafas.


Bernardo Quintero
bernardo@hispasec.com


Más información:

12/08/2005 Spam de variantes de Bagle
http://blog.hispasec.com/laboratorio/38

19/08/2005 Otra variante de Bagle
http://blog.hispasec.com/laboratorio/42

domingo, 18 de septiembre de 2005

Actualización de Squid para Red Hat Enterprise Linux

Red Hat ha publicado una actualización de Squid para diversas
versiones de su Enterprise Linux debido a que se han descubierto en
dicho componente diversas vulnerabilidades que pueden ser explotadas
para acceder a información sensible o provocar denegaciones de
servicio.

Las versiones actualizadas son Red Hat Desktop 3 y 4; Red Hat Enterprise
Linux AS 2.1, 3 y 4; Red Hat Enterprise Linux ES 2.1, 3 y 4; Red Hat
Enterprise Linux WS 3 y 4 y Red Hat Linux Advanced Workstation 2.1 para
Itanium.

* La primera vulnerabilidad se debe a un error a la hora de devolver
mensajes cuando se tratan nombres de host malformados. Esto puede
ser explotado en ciertas circunstancias para acceder a información
aleatoria.
* Otra se debe a un error sin especificar en la función
'sslConnectTimeout()' cuando trata peticiones maliciosas. Un atacante
podrá aprovecharlo para cesar la ejecución de Squid.
* El último de los problemas corregidos se debe a un error in especificar
en la función 'storeBuffer()' a la hora de tratar peticiones abortadas.
Esto también puede explotarse para tirar el servidor proxy.

La compañía recomienda actualizar los sistemas afectados desde Red Hat
Network:
http://rhn.redhat.com/


Julio Canto
jcanto@hispasec.com


Más información:

Important: squid security update
http://rhn.redhat.com/errata/RHSA-2005-766.html

sábado, 17 de septiembre de 2005

Slackware Linux 10.2

Se ha liberado la versión 10.2 de la popular distribución Slackware
Linux, que corrige múltiples fallos de seguridad aparecidos
recientemente, en lo referente al kernel, aplicaciones y librerías. La
nueva versión ha sido aprovechada igualmente para incorporar nuevas
funcionalidades.

Slackware es una distribución Linux de alta calidad, emprendida por el
desarrollador Patrick Volkerding, y cuya primera versión 1.00 fue
liberada el 16 de Julio de 1993, lo que lo convierte en la distribución
con más solera que cuenta con mantenimiento activo a día de hoy,
habiendo servido de inspiración a otras conocidas distribuciones como
SUSE (ahora bajo tutela de Novell), College Linux y SLAX, versión "live
cd" más popular de Slackware.

Esta nueva versión, además de incluir numerosas actualizaciones de
seguridad, imprescindibles para usuarios y administradores de la
solución, incorpora interesantes novedades funcionales.

Entre los numerosos fallos de seguridad corregidos respecto a versiones
anteriores no parcheadas, destacan las correcciones en el servidor X,
que impiden los desbordamientos de entero en las asignaciones de
memoria; correcciones en util-linux, que erradican las ganancias de
privilegios no intencionadas de umount; reescritura de parte del código
de dhcpd, que estaba sujeto a colapsos remotos; la adición del parche de
bash30-016, como medida preventiva ante posible vulnerabilidades futuras
en glibc y núcleo 2.4.x, que imposibilita que bash se cuelgue en caso de
recompilación. También se incluyen correcciones en /tmp correspondientes
a groffer, así como parcheos en kcheckpass, la directiva SSLVerifyClient y
kvoctrain.

El conocido problema de PEAR::XMLRPC queda solventado con la adición de
la version 1.4.0. Otros componentes actualizados son glib, gtk+,
cliente telnet, zlib, fetchmail, componentes Mozilla, emacs, dnsmasq
(prevención de envenenamiento DNS), libpcap, sudo, runtime de java,
ncftp. La versión de nmap que acompaña a Slackware 10.2 es la 3.90, la
versión de mod_ssl pasa a ser mod_ssl-2.8.24-1.3.33, OpenSSH pasa a
versión 4.2, se introduce actualización a pcre-6.3, a samba-3.0.20,
gaim-1.5.0, y un largo listado de pequeños "fixes" que redundan en una
mejora sustancia de la seguridad de la distribución. Todo ello con
soporte completo para conexiones cifradas con la terna OpenSSL,
OpenSSH, y GnuPG, y con servidor Web Apache securizado con SSL
y soporte para objetos dinámicos compartidos (DSO).

Slackware 10.2 incluye el kernel Linux 2.4.31, con la presencia del
núcleo 2.6.13 en el directorio /testing. Por primera vez, se ofrece como
opción de arranque un núcleo perteneciente a la rama 2, con capacidades
y soporte SCSI, RAID y SATA, siendo perfectamente posible el "journaling"
según ReiserFS en el sistema de ficheros. Adicionalmente, se incorpora
la novedosa versión 2.3.5 de glibc con soporte NPTL, lo que confiere al
núcleo de un avanzado rendimiento cuando el soporte NPTL esté activo.

Los entornos de escritorio elegidos son KDE 3.4.2 y Xfce 4.2.2. Otras
novedades dignas de reseñar son el soporte SASL en el demonio de correo
sendmail, la presencia de innumerables herramientas de desarrollo, así
como los componentes esenciales para una experiencia básica en la
Internet: Firefox para navegar, y Thunderbird para gestionar correo y
suscripciones RSS y de noticias.


