martes, 31 de enero de 2006

Denegación de servicio en Cisco VPN 3000 series

Se ha publicado una vulnerabilidad en Cisco VPN 3000 series por la que
un atacante podría enviar un paquete HTTP especialmente manipulado
al servidor HTTP del dispositivo (habilitado por defecto) que puede
llevar a que el dispositivo desconecte las conexiones activas o se
reinicie. Si se repite esta acción se puede crear una denegación de
servicio.

Los productos vulnerables son los concentradores de la serie Cisco VPN
3000 con software 4.7.0 hasta 4.7.2.A, lo que incluye la versión 4.7REL.
Las versiones anteriores a 4.7.x no son vulnerables. Esto incluye a
los modelos 3005, 3015, 3020, 3030, 3060 y 3080.

Cisco ha publicado un parche para solventar este problema, aunque
existen contramedidas para mitigar el impacto de la vulnerabilidad,
como por ejemplo, deshabilitar HTTP del servidor si no se utiliza.

Se recomienda actualizar a la versión 4.7.2.B desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/vpn3000-3des


Sergio de los Santos
ssantos@hispasec.com


Más información:

Cisco Security Advisory: Cisco VPN 3000 Concentrator Vulnerable to
Crafted HTTP Attack
http://www.cisco.com/warp/public/707/cisco-sa-20060126-vpn.shtml

lunes, 30 de enero de 2006

Desbordamiento de memoria en Winamp 5.x

Se ha descubierto una vulnerabilidad en Winamp que puede ser
aprovechada por atacantes remotos para ejecutar código arbitrario.

El fallo se debe a un desbordamiento de memoria intermedia a la hora
de procesar un fichero de lista de reproducción (archivo "pls") que
contenga una etiqueta "File1" especialmente formada. Esto puede ser
aprovechado por atacantes remotos para ejecutar código arbitrario y
potencialmente tomar el control del sistema vulnerable, sin
interacción alguna a través de la visita a una página web.

Las versiones afectadas son la 5.12 y anteriores.

No existe parche oficial conocido. Se recomienda no ejecuta ficheros
con extensión "pls" que provengan de fuentes no confiables o navegar
por páginas desconocidas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Nullsoft Winamp Player PLS Handling Remote Buffer Overflow Vulnerability
http://www.frsirt.com/english/advisories/2006/0361

Nullsoft Winamp Player <= 5.12 PLS File Handling Remote Buffer Overflow Exploit
http://www.spyinstructors.com/show.php?name=Advisories&pa=showpage&pid=71

domingo, 29 de enero de 2006

Corrupción de datos en conexiones TCP con Sun Solaris 8 y 9

Sun ha publicado paquetes actualizados para sus Solaris 8 y 9 debido
a que se han detectado problemas a la hora de interactuar con otros
sistemas operativos a la hora de realizar conexiones TCP.

Cuando Solaris 8 o 9 utiliza TCP para recibir datos desde otros
sistema y el sistema que envía los datos utiliza una implementación
defectuosa del protocolo, puede recibirse información incorrecta.
Dependiendo de la aplicación que se ejecute, esto puede llevar a la
corrupción de datos.

Las direcciones para descargar los paquetes para solventar este
problema son las siguientes:
* Solaris 8 (sparc)
Parche 116965-15
* Solaris 8 (x86)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116966-15&method=f
* Solaris 9 (sparc)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118305-06&method=f
* Solaris 9 (x86)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=117470-05&method=f


Julio Canto
jcanto@hispasec.com


Más información:

TCP Connections From Non-Solaris Endpoints May Experience Data Corruption
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-101914-1

sábado, 28 de enero de 2006

Varios productos de Microsoft obtienen la certificación Common Criteria

Microsoft anunció hace algunos días que varias de sus soluciones para
servidor y sistemas operativos han obtenido la certificación Common
Criteria para la evaluación de seguridad, un estándar que en España
será otorgado por el Centro Criptológico Nacional (CCN), dependiente
del Centro Nacional de Inteligencia (CNI). ¿Qué es exactamente
"Common Critera"?

El Common Criteria es un estándar internacionalmente reconocido y
fundamentado en las normas ISO/IEC 15408:2005 e ISO/IEC 18405:2005.8.
Para evaluar la seguridad de un producto y hacerlo merecedor de este
certificado, se deben comprobar numerosos parámetros relacionados con
la seguridad y propuestos previamente por el fabricante. Estos
parámetros han sido consensuados y aceptados por 22 países de todo el
mundo, hasta el punto de que algunos gobiernos (como el de Estados
Unidos de América) exigen esta certificación para poder utilizar sus
sistemas. El visto bueno de la Common Criteria Organtization permite
que el producto sea usado en sistemas críticos de los gobiernos e
instituciones de todo el mundo, ya sea pertenecientes a bancos,
agencias secretas de inteligencia o el mismísimo Pentágono.

En España es el CNI (dependiente del Ministerio de Defensa) el que
emite esta certificación. En concreto su centro criptológico (CCN) es
el que evalúa los productos que pretenden obtener este reconocimiento,
que está siendo aplicado al desarrollo e implantación del inminente
DNI electrónico.

Los productos de Microsoft que han obtenido la certificación con
nivel EAL4 son Windows Server 2003 (cuatro ediciones), Windows XP
(dos versiones), MS Exchange Server SP1, MS ISA Server 2004 y
Certificate Server. Según Héctor Sánchez, director de seguridad
corporativa de Microsoft Ibérica, a su juicio, Comon Criteria
aporta "un criterio de objetividad" al discurso de la seguridad y
"demuestra en especial el compromiso de Microsoft con la seguridad
informática".

El nivel 4 se refiere a EAL4 (Evaluation Assurance Level). EAL no
indica el nivel de seguridad de lo evaluado ni garantiza la robustez
o seguridad del producto, sino que, de forma independiente, contrasta
el nivel de seguridad y funcionalidad real con lo que el fabricante
afirma.

Para otorgar el certificado, Common Criteria exige a los fabricantes
de los productos remitir una documentación exhaustiva sobre la
seguridad de los mismos. Esta es examinada y sometida a procesos de
verificación por parte de laboratorios independientes para evaluar
el nivel de adaptación a la norma. El aspirante a la certificación
puede elegir la profundidad de estudio del sistema para que sea
evaluado.

Microsoft ha aprovechado este trabajo de ingeniería para ponerlo a
disposición de los usuarios, administradores y responsables de
seguridad mediante la publicación de guías y plantillas que ayuden
a configurar y administrar los sistemas según las especificaciones
certificadas en Common Criteria. Las guías profesionales se
encuentran en esta dirección:
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/ccc/default.mspx
http://www.microsoft.com/technet/security/prodtech/windowsxp/ccc/default.mspx

Por su parte, Common Criteria otorga hasta siete niveles de seguridad
EAL, aunque los requerimientos de los niveles EAL5 a EAL7 se orientan
a productos con objetivos muy especializados. Por ejemplo, el
certificado EAL3 puede ser equivalente a un grado de seguridad
"moderada a alta" contrastada con el estándar y el EAL2 puede
equipararse a un grado de seguridad "de baja a moderada", según
siempre el criterio de este estándar.

Ya en el año 2000, Microsoft remitió Windows 2000 Professional, Server
y Advanced Server a Common Criteria. Tras dos años sometiendo cientos
de componentes del sistema operativo a análisis y tests, se obtuvo la
calificación EAL4+ Flaw Remediation. El añadido "Flaw Remediation"
significa que se evalúa el procedimiento establecido por el
fabricante en el seguimiento y corrección de fallos y en este caso es
la puntuación más alta.

Miguel Bañón, miembro español del Common Criteria Maintenance Board,
precisó durante el anuncio de Microsoft, que la certificación no es
"un cheque en blanco" que certifique una seguridad de por vida. Pierde
plena vigencia cuando aparece un "parche" o modificación de los
programas, pero aseguró que "el certificado demuestra una alta calidad
de producto y un firme compromiso de la empresa con la seguridad real".
Añadió que "La declaración no es genérica ni universal, pero está
aceptada por las principales instancias de países como Estados Unidos,
Canadá, Australia, Francia, Alemania, Reino Unido o Japón, y por las
grandes empresas y consorcios de todo tipo de productos, como Visa y
otros fabricantes de tarjetas de crédito".


¿Y el resto de sistemas operativos?

Además de otros productos hardware de todo tipo, Microsoft no es el
único sistema operativo que goza de este reconocimiento. Apple sometió
también componentes de sus servidores y clientes Mac OS X 10.3.6 a la
evaluación y superó con éxito, tras exhaustivas comprobaciones, los
tests aplicados, llegando a obtener EAL nivel 3. Además Apple ha
publicado sus "Common Criteria Tools", un conjunto de programas
disponible para todos sus sistemas operativos que permite
configurarlos para aprovechar mejor las normas Common Criteria. Además
permiten la activación de un sistema especial de auditoría de
registros y contienen documentos que ofrecen algunas ideas necesarias
para asegurar los OS X según el criterio.

En enero de 2004 SuSE, que ya en 2002 obtuvo el EAL2, conseguía EAL3.
Fue entonces cuando por primera vez un sistema Linux obtuvo esa
puntuación de la Common Criteria Organtization. La certificación sólo
incluía a la distribución SuSE instalada bajo una determinada línea de
sistemas IBM. Red Hat Enterprise Linux también está certificado bajo
servidores IBM. En el portal oficial de Common Criteria (referenciado
más abajo) se puede consultar la lista completa de los productos que
han sido evaluados, su correspondiente calificación, el documento
aportado por el fabricante con las especificaciones para ser
evaluadas, y el informe final obtenido.

Entre los sistemas operativos que han conseguido la certificación
podemos encontrar también versiones de AIX, B1/EST-X, Blue Coat
ProxySG, Cray UNICOS/mp, HP-UX, Tru64, IBM i5/OS V5R3MO, IBM LPAR,
IBM z/OS, Network Appliance Data ONTAP, Nokia IPSO, PR/SM,
Red Hat Linux, Sun Solaris, Trusted IRIX/CMW y XTS-400/STOP.

La lista detalla se puede encontrar en la dirección:
http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4&orderindex=1&showcatagories=256


¿Garantiza Common Criteria la seguridad del producto?

No. No existe certificación alguna que pueda garantizar la seguridad
de una aplicación software. De hecho, como bien apuntaba Miguel Bañón,
el estudio se lleva a cabo sobre una versión muy concreta del
producto, y la simple actualización del mismo hace que pierda
vigencia.

Aunque lógicamente se siguen detectando nuevas vulnerabilidades en
los productos certificados, sin ir más lejos en el caso de Windows
el descubrimiento de la vulnerabilidad en el procesamiento WMF fue
posterior, sí es cierto que Common Criteria supone una importante
inversión de recursos, tecnológicos, financieros y humanos, a
diferentes aspectos de la seguridad. No en vano, la certificación
de Windows XP SP2 se ha conseguido tras tres años de intenso
trabajo, y dos años en el caso de Windows Server 2003.

