martes, 28 de febrero de 2006

Vulnerabilidades en sistemas de archivos HSFS de Sun Solaris 8, 9 y 10

Sun ha publicado actualizaciones para sus sistemas Solaris 8, 9 y 10
para solventar una vulnerabilidad en dichos sistemas que puede ser
explotada por usuarios locales maliciosos para provocar denegaciones
de servicio.

La vulnerabilidad se debe a un error no especificado por la compañía
en el driver del sistema de archivos HSFS, y puede ser explotado para
provocar mensajes de pánico del sistema o incluso para ejecutar código
arbitrario con privilegios escalados.

Las direcciones para descargar las actualizaciones son las siguientes:
Solaris 8 (sparc)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=109764-06&method=h
Solaris 8 (x86)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=109765-06&method=h
Solaris 9 (sparc)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116047-03&method=h
Solaris 9 (x86)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=121995-01&method=h
Solaris 10 (sparc)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=119596-03&method=h
Solaris 10 (x86)
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118813-03&method=h

Como contramedida los administradores pueden decidir deshabilitar el
uso del CDROM de los servidores afectados eliminando las referencias
al sistema de archivos hsfs(7FS) de "/etc/vold.conf" y comentando las
líneas en "/etc/rmmount.conf" que hagan referencia al sistema de
archivos afectado.




Más información:

Security Vulnerability in the hsfs(7FS) File System
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102161-1

lunes, 27 de febrero de 2006

Vulnerabilidad nfsd en FreeBSD 6.0

Se ha descubierto un problema de importancia menor en FreeBSD que
permitiría a los hipotéticos atacantes generar denegación de servicio
en máquinas en las que corra este sistema operativo.

Para los lectores que desconozcan este sistema, comentar que FreeBSD
es un sistema operativo libre derivado del sistema UNIX 4.4BSD-Lite,
desarrollado por la Universidad de Berkeley, como resultado de un
proyecto de investigación del Computer Systems Research Group (CSRG).
Este sistema operativo es multiusuario y multitarea por apropiación,
siendo además compatible con los estándares POSIX, e incluye además
del núcleo, un completo sistema de ficheros y utilidades adicionales
para dar servicios a sus usuarios. FreeBSD es multiplataforma,
soportándose en la actualidad plataformas intel, amd, amd64,
Alpha/AXP, IA-64, PC-98 y UltraSPARC y existiendo ramas experimentales
para dar juego a otras arquitecturas como ARM, MIPS, y PPC.

El fallo diagnosticado afecta al núcleo 6.0 de FreeBSD, si bien no se
descarta que otras versiones padezcan la misma debilidad. El problema
está causado por un error en la gestión de las peticiones de montaje
NFS, gestionadas por el demonio "nfsd". La explotación del problema
puede ser efectuada enviando peticiones especialmente preparadas a
nfsd, derivando el ataque en una denegación de servicio al entrar el
núcleo en "kernel panic".

Los administradores FreeBSD pueden, siempre en un entorno de pruebas
controlado, reproducir el problema para verificar su estado de
vulnerabilidad. Para ello sólo hay que enviar este volcado hexadecimal
al puerto TCP 2049 de cualquier máquina que corra nfsd en FreeBSD:

----
80 00 00 00 00 00 00 01 00 00 00 00 00 00 00 02
00 01 86 a5 00 00 00 01 00 00 00 01 00 00 00 00
00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 04
2f 74 6d 70
----

En ausencia de parche, la medida más razonable es restringir el acceso
a nfsd a través de un cortafuegos.


Sergio Hernando
shernando@hispasec.com


Más información:

FreeBSD Remote NFS Mount Request Denial of Service Vulnerability
http://www.securityfocus.com/bid/16838

FreeBSD
http://www.freebsd.org

FreeBSD Security
http://www.freebsd.org/security

domingo, 26 de febrero de 2006

Ejecución de código javascript en Thunderbird

Se ha confirmado la existencia de una vulnerabilidad en la forma en
que Thunderbird interpreta los scripts de javascript, y que puede
permitir a atacantes remotos ejecutar código script o provocar la
caída del navegador.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Mientras que
Firefox es el navegador web del proyecto Mozilla, Thunderbird es el
cliente de correo y RSS.

El motor de interpretación de WYSIWYG de Thunderbird filtra de forma
inadecuada los scripts de javascript. Es posible escribir javascript
en el atributo SRC de etiquetas IFRAME. Esto puede ejecutarse cuando
el correo es editado (por ejemplo respondiendo a un mensaje) incluso si
javascript está deshabilitado en las preferencias.

Si se explota el error puede revelar información sensible o provocar
la parada inesperada del navegador. Se han publicado scripts de
demostración como prueba de concepto.

Se recomienda actualizar a la versión 1.5
http://ftp.mozilla.org/pub/mozilla.org/thunderbird/releases/1.5/


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mozilla Thunderbird : Remote Code Execution & Denial of Service
http://www.sysdream.com/article.php?story_id=230§ion_id=78

sábado, 25 de febrero de 2006

Actualización del kernel para Mandriva Corporate 2.1 y 3.0

Mandriva ha publicado una actualización para su núcleo 2.4, destinada
a corregir diversos errores.

Un fallo en sdla_xfer permite a un usuario local leer partes de la
memoria del kernel a través del argumento len.

El fichero traps.c ejecuta fallos de segmentación.

La función find_target en ptrace32.c no maneja adecuadamente
el valor NULL cuando es devuelto por otra función, lo que permite a
usuarios locales provocar la caída del núcleo al ejecutar el programa
ltrace de 32bits con la opción -i en un programa ejecutable de 64bits.

Existe una "race condition" en ip_vs_conn_flush, ejecutándose en
sistemas SMP que permitiría a un atacante local provocar denegaciones
de servicio.

El código NAT en ip_nat_proto_tcp.c y ip_nat_proto_udp.c declara una
variable estática de forma incorrecta, lo que permite a un atacante
remoto provocar una denegación de servicio a través de una corrupción
de memoria.

El manejo del protocolo IPv6 puede provocar una denegación de
servicio.

El fichero wan/sdla.c no requiere el privilegio CAP_SYS_RAWIO para
actualizar firmware SDLA.

Se recomienda actualizar el kernel según las instrucciones en:
http://www.mandriva.com/en/security/kernelupdate o con la herramienta
urpmi.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Updated kernel packages fix multiple vulnerabilities
http://wwwnew.mandriva.com/security/advisories?name=MDKSA-2006:044

viernes, 24 de febrero de 2006

Ejecución de código remoto en el instalador de Macromedia Shockwave

Se ha identificado una vulnerabilidad en el isntalador de Macromedia
Shockwave Player que puede permitir a atacantes remotos tomar control
total de los sistemas afectados.

El fallo anunciado se debe a un desbordamiento de pila en el instalador
ActiveX que no maneja adecuadamente valores muy largos pasados a
ciertos parámetros. Esto puede permitir a atacantes remotos ejecutar
código arbitrario si inducen a usuarios a visitar páginas especialmente
manipuladas que contengan contenido Showkwave y pregunten al
usuario si quiere instalarlo.

Se recomienda instalar el plugin desde la página oficial. Los usuarios
que ya lo tengan instalado no necesitan realizar ninguna acción al
respecto.


Sergio de los Santos
ssantos@hispasec.com


Más información:

APSB06-02 Improper Memory Access Vulnerability in Shockwave Player
ActiveX installer
http://www.macromedia.com/devnet/security/security_zone/apsb06-02.html

Adobe Macromedia ShockWave Code Execution
http://www.zerodayinitiative.com/advisories/ZDI-06-002.html

jueves, 23 de febrero de 2006

Actualización para vulnerabilidad en sistemas Novell

Novell ha resuelto, con la publicación de una actualización, un grave
problema de seguridad que afecta a dos de sus productos más populares,
Novell Linux Desktop 9, versiones i386 y x86_64, y Open Enterprise Server 1,
para i386.

Novell Linux Desktop es un producto derivado de SUSE Linux, y está orientado
al usuario final, ya que permite que los usuarios poco familiarizados con
entornos Linux obtengan una aproximación al concepto cómoda, al ser un
escritorio amigable en uso y configuración. Open Enterprise es el resultado
de la combinación de Netware y SUSE Linux Enterprise Server, una plataforma
abierta para el despligue de aplicaciones empresariales que requieran de un
sistema que actúe como servidor corporativo.

El fabricante ha dispuesto de una actualización que corrige un fallo de
seguridad explotable de modo remoto que podría permitir desbordamientos de
búfer en el módulo de autenticación "pam_micasa". La gravedad viene
propiciada por el hecho de que este módulo se añade de un modo automático a
/etc/pam.d/sshd en toda instalación de Novell Common Authentication Service
Adapter (CASA), lo que podría permitir a los atacantes remotos ganar
privilegios de root en las máquinas donde CASA esté instalado.

Pese a que Novell ha liberado el preceptivo parche, recomendamos que los
usuarios que no empleen este módulo procedan a su desinstalación a través
del gestor de paquetes RPM, tecleando para ello, en consola, la secuencia
"rpm -e CASA CASA-gui CASA-devel"

Los usuarios que deseen actualizar pueden hacerlo, para su mayor comodidad,
a través del frontal gráfico Redcarpet, que acompaña a sendos productos.
Aquellos administradores que deseen hacer un seguimiento de la falla, deben
acudir a la referencia Mitre CVE ID CVE-2006-0736 y/o ponerse en contacto
con el servicio postventa de Novell.


Sergio Hernando
shernando@hispasec.com


Más información:

SUSE Security Announcement: CASA remote code execution (SUSE-SA:2006:010)
http://www.novell.com/linux/security/advisories/2006_10_casa.html

Security update for CASA
http://support.novell.com/cgi-bin/search/searchtid.cgi?psdb/eb79800a3d8a5cb6599b75e30f0ba133.html

Novell Open Enterprise Server
http://www.novell.com/es-es/products/openenterpriseserver/

Novell Linux Desktop
http://www.novell.com/products/desktop/

miércoles, 22 de febrero de 2006

Manzanas y gusanos

Se habla en los medios de un par de virus (o troyanos o gusanos) que han
sido detectados replicándose a sí mismos. Esto no sería en absoluto
novedad, sino fuera porque el código infecta a los MAC OS X de Apple.
¿Está siendo atacado el sistema operativo más elegante? No es un ataque
propiamente dicho y a uno de ellos, incluso, ni siquiera se le puede
llamar virus. Por ahora los usuarios de Mac pueden respirar tranquilos:
los virus de difusión masiva siguen siendo una parcela reservada para
Microsoft y Windows, pero quizás se debería reflexionar sobre esta
posibilidad en un futuro.

El día 13 de febrero, un usuario anónimo (no podía ser de otra forma)
dejaba un mensaje en uno de los foros más populares para usuarios de
Mac, MacRumors. En él se ofrecía a través de un enlace a un servidor
externo, un archivo comprimido que se supone contenía imágenes de la
nueva versión de Mac (la OS X 10.5, llamada Leopard). El fichero se
llama latestpics.tgz y con él, llegó la polémica.