Sergio Hernando
shernando@hispasec.com


Más información:

Slackware Linux
http://www.slackware.com

Descargas (Torrents)
http://www.slackware.com/getslack/torrents.php

Changelog
http://www.slackware.com/changelog/i386/ChangeLog-stable.txt

Anuncio oficial
http://www.slackware.com/announce/10.2.php

viernes, 16 de septiembre de 2005

Jornada de Análisis Forense

Enmarcada en las actividades que se están desarrollando en el décimo
aniversario de los equipos de seguridad informática en España, el
próximo día 22 de Septiembre se celebra en Madrid una jornada de
análisis forense organizada por Red.es y RedIRIS.

Con motivo de los 10 años de la formación de los primeros grupos de
respuesta a incidentes informáticos (CERT) en España, esCERT-UPC e
IRIS-CERT, se están celebrando a lo largo de este año una serie de
eventos de concienciación de los problemas de seguridad existentes.

La idea de esta jornada de Análisis Forense es concienciar a los
responsables de sistemas informáticos de la importancia del análisis
forense y de la instalación de medidas de monitorización que
faciliten el análisis de los datos.

Según el programa provisional se contará con las exposiciones de
Juan Carlos Guel (UNAM), Víctor Barahona (UAM), Juan Salom (Grupo de
Delitos Telemáticos Guardia Civil), Matías Bevilacqua (CYBEX), y
Jess García (SANS).





Más información:

Jornada de Análisis Forense
http://www.rediris.es/cert/doc/reuniones/af05/index.es.html

jueves, 15 de septiembre de 2005

Desbordamiento de búfer en XFree86 4.x

Se ha descubierto una vulnerabilidad en XFree86 que potencialmente
puede ser explotada por usuarios locales maliciosos para realizar
escaladas de privilegios.

La vulnerabilidad se debe a un desbordamiento de entero que se da
cuando se intenta reservar memoria para pixmaps. Esta circunstancia
puede ser explotada para provocar desbordamientos de búfer basados en
heap al crear pixmaps de gran tamaño, y podría llegar a aprovecharse
para provocar la ejecución de código arbitrario.

Red Hat ha publicado una actualización para Red Hat Enterprise Linux 2.1:
https://rhn.redhat.com/errata/RHSA-2005-329.html

Red Hat también ha publicado una corrección para X11 en Red Hat Enterprise
Linux versión 4, que también está afectado por la misma vulnerabilidad:
https://rhn.redhat.com/errata/RHSA-2005-396.html

Por su parte, Gentoo ha publicado una actualización para Gentoo Linux:
http://security.gentoo.org/glsa/glsa-200509-07.xml


Antonio Ropero
antonior@hispasec.com


Más información:

XFree86 pixmap Integer Overflows May Let Local Users Gain Elevated Privileges
http://securitytracker.com/alerts/2005/Sep/1014887.html

exploitable overflow in pixmap creation
https://bugs.freedesktop.org/show_bug.cgi?id=594

miércoles, 14 de septiembre de 2005

Denegación de servicio en Snort 2.4.0

Se ha descubierto una vulnerabilidad en Snort 2.4.0 que puede ser
explotada por usuarios maliciosos para provocar denegaciones de
servicio.

La vulnerabilidad se debe al tratamiento incorrecto de punteros en la
función 'PrintTcpOptions()', localizada en snort-2.4.0/src/log.c. Esta
circunstancia puede ser explotada para tirar Snort con paquetes TCP/IP
con la opción TCP SACK maliciosamente construida. La explotación con
éxito requiere que Snort se esté ejecutando en modo verbose.

Si bien el problema se ha confirmado en la versión 2.4.0, no se
descarta que versiones anteriores puedan verse también afectadas.

Existe una corrección disponible en http://www.snort.org/pub-bin/snapshots.cgi
y que será incluida en la futura versión 2.4.1.


Julio Canto
jcanto@hispasec.com


Más información:

Remote Vulnerability Found in Snort - Fix and Workaround Available
http://www.snort.org/pub-bin/snortnews.cgi#58

Snort <= 2.4.0 SACK TCP Option Error Handling
http://www.vulnfact.com/advisories/snort_adv.html

martes, 13 de septiembre de 2005

Blog laboratorio de Hispasec

Con un estilo más directo e informal, el blog se presenta como un
espacio dinámico, complementario a una-al-día, donde primarán los
contenidos personales, la información de última hora, el diálogo,
y la participación.

En el blog tendrán cabida diversidad de temas a título personal:
apuntes técnicos, anotaciones, opinión, anécdotas, comentarios sobre
la propia Hispasec, notas de humor, etc. En definitiva, cualquier tipo
de contenido que por alguna extraña razón haya resultado interesante a
alguno de los integrantes del laboratorio o que los propios lectores
originen a través de sus comentarios.

El estilo desenfadado y directo del blog pretende servir como canal
para facilitar la comunicación y conocimiento de todos los que
compartimos áreas de interés en la seguridad informática, al mismo
tiempo que acercar el día a día del laboratorio al resto de la
familia de Hispasec, especialmente a los suscriptores y lectores de
una-al-día.

A diferencia de una-al-día, que seguirá siendo el canal oficial y
principal vía de información sobre seguridad informática de Hispasec,
el blog del laboratorio no contará con ninguna periodicidad prefijada
para la publicación de contenidos.

El blog del laboratorio de Hispasec se encuentra disponible en la
dirección http://blog.hispasec.com/laboratorio


Bernardo Quintero
bernardo@hispasec.com



lunes, 12 de septiembre de 2005

Seguridad informática y protección de datos

Desde el 13 de diciembre de 1999 existe en España un marco legal de
obligado cumplimiento para las empresas y trabajadores autónomos
españoles, cuya misión fundamental es velar por la protección de los
datos de carácter personal. Éste texto es la Ley Orgánica 15/1999, de
13 de diciembre, de Protección de Datos de Carácter Personal (LOPD),
oficializada en el BOE núm. 298, del 14 de diciembre de 1999.