Por tanto, aun con las limitaciones y condicionantes lógicos que
debemos asumir con cualquier certificación, sí debemos valorar
positivamente que cualquier producto, con independencia de su
licencia, consiga obtener la certificación Common Criteria.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Common Evaluation Methodology
http://www.commoncriteriaportal.org/public/expert/index.php?menu=3

Lista de productos evaluados y calificados.
http://www.commoncriteriaportal.org/public/consumer/index.php?menu=4&orderindex=1&showcatagories=256

Varios productos de Windows obtienen la certificación de seguridad
internacional Common Criteria, otorgada por el CNI.
www.europapress.es/europa2003/noticia.aspx?cod=20060113124440&tabID=1&ch=72

Certificación Common Criteria Windows Server 2003 + Certificate Server
http://www.microsoft.com/technet/security/prodtech/windowsserver2003/ccc/default.mspx

Certificación Common Criteria Windows XP SP2
http://www.microsoft.com/technet/security/prodtech/windowsxp/ccc/default.mspx

Certificación Common Criteria MS ISA Server 2004
http://www.microsoft.com/isaserver/techinfo/deployment/commoncrit.mspx

Certificación Common Criteria MS Exchange Server 2003
http://www.microsoft.com/technet/prodtechnol/exchange/2003/e2k3cc.mspx

Certificación Common Criteria
http://www.microsoft.com/spain/enterprise/perspectivas/numero_6/seguridad.mspx

Linux obtiene certificación de seguridad
http://www.diarioti.com/gate/n.php?id=4970

Linux gets sensitive government use approval
http://www.cnn.com/2003/TECH/industry/08/05/linux.software.ap/index.html

viernes, 27 de enero de 2006

Salto de restricciones de seguridad en productos Oracle

Pocos días después del parche acumulativo publicado por Oracle, ha
aparecido una importante vulnerabilidad en diversos productos de la
compañía.

Oracle Coporation es un fabricante de soluciones software. Sin duda
alguna, su producto más popular es su gestor de bases de datos
relacionales, bastante empleado en entornos orgnizativos, especialmente
en corporaciones de gran tamaño. Los orígenes de Oracle se remontan
a finales de los 70, con la aparición de la sociedad Relational
Software y los trabajos de George Koch.

Los problemas documentados afectan a un amplio espectro de soluciones
Oracle. Se han identificado como vulnerables Application Server,
Database Enterprise Edition y Database Standard Edition versiones
9i, así como la ramas 8.x y 9.x del servidor HTTP de Oracle. Son
vulnerables también Oracle Application Server 10g, y Oracle Database
8.x, si bien no es descartable que otros productos sean vulnerables,
según se vayan ejecutando más pruebas en entornos distintos a los
empleados por el descubridor de los problemas, David Litchfield.

Los problemas de seguridad están causados por un error en el Gatway
PL/SQL de Oracle, cuando procesa y valida peticiones HTTP. Estas
peticiones podrían ser adulteradas, y ser empleadas para evitar la
lista de exclusiones de PL/SQL, lo que otorgaría a los atacantes
acceso a paquetes y procedimientos privilegiados.

PL/SQL es un lenguaje muy empleado en Oracle, que permite ampliar las
capacidades nativas del estándar SQL y faculta a los usuarios poder
definir secuencias de control, de flujo y toma de decisiones. Esto
lo convierte en un lenguaje de utilidad para administradores y
programadores, que reducen esfuerzos de control y simplifican los
programas, y para usuarios finales, que se pueden ver beneficiados
por las implicaciones de los resultados de los procesos de toma
de decisiones, los cuales pueden ser empleados para dotar de
funcionalidad "business intelligence" a los programas escritos
en este lenguaje.

La gravedad de los problemas puede ser calificada como altamente
crítica, ya que no existe solución del fabricante en la actualidad.
Los fallos son además explotables de modo remoto, y la explotación
exitosa de los mismos puede conducir a saltos de restricciones de
seguridad, que comprometan seriamente los entornos donde estén
desplegadas estas soluciones Oracle. Puesto que los atacantes
podrían ganar acceso a las bases de datos a través del servidor
Web.

El modelo de seguridad de Oracle está siendo sometido constantemente a
revisiones y críticas de toda índole. Especialmente en este caso, ya
que los problemas descubiertos fueron comunicados a Oracle en octubre
de 2005, y posteriormente, el 7 de noviembre, al NISCC británico. Ante
la severidad del problema, se esperaba que el parche de Oracle de
enero contuviera soluciones al problema, pero no ocurrió así. El fallo
continúa vigente, siendo poco comprensible la actitud del fabricante
ante la notificación de un problema tan comprometido como el descrito,
ante el cual han hecho caso omiso. Esta actitud sólo está ayudando a
tensar la ya tensa cuerda de la administración de seguridad de la
compañía, la cual es frecuentemente acusada de ser lenta y poco
flexible ofreciendo soluciones de seguridad.

En ausencia de respuesta oficial del fabricante, se aconseja a los
administradores Oracle filtren las posibles cadenas maliciosas a
través de un proxy o un firewall que tenga capacidad de filtrado de
URLs. Existe la posibilidad, siempre que emplee el módulo de Apache
mod_rewrite, presente en la distribución Apache de Oracle, de efectuar
reescrituras de URL que contengan el carácter del paréntesis de
cierre, ')'. Esto es posible mediante la introducción de las
siguientes reglas mod_rewrite en el fichero http.conf, si bien es
posible aplicar estas reglas en directorios específicos mediante
.htaccess. Es posible incluir estas reglas dentro de un bucle de
comprobación IfModule, del tipo [Reglas
mod_rewrite]


RewriteEngine on
RewriteCond %{QUERY_STRING} ^.*\).*|.*%29.*$
RewriteRule ^.*$ http://127.0.0.1/denied.htm?attempted-attack
RewriteRule ^.*\).*|.*%29.*$
http://127.0.0.1/denied.htm?attempted-attack


Sergio Hernando
shernando@hispasec.com


Más información:

Oracle Corporation
http://www.oracle.com

Oracle Security FAQ
http://www.orafaq.com/faqdbase.htm

Grupo de parches de enero para diversos productos Oracle
http://www.hispasec.com/unaaldia/2644

[Full-disclosure] Workaround for unpatched Oracle PLSQL Gateway flaw
http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041742.html

jueves, 26 de enero de 2006

Múltiples vulnerabilidades en FreeBSD

Los usuarios de soluciones FreeBSD tienen a su disposición soluciones
efectivas a dos problemas de seguridad aparecidos recientemente, que
explotados con éxito podrían permitir la realización de ataques de
denegación de servicio y la revelación de información sensible.

FreeBSD es un sistema operativo de alta calidad diseñado para sistemas
x86, con soporte para arquitecturas amd64, Alpha/AXP, IA-64, PC-98 y
UltraSPARC. Existen ramas de desarrollo experimental para abastecer
equipos con otras arquitecturas, como ARM, MIPS, y PPC.

FreeBSD es un sistema derivado del UNIX desarrollado por la
Universidad de Berkeley, aquel 4.4BSD-Lite desarrollado por el
Computer Systems Research Group (CSRG). Este sistema multiusuario y
multitarea por apropiación, es compatible con los estándares POSIX,
e incluye además del kernel, un completo sistema de ficheros y
utilidades adicionales para dar servicios a sus usuarios. Sus orígenes
se remontan a 1993, con las nomenclaturas "386BSD 0.5" y "386BSD
Interim", ya que sus autores, Jordan Hubbard, Nate Williams y Rod
Grimes, pretendían derivar una versión del 386BSD para mitigar
diversos problemas técnicos y someter al producto a mejoras para
sus labores de investigación.

Los problemas documentados son, en esencia, dos. El primero de ellos
está causado por un error en la gestión de fragmentos IP en el
componente de filtrado "pf". Una secuencia maliciosa especialmente
preparada de paquetes fragmentados IP podría provocar pánico en el
kernel, con las consecuentes denegaciones de servicio. El fallo se ha
verificado en todos los sistemas FreeBSD versiones 5.3, 5.4 y 6.0 que
tengan "pf" en uso con reglas temáticas del tipo "scrub fragment crop"
y "scrub fragment drop-ovl". Esta condición atenuante convierte el
problema en moderadamente crítico.

El segundo problema es de criticidad leve, y ha sido documentado en
las versiones 5.4-STABLE y 6.0. Explotable solamente a nivel local,
los sistemas sin corregir podrían facilitar la revelación de
información sensible. Ambos problemas están debidos a errores de
diseño en el mecanismo ioctl, utilizado para el control de flujo
de entrada y salida a dispositivos, es posible a causa del error
descrito, que el contenido de la memoria se copie a búferes del
espacio de usuario. La memoria podría contener información sensible,
como claves. Este mismo componente tiene también un comportamiento
anómalo a la hora de calcular tamaños de búfer, lo que podría
igualmente ser aprovechado para volcar contenidos de memoria a
búferes del espacio de usuario, siendo factible que los volcados
contengan información sensible, como en el caso anterior.

La solución a estos problemas pasa por la actualización, la cual
animamos a ejecutar desde estas líneas.


Sergio Hernando
shernando@hispasec.com


Más información:

FreeBSD
http://www.freebsd.org

IP fragment handling panic in pf(4)
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:07.pf.asc

Local kernel memory disclosure
ftp://ftp.freebsd.org/pub/FreeBSD/CERT/advisories/FreeBSD-SA-06:06.kmem.asc

Parche para denegación de servicio en "pf" (versiones 5.3, 5.4 y 6.0)
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:07/pf.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:07/pf.patch.asc

Parche para problema de revelación de información sensible de memoria
Versiones 5.4-STABLE y 6.0-STABLE:
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:06/kmem.patch
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:06/kmem.patch.asc

Versión 6.0-RELEASE:
ftp://ftp.FreeBSD.org/pub/FreeBSD/CERT/patches/SA-06:06/kmem60.patch
ftp://ftp.FreeBSD.org/pub/FreeBS...atches/SA-06:06/kmem60.patch.asc

miércoles, 25 de enero de 2006

Virus: 20 años no es nada... ¿o sí?

Este mes se cumplen 20 años desde que el primer virus masivo para PC,
Brain, se volviera popular entre los relativamente escasos usuarios de
ordenadores personales de 1986. En sólo 20 años los virus son ya un
negocio rentable para muchos, tanto para quien los crea como para
quien los combate.