Aunque lo aparentase, no contenía imágenes. Eran simples ejecutables
UNIX compilados y camuflados... un programa. A partir de aquí, podríamos
calificar a este engendro de troyano, por ocultarse como algo que
realmente no era. Estas denominaciones han provocado profundas
discusiones, pues las connotaciones implícitas que conlleva calificar de
troyano a un código no son las mismas que calificarlo de virus o gusano.
Esta última nomenclatura denota más vulnerabilidad por parte del sistema
operativo (virus y gusanos pueden ejecutarse con mínima interacción del
usuario, a escondidas, y pueden replicarse hábilmente entre los
sistemas) mientras que un troyano es habitualmente ejecutado consciente
o inconscientemente por un usuario, lo que deja caer la balanza de la
culpa y la responsabilidad más hacia este último. Los defensores de Mac,
en este punto, quieren dejar muy claro que el sistema operativo es
seguro, pero no puede hacerse responsables de las intenciones o
consecuencias de la utilización por parte de un usuario incauto e
irresponsable.

Al archivo, una vez analizado se le podían reconocer rutinas destinadas
a autorreplicarse e infectar otros sistemas Mac. Aprovechaba la lista de
contactos de iChat para enviarse a sí mismo e intentar contagiar a otros
usuarios. Sobre esto, los usuarios de Mac han rechazado igualmente la
denominación de "virus", pues necesita de bastantes acciones
irresponsables por aparte del usuario para poder replicarse. En primer
lugar el usuario de iChat debe aceptar la transferencia de las supuestas
imágenes, descomprimirlas y ejecutar el archivo en su interior. Si el
usuario pertenece al grupo de administradores se infectará, si no, el
sistema operativo le pedirá las credenciales porque el malware intenta
escribir en zonas reservadas. Esto es como en cualquier otro sistema
operativo, aunque entre usuarios Mac sea más habitual relegar la cuenta
de root a labores administrativas. Necesitar de tanta ayuda para
infectar, debilita enormemente las posibilidades de contagio masivo.

Parece ser que también es capaz de infectar otros archivos en el
sistema, aunque su código no resulte demasiado sofisticado. Además, cabe
destacar que no aprovecha ninguna vulnerabilidad conocida o desconocida
del sistema para ejecutarse. Su "modus operandi" para infectar un
sistema que lo aloje, resulta completamente manual.

En todo caso, el código ha llegado al estatus de malware, pues varias
casas antivirus lo han incluido en sus firmas bajo el nombre de OSX/Leap
(otros como OSX/Oomp-A), cosa que no ocurre a menudo aunque, a tenor de
lo acontecido estos últimos días, cabría preguntarse si está cambiando
esta tendencia. Sólo una semana después de la aparición de este troyano,
se hacía público la existencia de un segundo código indeseado para Mac
OS X. Igual de minoritario (puede ser considerado una prueba de
concepto), Inqtana-A sí puede ser llamado virus pues aprovecha una
vulnerabilidad en el componente Bluetooth de este sistema operativo para
ejecutarse y, teóricamente, la necesidad de una mano que lo ejecute es
mínima. Se replica de sistema vulnerable a sistema vulnerable a través
de Bluetooth, pero es casi seguro que encuentre pocos huéspedes que
puedan alojarlo, pues Apple publicó un parche para ese problema en mayo
de 2005, con lo que la mayoría de sistemas hoy día serán inmunes.

Los usuarios de Mac han permanecido durante muchos años ajenos a la
amenaza del malware, son confiados y la historia les avala. Desde que en
1982 apareciese Elk Cloner (creado por un quinceañero) e infectase a
sistemas Apple II (nada que ver con los Mac OS X actuales) a través de
disquetes, pocas han sido las oportunidades de bautizar a un virus. El
problema es que en dos semanas, han tenido que hacerlo en dos ocasiones.

Aunque Mac OS X es un excelente sistema operativo, seguro por diseño,
son siempre los usuarios que manejan cualquier máquina los que pueden
resultar realmente peligrosos. Si no ejecutan código no confiable y se
mantienen actualizados, no sufrirán a estos dos nuevos especímenes
encontrados. Aun así, no conviene bajar la guardia ante posibles
amenazas futuras más sofisticadas y propagadas que ocurrirán, según las
tendencias actuales, sólo y exclusivamente cuando la creación de malware
para este sistema operativo proporcione algún tipo de rentabilidad
significativa a sus creadores.

De hecho, de una encuesta promocionada por Sophos sobre 600 usuarios, el
79% pensaba que Apple será objetivo del malware en el futuro, aunque la
mitad pensara que nunca llegaría a suponer el problema que representa
para usuarios de Microsoft. Lo curioso de la encuesta, quizás, es ese
21% que se muestra confiado y no cree que el malware vaya a suponer
nunca un problema para su sistema operativo.

Esa confianza, se use el sistema operativo que se use, resulta mala
compañera y es bastante probable que haya impulsado, por ejemplo, a
muchos usuarios de Mac a ejecutar alegremente las supuestas y esperadas
imágenes del nuevo sistema operativo, sin preguntarse si eran realmente
imágenes, quién las enviaba y por qué. Esta prudencia básica, por
experiencia, es algo que ya muchos usuarios de Windows se plantean antes
de lanzar su ratón sobre archivos desconocidos, mientras que a usuarios
de Mac, también por propia experiencia, es probable que ni se les pase
por la cabeza.

Además de este debate abierto sobre el futuro del malware para Mac,
habrá que estar atento al potencial impacto que tendrá en la seguridad
la posibilidad de ejecutar el sistema operativo bajo microprocesadores
Intel.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Intel doesn't make Mac more vulnerable:
http://www.macnn.com/articles/06/01/30/intel.mac.vulnerability/&startNumber=10

OSX/Leap-A, OSX/Oomp-A:
http://www.sophos.com/virusinfo/analyses/osxleapa.html
http://securityresponse.symantec.com/avcenter/venc/data/osx.leap.a.html#technicaldetails

Mac OS X Virus/Trojan Summary:
http://www.macrumors.com/pages/2006/02/20060216234239.shtml

New Mac OS X worm spreads between Apple Macintosh computers via
Bluetooth vulnerability
http://www.securitypark.co.uk/article.asp?articleid=24983&Categoryid=1

Elk Cloner:
http://en.wikipedia.org/wiki/Elk_Cloner

martes, 21 de febrero de 2006

Actualización crítica de GnuPG

Las versiones no actualizadas de GnuPG contienen una vulnerabilidad que
permite que se den por buenas alteraciones en archivos y documentos
firmados digitalmente.

GnuPG es un software "Open Source" (GPL) y gratuito, que permite la
firma y cifrado de documentos mediante criptografía simétrica y
asimétrica. GnuPG está inspirado en el popular PGP (Pretty Good
Privacy), y nació como respuesta a la introducción de las variantes
PGP comerciales. GnuPG cumple el estándar OpenPGP. Aunque GnuPG es
una herramienta fundamentalmente UNIX y línea de comando, existen
implementaciones también para plataformas Windows, y frontales
gráficos para un uso más simple.

Las versiones no actualizadas de GnuPG contienen una grave
vulnerabilidad que afecta a la verificación de las firmas digitales de
archivos y documentos. El problema radica en que si bien GnuPG detecta
adecuadamente cuando una firma es incorrecta, por modificación de los
datos originales asociados, y muestra esa información en pantalla, el
código de retorno que proporciona el programa al terminar su ejecución
es "cero", que significa que la firma es correcta.

Por lo tanto, aunque una persona examinando la pantalla es notificada de
que la firma es incorrecta, un programa automatizado recibirá un código
"cero", indicando una firma correcta.

Por ello, la vulnerabilidad es especialmente grave en entornos
automatizados y en herramientas que ocultan las operaciones
criptográficas internas al usuario. Por ejemplo, en entornos UNIX,
la verificación de paquetes de software como RPM o DEB.

Hispasec recomienda a todos los usuarios de GnuPG que actualicen con la
mayor urgencia posible a la versión 1.4.2.1, recién publicada. Esto
incluye también a los usuarios que empleen GnuPG de forma indirecta,
normalmente sin su conocimiento, como el caso descrito de los paquetes
de software RPM, DEB o similares, programas de correo electrónicos, etc.

Como siempre, recomendamos verificar la firma digital de la
actualización, especialmente si se descarga de un lugar no oficial. En
caso de no ser posible, las huellas digitales SHA1 de los ficheros son:

1c0306ade25154743d6f6f9ac05bee74c55c6eda gnupg-1.4.2.1.tar.bz2
cefc74560f21bde74eed298d86460612cd7e12ee gnupg-1.4.2.1.tar.gz
98d597b1a9871b4aadc820d8641b36ce09125612 gnupg-1.4.2-1.4.2.1.diff.bz2
a4db35a72d72df8e76751adc6f013b4c96112fd4 gnupg-w32cli-1.4.2.1.exe


Jesús Cea Avión
jcea@hispasec.com


Más información:

The GNU Privacy Guard - GnuPG
http://www.gnupg.org/

[Announce] False positive signature verification in GnuPG
http://lists.gnupg.org/pipermail/gnupg-announce/2006q1/000211.html

lunes, 20 de febrero de 2006

La seguridad no importa a los usuarios

Un curioso experimento demuestra la pesadilla de todo administrador de
red. La seguridad no es, ni mucho menos, prioritaria para los empleados.
No importa cuántas advertencias se le indiquen, es probable que un
importante porcentaje de usuarios no se atenga a unas mínimas normas
de seguridad y ponga en riesgo toda una red corporativa por descuido
o ignorancia.

El experimento ha sido realizado en Londres, en una zona de gran
actividad comercial. El pasado 14 de febrero, supuesto día de los
enamorados, algunos empleados de la compañía "The Trainning Camp"
entregaron en mano a viandantes en general que acudían a su lugar
habitual de trabajo, un CD. Bajo la excusa de que el disco contenía
información sobre una promoción especial motivada por el señalado día
de San Valentín, se iba regalando a los ejecutivos.

Sin embargo, los compactos no contenían en realidad tal oferta, sino un
simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se
encontraba personal de grandes bancos y aseguradoras multinacionales. Lo
más grave es que en la carátula del CD se advertía claramente sobre los
peligros de la instalación de software de terceros no confiables, y de
que el hecho de hacerlo podría suponer una violación de las políticas de
seguridad del lugar donde se instalase. Parece ser que el consejo no
fue suficiente para muchos, que simplemente se dedicaron a explorar e
incluso ejecutar los programas en el CD sin dar mayor importancia a la
advertencia.