Históricamente, ésta norma sustituyó a la que se conocía como LORTAD
(Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento
Automatizado de los Datos de Carácter Personal). En líneas generales
es un amplio marco legal donde se describen la necesidad de proteger
la privacidad de las personas. Concretamente, en lo referente a la
adquisición, tenencia, tratamiento y cesión de ficheros que contengan
datos de carácter personal, tales como nombre, apellidos, DNI, número
de cuenta bancaria, así como datos especialmente protegidos, como la
ideología religiosa, datos relativos a la salud, origen étnico, etc.

Frecuentemente las gerencias de las empresas enfocan la conformidad con
la LOPD como un problema, como una traba, como una necesidad de gastar
recursos financieros por imperativo legal. El motivo de éste artículo
es propiciar una visión a gerentes y responsables, así como a usuarios
en general, de que alinearse con este texto legal no debe implicar
problemas, sino todo lo contrario; debe dar garantías adicionales en
materia de seguridad de la información a las empresas que aplican los
procesos de conformidad, así como ventajas competitivas que no deben
ser desaprovechadas. A nuestro juicio, la Ley, pese a que es mejorable,
constituye un excelente marco para garantizar que el tratamiento de
los datos personales de la ciudadanía está sujeto a las máximas
condiciones de asepsia, a la par que a las empresas les debe servir
como herramienta de gestión de la seguridad.

Operativamente hablando, la LOPD se apoya en el Reglamento de Medidas de
Seguridad de los Ficheros Automatizados que contengan Datos de Carácter
Personal (RMS), aprobado por Real Decreto 994/1999 de 11 de junio y
publicado en el BOE de 25 de junio de 1999, como instrumento para
facilitar los mecanismos prácticos para cumplir con las prescripciones
establecidas en la LOPD. Existen otros textos legales a considerar, pero
no serán objeto de estudio en este artículo.

Así por ejemplo, el artículo octavo del RMS establece la necesidad de
disponer de un Documento de Seguridad, que al menos debe contener el
ámbito de aplicación del documento. Debe especificar claramente cuáles
son los recursos protegidos, así como contener las medidas, normas,
procedimientos, reglas y estándares encaminados a garantizar el nivel
de seguridad que nos imponga la tipología de datos tratados. También
tiene que recoger las funciones y obligaciones del personal que accede
a los datos personales.

Así mismo, el Documento de Seguridad tiene que incluir la estructura de
los ficheros de datos, describiendo claramente cómo son los sistemas de
la información que los tratan y debe contener un procedimiento detallado
de notificación, gestión y respuesta ante las incidencias. Adicionalmente,
deben enumerarse los procedimientos de realización de copias de respaldo
y de recuperación de los datos.

Llegados a este punto, parece lógico abandonar la idea de que alinearse
con la LOPD es un engorro legal al que obliga la Agencia Española de
Protección de Datos. Está claro que, en un sólo artículo de los 29 que
tiene el RMS, se nos indica que proteger los datos es asegurarnos que
debemos hacer backups, saber cómo responder ante los problemas e
incidentes, formar al personal y explicarle cómo ha de tratar la
información, establecer los mecanismos para que haya fluidez en la
notificación de problemas, que es imperativo saber responder ante los
incidentes... y una larga lista de requisitos que debemos ver como
ventajas, y nunca como obligaciones meramente legislativas. Sería un
craso error no ver las ventajas que esto nos puede aportar.

En resumen: alinearse con la LOPD y cumplir con sus prescripciones es
perfectamente equiparable a disponer de un pequeño sistema de gestión de
la seguridad de la información, que prácticamente toca todos los
aspectos incluidos en textos reputados y valorados como BS 7799, o la
trasposición internacional ISO 17799. La única diferencia estriba en que
éstas últimas no son de obligado cumplimiento, mientras que la LOPD sí
lo es, y quizás por ello las empresas recelan de su utilidad. Creemos
que esto es un planteamiento incorrecto, y que la visión de imperativo
legal igual a engorro y dificultad es, en este caso, errónea.

Abandonemos la idea de que las leyes son sólo estorbos que nos implican
gastos financieros. Muchas veces, y éste es un buen ejemplo, las leyes
además de velar por la seguridad y privacidad de las personas, nos
brindan un sistema accesible para mejorar la seguridad de la información
en nuestras empresas. Y eso es algo muy beneficioso a la hora de
incrementar nuestra competitividad y asegurar la continuidad de nuestros
negocios.


Sergio Hernando
shernando@hispasec.com


Más información:

Hispasec Sistemas. Servicios de Conformidad LOPD
http://www.hispasec.com/corporate/pdfs/conformidad_lopd.pdf

Agencia Española de Protección de Datos
https://www.agpd.es/index.php

Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de
Carácter Personal.
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/Ley%2015_99.pdf

Real Decreto 994/1999, de 11 de junio, por el que se aprueba el
Reglamento de Medidas de Seguridad de los ficheros automatizados que
contengan datos de carácter personal.
https://www.agpd.es/upload/Canal_Documentacion/legislacion/Estatal/A.8%29%20Real%20Decreto%20994-1999.pdf

Agencia Española de Protección de Datos. Legislación Autonómica
https://www.agpd.es/index.php?idSeccion=78

Agencia Española de Protección de Datos. Legislación Estatal
https://www.agpd.es/index.php?idSeccion=77

Agencia Española de Protección de Datos. Legislación Iberoamericana
https://www.agpd.es/index.php?idSeccion=82

domingo, 11 de septiembre de 2005

Desbordamiento de búfer en Firefox 1.x por problema en tratamiento de URLs

Se ha descubierto una vulnerabilidad en la versión 1.0.6 (y
anteriores) del navegador Firefox que puede ser explotada por usuarios
maliciosos para provocar denegaciones de servicio en dicho programa o,
potencialmente, para comprometer el sistema del usuario.