Antes de ese Brain, hace ahora casi 23 años, en noviembre de 1983,
Fred Cohen acunó el término "virus" y demostró empíricamente lo que
todos temían e intuían: efectivamente, como muchos habían estudiado
teóricamente, se podía crear código que atacara a otros programas
modificándolos, y a la vez fuese capaz de auto-replicarse. Cohen
presentó el código del experimento en su doctorado para la Universidad
del Sur de California y demostró al mundo que este comportamiento era
posible en un programa implementándolo en una de las míticas máquinas
Vax (bajo Unix). El programa creado podía hacerse con los derechos de
los archivos del sistema en menos de una hora, con un tiempo récord de
cinco minutos. El hecho causó tanto miedo que se prohibieron este tipo
de prácticas, pero la curiosidad y fascinación crecía en los nuevos
informáticos, que comenzaron a experimentar con nuevos "programas" y
los recién estrenados sistemas. Nacían los primeros virus.

La velocidad de Internet aumenta a pasos agigantados. Si esa primera
prueba de concepto de Cohen tardaba una hora como máximo en hacerse
con un sistema, si Brain nació sólo tres años después en Paquistán y
no se dejó ver por Estados Unidos de América hasta un año después,
Slammer, un virus de 2003, tardó unos pocos minutos en dar una vuelta
al mundo. Se paseó por todos los servidores MS-SQL del planeta,
duplicando el número de servidores infectados cada 8,5 segundos. El
récord anterior lo ostentaba el gusano Code Red, que apareció en el
2001 y llegó a duplicar el número de sistemas infectados cada 37
minutos.

¿Tanto ha avanzado el código vírico en 20 años como para reducir a
segundos lo que antes podía tardar hasta un año? Para alcanzar estas
cotas de velocidad, influye más la infraestructura de red que el
código en sí. El hecho de que hoy por hoy la red de interconexión
entre sistemas sea gigantesca, no resta mérito a ese primer virus.
Brain debía propagarse principalmente a través de disquetes de mano
en mano, y con este rudimentario sistema llegó a instalarse en medio
mundo. Slammer y Code Red, sin embargo, contaban con la ventaja de
una red rápida e interconectada, además de que atacaban de forma
automática a servicios de red, no a usuarios domésticos. Estos
servicios permanecen 24 horas activos en la red y saltaban de uno
a otro sin necesitaban de interacción por parte de ningún humano,
lo que facilitaba la labor a este código vírico.

En 20 años, la vía de difusión no ha pasado por demasiadas fases. Los
virus de sector de arranque fueron populares durante unos diez años,
y desaparecieron para dejar paso, hacia 1995, a los virus de macro
asociados a los documentos de Office de Microsoft Windows. A finales
de los 90 se tomó el correo como vía sencilla y rápida de difusión de
código malicioso y hoy en día sigue siendo la más popular, aunque
últimamente se use también el navegador como vía de infección gracias
a ciertas vulnerabilidades que lo permiten.

Lo indiscutible es que ya hemos aprendido a convivir con ellos y no
falta el año en el que al menos un par de virus campan a sus anchas
por todos los sistemas Windows. I Love You (con el que se cebaron los
medios), Slammer (de los más rápidos de la historia), Klez (el más
persistente de la historia, con casi un año en el "top ten"), Blaster
(el virus que demostró la utilidad de los cortafuegos personales)... y
así hasta los más de 100.000 que puede detectar hoy en día cualquier
programa antivirus, que se enfrentan cada vez a criaturas más rápidas
y potentes.

Lo que más ha cambiado en estos 20 años, sin duda, no tiene nada que
ver con el aspecto técnico. El fin de la creación de estos virus ha
variado radicalmente. Anteriormente los virus no tenían otra función
más que su propia difusión y la experimentación con los códigos.
Cuanto más pudiesen infectar y más atención le prestaran los medios,
mayor el regocijo y reconocimiento para el creador del software
maligno. Desde hace pocos años se viene observando una alianza
estratégica entre estos creadores de virus, capaces de esparcir
código malicioso por millones de sistemas Windows, y los spammers,
que necesitan que ese código malicioso se difunda para poder enviar
más eficazmente sus correos a millones de buzones.

Esta profesionalización del medio requiere de unas técnicas más
sofisticadas para maximizar el beneficio obtenido por ambas partes.
Es por ello que los virus también han evolucionado, sobre todo, en
complejidad. Esto por un lado se debe a la conectividad, que permite
la compartición de códigos en Internet y favorece su reutilización y
mejora constante y, por otro, por la necesidad de competir con los
antivirus (siempre a la zaga). Pero, sobre todo, lo que ha potenciado
la complejidad del código ha sido la necesidad de aumentar el
beneficio, lo que obliga a una máxima difusión del virus que instala
el código malicioso en la víctima. Los creadores de virus y gusanos
no escatiman esfuerzos en intentar que el impacto sea de increíbles
proporciones, controlar el mayor número de máquinas posible y lanzar
así ataques donde el lucro resulta el único objetivo.

Y para muestra de la importancia y posibilidades de estas alianzas
estratégicas, este mismo mes hemos sido testigos de un juicio sin
precedentes. El californiano Jeanson James Ancheta se declaraba
culpable, ante el Tribunal Federal de Los Ángeles, del hecho de haber
encabezado y dirigido un verdadero ejército de máquinas "zombie", con
las que había llegado a ganar hasta 61.000 dólares alquilando sus
esclavos a bandas de spammers y phishers. Este chico, nacido el mismo
año que el virus Brain, ha conseguido vivir holgadamente de la
infección vírica desde hace algunos años.

Si en el plano ilegal el pastel es jugoso, el negocio económico
"legal" formado en torno a los virus en estos 20 años no ha dejado de
crecer. Según el FBI, los virus y demás crimen organizado en Internet
ocasionaron pérdidas del orden de los 67.000 millones de dólares a
las compañías de ese país en 2005. Paralelamente, las compañías de
seguridad informática y antivirus facturaron 37.000 millones de
dólares.

Lo más preocupante es que, si en 20 años los virus han llegado tan
lejos sin prácticamente salir del PC... no sabemos qué puede ocurrir
cuando la conectividad alcance a todo tipo de aparatos cotidianos.
Según estimaciones de expertos leídas en news.com, el mercado de
los antivirus tendrá un valor de 73.000 millones de dólares en
2009.¿Incluirán ya esas cifras el potencialmente gigantesco negocio
de los antivirus para móviles?


Sergio de los Santos
ssantos@hispasec.com


Más información:

Computer Viruses - Theory and Experiments
http://vx.netlux.org/lib/afc01.html

Computer crime costs $67 billion, FBI says
http://news.com.com/Computer+crime+costs+67+billion,+FBI+says/2100-7349_3-6028946.html


Hacker admits renting 'botnet' to spammers
http://www.chron.com/disp/story.mpl/tech/news/3607226.html

Los virus informáticos cumplen veinte años
http://www.diarioti.com/gate/n.php?id=10435

Computer viruses now 20 years old
http://news.bbc.co.uk/2/hi/technology/3257165.stm

martes, 24 de enero de 2006

Vulnerabilidades en ADOdb para PostgreSQL

Se ha descubierto un problema en el conector ADOdb para bases de datos
de tipo PostgreSQL, que podría implicar un riesgo moderadamente
crítico en sistemas que contengan el componente afectado.

ADOdb es un componente muy popular para proporcionar conectividad a
bases de datos mediante lenguajes PHP y Python. Entre los muchos
formatos de base de datos con drivers ADObd están MySQL, Interbase,
Oracle, MS SQL, DB2, SAP DB, LDAP, bases genéricas ODBC y ODBTP, y la
base de datos sujeta a la vulnerabilidad que documentamos, PostgreSQL.
Afortunadamente, la vulnerabilidad sólo se ha diagnosticado en los
entornos PostgreSQL con conectividad vía ADOdb, no constando noticia
alguna de que otras versiones para otros tipos de base de datos estén
afectadas. Este factor, sin duda, mitiga gran parte del riesgo.

ADOdb Database Abstraction Library for PHP (and Python) está
especialmente pensada para obtener consultas ágiles, ya que en opinión
de muchos usuarios, se trata de la librería de abstracción más rápida
existente en la actualidad para PHP. ADOdb es código abierto, y tiene
un mantenimiento muy exhaustivo, además de una amplia comunidad de
usuarios que ofrece soporte continuo e innovación a sus
funcionalidades.

Los problemas detectados por Andy Staudacher podrían facilitar la
inyección de código SQL en los sistemas afectados, con el consiguiente
riesgo de manipulación remota de datos. Se han corregido algunos
fallos en las conexiones DSN, especialmente cuando se emplean nombres
con guiones bajos, guiones bajos que además provocaban ciertos
problemas en la versión 5 de PHP, los cuales se han corregido
aprovechando el lanzamiento de la versión no vulnerable. Se consideran
afectadas todas las versiones anteriores 4.x anteriores a 4.71

Otros problemas menores son la correcta implementación del flag de
hora y fecha, presente en la matriz ADORecordset_array, correcciones
de compatibilidad en la función GetInsertSQL(), y correcciones en la
función qstr() y adodb_getdriver().

Además de los problemas corregidos, se ha introducido soporte para las
conexiones tipo PDO DSN en la función NewADOConnection(), así como un
nuevo parámetro de base de datos en la función PDO::Connect(). La
nueva versión añade compatibilidad para PHP 5 también en el registro
de cierre session_write_close del fichero adodb-session.inc.php,
fichero que sin duda conocerán los administradores de sistemas de
gestión de contenido como Postnuke, cuando se opta por su empleo con
ADOdb y PostgreSQL.

La solución al problema pasa por la actualización a la versión 4.71


Sergio Hernando
shernando@hispasec.com


Más información:

ADOdb
http://adodb.sourceforge.net/

Release Name: adodb-4.71-for-php
http://sourceforge.net/project/shownotes.php?release_id=387862&group_id=42718

Descarga de versión 4.71
http://sourceforge.net/project/showfiles.php?group_id=42718&package_id=34890

lunes, 23 de enero de 2006

Denegación de servicio en fetchmail 6.3

Se ha encontrado una vulnerabilidad en fetchmail que puede ser
aprovechada por atacantes para provocar una denegación de servicio.

"fetchmail" es una herramienta utilizada para descargar correo
electrónico de servidores y repartirlo en diversas cuentas locales.
Se trata de un servicio utilizado con asiduidad por administradores
de sistemas con conexiones no permanentes a Internet.

La vulnerabilidad se debe a un liberación incorrecta de un puntero
inválido cuando un mensaje es rebotado al remitente o al postmaster
local. Esto puede ser aprovechado para hacer que el programa deje de
responder.

Las versiones vulnerables son 6.3.x anteriores a 6.3.2 y las versiones
candidatas 6.3.2-rc1, -rc2, y -rc3.