"The Training Camp" es una compañía del Reino Unido dedicada a la
impartición de cursos "acelerados" destinados a la obtención de
certificados oficiales de seguridad. Rob Chapman, su director, pretendía
de esta forma promocionar sus cursos. Afirma que el código en el CD no
infligía ningún daño sobre el sistema ni tomaba información alguna del
mismo, aunque, según él, queda implícito que cualquier otro tipo de
acción malintencionada hubiese sido posible además de haber tenido
desastrosas consecuencias.

El hecho de haber tomado el disco compacto en la calle y haberlo
introducido en sus sistemas, viola toda regla básica de seguridad. "Los
empleados deben reconocer que suponen el primer y más sencillo paso
hacia la red de la compañía en la que trabajan", concluyó Chapman.

La nota de prensa del experimento no ofrece ningún tipo de dato objetivo
sobre el porcentaje de empleados que "cayeron en la trampa", número de
"señuelos" repartidos, método utilizado para conocer quién había
ejecutado el programa o a qué nivel lo había hecho (introducir el CD,
explorarlo, ejecutar programas en su interior...). Tampoco se habla en
la nota sobre la posibilidad de que, aunque se hubiese ejecutado el
contenido del disco, los sistemas de seguridad de la red en la que se
utilizase impidiesen de alguna forma la notificación de que la acción se
había realizado. Es probable que "The Training Camp" se sirviera de una
petición a un servidor web o a través de correo para saberlo, pero esto
no siempre es permitido por cortafuegos y otros sistemas de seguridad.
Además de ser posible que se haya ejecutado el señuelo y no haya sido
notificado, no se pueden sacar porcentajes concluyentes sobre el
estudio al no disponer de cifras significativas. Todo esto limita
considerablemente el poder sacar contundentes consecuencias de un
estudio de estas características.

En todo caso, resulta curioso un experimento de este tipo en el que,
sobre cualquier otra conclusión, prima el hecho de que muchos usuarios
hagan caso omiso de claras advertencias expuestas. Las advertencias de
que el software no es seguro, pierden impacto cuando se hacen sobre
cualquier tipo de programa ejecutable que llegue de fuentes confiables
(o no). Esta actitud relaja a la larga las defensas de la mayoría de los
usuarios. Advirtiendo de los potenciales peligros de "todo", se obtiene
el efecto contrario: si constantemente "todo" es potencialmente
peligroso y se advierte sobre ello, a la larga, el usuario asociará esa
característica (peligroso) con todo el software; se volverá un concepto
ligado siempre a cualquier programa, aprenderá a asumirlo como riesgo
intrínseco y se le prestará cada vez menor atención. Si "todo" software
es potencialmente peligroso, entonces, con el tiempo y en la práctica,
"ninguno" lo será para el que es constantemente advertido sobre ello.

Aunque necesaria, si se mantuviese a rajatabla esta actitud conservadora
y se acatara estricta y constantemente las advertencias, también se
produciría una situación insostenible. Se limitaría en exceso la
capacidad de trabajo y reduciría la comodidad de uso en el sistema
que es en realidad lo que el usuario y administrador deben buscar
por consenso en un entorno seguro.

Pero esto ocurre no solo en el software, sino en gran cantidad de los
productos que usamos cada día. Prácticamente, hemos aprendido a obviar
ciertos peligros por repetitivos y asumidos. El problema es que no por
ello pueden resultar menos dañinos.

Otra conclusión ya observada en muchas ocasiones, es el peligro que
representan los empleados en la cadena de seguridad de cualquier
empresa. Como decía Champan, suponen el mayor riesgo de seguridad, por
la confianza intrínseca depositada en ellos y los derechos inherentes
que deben poseer sobre la red. Si no son correctamente formados, pueden
suponer un riesgo para cualquier red corporativa y, ya sea consciente o
inconscientemente, provocar un incidente de seguridad importante en el
sistema.

Lejos de poder sacar conclusiones objetivas, lo que viene a recordar
el experimento es que el hecho de que empleados utilicen habitualmente,
sin ningún tipo de problema ni cortapisas, sistemas corporativos para
ejecutar programas de dudosa procedencia en los que se advierte
explícitamente sobre su potencial peligro, es que queda mucho camino
por recorrer en este sentido. Es igualmente aconsejable invertir en
recursos técnicos que nos protejan del exterior como en recursos
humanos preparados para el trabajo con sistemas informáticos, que
sean conscientes de las amenazas reales y que estén convenientemente
formados en seguridad.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Proof: Employees don't care about security
http://software.silicon.com/security/0,39024655,39156503,00.htm

Una al día 07/07/2005: El enemigo puede estar dentro
www.hispasec.com/unaaldia/2448

domingo, 19 de febrero de 2006

Escalada de privilegios y denegación de servicio en PostgreSQL

Se han identificado dos vulnerabilidades en PostgreSQL que pueden ser
aprovechadas por atacantes para provocar una denegación de servicio u
obtener mayores privilegios.

El primer fallo se debe a un error en el comando "SET ROLE" a la hora
de restaurar la configuración de roles previos después de un error.
Existe una forma de asignarse mayores privilegios si se aprovecha este
error.

La segunda vulnerabilidad se debe a un error en el comando "SET
SESSION AUTHORIZATION" si la aplicación ha sido compilada con
"Asserts" habilitados. Esto puede ser aprovechado por atacantes para
provocar una denegación de servicio y hacer que la aplicación deje de
responder.

Las versiones afectadas son:
PostgreSQL versiones anteriores a la 7.3.14
PostgreSQL versiones anteriores a la 7.4.12
PostgreSQL versiones anteriores a la 8.0.7
PostgreSQL versiones anteriores a la 8.1.3

Se recomienda actualizar a la versión 8.1.3, 8.0.7, 7.4.12 ó 7.3.14
desde http://www.postgresql.org/download/


Julio Canto
jcanto@hispasec.com


Más información:

PostgreSQL 8.1.3 Documentation
http://www.postgresql.org/docs/8.1/static/release.html#RELEASE-8-1-3

sábado, 18 de febrero de 2006

Escalada de privilegios a través de in.rexecd en Sun Solaris 10

Se ha descubierto una vulnerabilidad en Sun Solaris por la que un
usuario local no privilegiado podría elevar sus permisos. El fallo se
debe a un error no especificado en el demonio in.rexecd(1M) de
sistemas Kerberos.

El fallo se da en la plataforma SPARC, Solaris 10 sin parche 120329-02
y en la plataforma x86, Solaris 10 sin parche 120330-02. Solaris 8 y 9
no se ven afectados por este problema. Sólo son vulnerables los
sistemas con el servicio in.rexecd(1M) habilitado.

Se pueden aplicar los parches correspondientes:

SPARC:
Solaris 10 con parche 120329-02 o posterior.
http://sunsolve9.sun.com/pub-cgi/pdownload.pl?target=120329-02&method=h

x86:
Solaris 10 con parche 120330-02 o posterior.
http://sunsolve9.sun.com/pub-cgi/pdownload.pl?target=120330-02&method=h


Sergio de los Santos
ssantos@hispasec.com


Más información:

Security Vulnerability in the in.rexecd(1M) Daemon on Kerberos Systems
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120330-02-1

viernes, 17 de febrero de 2006

Nueva inyección de código SQL en PHP-Nuke

Los continuos problemas de seguridad de las soluciones "nuke" merecen
una reflexión acerca de la trayectoria de estos productos. Hoy le toca
a PHP-Nuke ser protagonista de un nuevo incidente de seguridad debido
a un código defectuoso.

PHP-Nuke es un software CMS (Content Management System, Sistema de
Gestión de Contenidos) libre, ofrecido al público según GNU/GPL, y que
permite disponer de un portal dinámico con escasos conocimientos de
programación. PHP-Nuke es un derivado de Thatware, y su autoría
corresponde a Franciso Burzi. PHP-Nuke necesita para su funcionamiento
un servidor Web, habitualmente Apache, soporte PHP en el servidor y
una base de datos, generalmente MySQL.

El último problema reportado por una de estas soluciones es un
problema crítico que afecta a la versión 7.8, no descartándose que la
falla sea aplicable en versiones anteriores de las ramas 6.x y 7.x.
Estos problemas permiten la manipulación de datos remota y facultan a
los atacantes a conducir inyecciones de código SQL, con la
consiguiente peligrosidad de la exposición de datos sensibles.

El módulo defectuoso es uno de los principales, "Your_Account",
habilitado para que los usuarios del CMS gestionen la información del
portal que les corresponda a título particular, tales como por
ejemplo, los datos de autenticación de los usuarios. La inyección de
código permite en este caso obtener el nombre de usuario y el MD5 de
su clave, información suficiente para poder tomar control de la
aplicación, tal y como veremos ahora.

Imaginemos que instalamos PHP-Nuke y seleccionamos, para poder
administrarlo, un nombre de administrador y como clave, una clave poco
robusta de ocho caracteres. Es muy frecuente que estas soluciones
posean claves débiles, con pocos caracteres y por tanto,
potencialmente peligrosas para su adivinación, ya que estos productos
se caracterizan por una instalación muy sencilla y por tanto, suelen
ser escogidos por usuarios con pocas nociones de programación dinámica
que buscan soluciones rápidas a sus necesidades de interactividad Web.
PHP-Nuke, es, por tradición, un producto muy popular y extendido por
tanto, el grado general de seguridad que le aplican los
administradores a la solución es muy heterogéneo, primando las
instalaciones por defecto y sobre todo, versiones con módulos
adicionales que en numerosas ocasiones restan seguridad a la
infraestructura.

Cualquier base de datos que permita obtener la palabra a partir del
hash, nos permitiría obtener la clave. Así pues, ejecutando la
inyección en el módulo, obtendríamos dos datos en nuestro PHP-Nuke: la
inyección revela, en nuestro caso de estudio, que el usuario
administrativo es "admin" y el hash MD5 de su clave es
4b8007a57b557d4d6a84e813fa62de08. Sólo nos falta acudir a una base de
datos de hashes MD5, por ejemplo la que existe en
http://gdataonline.com/seekhash.php, introducir el hash y obtendríamos
que la clave de administración es, para el hash citado, la palabra
"hispasec". Con esos datos, podemos autenticarnos mediante el script
admin.php, consiguiendo privilegios administrativos plenos y acceso
total a la aplicación.

Los problemas, en este caso, han sido resueltos por la versión 7.9 con
parche 3.1, si bien existe un parque de usuarios PHP-Nuke muy grande
cuyos tiempos de reacción ante estos problemas son, al igual que su
grado de conocimiento de seguridad Web, muy heterogéneo. Desde los
primeros adoptantes más proactivos, que parchean inmediatamente, a
usuarios rezagados que ni siquiera advierten el problema hasta que
descubren un "defacement", un borrado su base de datos, o un "take
over" que les prive de un uso normal del producto. Todas estas
situaciones se tornan especialmente críticas cuando hacemos de estos
productos nuestra ventana de comunicación corporativa con clientes y
proveedores, por motivos obvios.