Firefox es el navegador web del proyecto Mozilla, un producto de
creciente popularidad creciente, con más de 70 millones de descargas.

La vulnerabilidad en sí se debe a un error en el tratamiento de URLs
con determinados caracteres en el nombre de dominio, y puede ser
explotada para provocar desbordamientos de búfer basados en el heap.

La explotación con éxito de la vulnerabilidad provocaría la caída de
Firefox, y potencialmente podría ser también utilizada para la
ejecución de código arbitrario. Para la explotación exitosa se requiere
que la víctima visite un sitio web malicioso o abra un documento
HTML especialmente construido a tal efecto.

Puede observarse una prueba de concepto de la denegación de servicio
en la siguiente URL (precaución, termina la ejecución del navegador):
http://www.security-protocols.com/firefox-death.html

A parte de la versión 1.0.6 y anteriores para Linux y Windows, la
versión 1.5 Beta 1 también se ve afectada por el problema.

A la espera de un parche que solvente el problema o una nueva versión
libre de la vulnerabilidad, se recomienda restringir la navegación a
sitios de total confianza.


Julio Canto
jcanto@hispasec.com


Más información:

Mozilla Firefox "Host:" Buffer Overflow
http://security-protocols.com/advisory/sp-x17-advisory.txt

sábado, 10 de septiembre de 2005

Escalada de directorios en 3Com Network Supervisor

Se ha anunciado la existencia de una vulnerabilidad en 3Com Network
Supervisor, que puede ser empleada por atacantes remotos para la
obtención de información sensible del sistema.

La vulnerabilidad está debida a un error de validación de las peticiones
que recibe el servidor web integrado, que funciona sobre el puerto
21700/TCP. Este problema permite, mediante el uso de cadenas clásicas
de escalada de directorios ('../'), el acceso remoto a archivos
arbitrarios del sistema situados fuera de la raíz del servidor web.

La vulnerabilidad se ha confirmado en las versiones 3Com Network Supervisor 5.0.2.

Se recomienda la instalación de las actualizaciones publicadas por 3com:
3Com Network Director 1.0 Critical Update 1:
http://support.3com.com/software/3Com_network_director_v1_0_sp0_1_cu1.exe
3Com Network Director 1.0 Critical Update 1 (para SP2 y SP3):
http://support.3com.com/software/3Com_network_director_v1_0_sp2_3_cu1.exe
3Com Network Director 2.0 Critical Update 1:
http://support.3com.com/software/3com_network_director_v2_0_cu1.exe
3Com Network Supervisor 5.1 Critical Update 1:
http://support.3com.com/software/3com_network_supervisor_v5_1_cu1.exe


Antonio Ropero
antonior@hispasec.com


Más información:

3Com Network Supervisor Directory Traversal Vulnerability
http://www.idefense.com/application/poi/display?id=300&type=vulnerabilities&flashstatus=true

viernes, 9 de septiembre de 2005

Denegación de servicio en Microsoft Exchange Server 2003

Se ha descubierto una vulnerabilidad en Microsoft Exchange Server
2003 que puede ser explotada por atacantes remotos para provocar
denegaciones de servicio en dicho servidor de correo.

La vulnerabilidad se debe a un error sin especificar a la hora de
tratar peticiones para listar carpetas públicas, y puede ser explotada
para tirar el servicio Exchange Information Store (Store.exe)
utilizando peticiones IMAP4.

Para poder explotar la vulnerabilidad, es necesario que se den las
siguientes condiciones:
* Un usuario intenta listar carpetas públicas usando IMAP4 versión
4rev1
* El servidor Exchange no permite a usuarios de IMAP4 listar carpetas
públicas
* El usuario no tiene buzón privado de correo en el servidor

Microsoft ha publicado un parche urgente corrector que puede ser
obtenido contactando con los servicios de soporte a producto de la
compañía.


Julio Canto
jcanto@hispasec.com


Más información:

El servicio Almacén de información de Microsoft Exchange se bloquea cuando el usuario Versión 4rev1 intenta enumerar carpeta pública desde un servidor que a un Protocolo de acceso a mensajes de Internet, ejecuta Exchange Server 2003
http://support.microsoft.com/kb/840123

jueves, 8 de septiembre de 2005

Desbordamiento de búfer en Cisco IOS 12.x

Se ha descubierto una vulnerabilidad en diversas versiones de Cisco
IOS que puede ser explotado por usuarios maliciosos para provocar
denegaciones de servicio o, potencialmente, comprometer un sistema
vulnerable.

La vulnerabilidad se ha confirmado en las siguientes versiones:
* 12.2ZH y 12.2ZL
* 12.3
* 12.3T
* 12.4
* 12.4T

La vulnerabilidad se debe a un problema de control de tamaños de
variables durante el procesamiento de las credenciales de
autenticación por parte del Authentication Proxy FTP/Telnet. Esta
circunstancia puede ser aprovechada para provocar un desbordamiento
de búfer, provocando con ello la reinicialización del dispositivo
o incluso la ejecución de código arbitrario, aunque se requiere que
el proxy de autenticación para las sesiones FTP y/o Telnet esté
configurado y aplicado en el interface activo.