Se recomienda actualizar a 6.3.2 o posterior.
http://developer.berlios.de/project/showfiles.php?group_id=1824


Sergio de los Santos
ssantos@hispasec.com


Más información:

fetchmail-SA-2006-01: crash when bouncing messages
http://fetchmail.berlios.de/fetchmail-SA-2006-01.txt

fetchmail
http://fetchmail.berlios.de/

domingo, 22 de enero de 2006

250.000 máquinas "zombies" al día en diciembre

Según un estudio que podemos ver en technewsworld.com, en el último mes
se han batido todas las marcas. En diciembre, hasta 250.000 ordenadores
al día han sido infectados por algún tipo de troyano que permitía
controlarlos. Hasta siete millones y medio de "zombies" ese mes al
servicio de spammers, phishers, virus, y demás indeseables de Internet.

250.000 "zombies" al día supone un incremento de un 50% respecto al mes
anterior, lo que no es poco. Por países, estos sistemas se distribuyen
así:

China: 17.10 %
Estados Unidos de América: 14.75 %
Alemania: 8.57 %
Francia: 5.61 %
España: 4.37 %
Corea: 4.35 %
Brasil: 4.06 %
Polonia: 4.05 %
Japón: 3.92 %
Reino Unido: 3.32 %

En números, nos da una cifra de aproximadamente 330.000 ordenadores
secuestrados en diciembre en España. En este repunte de cifras a final
de año, sin duda, han tenido mucho que ver las últimas variantes de
Sober y la vulnerabilidad WMF de Microsoft Windows como causantes del
robo de estas máquinas.

De la intención del reclutamiento masivo de ordenadores ya se ha hablado
en una-al-día anteriormente. Con la debida coordinación, un sólo "click"
del programa maestro permite ordenar a una red de miles de máquinas
ejecutar una misma orden de ataque. La mayoría de usuarios ni siquiera
conoce la clandestina actividad de su sistema y en un principio,
simplemente suelen percibir cierta merma en su velocidad de navegación
y proceso. Las máquinas "zombie" se aglutinan en los denominados
"botnets", anglicismo que se refiere a la asociación en red (nets)
de máquinas autónomas (bots, apócope del término sajón robots). Los
"botnets" pueden concentrar un gran número de máquinas "zombie" que se
coordinan para gestionar el envío de correo basura, pero, sobre todo,
suelen ser las culpables de los ataques de denegación de servicio
distribuido (DDoS)

Hace ahora justo un año, se publicaba un estudio de Honeynet.org,
especialistas en el seguimiento de redes automatizadas de máquinas
comprometidas, efectuado entre noviembre de 2004 y enero de 2005. En él
se monitorizaron más de 100 "botnets" diferenciados, alguno de ellos con
más de 50.000 máquinas "zombie" comprometidas. Se llegaron a censar más
de 226.000 direcciones IP distintas por canal auditado, lo que nos
ofrece una idea aproximada de la magnitud del problema. Un año después,
se bate récord de máquinas infectadas diariamente.

¿Qué potencia se puede alcanzar con tal ejército de máquinas? La
computación coordinada es muy importante y no siempre se utiliza con
fines despreciables. Según lo que se ha podido conseguir con muchas
menos de esas 250.000 máquinas "zombies" identificadas diariamente en
diciembre, podremos llegar a hacernos una idea del problema que supone
para la seguridad que ciertos irresponsables controlen a su antojo tal
cantidad de sistemas, cada uno con su capacidad de proceso y con su
ancho de banda dispuestos a ser sacrificados a la primera orden.

Un ejemplo de computación coordinada es Distributed.net, un proyecto
destinado a comprobar la seguridad de los algoritmos de cifrado más
conocidos. Voluntarios prestan de forma altruista los tiempos "ociosos"
de sus máquinas para procesar datos del algoritmo de cifrado elegido.
Mediante un sistema distribuido donde son asignados bloques de claves a
cada cliente y coordinadas con un servidor, se intenta por fuerza bruta
averiguar el mensaje cifrado con un algoritmo concreto.

En 1999 se propusieron romper un mensaje cifrado con el algoritmo RC5
de 64 bits por fuerza bruta y les llevó casi cuatro años probar
15.769.938.165.961.326.592 claves para finalmente descubrirla en julio
de 2002. Desde diciembre de ese mismo año intentan, insistentemente,
descifrar un mensaje cifrado ahora con RC5 de72. bits, lo que implica
probar 2 elevado a 72 claves, un número de 22 cifras. Para el primer
desafío contaron "sólo" con 331.252 máquinas de todo tipo durante todo
el proceso. Para el desafío actual todavía no resuelto, han participado
ya 69.212 ordenadores.

SETI, o la Búsqueda de Inteligencia ExtraTerrestre, es un esfuerzo
científico que trata de determinar si hay vida inteligente en
el Universo. Su proyecto más exitoso es SETI@Home, al igual de
Distributed.net, utiliza sistemas personales conectados a Internet
para analizar la increíble cantidad de información que el equipo SETI
recibe en sus radiotelescopios. Las señales de "ruido" del Universo
recibidas, son codificadas y enviadas por paquetes al cliente.
Este es un pequeño programa que cada usuario mantiene voluntariamente
instalado en su sistema. Aprovecha los tiempos muertos para analizar y
procesar los paquetes y son devueltos al equipo SETI con los resultados.
La probabilidad de que un ordenador detecte el murmullo lejano de una
civilización extraterrestre es mínima, pero con tal capacidad de
computación unida, las posibilidades aumentan.

Seti@Home cuenta actualmente con unos 370.000 usuarios registrados, y
unas 750.000 máquinas en todo el mundo. En España, menos de 9.000. En
este caso, teniendo en cuenta los 330.000 "zombies" detectados en
nuestro país en diciembre, son más las máquinas que tienen programas
instalados clandestina e involuntariamente que de forma consciente, y
mayores los recursos invertidos para fines ilegales y prohibidos que
para proyectos interesantes y altruistas.

La intensidad de los ataques perpetrados por redes "zombies" o
"botnets", es poco menos que incontenible. Unir de forma coordinada
la capacidad de proceso y "bombardeo" de cada máquina, apuntando su
caudal hacia un objetivo fijo y determinado, puede terminar por consumir
los recursos de las redes más anchas y preparadas. Si estas redes de
"zombies" se emplean, además, para el envío de correo basura, el
resultado es el que podemos comprobar cada día en las casillas de correo
de todos los usuarios del planeta: miles de millones de mensajes
inútiles que se cuelan en nuestros clientes, (más los miles de millones
ya desechados por los programas anti-spam), además del phishing y de los
correos infectados por virus. En gran parte, es culpa de estos "zombies"
tal cantidad de basura desproporcionada, y, para colmo, hoy por hoy
según estos nuevos datos, los sufrimos más que nunca.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Nearly a Quarter Million PCs Turned Into 'zombies' Daily
http://www.technewsworld.com/story/48174.html

Estadísticas distributed.net
http://stats.distributed.net/projects.php?project_id=8

Estadísticas Seti@Home
http://www.boincsynergy.com/stats/country.php?project=sah

Cuatro años para averiguar una clave
http://www.el-mundo.es/navegante/2002/10/02/seguridad/1033548139.html

una-al-dia (08/10/2002) Finaliza el reto RC5-64
http://www.hispasec.com/unaaldia/1444/

sábado, 21 de enero de 2006

Inyección de código en Cisco IOS Web Server 11.x

Se ha identificado una vulnerabilidad en Cisco IOS Web Server. Un
atacante puede transmitir un paquete CDP (Cisco Discovery Protocol)
especialmente manipulado e inyectar código arbitrario, que podrá
permitir la obtención de las credenciales de administración.

La vulnerabilidad se debe a un filtrado insuficiente de los datos
introducidos por un usuario que son mostrados en las páginas de estado
de Cisco HTTP. Una de las páginas de estado incluidas en paquete HTML
de IOS 11 muestra información sobre estadísticas del protocolo CDP y
ahí es donde puede inyectarse código.

Para aprovechar la vulnerabilidad no es necesario autenticarse en el
servidor. Una vez el ataque ha sido realizado, el atacante puede esperar
a que el administrador del dispositivo navegue por las páginas afectadas.
Con el código inyectado se pueden robar las credenciales del administrador.

Esta vulnerabilidad puede afectar a todos los productos Cisco que
funcionen bajo IOS software 11 y tengan el servidor web de
administración habilitado. La vulnerabilidad ha sido confirmada en IOS
11.2(8.11)SA6. IOS 12 no se ve afectado por este problema.

Se recomienda actualizar a la versión 12, si no es posible se
recomienda deshabilitar el servidor web de administración remota.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Cisco Systems IOS 11 Web Service CDP Status Page Code Injection Vulnerability
http://www.idefense.com/intelligence/vulnerabilities/display.php?id=372

Cisco Security Advisory: IOS HTTP Server Command Injection Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20051201-http.shtml

viernes, 20 de enero de 2006

Vulnerabilidad en el intérprete kjs de KDE

Se acaba de dar a conocer la resolución a un grave problema de
seguridad detectado en diversas versiones de KDE. Las versiones
afectadas comprenden las disponibles entre la 3.2.0 y 3.5.0

Los orígenes de KDE se remontan a la toma del modelo iniciado por CDE
(Common Desktop Environment), un entorno de escritorio empleado por
diversos sistemas UNIX. El proyecto KDE fue iniciado por Matthias
Ettrich en octubre de 1996, prácticamente un año antes de que
apareciese el proyecto GNOME. Desde entonces, KDE es un gestor de
escritorio muy extendido en productos UNIX, especialmente en las
distribuciones Linux.

Librerías importantes del gestor, como KJSEmbed, distribuída en el no
menos importante módulo kdebindings, se alimentan de KDE ECMAScript
interpreter (kjs) para conectar aplicaciónes Qt/KDE y dotarlas de
capacidad de personalización mediante scripts. Un ejemplo clásico de
uso del motor kjs es el navegador Konqueror, un gestor de archivos y
navegador de Internet de alta calidad, muy popular entre los usuarios
de KDE.

El problema diagnosticado está causado por un error de límites en el
intérprete kjs a la hora de procesar secuencias URI codificadas según
UTF-8. Esto podría ser aprovechado para causar un desbordamiento de
búfer mediante peticiones Javascript especialmente construidas,
que procesadas por el intérprete afectado, podrían resultar en
denegaciones de servicio y la ejecución de código arbitrario en
los sistemas con versiones vulnerables.

Tras una inspección ocular a los diffs, los parches contienen
principalmente la adición y sustracción de diversos bucles IF de
comprobación, como el de los parámetros de longitud y reserva de
memoria de búfer "decbufLen" y "decbufAlloc", con el fin de impedir
los desbordamientos, así como la adición de líneas "Object err" para
el tratamiento de errores.