Desde Hispasec transmitimos a los administradores PHP-Nuke la
necesidad de ser proactivos en caso de escoger esta solución. Si no se
posee conocimiento o tiempo para llevar la administración de seguridad
de este CMS con la suficiente atención, quizás sea buena opción
plantearse, a costa de una curva de aprendizaje mayor, migrar a
soluciones libres equivalentes, con un histórico de seguridad menos
deficitario que PHP-Nuke, como por ejemplo, Postnuke o Drupal. Algunas
medidas que pueden evitar que futuros problemas como el descrito
afecten al parque de usuarios PHP-Nuke son deshabilitar la opción de
mostrar mensajes de error, que ofrecen información y pistas a los
atacantes; desactivar variables del entorno PHP que pueden repercutir
en una menor seguridad, como "register_globals"; hacer uso de los
modos seguros "safe"; cambiar los prefijos de las tablas SQL que
aporta la instalación por defecto y sobre todo, no aplicar módulos en
el CMS que exijan, por funcionalidad, desactivar medidas de seguridad
del servidor, como por ejemplo, los editores "What You See Is What You
Get" (WYSIWYG), que penalizan la seguridad global del sitio a costa de
permitir, en este caso, edición de texto dinámica, vistosa y bonita,
pero a todas luces innecesaria e insegura.

Es preciso destacar que infinidad de servicios de hospedaje que
ofrecen como valor añadido a sus clientes preinstalaciones PHP-Nuke
para que los clientes desplieguen un portal en cuestión de segundos,
caso típico de productos en la línea de "Installatron" que permiten a
los usuarios activar soluciones dinámicas sin necesidad de recurrir al
proceso clásico de descargar y subir por FTP, precisando únicamente
configuraciones mínimas y fáciles. En todos los casos, la ventana de
tiempo para explotar el problema es muy amplia, y las potenciales
víctimas, muy numerosas.

PHP-Nuke es un producto pionero en lo que se viene a denominar Web
2.0. Sin duda alguna, es probablemente el producto que ha popularizado
de una manera masiva el concepto de Web dinámica, al menos en los
albores de este nuevo movimiento, constituyendo uno de los principales
puntos de ruptura con la Web 1.0, estática y desordenada, que ha dado
paso a este nuevo concepto de información ordenada, integrada,
accesible y dinámica que tan popular se está volviendo estos días, no
sólo con los sistemas CMS, sino sobre todo, con los blogs, fotologs, e
incluso con aplicaciones empresariales cliente servidor como los CRM,
ERP y similares.

A todos los administradores de estas soluciones 2.0 les proponemos que
adopten un grado proactivo de seguridad. Empieza a ser a todas luces
insuficiente aplicar únicamente remedios paliativos cuando se nos
informa de un problema en nuestro producto, con lo que los usuarios
deberían, en aras de la mejor seguridad posible, documentarse
adecuadamente sobre los productos que emplean, ya sea con los canales
del fabricante o bien con los canales de las comunidades de usuario
que habitualmente acarrean este tipo de soluciones.

Igualmente recordamos que la dinamización y complejidad de los
despliegues y servicios implica, forzosamente, mayores requisitos de
seguridad que no deben ser menospreciados. El menoscabo de los
peligros en la red es, especialmente en los casos descritos, un camino
seguro hacia los problemas.


Sergio Hernando
shernando@hispasec.com


Más información:

PHP-Nuke
http://www.phpnuke.org

Critical SQL Injection PHPNuke <= 7.8 - Your_Account module
http://securityreason.com/securityalert/440

jueves, 16 de febrero de 2006

Diversas vulnerabilidades en SAP Business Connector

El equipo de analistas de CYBSEC ha detectado diversas irregularidades
en SAP Business Connector.

Business Connector (BC) es una herramienta "middleware" de integración
que permite a los clientes SAP la comunicación con otros clientes y
emplazamientos "marketplace" SAP. La integración proporcionada por
BC permite la conexión con R/3 a través de tecnología abierta y no
propietaria, usando para ello Internet como medio de comunicación y
XML/HTML como lenguajes de contacto entre las plataformas a
interconectar.

La tecnología XML de SAP BC permite encapsular metadatos en "sobres"
que contienen la información a enviar. Estos metadatos permiten
enrutar los mensajes adecuadamente, empleándose para el encapsulado
formatos populares en entornos empresariales, como Microsoft BizTalk
y un formato similar a SOAP (Simple Object Access Protocol) para
comunicación con plataformas que no operen con BizTalk. SAP tiene
sus propias extensiones XML, alineadas con los estándares, para la
comunicación interplataforma mediante mensajes xCBL (XML Commerce
Business Language). Las dos extensiones XML de SAP son IDoc-XML y
BAPI-XML.

Los problemas documentados por el equipo de CYBSEC, encabezado por
Leandro Meiners, son de una criticidad moderada, y permitirían, de
un modo remoto, ejecutar ataques spoofing y de manipulación de datos
en sistemas no actualizados. Los problemas documentados resumen
información sobre la lectura y el borrado arbitrario de ficheros en
SAP BC 4.6 y SAP BC 4.7, así como la existencia de un vector de
phishing en SAP BC Core Fix 7 y versiones anteriores. Nótese que SAP
BC corre con privilegios de administrador en plataformas Microsoft
Windows, y como root en entornos UNIX por defecto, lo que hace
imperativo un control exhaustivo de las plataformas BC. Para este
último caso, según el código de buenas prácticas del fabricante, es
recomendable ejecutar BC como usuario no administrativo, usando un
puerto elevado, siendo posible el mapeado interno a otros puertos
más restringidos.

Los detalles técnicos sobre los problemas hallados serán publicados
tres meses después de la emisión de estos preavisos, tras acordarse
con SAP la no revelación de dichos datos para salvaguardar la
integridad de los clientes hasta que completen el proceso de
actualización.

El fabricante ha puesto a disposición de los usuarios parches
que corrigen el problema. Los administradores SAP deben seguir
las instrucciones impartidas por el fabricante en sus boletines
906401 y 908349, empleando para ello el soporte a clientes que
la compañía ofrece.


Sergio Hernando
shernando@hispasec.com


Más información:

SAP
http://www.sap.com/

SAP Developer Network
https://www.sdn.sap.com

SAP Pre-Advisory: Arbitrary File Read/Delete in SAP BC (Business Connector)
http://www.cybsec.com/vuln/CYBSEC_Security_Pre-Advisory_Arbitrary_File_Read_or_Delete_in_SAP_BC.pdf

SAP Pre-Advisory: Phishing Vector in SAP BC (Business Connector)
http://www.cybsec.com/vuln/CYBSEC_Security_Pre-Advisory_Phishing_Vector_in_SAP_BC.pdf

miércoles, 15 de febrero de 2006

Actualización de seguridad de GNUTLS

El proyecto GNU publica actualizaciones de seguridad para su producto
GNUTLS, que eliminan una vulnerabilidad que permite la denegación
de servicio.

GNUTLS es una implementación del protocolo SSL/TLS alternativa al
conocido OpenSSL. Ambas implementaciones son Open Source.

Las versiones de GNUTLS no actualizadas contienen una vulnerabilidad en
la librería "libtasn1", en la gestión de entradas DER (Distinguished
Encoding Rules) incorrectas. Dicha vulnerabilidad permite provocar la
caída del servicio que utilice la librería GNUTLS.

Hispasec recomienda a todos los administradores de sistemas con la
librería GNUTLS instalada que actualicen a la versión 1.2.10 (rama
estable) o 1.3.4 (rama experimental) de dicha librería, y la versión
0.2.18 de la librería "libtasn1".

Se deberán reiniciar los programas que utilicen dichas librería de
forma dinámica. Los programas que las utilicen de forma estática
deben recompilarse/reenlazarse.


Jesús Cea Avión
jcea@hispasec.com


Más información:

[gnutls-dev] Libtasn1 0.2.18 - Tiny ASN.1 Library - Security release
http://lists.gnupg.org/pipermail/gnutls-dev/2006-February/001058.html

The GNU Transport Layer Security Library [News]
http://www.gnu.org/software/gnutls/news.html

GNU TLS
http://www.gnu.org/software/gnutls/

CVE-2006-0645
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0645

Security Advisory Important: gnutls security update
https://rhn.redhat.com/errata/RHSA-2006-0207.html

Bugzilla Bug 180903 ? CVE-2006-0645 GnuTLS x509 DER DoS
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=180903

martes, 14 de febrero de 2006

Siete boletines de seguridad de Microsoft en febrero

Tal y como adelantamos la pasada semana, hoy como segundo martes de mes,
Microsoft fiel a su cita ha publicado siete boletines de seguridad.

Se han publicado los boletines MS06-004 al MS06-010 y las actualizaciones
publicadas, según la propia clasificación de Microsoft, dos que presentan
un nivel de gravedad "crítico" y los otros cinco valorados como
"importantes".

* MS06-004: Se trata de una actualización de seguridad acumulativa para
Internet Explorer. Afecta a Microsoft Windows 2000 Service Pack 4 y
además está destinado a solucionar la vulnerabilidad en el análisis de
imágenes WMF. Está calificado como "crítico".

* MS06-005: Destinado a solucionar una vulnerabilidad en el Reproductor
de Windows Media que podría permitir la ejecución remota de código.
Afecta a Reproductor de Windows Media para XP y al Reproductor de
Windows Media 9 con Windows Server 2003, Windows 98 y Windows Millennium
Edition (ME). Según la calificación de Microsoft tiene un nivel "crítico".

* MS06-006: Evita una vulnerabilidad en el complemento del Reproductor
de Windows Media con exploradores de Internet que no son de Microsoft
que podría permitir la ejecución remota de código. Afecta a Windows 2000,
Windows XP y Windows Server 2003.

* MS06-007: Corrige una vulnerabilidad de denegación de servicio, que
podría permitir que un atacante que enviara a un sistema afectado un
paquete IGMP diseñado especialmente provocar que el sistema dejara de
responder. Afecta a Windows Server 2003 (todas las versiones).

* MS06-008: Soluciona una vulnerabilidad de ejecución remota de código
en la forma en la que Windows procesa las solicitudes de cliente Web
que podría permitir a un atacante tomar el control completo del sistema
afectado. Afecta a Windows XP y Windows Server 2003.

* MS06-009: Soluciona una vulnerabilidad en Windows y Office en el
Editor de métodos de entrada (IME) para el idioma coreano. Esta
vulnerabilidad podría permitir que un usuario malintencionado tome
pleno control de un sistema afectado. Para que un ataque tenga éxito,
un atacante debe poder iniciar sesión de forma interactiva en el
sistema afectado. Afecta a Windows XP; Windows Server 2003; los
Paquetes de interfaz de usuario multilingüe de Office 2003, Visio
2003 y Project 2003; Herramientas de corrección para Office 2003;
Visio 2003; OneNote 2003 y Project 2003.