El listado de parches disponibles para cada versión está detallado en
el aviso de la propia compañía:
http://www.cisco.com/warp/public/707/cisco-sa-20050907-auth_proxy.shtml#software


Julio Canto
jcanto@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS Firewall Authentication Proxy for
FTP and Telnet Sessions Buffer Overflow
http://www.cisco.com/warp/public/707/cisco-sa-20050907-auth_proxy.shtml

miércoles, 7 de septiembre de 2005

Tratamiento inseguro de archivos temporales en CVS 1.12

Se ha descubierto una vulnerabilidad local en CVS (versión 1.12.12 y
anteriores) que permitiría a atacantes locales realizar escaladas de
privilegios en sistemas afectados.

CVS (Concurrent Versions System) es un popular sistema de control de
versiones que permite a los programadores acceder a las últimas
versiones del código con el que trabajan a través de la red.

El problema se debe a que la aplicación cvsbug hace un uso no seguro
de archivos temporales, lo que puede ser aprovechado para ejecutar
instrucciones arbitrarias cuando el usuario objetivo del ataque ejecute
dicha herramienta (con los privilegios del mismo).


Julio Canto
jcanto@hispasec.com


Más información:

CAN-2005-2693 CVS temporary file issue
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=166366

martes, 6 de septiembre de 2005

Salto de restricciones de seguridad en mod_ssl

Se ha descubierto una vulnerabilidad en mod_ssl 2.x que permitiría a
usuarios maliciosos saltarse determinadas restricciones de seguridad.

"mod_ssl" es un módulo Apache que le dota de la capacidad de soportar
sesiones SSL (Secure Socket Layer, el protocolo utilizado en HTTPS).

El problema se debe a un error en el reforzamiento de autenticación a
nivel cliente de certificados ("SSLVerifyClient require") en el
contexto por localización si "SSLVerifyClient optional" está activado
en la configuración de hosts globales virtuales. Esto permitiría a
usuarios maliciosos saltarse el sistema de autenticación y conseguir
acceso no autorizado a ciertas páginas web.

Se recomienda actualizar a la versión 2.8.24:
http://www.modssl.org/source/mod_ssl-2.8.24-1.3.33.tar.gz


Julio Canto
jcanto@hispasec.com


Más información:

[ANNOUNCE] mod_ssl 2.8.24-1.3.33
http://marc.theaimsgroup.com/?l=apache-modssl&m=112569517603897&w=2

lunes, 5 de septiembre de 2005

Phishing basado en troyanos

Recientemente se ha detectado un troyano destinado al robo de
credenciales bancarias. Hasta aquí nada nuevo, puesto que el malware
destinado a capturar las pulsaciones de teclado o los parámetros de
las páginas de autenticación llevan mucho tiempo entre nosotros. Si
bien en esta ocasión el troyano sólo preparaba el sistema para un
ataque a través de páginas web de phishing tradicional, lo que es
una prueba más de la íntima relación que guardan ambas técnicas.

Si se realiza un análisis técnico superficial, a primera vista puede
parecer un troyano como otro cualquiera, que modifica el archivo hosts
del sistema para que los dominios de las entidades bancarias apunten
a una IP determinada, y que monitoriza una serie de URLs de páginas
de autenticación para capturar las credenciales de los usuarios.

Sin embargo esa no es la estrategia del troyano, un análisis más
profundo revela que en realidad lo que hace es detectar cuando el
usuario intenta conectar con unas determinadas webs, y redirigirlo
hacia una página falsa que simula a la de la entidad, es decir,
hacia un phishing tradicional.

Si infectamos un sistema de prueba y nos fijamos en la modificación
del archivo hosts, podemos encontrar algunas irregularidades en el
largo listado de direcciones que incluye (a continuación sólo una
pequeña porción):

(null) onlineaccounts2.abbeynational.co.uk
(null) www3.aibgonline.co.uk
(null) www.bank.alliance-leicester.co.uk
(null) login.ibloing.com
...

Primero que no está realizando ninguna redirección efectiva, porque
en lugar de la IP incluye (null). Pero, y lo más importante, todas
las URLs son falsas, ninguna existe en realidad. En todos los casos
se incluye una errata a conciencia (falta o se cambia alguna letra,
etc.), aunque se intenta que la URL se parezca a la original a
simple vista.

Siguiendo el análisis del troyano a nivel superficial, podemos
encontrarnos con una serie de URLs en su código. De nuevo, si nos
fijamos, ninguna de las URLs es funcional, todas incluyen erratas,
ninguna se corresponde a los formularios de autenticación legítimos
de las entidades.

Esto salta a simple vista porque todas empiezan por http://, en vez
de https:// que suele ser lo usual y recomendado en el caso de los
formularios legítimos. Además, como ya ocurriera con el archivo de
hosts, también realizan pequeñas modificaciones en las URLs, y por
tanto no tendría sentido que el troyano las monitorizara para
capturar sus credenciales, que suele ser lo normal en este tipo de
troyanos.

La verdadera estrategia del gusano consiste en monitorizar la URL
del navegador del usuario para detectar cuando intenta dirigirse
a uno de los sitios web de las entidades, y redirigirlo a una web
falsa de phishing. Para ello no utiliza URLs concretas, sino que
lo hace mediante palabras claves o porciones de URL.

Por ejemplo, si el usuario intenta navegar por una dirección que
contiene "myonlineaccounts2.abbeynational.co.uk" o
"/CentralLogonWeb/Logon", el troyano automáticamente lo redirecciona a
http://onlineaccounts2.abbeynational.co.uk/uk/ab/CentralLogonWeb/Logon

En realidad esa URL no existe, tiene una errata en el dominio, pero
funcionará porque el troyano introdujo en el archivo hosts la línea
"onlineaccounts2.abbeynational.co.uk" y por tanto el sistema ahora la
resuelve, la reconoce.