La posibilidad de explotar remotamente el problema descrito, la
gravedad de los resultados de la explotación y la creciente
implantación de KDE en muchos escritorios y servidores domésticos
y corporativos, confiere al problema un estatus de muy crítico. La
facilidad de explotación es otro factor a favor de la gravedad del
problema, motivo por el que recomendamos la actualización inmediata.


Sergio Hernando
shernando@hispasec.com


Más información:

KDE
http://www.kde.org

KDE Security Advisory: kjs encodeuri/decodeuri heap overflow vulnerability
http://www.kde.org/info/security/advisory-20060119-1.txt

Parche para versiones 3.4.0 - 3.5.0
ftp://ftp.kde.org/pub/kde/security_patches (post-3.4.3-kdelibs-kjs.diff)

Parche para versiones 3.2.0 - 3.3.2
ftp://ftp.kde.org/pub/kde/security_patches (post-3.2.3-kdelibs-kjs.diff)

jueves, 19 de enero de 2006

Grupo de parches de enero para diversos productos Oracle

Oracle ha publicado un conjunto de 82 parches para diversos productos
de la casa que solventan una larga lista de vulnerabilidades sobre las
que apenas han dado detalles concretos.

La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 2, versión 10.2.0.1
* Oracle Database 10g Release 1, versiones 10.1.0.3, 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7
* Oracle8i Database Release 3, versión 8.1.7.4
* Oracle Enterprise Manager 10g Grid Control, versiones 10.1.0.3,
10.1.0.4
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0,
10.1.2.0.1, 10.1.2.0.2, 10.1.2.1.0
* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.1,
9.0.4.2
* Oracle Collaboration Suite 10g Release 1, versiones 10.1.1, 10.1.2
* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2
* Oracle E-Business Suite Release 11i, versiones 11.5.1 a 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* PeopleSoft Enterprise Portal, versiones 8.4, 8.8, 8.9
* JD Edwards EnterpriseOne Tools, OneWorld Tools, versiones 8.95.F1,
SP23_L1
* Oracle Database 10g Release 1, versión 10.1.0.4.2
* Oracle Developer Suite, versiones 6i, 9.0.2.1, 9.0.4.1, 9.0.4.2,
10.1.2.0
* Oracle Workflow, versiones de la 11.5.1 a la 11.5.9.5
* Oracle9i Database Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
* Oracle8 Database Release 8.0.6, versiones 8.0.6.3
* Oracle9i Application Server Release 1, versiones 1.0.2.2

En el anuncio oficial de la compañía, si se han dado detalles de tres
vulnerabilidades que afectan sólo a clientes (no a máquinas con los
servidores propiamente dichos):
* Una está localizada en una utilidad que puede ser forzada a que
termine su ejecución, potencialmente permitiendo la ejecución remota
de código arbitrario. La utilidad no se instala con privilegios
setuid, por lo que el riesgo de que sea explotada de forma efectiva es
bajo.
* Otro de los problemas permite a los clientes JDBC para conectarse a
servidores OID configurados para rechazar conexiones anónimas
* Otro está relacionado con los pipes con nombre de Windows. La
vulnerabilidad es sólo explotable si el atacante es capaz de crear un
pipe con nombre que se use para comunicación con un servidor remoto de
base de datos que también corra con Windows.

Para comprobar las matrices de productos afectados, comprobar la
notificación oficial:
* Oracle Critical Patch Update - January 2006
http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html
* Critical Patch Update - January 2006 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343383.1
* Critical Patch Update - January 2006 FAQ
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343391.1


Julio Canto
jcanto@hispasec.com


Más información:

Oracle Critical Patch Update - January 2006
http://www.oracle.com/technology/deploy/security/pdf/cpujan2006.html

Critical Patch Update - January 2006 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343383.1

Critical Patch Update - January 2006 FAQ
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=343391.1

miércoles, 18 de enero de 2006

WMF, conspiraciones y Windows Vista

Steve Gibson ha publicado una, cuando menos, curiosa teoría. La famosa vulnerabilidad de los Windows MetaFile (WMF) que ha supuesto una pesadilla para Microsoft (obligándola, quizás por presiones externas, a romper su ciclo de actualizaciones mensuales) podría ser intencionada. Una puerta trasera incluida a propósito en el sistema operativo más famoso.

El 12 de enero Steve Gibson y su Gibson Research Corporation desataron la polémica. Una mezcla de conspiración y paranoia, pero basada en datos técnicos concretos. Gibson es un reputado especialista en seguridad informática. Su página, grc.com aloja útiles y variadas herramientas de seguridad para Windows y suele realizar intensos y concienzudos exámenes técnicos. Uno de ellos, estudiaba a fondo la vulnerabilidad WMF.

Este fallo, decía, está basado en los registros de tipo META_ESCAPE, concretamente en el subcódigo SetAbortProc. En ella se deben especificar dos argumentos, uno que representarían el "Device Context" y el segundo sería una función a ejecutar ante un evento de cancelación de impresión.

Sin embargo, según el estudio de Gibson, esto no ocurre exactamente así. Descubrió, cuando tuvo problemas para fabricar su propio "exploit" de la vulnerabilidad, que era necesario poner el valor LENGTH de la función SetAbortProc (culpable del fallo) a "1". Los primeros 4 bytes de cualquier metafile representan la longitud, pero para conseguir un exploit funcional para esta vulnerabilidad concreta, y poder ejecutar código arbitrario al procesar este tipo de ficheros, era necesario según Gibson, establecer deliberadamente ese valor a "1".

De este extraño y sospechosamente concreto valor necesario para lanzar el peligroso comportamiento de la función, con el que Gibson consiguió reproducir un exploit válido, dedujo que la única conclusión razonable es que se trataba de una puerta trasera incluida en las versiones recientes de Microsoft. Por qué estaba así programado, quién lo sabía y para qué se supone que iba a ser usado, nunca lo sabríamos.

Evidentemente, acusaciones de tal magnitud vertidas por un reputado experto, no tardaron en crear un gran revuelo entre investigadores e interesados. La mayoría, en las listas especializadas, no podían más que desechar la teoría de conspiración de Gibson. Simplemente, resultaba demasiado increíble y de ser cierto, podría convertirse en un
acontecimiento de tal magnitud que su repercusión escaparía a la imaginación de cualquiera.

Microsoft, a través de su blog, se defendió. No todas las versiones son "igual" de vulnerables ni el fallo es tan sencillo de reproducir. En los sistemas Windows 9x el problema no es "crítico" puesto que procesan de distinta forma las rutinas afectadas y se necesitaría un paso más para poder reproducirlo de forma automática con éxito. Al haber terminado el ciclo de vida estipulado por Microsoft para estos sistemas, no sacarán parches para problemas de seguridad no calificados como críticos (los que pueden ser aprovechados sin interacción alguna por parte del usuario).

Stephen Toulouse escribió además en el blog oficial de Microsoft que se conocía el fallo desde hacía muchos años y que estaba presente desde los tiempos de Windows 3.0, allá por 1990. SetAbortProc fue programada cuando la seguridad no representaban la mayor de las prioridades y fue introducida en los tiempos en los que procesar imágenes era lento y quizás fuese necesario abortar el proceso de impresión antes de que terminara, mucho antes incluso de que existiera el formato WMF. Aunque la funcionalidad fue perdiendo importancia, se fue portando, junto con muchas otras, versión tras versión, en lenguaje ensamblador, a los siguientes sistemas operativos que surgieron después.

Toulouse responde a la acusación concreta de Gibson, alegando que en realidad, el fallo puede ser reproducido con un valor correcto e incorrecto del campo LENGH y no necesariamente el "1". Si ocurre esto, es porque probablemente en el caso concreto que estudió Gibson, el registro SetAbortProc es el último en el MetaFile y esto puede provocar diferencias en el valor de la longitud necesario para poder aprovechar la vulnerabilidad. Por tanto, Microsoft alegaba que la conclusión de Gibson era poco más que circunstancial y no podía demostrar intencionalidad alguna.

En el mismo blog oficial de Microsoft, Toulouse habla de que por ejemplo, por conocer el peligro potencial de la función, se impedía a ciertas aplicaciones como Internet Explorer, procesar estos registros de tipo META_ESCAPE que contienen la función SetAbortProc. Así, al referenciar una imagen directamente en HTML, IE no la procesa y en
principio no se le creía una vía para explotar el fallo. Con lo que Microsoft "no contaba" es que, a través de Visor de Imágenes y Faxes de Microsoft, el navegador puede convertir una imagen WMF en un registro EMF imprimible. Durante esta conversión, la aplicación sí que procesa el registro META_ESCAPE y entonces sí que se vuelve vulnerable, tal y como hemos podido comprobar en las últimas semanas.

Estas explicaciones y justificaciones no han sido suficiente para muchos. Gibson se ha retractado de las formas técnicas en las que da la razón a Microsoft, pero insiste en el fondo y en su teoría de la puerta trasera, no necesariamente "con malas intenciones". Richard M. Smith va más allá y se pregunta lo que probablemente todo el mundo estaba pensando. Si Microsoft conocía el potencial peligro de SetAbortProc, ¿Por qué no lo deshabilitó por completo e introdujo otras funciones alternativas para abortar la impresión? ¿Por qué tantas contramedidas (impedir que ciertas aplicaciones lo usen) y no una eliminación completa? ¿Por qué los equipos de desarrollo de NT, 2000, XP y el responsable del Visor de Imágenes y Faxes no han sido quienes han dado la voz de alarma? Además, dada la problemática historia con los ficheros WMF, ¿por qué no se eliminó por completo su soporte en Internet Explorer? O también: ¿no deberían los archivos WMF haber sido marcados en el registro para impedir su descarga por considerarse no seguros?

Estas preguntas son válidas incluso para versiones de Windows que todavía están por llegar. Y es que, aunque no ha sido anunciado en ningún boletín, ya existe un primer parche para Windows Vista, la futura versión de escritorio de Windows. La comunidad que la tiene instalada y la comprueba a fondo puede descargar ya su primer parche, que solventa la vulnerabilidad WMF. Esto confirma que la función culpable de la vulnerabilidad, SetAbortProc, también está presente, muchos años después de su creación y completamente obsoleta ya, en la versión del sistema operativo aún en pruebas.

Gibson da marcha atrás en sus teorías sobre conspiraciones iniciales... y Microsoft también. Windows Vista ha sido retrasado una y otra vez desde que fue anunciado, y mientras tanto, a la vez, ha perdido por el camino varias de las funcionalidades prometidas que finalmente no vendrán incluidas en él. Se puede concluir que Vista está siendo especialmente probada, o desarrollada, o quizás que plantea más problemas de los que en principio se planearon y eso consume demasiado tiempo. A la "vista" de este primer parche que en principio no debiera haber existido, por las consecuencias claras que se deducen de él, su código no es tan novedoso como se nos promete. ¿Cuánto más código vulnerable, arrastrado desde hace años, existe o existirá en este nuevo Windows?

Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft knew about the WMF flaw for years
http://www.securityfocus.com/archive/1/422067/30/0/threaded
http://www.securityfocus.com/archive/1/422067

Microsoft denies Windows secret backdoor
http://www.techworld.com/security/news/index.cfm?NewsID=5180

Looking at the WMF issue, how did it get there?
http://blogs.technet.com/msrc/archive/2006/01/13/417431.aspx

martes, 17 de enero de 2006

Acceso a información sensible en BEA WebLogic Server y Express 6, 7 y 8

Se ha descubierto una vulnerabilidad en las versiones 6, 7 y 8 de
BEA WebLogic Server y Express que puede ser explotada por usuarios
maliciosos para acceder a información de sistema y a información
potencialmente sensible.

El problema se debe a que puede accederse de forma anónima al
MBeanHome vía JNDI (Java Naming and Directory Interface). Esta
circunstancia puede explotarse para acceder a ciertos MBeans de
configuración, que potencialmente contienen información sensible
sobre la propia configuración. La explotación con éxito de la
vulnerabilidad requiere que el acceso RMI (Remote Method Invocation)
al sitio y al lookup anónimo de administrador no haya sido desactivado.

Si bien la vulnerabilidad ha sido confirmada en las versiones 6.1,
7.0 y 8.1, no se descarta que pueda afectar igualmente a otras.

Como contramedida, BEA recomienda proteger las entradas JNDI que
contengan información sensible, desactivando el lookup anónimo de
administrador (versiones 7.x o posterior) o restringiendo el acceso
RMI.


Julio Canto
jcanto@hispasec.com


Más información:

Workaround available to prevent Mbean exposure
http://dev2dev.bea.com/pub/advisory/162

lunes, 16 de enero de 2006

Múltiples actualizaciones para Trustix Secure Linux

Los administradores de soluciones Trustix tienen disponible un paquete
de actualizaciones que solucionan diversos problemas de seguridad,
catalogables como críticos, que permitirían, en sistemas no actualizados,
la denegación de servicio, el acceso al sistema y la escalada de
privilegios, con posibilidad de explotación remota.

Trustix es una distribución fundada por Trustix AS en 1997, basada en
Red Hat, especialmente orientada a la consecución de sistemas altamente
seguros mediante la inclusión única de paquetes absolutamente esenciales,
dejando fuera los componentes opcionales que pudieran ser probable fuente
de problemas de seguridad. Este modelo es similar, pero menos riguroso,
al que usan otras distribuciones especializadas como Security Enhanced
Linux, de la National Security Agency.

El grueso de actualizaciones corresponde a parches incrementales que
han surgido recientemente para múltiples paquetes que se entregan de
serie en esta distribución, entre los que destacan Clam Antivirus, el
gestor de impresión cups, el gestor de correo Fetchmail, el módulo de
autenticación PostgreSQL para Apache mod_auth_pgsql y sudo, el componente
para la gestión de super usuarios del sistema.

En el caso de ClamAV se ha corregido el componente libclamav/upx.c,
probable fuente de desbordamientos de búfer. Para cups, se ha incorporado
un parche corrector que evita la denegación de servicio vía xpdf, así
como otras mejoras. El caso de Fetchmail contiene soluciones al manejo
de mensajes sin cabeceras, que podrían conducir a una referencia de
puntero nulo. Las correcciones en mod_auth_pgsql impiden que atacantes
malintencionados ejecuten código arbitrario actuando a través del demonio
httpd. Por último, la actualización de sudo impide que atacantes
malintencionados carguen y ejecuten librerías del sistema través de
scripts perl que empleen variables del entorno como perllib, perl5lib
o perl5opt.

Recomendamos a los administradores Trustix actualicen sus sistemas,
preferentemente mediante la herramienta automatizada "swup". La
actualización está disponible en los servidores de la compañía. La
suma de vulnerabilidades corregidas por las actualizaciones otorga
al problema carácter crítico, es por tanto aconsejable evitar de
demoras en la actualización. La ubicación y versión de los paquetes
actualizados es la que sigue:
http://http.trustix.org/pub/trustix/updates/
ftp://ftp.trustix.org/pub/trustix/updates/
2.2/rpms/clamav-0.88-1tr.i586.rpm
2.2/rpms/clamav-devel-0.88-1tr.i586.rpm
2.2/rpms/cups-1.1.23-7tr.i586.rpm
2.2/rpms/cups-devel-1.1.23-7tr.i586.rpm
2.2/rpms/cups-libs-1.1.23-7tr.i586.rpm
2.2/rpms/fetchmail-6.2.5.5-1tr.i586.rpm
2.2/rpms/sudo-1.6.8p9-3tr.i586.rpm


Sergio Hernando
shernando@hispasec.com


Más información:

Trustix Secure Linux
http://www.trustix.net

Trustix Secure Linux Security Advisory #2006-0002
http://www.trustix.org/errata/2006/0002/

domingo, 15 de enero de 2006

Denegación de servicio en PostgreSQL 8 bajo Windows

Se ha descubierto una vulnerabilidad en PostgreSQL que puede ser
aprovechada por atacantes para causar denegaciones de servicio.

PostgreSQL es una base de datos relacional "Open Source", bastante
popular en el mundo UNIX, junto a MySQL. Se trata de una base de
datos rápida y de muy buena calidad.

La vulnerabilidad está causada por un error en el manejo de múltiples
conexiones concurrentes, esto puede ser aprovechado para acabar con
el proceso postmaster.

Si se consigue explotar este error, el servicio no aceptará nuevas
peticiones hasta que sea reiniciado a mano. Las versiones afectadas
son de la 8.0.0 a la 8.0.5 y de la 8.1.0 a la 8.1.1. Sólo ocurre
cuando la base de datos funciona bajo Microsoft Windows.

Las versiones 8.0.6 o 8.1.2 no son vulnerables. Se puede descargar
desde: http://www.postgresql.org/ftp/


Sergio de los Santos
ssantos@hispasec.com


Más información:

CRITICAL RELEASE: Minor Releases to Fix DoS Vulnerability
http://archives.postgresql.org/pgsql-announce/2006-01/msg00001.php

sábado, 14 de enero de 2006

Formatos de archivo históricamente inofensivos

Históricamente se han considerado archivos potencialmente peligrosos
para Microsoft Windows los que poseían las muchas extensiones de
aplicaciones ejecutables que existen. En su código es posible ocultar
cualquier acción dañina para el sistema, y puede ser disimulada y pasar
desapercibida par el usuario. EXE, VBS, PIF, SRC, VBS, BAT y un largo
etcétera, son extensiones de las que hemos aprendido a desconfiar hace
tiempo. Desde hace poco, sin embargo, se pueden unir al conjunto de
sospechosas muchas otras que se han considerado desde siempre confiables.

De un tiempo a esta parte, se ha popularizado el uso de archivos con
extensiones históricamente confiables con la finalidad de difundir
código malicioso. El ejemplo más claro y conocido ha ocurrido con la
vulnerabilidad de procesamiento de WMF (Windows Meta File) que permitía
la ejecución de código arbitrario en el sistema con la simple
visualización de una imagen. Este fallo ha permitido la dispersión de
virus ocultos bajo aparentemente inofensivas imágenes con formatos JPG
o GIF gracias a exploits muy potentes y sofisticados.

El mismo día 1 de enero de 2006 VirusTotal detectaba un fichero que
fue enviado de forma masiva por correo electrónico y que simulaba una
felicitación para el nuevo año. El archivo adjunto, una imagen en
formato JPG, "HappyNewYear.jpg", comprometía el sistema con tan sólo
visualizarla. A partir de ahí, se han recibido en VirusTotal más de
diez variantes de malware con extensión JPG que aprovechaban la
vulnerabilidad y algunas variantes con extensión GIF. Debido a la
popularidad y facilidad para aprovecharse de esta vulnerabilidad,
la previsión es que vayan en aumento.

No sólo los usuarios de Microsoft deben preocuparse por estas
extensiones. En enero se han encontrado varias vulnerabilidades en Apple
QuickTime que pueden se aprovechadas por atacantes para ejecutar código
a través de formatos aparentemente inofensivos. Imágenes con formato
QTIF, TGA, TIFF y GIF especialmente manipuladas y visualizadas con Apple
QuickTime Player versión 7.0.3 y anteriores (para Mac OS X y Windows)
permiten la ejecución de código en el sistema de la víctima.

Igualmente este mes, se ha identificado una vulnerabilidad en BlackBerry
Enterprise Server (conocido servidor de comunicaciones inalámbricas) que
puede ser aprovechada por atacantes remotos para ejecutar código
arbitrario a través de un archivo PNG (Portable Network Graphics)
especialmente manipulado y enviado como adjunto.

Por si fuese poco, cuando ya creíamos enterrados a los virus de macro
que se extendían a través de documentos elaborados con la suite
Microsoft Office y este formato se consideraba relativamente seguro,
aparece un nuevo fallo de denegación de servicio en Microsoft Excel que
se rumorea (aún está por confirmar) que puede llevar a la ejecución de
código arbitrario con la simple visualización en Microsoft Office de una
hoja de cálculo en este formato.

Estos son sólo algunos ejemplos. Hoy resulta extraño encontrar un
servidor de correo que permita el envío de adjuntos en un formato
potencialmente peligroso. Las extensiones típicas que se han convertido
en vías de propagación de todo tipo de software dañino son filtradas sin
piedad por muchos administradores, conocedores de que en la mayoría de
los casos están destinadas a que un usuario incauto las ejecute y libere
el código maligno en su interior. Aun así la propagación de virus a
través de correo con archivo adjunto sigue siendo muy popular, y los
creadores de virus inventan todo tipo de triquiñuelas destinadas a
saltarse estas barreras de seguridad. Ofuscar la extensión, comprimir
los archivos y aprovechar las vulnerabilidades del sistema operativo
para ejecutar automáticamente código, son de las más populares. Gracias
a estas nuevas vulnerabilidades, tienen una nueva oportunidad para
saltarse estas barreras.

Entre otras medidas de seguridad, los administradores de sistemas de
correo electrónico deben asegurarse de que sus antivirus controlan y
examinan, no sólo los ficheros con extensión sospechosa, sino también
los archivos en principio confiables del tipo imagen o documento
ofimático. Bloquear estos ficheros resulta inviable pues su intercambio
a través de correo es necesario y legítimo en la mayoría de las
ocasiones. El problema que se les plantea es que si manejan un volumen
importante de archivos de este tipo, controlarlos a través de un
exhaustivo escaneo en la pasarela de correo en busca de virus, puede
suponer una degradación en el rendimiento del sistema y un retraso en el
intercambio de emails.