* MS06-010: Esta actualización está destinada a corregir una
vulnerabilidad de divulgación de información en PowerPoint. Un
atacante que aproveche esta vulnerabilidad podría intentar obtener
acceso de forma remota a objetos de la carpeta Archivos temporales
de Internet explícitamente por nombre. Es importante mencionar que
la vulnerabilidad no permitirá al atacante ejecutar códigos o elevar
directamente sus derechos de usuario, pero podría servir para reunir
información útil que pudiera usarse para tratar de sacar más provecho
del sistema afectado. Afecta a Microsoft Office 2000 Service Pack 3.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS06-004
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/Bulletin/ms06-004.mspx

Bulletin Identifier Microsoft Security Bulletin MS06-005
Vulnerability in Windows Media Player Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/ms06-005.mspx

Microsoft Security Bulletin MS06-006
Vulnerability in Windows Media Player Plug-in with Non-Microsoft
Internet Browsers Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/ms06-006.mspx

Microsoft Security Bulletin MS06-007
Vulnerability in TCP/IP Could Allow Denial of Service
http://www.microsoft.com/technet/security/Bulletin/ms06-007.mspx

Bulletin Identifier Microsoft Security Bulletin MS06-008
Vulnerability in Web Client Service Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/ms06-008.mspx

Bulletin Identifier Microsoft Security Bulletin MS06-009
Vulnerability in the Korean Input Method Editor Could Allow Elevation
of Privilege
http://www.microsoft.com/technet/security/Bulletin/ms06-009.mspx

Bulletin Identifier Microsoft Security Bulletin MS06-010
Vulnerability in PowerPoint 2000 Could Allow Information Disclosure
http://www.microsoft.com/technet/security/Bulletin/ms06-010.mspx

lunes, 13 de febrero de 2006

Denegación de servicio en LDAP de Sun Java System Directory Server

Se ha descubierto una vulnerabilidad en Sun Java System Directory
Server y ONE Directory Server que puede ser aprovechada por
atacantes para provocar una denegación de servicio (DoS).

El fallo se debe a un error en el servidor LDAP a la hora de manejar
ciertas peticiones. Esto puede llevar a tirar el servicio a través de
peticiones especialmente construidas formuladas al puerto del servidor
LDAP.

La vulnerabilidad ha sido confirmada en la versión 5.2 P4. Otras
versiones podrían verse afectadas. Se recomienda restringir el
acceso al servicio LDAP.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Sun Directory Server 5.2 fun
http://lists.immunitysec.com/pipermail/dailydave/2006-February/002914.html

domingo, 12 de febrero de 2006

Vulnerabilidades en HP Insight Manager 5.x y 4.x

HP ha reconocido la existencia de dos vulnerabilidades en HP Insight
Manager, que pueden ser empleadas por usuarios remotos para acceder a
archivos de los sistemas afectados.

HP Insight Manager es una herramienta de HP destinada a ofrecer una
solución para la gestión de servidores, equipos de sobremesa, estaciones
de trabajo y portátiles. Proporciona un acceso rápido a información
detallada sobre los fallos y el rendimiento.

El primero de los problemas hace referencia a una debilidad en JBoss que
puede ser aprovechada para revelar información sensible del sistema. El
fallo se debe a un manejo incorrecto a la hora de descargar código RMI
en la clase org.jboss.web.WebServer.

Este error afecta a las versionse 5.0, 5.0 SP1, 5.0 SP2, y 5.0 SP3
sólo bajo Windows.

Existe otra vulnerabilidad que puede ser potencialmente aprovechada
para tener acceso a ficheros arbitrarios a través de un ataque de
escalada de directorios.

El fallo afecta a las versiones 4.2, 4.2 SP1, 4.2 SP2, 5.0, 5.0 SP1,
5.0 SP2, y 5.0 SP3 sólo bajo Windows.

El fabricante ha publicado contramedidas disponibles desde la página
oficial.


Sergio de los Santos
ssantos@hispasec.com


Más información:

HPSBMA02096 SSRT061108 rev.2 - HP Systems Insight Manager Remote
Unauthorized Access - Directory Traversal
http://www5.itrc.hp.com/service/cki/docDisplay.do?docId=c00597967

HP Insight Manager Directory Traversal Bugs Let Remote Users Obtain
Files on the Target System
http://securitytracker.com/alerts/2006/Feb/1015605.html

sábado, 11 de febrero de 2006

Nuevos contenidos en CriptoRed (enero de 2006)

Breve resumen de las novedades producidas durante el mes de enero
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

* Address Spoofing/Forging: Falsificación de Direcciones
* Ataques y Estrategias con Relación a la Seguridad en Internet
* Auditoría de Seguridad
http://www.criptored.upm.es/paginas/docencia.htm#gtletraA

* Backup
http://www.criptored.upm.es/paginas/docencia.htm#gtletraB

* Criptografía
* Criptografía de Clave Pública y PGP
http://www.criptored.upm.es/paginas/docencia.htm#gtletraC

* Firewal y Proxy
* Firma Digital
http://www.criptored.upm.es/paginas/docencia.htm#gtletraF

* Kerberos: Un Sistema de Autenticacion para Redes
http://www.criptored.upm.es/paginas/docencia.htm#gtletraK

* Password
http://www.criptored.upm.es/paginas/docencia.htm#gtletraP

* Seguridad en el Correo Electrónico
* Seguridad en Redes de Área Local
* Seguridad en Redes. Comunicaciones Encriptadas
http://www.criptored.upm.es/paginas/docencia.htm#gtletraS

* Tesis de Grado Desarrollo de una Aplicación para Administración
de Firmas y Certificados Digitales. Caso: Superintendencia de
Telecomunicaciones
http://www.criptored.upm.es/paginas/investigacion.htm#tesis

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Abril 04 al 07 de 2006: Segunda Escuela Venezolana de Seguridad de
Cómputo (Mérida - Venezuela)
http://www.saber.ula.ve/eventos/evscm/

* Abril 19 al 21 de 2006:7th Smart Card Research and Advanced
Application IFIP Conference CARDIS 2006 (Tarragona - España)
http://www.cardis.org/

* Abril 20 al 22 de 2006: The First International Conference on
Availability, Reliability and Security (Viena - Austria)
http://www.ares-conf.org/?q=node

* Mayo 23 al 24 de 2006: Fourth International Workshop on Security in
Information Systems WOSIS 2006 (Paphos - Chipre)
http://www.iceis.org/

* Junio 14 al 16 de 2006: VI Jornada Nacional de Seguridad Informática
ACIS 2006 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=627

* Agosto 7 al 10 de 2006: International Conference on Security and
Cryptography SECRYPT 2006 (Setúbal - Portugal)
http://www.secrypt.org/

* Agosto 20 al 25 de 2006: Security Stream World Computer Congress de
IFIP (Santiago - Chile)
http://www.wcc-2006.org/

* Septiembre 7 al 9 de 2006: IX RECSI Reunión Española de Criptología y
Seguridad de la Información (Barcelona - España)
https://www.recsi2006.org/

Puedes encontrar más información sobre estos eventos en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

OTROS SERVIDORES:

International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE DICIEMBRE DE 2005

* Diplomado en Seguridad Informática en la UNI en Lima (Perú)
http://postgrado.uni.edu.pe/fiis/index.htm

* III Curso Experto en Seguridad Informática en la Mondragon
Unibersitatea (España)
http://www.eps.mondragon.edu/cesec/

* Especialización en Seguridad Informática y Tecnologías de la
Información en el IPN (México)
http://lssd.esimecu.ipn.mx/esiti-web/acerca/about.php

* Segunda Edición Diplomado en Seguridad Informática 2006 en la UPB
(Colombia)
http://www.upbbga.edu.co/programas/diplo_seginfo/seginfo.html

* CFP III Jornadas de Software Libre de la Universidad de Cádiz (España)
http://osl.uca.es/jornadas/presentacion.html

* I Mesa Redonda Interprofesional sobre Gestión y Seguridad TIC ESNE
Madrid (España)
http://www.esne.es/eventos.php?id=16&Lang=es

* Jornada SANS Stay Sharp en Madrid: Implantación de Honeynets de
Tercera Generación
http://www.sans.org/staysharp/details.php?id=1389

* CSIC busca Doctores para Proyecto Plan Nacional de Investigación
Científica y Desarrollo
Contacto: fausto@iec.csic.es

* Iniciativas y Centro de Seguridad Informática en la Ciudad del Saber
en Panamá
http://www.elpanamaamerica.com.pa/archive/12092005/actualt_slim.html
http://www.owasp.org/index.jsp

* Primer Máster en Buen Gobierno de las TIC, Gestión, Seguridad y
Auditoría (España)
Contacto: formacion@itdeusto.com

* Jornadas WebSec 2006 Hackeo y Seguridad Web (México)
http://www.websec.com.mx/

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 550
(158 universidades; 188 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 37.094 visitas, 98.692 páginas y 33,58 GigaBytes
servidos en enero de 2006.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

* Nuevo Acceso a Estadísticas por Detalle del Servidor de los Años 2004
y 2005
* 402.283 visitas y 478,26 GigaBytes servidos en el año 2005
http://www.criptored.upm.es/paginas/estadisticas.htm

* Nueva Sección Dedicada Exclusivamente a los Patrocinadores de la Red
http://www.criptored.upm.es/paginas/patrocinadores.htm


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

enero de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#ene06

viernes, 10 de febrero de 2006

7 parches de Microsoft para el día 14

Microsoft, como de costumbre, ha publicado una nota para adelantar lo que
supondrá su actualización mensual de febrero. A grandes rasgos, anuncia
que el martes día 14 publicará siete parches de seguridad que afectan a
varios de sus productos, algunos de estos parches solventarán
vulnerabilidades clasificadas como críticas.

Una vulnerabilidad afecta a Microsoft Windows Media Player con severidad
calificada como crítica. Esta actualización no requerirá reinicio del
sistema y como de costumbre, será detectada por el Microsoft Baseline
Security Analyzer y por Enterprise Scanning Tool.

No se conocen detalles públicos sobre esta vulnerabilidad, con lo que es
muy posible que haya sido anunciada a Microsoft de forma "discreta", y
no se darán detalles hasta el día de la publicación del parche.

Cuatro de los errores de seguridad afectarán a Microsoft Windows, como
mínimo una de ellos es calificado como crítico, y estos sí que
necesitarán de un reinicio del sistema para que tengan efecto. De estos
cuatro errores es posible imaginar al menos tres de ellos, pues durante
la semana han sido anunciadas por la propia Microsoft varios boletines
de seguridad confirmando la existencia de vulnerabilidades, sin
demasiados detalles, y anunciando que están estudiando la situación.

Por ejemplo, el 7 de febrero se confirmaba a través de un anuncio de
seguridad oficial de Microsoft, un fallo de diseño en Microsoft Windows
por el que usuarios locales pueden escalar privilegios. La salida a la
luz de este error está directamente relacionada con el estudio publicado
recientemente por Sudhakar Govindavajhala y Andrew W. Appel, y comentado
en un boletín anterior de "una-al-día".