De esta forma el usuario verá en su navegador una dirección muy
parecida a la legítima, lo que dificultará que a simple vista se de
cuenta de que está navegando por una página falsa.

Por último queda una incógnita sin resolver. Como dijimos al
principio, en estos momentos el troyano introduce el valor (null) en
vez de una IP en el archivo hosts. Es decir, hoy por hoy el troyano
ya no se encuentra funcionalmente activo, ya que no es capaz de
redirigir a los usuarios infectados a las webs falsas de phishing.

Esto es debido a que el troyano introduce la IP de forma dinámica. En
el momento de infectar un sistema resuelve el dominio banks.wayser.net,
e introduce en el archivo hosts la IP obtenida.

Cuando el troyano fue detectado por los laboratorios antivirus los
detalles fueron compartidos con las autoridades competentes y grupos
gubernamentales de respuesta ante incidentes con los que colaboran, de
forma que facilitaron la desactivación del dominio. Por ejemplo, el
laboratorio de Panda fue el que recientemente sacó a la luz este
troyano, y regularmente notifican los datos de interés para que las
autoridades pertinentes puedan llevar a cabo investigaciones, como
es el caso del Grupo de Delitos Telemáticos de la Guardia Civil.

Eso explica que cuando el troyano intenta resolver el dominio, para
introducir la IP en el archivo hosts, obtiene el valor (null), ya
que fue desactivado hace semanas.

En el laboratorio de Hispasec estamos monitorizando, entre otros
malware, una segunda versión de este troyano con las mismas entidades
implicadas. En esta ocasión utiliza tres dominios diferentes en vez de
uno para resolver la IP, dos de los cuales resuelven.

Aunque la IP que resuelven no contiene en estos momentos las
páginas de phishing, la confirmación de que dos de los dominios
aun resuelvan puede ser indicativo de que estén bajo el control
de los phishers y por tanto sujetos a que en cualquier momento
puedan apuntar a una nueva IP donde hospedar las páginas de
phishing.

Por ejemplo, entre otras, las IPs a las que en algún momento han
apuntado este troyano han sido:

141.225.152.142
194.215.189.33
204.9.190.180
209.107.25.67
216.138.184.21
64.39.14.226
69.15.98.210
70.84.252.218
80.86.191.181

El hecho de que una entidad no se vea reflejada específicamente en el
código de un troyano no quiere decir que sus clientes estén a salvo,
ya que son muchos los troyanos que utilizan técnicas genéricas
destinados a capturar las credenciales de cualquier página de
autenticación, de manera independiente a su dirección. En concreto,
hay entidades que nunca han recibido ataques de phishing tradicional
ni aparecen como blanco de ningún código malicioso, pero sin embargo
sus clientes han sufrido robos a través de Internet derivados de la
acción de los troyanos.

La monitorización de este tipo de malware por parte de las entidades
para tomar medidas reactivas y preventivas es realmente complicada,
debido principalmente a su diversificación y volumen. Sin ir más
lejos, en VirusTotal podemos llegar a recibir en un día decenas de
nuevos troyanos relacionados con el phishing y entidades bancarias.
No obstante se trabaja en ello.

El servicio VirusTotal (http://www.virustotal.com) de Hispasec, en
cooperación con las casas antivirus, mantiene un sistema de
distribución. En estos momentos son miles de usuarios alrededor de
todo el mundo los que utilizan este servicio para enviar archivos
sospechosos. Cuando VirusTotal detecta un archivo infectado, y si
el remitente no índica lo contrario a través de una opción de
distribución, automáticamente se envía la muestra a los laboratorios
antivirus que aun no lo detectan. De esta forma se intenta mitigar
el impacto de virus, gusanos, troyanos, y demás fauna, entre los
usuarios.

Hispasec Sistemas también mantiene un servicio antiphishing destinado
a entidades bancarias, donde además de diversas medidas preventivas y
reactivas contra el phishing tradicional, aprovecha su conocimientos y
experiencia en el análisis de malware y cooperación con los
laboratorios antivirus.

A día de hoy el phishing se ha convertido en un negocio en todos
los sentidos. De manera independiente a la protección antivirus de
los clientes y de los servicios antiphishing que puedan disponer las
entidades, existe un área de oportunidad importante en la
cooperación no comercial a diferentes niveles para luchar contra el
phishing, ya que se trata de un problema global con múltiples agentes
implicados a la hora de aplicar medidas reactivas y preventivas.


Bernardo Quintero
bernardo@hispasec.com


Más información:

27/07/2005 - Troyanos y phishing, una amenaza en alza
http://www.hispasec.com/unaaldia/2468

VirusTotal
http://www.virustotal.com

Antiphishing y Sistemas Antifraude
http://www.hispasec.com/corporate/antiphishing.html

domingo, 4 de septiembre de 2005

Colisiones en MD-5 y SHA-1

Hace unas semanas, aprovechando una noticia curiosa, escribí
un corto boletín para "una-al-día" en el que explicaba como un
abogado australiano había utilizado las debilidades del algoritmo
MD5 como argumento que impedía demostrar la no alteración de
una prueba.

El boletín no dejaba de ser una explicación de algo anecdótico
y, en el momento de redactarlo, expliqué algunos conceptos de
forma muy superficial y recordando conceptos de memoria. No
tenía el objetivo de explicar MD5 para neófitos o entendidos,
únicamente quería realizar una visión superficial.

Por desgracia esa visión superficial no fue del todo acertada...
Es más, había bastantes errores al explicar el funcionamiento
de un algoritmo para la obtención de sumas de control y sus
debilidades.