En cualquier caso la mejor solución, como de costumbre, pasa por la
educación de los usuarios finales encargados de recibir estos
documentos. Deben conocer los peligros de abrir los ficheros no
confiables, tengan la extensión que tengan, que provengan de fuentes
desconocidas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

QuickTime Multiple Image/Media File Handling Vulnerabilities
http://docs.info.apple.com/article.html?artnum=303101

Corrupt PNG file may cause heap overflow in the BlackBerry Attachment
Service
http://www.blackberry.com/knowledgecenterpublic/livelink.exe/fetch/2000/8021/728075/728850/728215/?nodeid=1167794

Nuevo exploit WMF, más malware, y parche no oficial
http://www.hispasec.com/unaaldia/2626

viernes, 13 de enero de 2006

Actualización de seguridad de ClamAV

El equipo de desarrollo de ClamAV ha publicado una actualización de
seguridad que soluciona una vulnerabilidad potencial.

Clam AntiVirus es un juego de herramientas antivirus de alta calidad
para UNIX, liberado según licencia GPL, que ofrece integración perfecta
con servidores de correo a través de un demonio multihilo muy flexible
y escalable.

La versión 0.88 de ClamAV, recientemente publicada, soluciona un
desbordamiento de búfer potencial en el módulo de gestión de ficheros
UPX. En el proceso de revisión de código se ha mejorado también la
seguridad de los módulos UPX, FSG y Petite. Por supuesto, se incluyen
también mejoras y nuevas funcionalidades no relacionadas con la
seguridad del producto.

Hispasec recomienda a todos los administradores de instalaciones ClamAV
que actualicen a la versión 0.88 de este antivirus.


Jesús Cea Avión
jcea@hispasec.com


Más información:

ClamAV
http://www.clamav.net/

ClamAV Changelog
http://www.clamav.net/doc/0.88/ChangeLog

jueves, 12 de enero de 2006

Últimas vulnerabilidades en módulos de Apache

En sólo una semana, hemos sido testigos de varios fallos de seguridad
que afectan a diferentes módulos del conocido servidor web Apache.
Afortunadamente las vulnerabilidades, de distinta consideración e
impacto, han sido todas anunciadas junto con su actualización
correspondiente.

El día seis de enero se daban a conocer, simultáneamente, dos
vulnerabilidades en módulos de Apache. La primera de ellas, la menos
grave, podía conducir a una denegación de servicio a través del módulo
de cifrado mod_ssl y afectaba sólo a la rama 2.0.x del servidor web. El
fallo puede ser reproducido a través de una petición especialmente
manipulada que lleva al módulo a referenciar un puntero nulo. Además,
para poder atacar un servidor vulnerable, se deben dar otras condiciones
que dificultan la explotación del fallo, como por ejemplo, el hecho de
que sea necesario que el servidor utilice una página de error 400 propia.

Además, se anunciaba otro fallo en mod_auth_pgsql, un módulo necesario
para que el servidor web se autentique contra información almacenada en
un servidor PostgreSQL. La vulnerabilidad, catalogada como crítica,
permitía el acceso local y la ejecución de código arbitrario con los
privilegios del servidor web. El fallo se debe a varios errores en la
forma en la que el módulo registra información proporcionada por el
usuario, por ejemplo el campo nombre. El atacante debía conocer la URI
de al menos un recurso del servidor configurado para usar este módulo de
autenticación. El fallo se confirmó en la versión del módulo 2.0.2b1
para Apache 2.x.

Por último el día 10 de enero se identificó una vulnerabilidad en el
módulo auth_ldap de Apache, que también puede ser utilizada por
atacantes remotos para ejecutar código arbitrario. Este fallo se debe a
un error en el formato de cadena en la función auth_ldap_log_reason que
no valida correctamente algunas cadenas antes de ser pasadas a la
función de registro ap_log_rerror. Puede ser utilizada por usuarios
remotos no autenticados para comprometer servidores web vulnerables
donde auth_ldap esté instalado y configurado, por ejemplo,
proporcionando un nombre de usuario especialmente manipulado durante la
autenticación. Los módulos afectados las versiones anteriores a 1.6.1 de
auth_ldap y el error también ha sido calificado como crítico.

Ninguno de estos módulos se instala por defecto con Apache, y en todos
los casos son mantenidos por terceros ajenos en un principio a la Apache
Software Fundation. Ante estas tres vulnerabilidades independientes, los
programadores de estos módulos han proporcionado las correspondientes
actualizaciones.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Apache auth_ldap module Multiple Format Strings Vulnerability
http://www.digitalarmaments.com/2006090173928420.html

Multiple Vendor mod_auth_pgsql Format String Vulnerability
http://www.idefense.com/intelligence/vulnerabilities/display.php?id=367

Apache 2 mod_ssl Denial of Service Vulnerability
http://issues.apache.org/bugzilla/show_bug.cgi?id=37791

miércoles, 11 de enero de 2006

Dos nuevos problemas encontrados en el formato WMF

Sólo han pasado unos días desde que Microsoft publicara el esperado
parche oficial que soluciona el gravísimo fallo de seguridad que suponía
la vulnerabilidad WMF, y ya se han encontrado nuevos problemas
relacionados con el formato. Por ahora, sólo permiten la denegación de
servicio del explorador de Windows.

Según una detallada descripción enviada el lunes a la lista de seguridad
Bugtraq, es posible detener abruptamente el funcionamiento de
explorer.exe en los sistemas Windows si se visualiza una imagen WMF
especialmente manipulada. Además se han publicado dos pruebas de
concepto del problema. Explorer.exe es un componente crítico en
los sistemas operativos Windows que se encarga de ejecutar la interfaz
de usuario, el manejo de los ficheros, la barra de tareas y otros
importantes componentes.

En un comunicado oficial, Microsoft se ha pronunciado respecto a esta
nueva forma de denegación de servicio, restando importancia al fallo,
alegando que ya estaban al tanto de este comportamiento y evaluando una
posible inclusión de soluciones en el próximo Service Pack. En cualquier
caso, no son considerados por Microsoft como problemas de seguridad,
sino como "cuestiones de rendimiento que podrían causar que una
aplicación dejara de responder".

Después de la popularidad alcanzada por la vulnerabilidad WMF, que ha
obligado a Microsoft a romper su ciclo de publicación de parches, no es
de extrañar que los esfuerzos de los investigadores de seguridad se
centren en este nuevo componente de Windows, obviado hasta ahora y
potencialmente responsable de otros posibles fallos de seguridad. Son
muchos los que, a raíz del incidente, han escudriñado el motor gráfico
de Windows hasta su última función, y es más que posible que en los
próximos días sigan apareciendo alertas de seguridad centradas en él, o
que se descubra que estas denegaciones de servicio ya expuestas, pueden
conducir a la ejecución de código.

Son muchas las ocasiones en las que los fallos de seguridad se han
centrado en un componente específico de Windows y han sido descubiertos
por oleadas. El parche destinado a solventar la primera vulnerabilidad
del año 2005 admitida por Microsoft en su boletín MS05-001, aseguraba
solucionar un fallo en el objeto "HTML Help ActiveX control" de Windows.
La empresa de seguridad GeCAD NET, aseguró que con la combinación de
ésta y otra vulnerabilidad existente pero todavía no hecha pública, se
podía crear un exploit válido para la vulnerabilidad descrita en
MS05-001 incluso si el usuario estaba parcheado.

En octubre de 2003 salía a la luz un exploit universal (válido para
todas las versiones de Windows independientemente del Service Pack
instalado) que funcionaba aun en sistemas supuestamente actualizados con
MS03-026. Era capaz de violar una vez más la seguridad del RPC (Remote
Procedure Call) de prácticamente todos las versiones de Windows, y razón
de ser del omnipresente virus MSBlaster. A partir de ahí, surgieron
muchas variantes del exploit, que hacían incluso más fácil poder
ejecutar código en sistemas ajenos sin necesidad de poseer demasiados
conocimientos. Poco después de la aparición del parche que solventaba la
vulnerabilidad, se volvió a descubrir otro fallo en el mismo servicio
RPC DCOM tan peligroso como el primero, que permitió a otras variantes
del virus expandirse de forma muy parecida, aunque las víctimas hubiesen
parcheado su sistema con la primera actualización.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Two new WMF flaws emerge
http://software.silicon.com/security/0,39024655,39155481,00.htm

Information on new WMF Posting
http://blogs.technet.com/msrc/archive/2006/01/09/417198.aspx

Microsoft Windows GRE WMF Format Multiple Unauthorized Memory Access
Vulnerabilities
http://www.securityfocus.com/archive/1/421258

ActiveX Object HTML Help Control still exploitable after patch MS05-001
http://www.gecadnet.ro/windows/?AID=1381

Windows XP continúa siendo vulnerable al fallo RPC/DCOM
http://www.vsantivirus.com/10-10-03a.htm

martes, 10 de enero de 2006

Dos nuevos boletines de seguridad de Microsoft en enero

Fiel a la cita de los segundos martes de mes, y tras el adelanto de la
publicación de la actualización para la vulnerabilidad en archivos WMF,
Microsoft ha presentado sus ya habituales boletines de seguridad. En
esta ocasión se han anunciado dos nuevos boletines (MS06-002 y MS06-003).
Según la propia clasificación de Microsoft ambos presentan un nivel de
gravedad "crítico".

* MS06-002: Destinado a solucionar una vulnerabilidad en las fuentes
Web incrustadas de Windows que puede permitir a un atacante lograr el
control completo de un sistema afectado. Afecta a Windows 2000, Windows
XP, Windows Server 2003, Windows 98, y Windows ME.

* MS06-003: Soluciona una vulnerabilidad en la descodificación de TNEF
en Microsoft Outlook y Microsoft Exchange que permite la ejecución
remota de código. Afecta a Office 2000, Office XP, Office 2003 y
Exchange Server.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS06-002
Vulnerability in Embedded Web Fonts Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-002.mspx

Microsoft Security Bulletin MS06-003
Vulnerability in TNEF Decoding in Microsoft Outlook and Microsoft
Exchange Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-003.mspx

lunes, 9 de enero de 2006

Múltiples vulnerabilidades en Lotus Domino

IBM ha publicado recientemente una actualización para las ramas 6.x
de Lotus Domino y para Lotus Domino Web Access (iNotes), que corrige
algunos problemas de seguridad, que no han sido del todo especificados,
en esta herramienta de gestión.

Lotus Domino es un conocido servidor de trabajo colaborativo muy
empleado en ámbitos empresariales, que abastece a aplicaciones cliente
del tipo Lotus Notes.

La actualización facilitada por IBM resuelve diversos problemas
de seguridad que en opinión del fabricante podrían facilitar la
construcción de ataques de denegación de servio (DoS), así como
otros ataques de impacto no especificado y desconocido.