En este profuso ensayo se estudiaba en detalle los fallos de diseño del
control de acceso de Microsoft a los objetos de sistema. Los permisos
SERVICE_CHANGE_CONFIG en los servicios UPnP (Universal Plug and Play),
NetBT (Ayuda de NetBIOS sobre TCP/IP), ScardSvr (Tarjeta inteligente), y
SSDP (Servicio de descubrimientos SSDP ) podrían ser modificados para
que un usuario con pocos permisos (de forma local) ejecutase a través de
ellos cualquier programa bajo una cuenta con mayores privilegios. El
programa sustituido se ejecutaría al reiniciar el servicio.

El fallo afecta a Windows XP SP1 (en todos los servicios descritos) y a
Windows Server 2003 (sólo en el servicio NetBT). Los usuarios de Windows
XP SP2 y Windows Server 2003 SP1 parece que estarían a salvo. Existen
contramedidas para mitigar los errores a través de la modificación de
permisos en el registro y herramientas como sc.exe, y es importante
aplicarlas hasta la salida del parche porque, a raíz del estudio
publicado, se programó un exploit funcional al alcance de todos en
páginas web.

También el día 7 de febrero Microsoft reconoció una vulnerabilidad en
Internet Explorer, que podría llevar a la ejecución de código de forma
remota. Por el contenido del anuncio, se podría deducir que se trata del
mismo error cubierto en el boletín MS06-001 (912919) en el que se
publicaba un parche para la famosa vulnerabilidad WMF. Pero no, es otro
error distinto que sólo afecta a Internet Explorer 5.01 Service Pack 4
bajo Windows 2000 Service Pack 4 y a Internet Explorer 5.5 Service Pack
2 bajo Windows Millennium, lo que reduce en parte el campo de acción de
la vulnerabilidad. Como era de esperar, la función que hacía posible la
vulnerabilidad WMF ha dado pie a nuevos errores y fallos relacionados.
En un "una-al-día" anterior, también se hablaba de que "son muchos los
que, a raíz del incidente, han escudriñado el motor gráfico de Windows
hasta su última función, y es más que posible que en los próximos días
sigan apareciendo alertas de seguridad centradas en él, o que se
descubra que estas denegaciones de servicio ya expuestas, pueden
conducir a la ejecución de código", aludiendo a pruebas de concepto que
se descubrieron (aun con el parche MS06-001 aplicado) y permitían
perpetrar denegaciones de servicio sobre el proceso explorer.exe.

Por último, uno de estos cuatro fallos de seguridad en Windows
anunciado, podría referirse a un error hecho público en una página
especializada. Consiste en una vulnerabilidad en Microsoft HTML Help
Workshop que permite la ejecución de código arbitrario en el sistema de
la víctima al abrir ficheros en formato HHP. El fallo se ha confirmado
en la versión 4.74.8702.0, pero otras podrían verse afectadas. Existe
exploit funcional disponible. Microsoft HTML Help Workshop es parte del
Microsoft HTML Help 1.4 SDK, un software diseñado para comprimir HTML,
gráficos y otros ficheros dentro de un formato estándar comprimido de
ayuda con extensión CHM.

Al proporcionar un campo "Contents file" muy largo a un fichero HHP, se
desborda una memoria intermedia y permite a un usuario remoto tener
control del registro EIP y por tanto ejecutar código en la máquina
víctima con sólo abrir un archivo en este formato. Afortunadamente, un
usuario medio no tiene por qué tener instalado este software, y una
instalación básica de Windows y, que se sepa, no sabría con qué programa
abrir ficheros en formato HPP.

El sexto fallo de seguridad anunciado afecta a Windows y a Office, con
una criticidad "importante". Necesitará de reinicio de sistema. El
séptimo fallo afectará a Microsoft Office, y también está calificado
como "importante".

El día 14 de febrero, Microsoft además actualizará su herramienta contra
el software espía o malintencionado, que se supone protegerá y eliminará
virus y malware en general encontrado durante el último mes. Entre ellos
seguro se encontrará (a buenas horas) el "antídoto" para "Kama Sutra".

Desde octubre, mes en el que se publicaron nueve parches, no se habían
publicado tantos boletines de seguridad. Hay que tener en cuenta que
este anuncio preliminar no es definitivo y puede estar sujeto a
importantes cambios. Se hace público este adelanto para que los
administradores puedan planear convenientemente la estrategia de
actualización y ayudarles en la tarea de parcheado. También como medida
de precaución para tomar las decisiones oportunas de prevención sobre
los fallos de los que se conocen detalles importantes y son susceptibles
de ser aprovechados por atacantes.

Esperemos que entre estas actualizaciones veamos por fin parches para
algunas de las vulnerabilidades que podemos encontrar en la lista que
mantienen los prestigiosos investigadores de eEye, en la que se detallan
los agujeros de seguridad no solventados por los fabricantes, aun
habiéndoles sido notificados. En la lista, siempre según eEye,
encontramos cuatro alertas de Microsoft, anunciadas a la empresa,
críticas y no parcheadas. La más "veterana" con más de 220 días de
antigüedad.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Possible Vulnerability in Windows Service ACLs
http://www.microsoft.com/technet/security/advisory/914457.mspx

Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/913333.mspx

Microsoft HTML Help Workshop .hhp File Processing Buffer Overflow Lets
Remote User Execute Arbitrary Code
http://users.pandora.be/bratax/advisories/b008.html

eEye upcoming advisories
http://www.eeye.com/html/research/upcoming/index.html

Microsoft Windows y el control de acceso, al desnudo
http://www.hispasec.com/unaaldia/2660

Dos nuevos problemas encontrados en el formato WMF
http://www.hispasec.com/unaaldia/2636

jueves, 9 de febrero de 2006

Escalada de directorios en IBM Tivoli Access Manager 5.1.0 y 6.0

IBM ha anunciado la existencia de una vulnerabilidad en el componente
Tivoli Web Server Plug-in de IBM Tivoli Access Manager (versiones
5.1.0.10, 6.0.0 y posiblemente otras) que puede ser explotado por
usuarios remotos autenticados para realizar escaladas de directorios.

IBM Tivoli Access Manager for Operating Systems es un sistema
de control de accesos basado en políticas para los sistemas operativos
UNIX y Linux.

El problema se debe a que el script 'pkmslogout' no valida de forma
robusta las entradas dadas por usuario en el parámetro 'filename'. Un
usuario malicioso autenticado puede dar un valor especialmente
construido a dicho parámetro incluyendo secuencias '../' para
visualizar archivos en el sistema vulnerable con los privilegios del
servidor web de la máquina afectada. Un ejemplo de explotación sería
la siguiente:
http://[victima]/pkmslogout?filename=../../../../../../../etc/passwd

IBM ha publicado los siguientes parches para las versiones 5.1.0 y
6.0:
* Fixpack 5.1.0-TIV-WPI-FP0017:
http://www-1.ibm.com/support/docview.wss?uid=s wg24011562
* Fixpack 6.0.0-TIV-WPI-FP0001:
http://www-1.ibm.com/support/docview.wss?uid=swg24011561


Sergio de los Santos
ssantos@hispasec.com


Más información:

IBM Tivoli Access Manager Input Validation Hole in Web Server Plug-in 'pkmslogout' Script Lets Remote Authenticated Users Traverse the Directory
http://www.securitytracker.com/alerts/2006/Feb/1015582.html

Remote Directory Traversal and File Retrieval
http://www.vsecurity.com/bulletins/advisories/2006/tam-file-retrieval.txt

Tivoli Access Manager for Operating Systems
http://www-306.ibm.com/software/info/ecatalog/es_ES/products/Q106010B34990S36.html

miércoles, 8 de febrero de 2006

Elevación de privilegios en varias versiones de Java Runtime Environment

Se han encontrado siete vulnerabilidades no especificadas en el uso de
APIs "reflection" en Java Runtime Environment por las que un applet no
confiable podría elevar sus privilegios. Por ejemplo un applet podría
darse a sí mismo permisos para leer o escribir ficheros locales o
ejecutar aplicaciones en local accesibles por el usuario que ejecuta
el applet.

El primer fallo puede ocurrir en las siguientes versiones para
Windows, Solaris y Linux:
JDK y JRE 5.0 Update 3 y anteriores.
SDK y JRE 1.4.2_08 y anteriores.
SDK y JRE 1.3.1_16 y anteriores

El segundo y tercer fallo pueden ocurrir en las siguientes versiones
para Windows, Solaris y Linux:
JDK y JRE 5.0 Update 4 y anteriores.
SDK y JRE 1.4.2_09 y anteriores.

SDK y JRE 1.3.x no están afectados por estos dos fallos.

El cuarto fallo puede ocurrir en las siguientes versiones para
Windows, Solaris y Linux:
JDK y JRE 5.0 Update 4 y anteriores.

SDK y JRE 1.4.x y 1.3.x no se ven afectados por este fallo.

El quinto, sexto y séptimo fallo pueden ocurrir en las siguientes
versiones para Windows, Solaris y Linux:
JDK y JRE 5.0 Update 5 y anteriores.

SDK y JRE 1.4.x and 1.3.x no se ven afectados por estos tres fallos.

La primera vulnerabilidad está solventada en:
JDK y JRE 5.0 Update 4 y posteriores.
SDK y JRE 1.4.2_09 y posteriores.
SDK y JRE 1.3.1_17 y posteriores.

La segunda y tercera vulnerabilidades están solventadas en:
JDK and JRE 5.0 Update 5 y posteriores.
SDK y JRE 1.4.2_10 y posteriores.

La cuarta vulnerabilidad está solventada en:
JDK y JRE 5.0 Update 5 y posteriores.

La quinta, sexta y séptima vulnerabilidades están solventadas en:
JDK y JRE 5.0 Update 6 y posteriores.

J2SE 5.0 se puede descargar desde:
http://java.sun.com/j2se/1.5.0/download.jsp
http://java.com

J2SE 1.4.2 se puede descargar desde:
http://java.sun.com/j2se/1.4.2/download.html


Sergio de los Santos
ssantos@hispasec.com


Más información:

Security Vulnerabilities in the Java Runtime Environment may Allow
an Untrusted Applet to Elevate its Privileges
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102171-1&searchclause=

martes, 7 de febrero de 2006

"Kama Sutra", tan mediático como... ¿inofensivo?

El autor del virus conocido como "Kama Sutra" ha conseguido con creces
lo que probablemente pretendía: la atención incondicional de los medios,
miles de noticias escritas sobre él y la inquietud de muchos usuarios
horas antes del día 3 de febrero, supuesto momento de activación de su
código maligno.