Algunos lectores de "una-al-día" nos enviaron diversos
mensajes haciendo notar la existencia de estos errores. Desde
aquí mi agradecimiento a todos aquellos que se tomaron la
molestia de enviarnos un mensaje indicando los errores en el
boletín.

Uno de estos lectores nos facilitó en enlace de un artículo,
Attacking Hash Functions by Poisoned Messages - "The Story of
Alice and her Boss", cuya dirección indicamos en el apartado
"Más información".

Se trata de un corto artículo, en inglés, donde nos facilitan
dos archivos en formato .PS (PostScript) con dos documentos
absolutamente diferentes. No obstante, ambos archivos generan
la misma suma de control MD5.

Estos archivos se han podido generar utilizando una técnica
para la identificación de colisiones aleatorias en la función
de compresión MD5. Con solo algunas horas de proceso en un
ordenador PC fue posible la construcción de estos dos archivos
PostScript. En una presentación realizada en Eurocrypt 2005
(en 'Más información' facilitamos el enlace al archivo PDF de
dicha presentación) se explica someramente el funcionamiento
de esta técnica.

Colisiones en SHA-1

En el pasado Crypto 2005, celebrado a mediados de agosto en
California, Adi Shamir (la "S" de RSA) anunció los resultados
de la investigación de Xiaoyun Wang, que no pudo asistir a la
conferencia ya que las autoridades norteamericanas no le
concedieron el visado de entrada. Esta investigadora mostró
reducir la complejidad de romper el estándar SHA-1 a 2^63, es
decir, 64 veces más rápido que anteriormente.


Xavier Caballé
xavi@hispasec.com



sábado, 3 de septiembre de 2005

Cross-Site Scripting en informes HTML de Nikto y N-Stealth Security Scanner

Se han documentado dos vulnerabilidades recientes, basadas en el mismo
concepto, que permitirían construir ataques de Cross-Site Scripting vía
inyección de scripts en sistemas donde se empleen las aplicaciones de
auditoría Nikto (UNIX y derivados) o N-Stealth Security Scanner
(Microsoft Windows).

El problema matriz deriva del hecho de que ambas aplicaciones,
utilizadas como escáneres de servidores Web, pecan de un error de
saneamiento del valor de "server header" en la respuesta HTTP que
ofrecen las webs auditadas, de manera previa a la generación del informe
de auditoría. Esto podría ser empleado para ejecutar código HTML
arbitrario en la zona de seguridad local, una vez se visualicen los
informes de la aplicación, siendo perfectamente factible la inserción
de scripts de carácter malintencionado en el código del informe.

Un atacante podría construir un sitio destinado a responder
maliciosamente a las peticiones HTTP de sendas aplicaciones de
auditoría, y pese al carácter moderadamente crítico del problema, la
explotación exitosa pasa únicamente por que el usuario lance el análisis
de la web maliciosa de un modo intencionado desde la aplicación de
auditoría, lo cual reduce la criticidad del problema.

Se recomienda a los usuarios de ambas soluciones que actualicen a las
versiones más recientes, que evitan el problema descrito. Las versiones
que corrigen el problema son:

N-Stealth Security Scanner Commercial Edition: 5.8.0.38 o posterior.

N-Stealth Security Scanner Free Edition: 5.8.1.03 o posterior.

Nikto: 1.35 (no corrige el problema en sí, pero advierte del mismo al
visualizar documentos HTML) o posterior. Es recomendable descargar la
versión "current"


Sergio Hernando
shernando@hispasec.com


Más información:

Nikto
http://www.cirt.net/code/nikto.shtml

Nikto: Descargas
http://www.cirt.net/nikto/nikto-current.tar.gz

N-Stealth Security Scanner
http://www.nstalker.com/eng/products/nstealth/

N-Stealth Security Scanner: Descargas (Versión gratuíta)
http://www.nstalker.com/eng/products/nstealth/free/download.php

Multiple Vendor Web Vulnerability Scanner Arbitrary Script Injection Vulnerability
http://www.cybsec.com/vuln/010905-multiple_webscanner_script_injection.pdf

viernes, 2 de septiembre de 2005

Nuevos contenidos en CriptoRed (julio y agosto de 2005)

Breve resumen de las novedades producidas durante los meses de julio
y agosto de 2005 en CriptoRed, la Red Temática Iberoamericana de
Criptografía y Seguridad de la Información.

Se ha ampliado el plazo para recepción de trabajos CIBSI '05 al
domingo 18 de septiembre de 2005.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

* Breve Reseña sobre la Hipótesis de Riemann, Primalidad y el
Algoritmo AKS
http://www.criptored.upm.es/paginas/docencia.htm#gtletraB

* Compañera Inseparable: la Contraseña
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

* Sistemas de Detección de Intrusos
http://www.criptored.upm.es/paginas/docencia.htm#gtletraS

Libros electrónicos:
* Seguridad de los Sistemas de Información
http://www.criptored.upm.es/paginas/docencia.htm#librose


2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Septiembre 14 al 16 de 2005: Simposio Seguridad Informática I
Congreso Español de Informática CEDI 2005 (Granada - España)
http://cedi2005.ugr.es/

* Septiembre 22 al 23 de 2005: Information Security Curriculum
Development INFOSECCD 2005 (Kennesaw Georgia, USA)
http://infosec.kennesaw.edu/

* Septiembre 26 al 30 de 2005: V Simpósio Brasileiro em Segurança
da Informação e de Sistemas Computacionais (Florianópolis - Brasil)
http://www.sbseg2005.ufsc.br/index.html

* Octubre 03 al 05 de 2005: Congreso CollECTeR LatAm 2005
(Talca - Chile)
http://ing.utalca.cl/collecter