El abanico de problemas documentados es bastante extenso:

* Un error sin especificar en el servidor IMAP podría causar que el
servicio quede sin posibilidad de ofrecer respuestas e iniciar nuevas
sesiones IMAP

* Un error, también sin especificar, podría provocar la caída completa
del servidor una vez que los clientes opten por realizar operaciones de
compactación de datos.

* Errores sin especificar en el directorio de servicios podrían ser
explotados para ejecutar denegaciones de servicio, por ejemplo, en las
búsquedas LDAP.

* Múltiples problemas, también sin documentar, podrían provocar ceses
inesperados de ejecución en el servidor web cuando se eliminen ficheros
adjuntos en mensajes, o bien a la hora de gestionar imágenes de bitmap
corruptas.

* Un desbordamiento de pila en la versión AIX de Lotus Domino podría ser
aprovechado para cesar la actividad del servidor, en caso de que
sometiéramos al mismo a la evaluación de fórmulas recursivas largas.

* Se han detectado problemas que podrían desembocar en un desbordamiento
de búfer en la conversión CD a MIME, debidos a errores de violación de
límites en algunas variables. Estos problemas podrían dejar el servicio
colapsado y sin ofrecimiento de respuestas de ningún tipo.

* Por último, se ha barajado la posibilidad de la existencia de
potenciales fallos de seguridad, tampoco documentados, en el componente
Agentes del servidor.

Ante la incertidumbre provocada por desconocerse la naturaleza de los
fallos, y ante la más que probable existencia de problemas colaterales
o no especificados, recomendamos a los administradores de soluciones
Domino actualicen a la versión 6.5.5, carente de problemas. Para ello,
deben seguir las instrucciones facilitadas por el fabricante. Los
problemas son en algunos casos explotables de modo remoto, con lo que
la gravedad de los mismos es digna de ser considerada, aconsejándose
la premura en las tareas de actualización.


Sergio Hernando
shernando@hispasec.com


Más información:

Actualización a Lotus Domino 6.5.5
http://www14.software.ibm.com/webapp/download/search.jsp?dt=SOFTWARE+UPDATE&q=Domino%20server

Fix List for Lotus Notes and Lotus Domino Release 6.5.5 Maintenance
Release (MR)
http://www-1.ibm.com/support/docview.wss?uid=swg27007054

domingo, 8 de enero de 2006

Vulnerabilidad en funciones de conexión MySQL de PHP 4.x para Windows

Se ha descubierto una vulnerabilidad en PHP (versiones 4.3.10, 4.4.0 y
4.4.1 para Windows) que puede ser explotado por usuarios maliciosos
para comprometer un sistema afectado.

La vulnerabilidad se debe a un desbordamiento de búfer en el
tratamiento de la parte del named pipe del parámetro 'server' que se
pasa a la función 'mysql_connect()'. Esta circunstancia puede ser
explotada por un atacante para provocar desbordamientos de búfer
si ejecuta código PHP y puede controlar la entrada que se recibe en
el parámetro afectado.

Se tiene constancia de que hay código de explotación de la
vulnerabilidad circulando por la red.

A la espera de un parche de actualización que solvente este problema,
se recomienda comprobar los scripts PHP para que no llamen a la
función 'mysql_connect()' con entradas que provengan de sitios que
no sean de confianza.


Julio Canto
jcanto@hispasec.com


Más información:

Buffer Overflow in PHP MySQL functions
http://lists.grok.org.uk/pipermail/full-disclosure/2006-January/041013.html

sábado, 7 de enero de 2006

Múltiples vulnerabilidades en rama 2.6 del kernel de Linux

Se han descubierto diversas vulnerabilidades en la rama 2.6 del kernel
de Linux que potencialmente pueden ser explotadas por usuarios locales
maliciosos para provocar denegaciones de servicio, aunque otras pueden
tener un impacto desconocido en el sistema afectado.

* Un error localizado en "mm/mempolicy.c" a la hora de tratar ciertas
llamadas de sistema puede utilizarse para provocar la referencia a
nodos no definidos. Esto, potencialmente, puede ser explotado por
usuarios locales maliciosos para provocar mensajes de pánico del
kernel al llamar a "set_mempolicy()" con una máscara de bit de valor
0.
* Un error localizado en "net/ipv4/fib_frontend.c" a la hora de
validar la cabecera y carga de los mensajes 'fib_lookup' de netlink
puede terminar en referencias ilegales de memoria al tratar mensajes
netlink maliciosos.
* Un error de truncamiento localizado en "kernel/sysctl.c" puede ser
utilizado para desbordar el búfer dado por el usuario con un byte
nulo cuando la cadena de salida es demasiado larga para ser almacenada
en dicho búfer.
* Un problema de tratamiento de tamaños de variable en el CA-driver de
TwinHan DST Frontend/Card (localizado en "drivers/media/dvb/bt8xx/dst_ca.c")
puede ser aprovechado para provocar un desbordamiento de búfer cuando
se leen más de 8 bytes en una matriz de dicha longitud.

Se recomienda actualizar a la versión 2.6.15, disponible en la
siguiente dirección:
ftp://ftp.kernel.org/pub/linux/kernel/v2.6/


Julio Canto
jcanto@hispasec.com


Más información:

ChangeLog-2.6.15
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.15

[PATCH] Make sure interleave masks have at least one node set
http://www.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=8f493d797bc1fe470377adc9d8775845427e240e

[NETLINK]: Fix processing of fib_lookup netlink messages
http://www.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=ea86575eaf99a9262a969309d934318028dbfacb

sysctl: don't overflow the user-supplied buffer with '\0'
http://www.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=8febdd85adaa41fa1fc1cb31286210fc2cd3ed0c

[PATCH] dvb: dst: Fix possible buffer overflow
http://www.kernel.org/git/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commit;h=5c15c0b4fa850543b8ccfcf93686d24456cc384d

Bugzilla Bug 175683 - CVE-2005-3358 panic caused by bad args to set_mempolicy
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=175683

viernes, 6 de enero de 2006

Varios fallos de desbordamiento de memoria en xpdf

Se han descubierto algunas vulnerabilidades en xpdf que pueden
ser aprovechadas por atacantes con impacto desconocido.

Xpdf es un visualizador de archivos PDF open-source, de amplio uso en
diversas distribuciones Linux (Red Hat, SuSE, Fedora, Debian, Gentoo,
etc), además de otros entornos como FreeBSD u OpenBSD.

Los fallos son causados por varios desbordamientos en "JBIG2Stream.cc",
"Stream.cc" y "JPXStream.cc" y pueden ser aprovechados para provocar
desbordamientos de memoria y la ejecución de código arbitrario en
sistemas afectados.

El fallo afecta a la versión 3.01 aunque otras versiones podrían verse
afectadas. Como contramedida se recomienda restringir el uso de
ficheros PDF que provengan de fuentes confiables.


Julio Canto
jcanto@hispasec.com


Más información:

kpdf/xpdf multiple integer overflows
http://www.kde.org/info/security/advisory-20051207-2.txt

jueves, 5 de enero de 2006

Microsoft publica el parche para vulnerabilidad WMF

En palabras de la propia Microsoft, finalmente se ha decidido
adelantar a hoy la publicación del parche para la vulnerabilidad WMF
debido a la presión de sus clientes. Desde Hispasec se recomienda
encarecidamente que los usuarios de Windows 2000, XP y 2003 actualicen
sus sistemas con carácter de urgencia para prevenir el malware que
aprovecha la vulnerabilidad.

El anuncio de Microsoft de que publicaría la actualización el segundo
martes de mes, día 10 de enero, según su política periódica, había
originado muchas críticas. No en vano se trata de una vulnerabilidad
considerada por la propia Microsoft como crítica y que está siendo
aprovechada de forma efectiva para comprometer los sistemas.

Aunque estaba claro que Microsoft debía seguir sus controles de
calidad para comprobar la robustez del parche y evitar efectos
colaterales no deseados, no se entendía que se retrasase precisamente
hasta el día 10, segundo martes de enero, tal y como si se tratara
de una actualización periódica sin carácter de urgencia. La mayoría
entendía que los parches deberían ser publicados en el mismo instante
en que se finalizaran los controles pertinentes, pero no retrasarlos
de forma artificial.

Finalmente Microsoft ha escuchado y rectificado, publicando hoy con
carácter extraordinario un boletín de seguridad y los parches para
la vulnerabilidad en el procesamiento WMF. Desde Hispasec, de la
misma forma que criticamos el retraso anunciado, aplaudimos ahora
la rectificación de Microsoft, que a buen seguro evitará muchos
incidentes.

Se recomienda a todos los usuarios, que no tengan automatizado la
descarga e instalación de parches, visiten WindowsUpdate para
actualizar sus sistemas: http://windowsupdate.microsoft.com

También pueden encontrar más detalles sobre la vulnerabilidad y los
enlaces a la descarga directa de los parches en el boletín MS06-001:
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx

Según el boletín de Microsoft, considera crítica la vulnerabilidad
en los sistemas Windows 2000 (SP4), Windows XP SP1, Windows XP SP2,
Windows Server 2003 y Windows Server 2003 SP1, para los que ha
publicado los correspondientes parches.

En las primeras pruebas realizadas, parece que el parche oficial de
Microsoft no presenta incompatibilidad alguna en los sistemas que
hayan llevado a cabo la desactivación de la biblioteca Shimgvw.dll
con el comando "regsvr32" y/o aplicado el parche no oficial de
Ilfak Guilfanov.

Aunque la vulnerabilidad puede afectar a otras versiones de Windows
más antiguas, como Windows 98, ME, etc., Microsoft considera que su
explotación es más complicada, no se conocen casos reales de ataques,
y por tanto no considera una vulnerabilidad crítica en esos entornos.
Según la política de Microsoft sobre el ciclo de vida y soporte de
dichos sistemas, en la actualidad no publica para ellos parches que
no sean considerados críticos.

En el anuncio previo de Microsoft, donde anunciaba la publicación
de esta actualización extraordinaria, también avisa de que el próximo
día 10 publicará dos actualizaciones más consideradas críticas, una
para Windows y otra para Exchange.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution (912919)
http://www.microsoft.com/technet/security/bulletin/ms06-001.mspx

01/01/2006 - Nuevo exploit WMF, más malware, y parche no oficial
http://www.hispasec.com/unaaldia/2626

30/12/2005 - Nuevas consideraciones sobre la vulnerabilidad de proceso de WMFs
http://www.hispasec.com/unaaldia/2624

29/12/2005 - Microsoft confirma la vulnerabilidad al procesar .WMF
http://www.hispasec.com/unaaldia/2623

28/12/2005 - Vulnerabilidad en tratamiento de archivos WMF de Windows
http://www.hispasec.com/unaaldia/2622