Recordemos que "Kama Sutra" es un gusano que una vez infecta el sistema,
intenta desactivar el funcionamiento de diversos productos antivirus,
recoge direcciones de correo en el ordenador de la víctima para
distribuirse por e-mail utilizando su propio motor SMTP, y también
intenta distribuirse a través de los recursos compartidos. Hasta aquí,
como cualquiera de las decenas de gusanos que aparecen cada día. Lo
único que ha provocado que cientos de ojos se vuelvan hacia él (e
incluso que exista esta noticia) han sido dos pequeños detalles.

Los días 3 de cada mes el gusano sobreescribe (que no borra) archivos
con extensiones .doc (Microsoft Word), .xls (Microsoft Excel), .mdb,
.mde (Microsoft Access), .ppt (Microsoft PowerPoint), archivos
comprimidos con .zip y .rar, .pdf, .psd (Adobe Photoshop) y .dmp
(extensión normalmente asociada a volcados de diferentes tipos). O sea,
el virus destruye documentos muy valorados por todo tipo de usuarios y
que suelen contener información importante para su trabajo, estudios o
cualquier otra actividad. Hoy en día, pocos son los virus que se dedican
a destruir de alguna forma el sistema en el que se han alojado.

Otro detalle que lo ha llevado a ser tan popular es el exótico nombre
adoptado por algunas casas antivirus para diferenciarlo. No ha existido
un consenso claro, y, entre otros, al virus se le ha llamado Nyxem,
BlackMal., Kapser, MyWife, Tearec...pero "Kama Sutra" ha resultado
ganador en los medios no especializados, y eso que "Kama Sutra" era
simplemente uno de las decenas de asuntos que aparecían en los correos
infectados. El sexo siempre será un reclamo fácil para intentar que
usuarios despistados ejecuten archivos que vienen de fuentes no
confiables, y esta vez no ha sido una excepción.

Sin embargo, pese a ser un virus de lo más común e incluso poco
difundido en comparación con otros, hemos visto hasta noticias dedicadas
en la televisión. Lo que no advierten estos medios generalistas son
cuestiones básicas como que sólo afecta a sistemas Windows (a veces se
sobreentiende pero no está de más recordarlo), pero, sobre todo, que
este virus resulta mucho menos dañino que otras amenazas mucho más
peligrosas a las que nos enfrentamos todos los días. Unos documentos
siempre pueden recuperarse si se tiene una copia de seguridad, pero
según opina con sensato criterio Graham Cluley consultor de Sophos,
nunca se podrá deshacer el daño si esos documentos confidenciales han
sido robados a través de una de las miles de puertas traseras que
instalan otros virus; nunca podrás saber si se ha usado tu contraseña
robada a través de las decenas de keyloggers que aparecen todos los
días; y no es más grave que el inespecífico y potencial daño que se
vuelca en la red si tu ordenador se convierte en un zombie que envía
correo basura o participa en el ataque coordinado a otros servidores...
Esto son amenazas reales y continuas a las que los medios generalistas
no han prestado atención, hace falta que un simple virus que no aporta
ninguna novedad técnica borre documentos personales para alarmar a las
masas.

"Kama Sutra" se ha convertido en un virus muy popular y todos los
antivirus sin excepción lo reconocen y son capaces de limpiar un sistema
infectado. Las casas antivirus han mantenido en todo momento el nivel
bajo de riesgo con este virus, pues técnicamente, no contiene ningún
punto destacable. Incluso su forma de distribuirse es trivial, con un
más que típico archivo ejecutable con extensión .src que suelen detener
los administradores antes de entrar en los correos corporativos por
suponer una forma muy tradicional de portar código vírico.

Finalmente (y como era previsible) por fortuna no ha ocurrido nada
destacable el día 3 de febrero, ni ocurra probablemente ningún otro día
3, después de toda la repercusión mediática. El problema quizás es que
situaciones como esta pueden llevar a que el usuario medio no perciba
peligro real ante futuros anuncios de amenazas, y que se vuelva inmune
ante la concienciación de las alertas reales que sí pueden suponer un
peligro real. Una especie de parábola del cuento de los lobos que nunca
terminan de llegar. Especialmente reseñable en este sentido resultó el
efecto 2000, del que se habló tanto, se mitificó de tal forma, que el
hecho de que realmente no ocurriese nada en absoluto el esperado primer
día del aquel año, resultó incluso un poco decepcionante.

No es que "Kama Sutra" sea un virus del todo inofensivo, ni que carezca
de importancia. Quizás la difusión desproporcionada en los medios (que
no real) haya ayudado a que su efecto final sea menor... pero
simplemente no deja de tener la misma relevancia que el resto de miles
de virus que aparecen cada día, y no hay por qué subrayarlo como virus
especialmente peligroso ni alertar a los usuarios con exageraciones que
le induzcan a pensar que está en un mayor peligro del que realmente se
encuentra, para luego no ocurrir nada y relajarse la próxima vez que se
le anuncien otros virus. Esto crea mucha confusión, y gracias a
exageraciones desmedidas a las que se les da excesivo crédito, muchos
usuarios están más al tanto de no añadir a su cuenta de MSN Messenger
supuestos contactos que formatearán tu disco duro (y de comunicárselo
a todo el mundo para que conozca esta amenaza tan falsa como absurda),
que de mantener actualizado su sistema operativo y su antivirus.

Los verdaderos peligros de Internet no están en los virus más conocidos
que aparecen en los telediarios y de los que están al tanto la mayoría
de los usuarios. Lo verdaderamente peligroso en Internet es el código
destructivo que está en manos de unos pocos, que no se ha hecho público
y con el que comercializa sin escrúpulos. Por ejemplo, hace poco se ha
conocido que la infame vulnerabilidad WMF fue descubierta mucho antes
del día que se hizo pública. Se calcula que llevaba semanas en manos
de mafias que estaban especulando con ella, y que el código que la
explotaba fue vendido por 4.000 dólares. Días después cualquiera tenía
acceso al código en cuestión y se difundió por todo el mundo. De esta
grave vulnerabilidad no se habló tanto en los medios generalistas.

Vender información de este tipo por 4.000 dólares no resulta excesivo. El
hecho de conocer el código que te permite tomar el control de un sistema
y que no es detectado por nada ni por nadie hasta ese momento, tiene
mayor valor en tanto en cuanto es conocido por un menor número de
personas. En estos casos la amenaza resulta real y tremendamente
peligrosa tanto para usuarios como para servidores corporativos con
grandes responsabilidades... virus como "Kama Sutra" que aparecen en los
telediarios, detectados por todos los antivirus y del que se habla de
cómo eliminarlo en muchas páginas de Internet resultan, en comparación,
inofensivos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Sophos urges calm as panic over Friday's Nyxem worm attack spirals
http://www.sophos.com/pressoffice/news/articles/2006/02/nyxempanic.html

WMF Exploits Sold by Russian Hackers
http://www.toptechnews.com/fullpage/fullpage.xhtml?dest=%2Fstory.xhtml%3Fstory_id%3D41421

http://www.toptechnews.com/story.xhtml?story_id=41421

Kama Sutra worm: How was it for you?
http://software.silicon.com/malware/0,3800003100,39156201,00.htm

WMF Exploit Sold Underground for $4,000
http://www.eweek.com/article2/0,1895,1918198,00.asp

lunes, 6 de febrero de 2006

ReactOS paraliza su desarrollo para auditar su código

El equipo responsable del desarrollo de ReactOS ha anunciado
recientemente la paralización del desarrollo del producto, así como
la suspensión de las descargas del mismo, con el fin de realizar una
auditoría completa y exhaustiva de la totalidad del código fuente.

ReactOS es un proyecto cuyo objetivo principal es desarrollar un
sistema operativo de código abierto compatible las aplicaciones y
drivers de Windows NT y Windows 2000. Escrito principalmente en C,
posee no obstante algunos componentes escritos en C++. Los componentes
de ReactOS están bajo licencia GNU/GPL, GNU Lesser y BSD.

Recientemente, el equipo de desarrollo, encabezado por Steven Edwards,
ha paralizado las actividades de desarrollo al existir sospechas en
diversos sectores de que el código de ReactOS podría contener
porciones del código sustraído de Windows 2000, incidente de seguridad
registrado en los albores de 2004, momento en que Microsoft reconoció
en una escueta nota de prensa estar investigando filtraciones del
código fuente de Windows NT y 2000 a redes de pares P2P.

La revisión del código de ReactOS se antoja como faraónica, en
palabras de los responsables, podría durar varios años, ya que se
estiman en torno a 3 millones de líneas las que conforman el producto.
Sin duda, es la medida más sensata, al dejar entrever varios
desarrolladores del proyecto que un componente del equipo podría haber
sometido a ingeniería inversa porciones de Windows sujetas a
copyright, lo que violaría por consiguiente la legislación al
respecto.

La tarea de revisión nace a través de la necesidad de clarificar los
términos legales y de propiedad intelectual de ReactOS, acordes a las
especificaciones de "Clean Room Reverse Engineering" o técnica de la
Muralla China, requisito obligatorio para cumplir con la legislación
norteamericana en actividades que impliquen ingeniería inversa.
Mediante esta metodología, se pretende recrear un producto sin
infringir ningún tipo de copyrights, derechos de autor y/o sin
comprometer secretos industriales inherentes al diseño original. El
respeto a la "Clean Room" hace factible que productos como ReactOS
sean absolutamente legítimos. Un ejemplo mucho más gráfico es el
protagonizado por Compaq en 1985, cuando reprodujo mediante "Clean
Room" el diseño de la BIOS de IBM, creando el primer modelo de PC
compatible clónico.

La auditoría se podría realizar de la mano del Software Freedom Law
Center (SFLC), organismo con experiencia en revisiones similares, con
trabajos específicos realizados sobre WINE, el emulador Windows para
entornos Unix-like.

Por otro lado, Microsoft guarda prudente silencio ante lo acontecido.
Según Edwards, la compañía no se ha expresado oficialmente ni ha
contactado con los miembros de ReactOS. Del mismo modo, Edwards
declara que la compañía no ha atendido peticiones previas del equipo
de ReactOS para aclarar cuestiones legales sobre la naturaleza del
proyecto. El único dato conocido es que parte del personal de Redmond
está suscrito a la lista de desarrollo de Wine, según los responsables
del proyecto, con lo que probablemente seguirán las evoluciones del
asunto.

De demostrarse que el código de ReactOS está contaminado por porciones
de código legítimo de Microsoft Windows, existiría un problema no sólo
legal ni ético, sino además, de seguridad. Este argumento ofrecería
más fuerza al argumento que a día de hoy casi todos dan por sentado:
la fuga de código producida en febrero de 2004 provocó que partes del
código de Windows estén, pese a los esfuerzos de contención de la
compañía, en manos de usuarios con capacidad plena no sólo para
efectuar ingeniería inversa, sino también de investigar métodos
avanzados de explotación basándose en lo revelado por el código.