* Noviembre 7 al 8 de 2005: Workshop on Specification and Automated
Processing of Security Requirements SAPS ’05 (Long Beach - USA)
http://www.ase-conference.org/Workshops.html

* Noviembre 21 al 25 de 2005: Tercer Congreso Iberoamericano de
Seguridad Informática CIBSI '05 (Valparaíso - Chile)
http://cibsi05.inf.utfsm.cl/

* Diciembre 1 al 2 de 2005: IFIP TC-11 WG 11.1 & WG 11.5 Joint Working
Conference on Security Management, Integrity, and Internal Control in
Information Systems (Fairfax - USA)
http://www.cs.uvm.edu/ifip11.1.5/

Puedes encontrar más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

* Convocatoria a Congresos en la IACR: International Association for
Cryptologic Research
http://www.iacr.org/events/


3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN IBEROAMÉRICA

* Másters, Cursos de Especialización, Diplomados, Cursos Avanzados,
Programas de Formación, Talleres, Seminarios, etc. en Iberoamérica
Enlaces e información en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos


4. NOTICIAS SELECCIONADAS DE LOS MES DE JULIO Y AGOSTO DE 2004

* Curso Seguridad en Wi-fi y Redes Wimax en Campus TI Valencia (España)
http://web5.campus-ti.org/index.php3

* Máster en Seguridad de la Información y las Comunicaciones de ESNE
en Madrid (España)
http://www.esne.es/postgrados.php?id=1&Lang=es

* Actualizada y Renovada la Página Web de CIBSI '05 en UTFSM (Chile)
http://cibsi05.inf.utfsm.cl/

* Protocolo de Patrocinio entre Director de Soluciones Globales Internet
y Rector de la UPM
http://www.criptored.upm.es/patrocinadores/fotosUPMSGIjunio2005.htm

* Magister en Derecho de la Informática y de las Telecomunicaciones en
U. de Chile (Chile)
http://www.cedi.uchile.cl/magister/

* Workshop on Specification and Automated Processing of Security
Requirements SAPS ’05 (USA)
http://www.ase-conference.org/Workshops.html


5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 536
(149 universidades; 186 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* 29.512 visitas, 93.584 páginas y 35,57 GBytes servidos en julio de
2005
* 30.074 visitas, 75.358 páginas y 34,46 GBytes servidos en agosto de
2005 Estadísticas AWStats mensuales actualizadas cada día a las 00:05
horas
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


6. CIBSI: CONGRESO IBEROAMERICANO DE SEGURIDAD INFORMÁTICA

* Tercer Congreso Iberoamericano de Seguridad Informática CIBSI '05
Fecha límite recepción de trabajos: domingo 18 de septiembre de 2005
Fecha de celebración: del 21 al 25 de noviembre de 2005
Sede: Universidad Técnica Federico Santa María (Valparaíso, Chile)
http://cibsi05.inf.utfsm.cl/


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

Julio y Agosto de 2005
http://www.criptored.upm.es/paginas/historico2005.htm#jul05

jueves, 1 de septiembre de 2005

Datos del portapapeles accesibles desde Internet Explorer

Internet Explorer permite capturar los datos del portapapeles desde
una página web. Aunque el uso malicioso de esta característica ya
fue denunciado a finales del 2002, aun hoy día la configuración de
la mayoría de sistemas con Internet Explorer permiten de forma
transparente esta función.

Una prueba de concepto para comprobar si nuestro navegador permite
la captura de datos del portapales se encuentra en la siguiente
dirección: http://blog.hispasec.com/laboratorio/29

El objeto clipboardData es el responsable de esta funcionalidad, y
fue incorporada en la versión 5 de Internet Explorer. Básicamente
admite tres métodos para interactuar con los datos del portapapeles,
"getData" para capturar la información, "setData" escribe datos, y
"clearData" para borrar el portapapeles.

Aunque evidentemente tiene usos prácticos, lo cierto es que también
puede ser utilizada de forma maliciosa. De hecho resultaría muy
simple diseñar una web que intentara capturar los datos del
portapapeles de todos los visitantes.

Sobre si ello puede suponer un problema de seguridad, ya depende
exclusivamente del grado de sensibilidad de la información que cada
usuario suele copiar en el portapapeles en el día a día. Algunos
ejemplos cotidianos son datos de hojas de cálculo, párrafos del
procesador de textos, una conversación por mensajería instantánea
que queríamos almacenar, o incluso una contraseña que hemos copiado
para pegar en un formulario de autenticación.

Si el usuario cree que los datos que suele copiar al portapapeles
son sensibles, puede modificar la configuración de Internet Explorer
para que le avise, o directamente rechace, cualquier intento de
captura por parte de una página web.

En el menú "Herramientas" de Internet Explorer, escoger "Opciones
de Internet...", seleccionar la pestaña "Seguridad", pinchar en
el botón "Nivel personalizado...", buscamos el apartado
"Automatización" y "Permitir operaciones de pegado por medio de
una secuencia de comandos". Ahí seleccionaremos "Pedir datos",
para que Internet Explorer nos avise y nos de la opción de si
queremos o no permitir la acción, o "Desactivar" si queremos que
siempre evite la operación.

Otros navegadores no contemplan esta funcionalidad, y por tanto
sus usuarios no requieren en esta ocasión ninguna configuración
adicional para evitar un potencial uso malicioso de esta técnica.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Prueba de concepto
http://blog.hispasec.com/laboratorio/29

Vulnerable cached objects in IE (9 advisories in 1).
http://www.greymagic.com/security/advisories/gm012-ie/

Vulnerability Note VU#162097
http://www.kb.cert.org/vuls/id/162097