En cualquier caso, este asunto añade nuevos tintes al caso más famoso
de filtración, con permiso del robo de código de Half Life 2, un caso
que no termina de cerrarse. Hace pocos días, un hombre fue condenado a
dos años de prisión en Connecticut, EEUU, precisamente por la venta
del famoso código. Un código filtrado sobre el que, hoy por hoy, no
existe certeza total sobre contenidos ni sobre las implicaciones
reales que la fuga ha podido tener o puede tener sobre la seguridad de
los sistemas que utilicen dicho código. El caso sigue abierto y los
cabos, pendientes de ser totalmente atados.


Sergio Hernando
shernando@hispasec.com


Más información:

ReactOS
http://www.reactos.org

Declaraciones de Steven Edwards
http://www.reactos.org/xhtml/en/news_page_14.html

Lista de correo ReactOS
http://www.reactos.org/archives/public/ros-dev/2006-January/thread.html#7389

ReactOS suspends development for source code review
http://software.newsforge.com/software/06/02/01/1630225.shtml?tid=132&tid=25

Filtraciones del código fuente de Windows NT y 2000
http://www.hispasec.com/unaaldia/1937

Statement from Microsoft Regarding Illegal Posting of Windows Source Code
http://www.microsoft.com/presspass/press/2004/Feb04/02-12windowssource.asp

Man sent to prison for selling Windows source code
http://www.out-law.com/page-6583

domingo, 5 de febrero de 2006

Publicado el Service Pack 2 para Microsoft ISA Server 2004

Microsoft ha publicado el parche acumulativo Service Pack 2 para ISA
Server 2004.

Entre las nuevas funciones que añade este Service Pack está la
capacidad para servir y guardar temporalmente contenido descargado con
el protocolo Background Intelligent Transfer Service (BITS). Este es
un servicio de transferencia que utiliza Microsoft para descargar
actualizaciones y Service Packs.

Además permite la compresión HTTP, y priorización de tráfico. Esta
nueva función puede aplicarse a cualquier navegador que pase a través
del servidor, usando Quality of Service (QoS) y permite a los
administradores dar mayor o menor prioridad al tráfico de aplicaciones
importantes.

Además corrige varios fallos (no sólo de seguridad) y actualizaciones
que mejoran el rendimiento del producto. Incluye soporte para
Microsoft Windows Server 2003 R2 y otras aplicaciones R2, mejoras en
el protocolo de enrutamiento de arrays de caché, soporte SQM y todos
los parches de seguridad acumulados desde hasta el 1 de noviembre de
2005.

El Service Pack puede ser descargado desde:
http://www.microsoft.com/downloads/details.aspx?FamilyId=88350ABA-D09E-44B5-8002-96590ABFA148&displaylang=es


Sergio de los Santos
ssantos@hispasec.com


Más información:

ISA Server 2004 Service Pack 2
http://www.microsoft.com/isaserver/evaluation/sp2/default.mspx

sábado, 4 de febrero de 2006

Microsoft Windows y el control de acceso, al desnudo

Sudhakar Govindavajhala y Andrew W. Appel de la Universidad de
Princetown (Nueva York), han publicado un interesante estudio sobre
permisos y control de acceso en sistemas Microsoft Windows. En el
estudio se desmitifica el funcionamiento del sistema operativo Windows a
la hora de controlar el acceso a sus recursos y se explica cómo algunos
comportamientos han provocado vulnerabilidades no sólo en el sistema
operativo, sino en conocidos programas comerciales.

Estos investigadores han usado la programación lógica para implementar
lo que han llamado MulVAL (Multihost, Multistage, Vulnerability
Analysis) una herramienta que han utilizado para analizar profundamente
el control de acceso de los sistemas Windows XP. Mediante la información
recopilada desde distintas fuentes del sistema (el registro, sistema de
ficheros...) el modelo implementado elabora una especie de "mapa" por el
que se revelan varias posibles fórmulas y distintas vías de ataque,
todas destinadas a elevar los privilegios de un usuario local en el
sistema. Con esta herramienta, entre otras, se han encontrado hasta 20
formas distintas de escalar privilegios desde cuentas del grupo
"usuarios avanzados" a administradores. Aunque los usuarios avanzados
poseen bastantes privilegios sobre la máquina, no llegan a los totales
poderes del administrador.

En el estudio se habla también de forma clara y sencilla sobre los
potenciales peligros de la implementación incorrecta de las listas de
control de acceso a los objetos Windows y se plantean fórmulas por las
que se puede llevar a un usuario del sistema a poder ejecutar cualquier
tipo de código con los permisos del administrador o de cuentas
reservadas del sistema con altos privilegios.

Si Unix tiene un modelo simple de control de acceso basado en tres
privilegios (además del bit UID) que se dan a distintos objetos del
sistema (ficheros, directorios...), el sistema de Windows es mucho más
complejo. Se arrastra una lista de control de acceso de hasta 30
permisos diferentes para operaciones sobre unos 15 tipos distintos de
objetos, todo ello con la posibilidad de negar o permitir explícitamente
el privilegio. Esto permite afinar en extremo los permisos, pero también
puede suponer un verdadero galimatías para un administrador o para un
programador que quiera desarrollar una herramienta que interactúe con
los objetos del sistema, pues deben documentarse profusamente y
comprender la compleja estructura de permisos.

Aunque los permisos en Windows están bien documentados y detallados,
resulta muy común observar cómo los creadores de software profesionales
a menudo no evalúan correctamente el impacto que puede llegar a tener la
instalación de su programa en un sistema sin haber afinado correctamente
los permisos que han elegido para sus aplicaciones. La consecuencia es
que mucho software comercial puede llevar a la elevación de privilegios
por parte de usuarios en sistemas compartidos, y de hecho ya se han dado
casos concretos.

Hace poco, a principios de febrero de 2006, se han identificado errores
de permisos en ficheros y directorios en varios productos Adobe tales
como Adobe Photoshop CS2, Illustrator CS2, y Adobe Help Center. El grupo
"Todos" tenía permiso de escritura en 170 archivos (ejecutables y
librerías) de productos Adobe. Un atacante podría sustituirlos por
código malicioso en local y esperar a que el administrador los ejecutara
para poder arrancar ese código con mayores privilegios. La configuración
estándar de AOL, entre otros, también permitía a un usuario invitado
ejecutar código con los permisos de cualquier otro usuario (incluso los
de "Local System"), simplemente manipulando claves de registro. Los
permisos de las ramas de registro, según apunta el estudio, pueden
suponer también habitualmente un problema de seguridad.

La herramienta que desarrollaron estos investigadores ha ayudado a
descubrir muchos problemas de permisos tanto en software comercial como
en componentes del sistema. El caso de los servicios es especialmente
significativo. Al existir tantas formas y combinaciones posibles de
permisos, los desarrolladores optan por distintas vías (por no existir
una convención única) para implementar la funcionalidad de un servicio
propio que correrá en sistemas Windows. Cada servicio tiene un
descriptor de seguridad que especifica a qué usuarios se les permite
configurar o arrancar o parar un servicio. Algunos fabricantes no
aplican correctamente el modelo de control de acceso de Windows en sus
servicios y por ejemplo, otorgan indiscriminadamente el permiso "SERVICE
CHANGE CONFIG" que permite modificar el ejecutable ligado al servicio.
Microsoft recomienda que este permiso sea sólo dado a los
administradores, pero en su documentación no avisa explícitamente de que
este permiso también permite no sólo modificar el ejecutable sino
especificar quién lo hará, de forma que si, a través de cualquier
programa instalado se posee este privilegio, se puede ejecutar
potencialmente cualquier fichero bajo cualquier cuenta del sistema.

Por ejemplo, el grupo "Todos" tenía este permiso de configuración
activado en el servicio "Macromedia Licensing Service" que instalaban
varios productos de Macromedia. Afortunadamente este problema fue
solucionado en junio de 2005. Existen otros agujeros menos graves en
servicios de fabricantes ajenos a Microsoft, pero en el estudio no se
dan detalles a la espera de que puedan ser solventados.

No sólo a través de servicios de terceros es posible elevar privilegios.
Por ejemplo, según el estudio, varios servicios de Windows XP, tales
como "Servicio de descubrimientos SSDP" y "Host de dispositivo Plug and
Play universal" tenían hasta hace poco ese privilegio ("SERVICE CHANGE
CONFIG") activado por defecto para el grupo "Usuarios Autenticados".
Cualquier usuario con cuenta en el sistema pertenece a ese grupo, por lo
que potencialmente cualquier usuario podía modificar el ejecutable que
arrancaba estos servicios y la cuenta bajo la que iba a ejecutarse. Se
permitía así, indirectamente, la instalación de un troyano o software
dañino modificando la configuración del servicio y esperando a que fuese
reiniciado. Esto fue solucionado por Microsoft en agosto de 2004, aunque
el peligro estaba presente desde casi dos años antes. Otros servicios
del sistema se descubrieron vulnerables y también fueron parcheados
posteriormente.

El problema se basa en que las aplicaciones que instalamos necesitan
normalmente muchos menos privilegios de los que realmente poseen para
acceder a los datos con los que operan. Encontrar el conjunto de
permisos estrictamente necesarios para que funcione una aplicación bajo
condiciones lo más asépticas posibles de seguridad, es objeto de otro
estudio liderado en 2005 por Shuo Chen, y titulado "A black-box tracing
technique to identify causes of least-privilege incompatibilities". En
él se explica una técnica para encontrar en los programas los mínimos
privilegios posibles y necesarios que le son necesarios para funcionar.

En definitiva, con la herramienta desarrollada por Sudhakar
Govindavajhala y Andrew W. Appel, se permite facilitar la tarea del
estudio de los controles de acceso a sistemas Windows, algo, como se ha
visto, delicado. Como la herramienta puede considerarse potencialmente
peligrosa, no se ha hecho pública, aunque sí se recomienda a los
administradores usar herramientas análogas de estudio y modificación de
permisos, tales como SubInACL de Microsoft, y estudiar con ellas
cuidadosamente los permisos de los ficheros y objetos del sistema.

Tanto en entornos domésticos como corporativos, gran parte de los
problemas de seguridad de Windows vienen por el hecho de usar el sistema
en modo administrador. Entender los permisos y controles de acceso es
fundamental para limitar el impacto de los fallos de seguridad del
software, pero parece ser que Microsoft, en este sentido, no termina de
entenderse con los usuarios ni con los programadores de aplicaciones. No
hay razón para pensar que los desarrolladores de Adobe, Macromedia o AOL
han sido los únicos que han cometido errores y es seguro que otros
fallarán en los mismos términos. Estudios como los expuestos demuestran
que un cambio de rumbo y una mayor concienciación por ambas partes en
este sentido haría de Windows un sistema operativo más seguro.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Corporation. Service security and access rights.
http://windowssdk.msdn.microsoft.com/library/default.asp?url=/library/en-us/dllproc/base/service_security_and_access_rights.asp

A black-box tracing technique to identify causes of least-privilege
incompatibilities.
http://research.microsoft.com/~shuochen/papers/chen-ndss05.pdf

Windows Access Control Demystified
http://www.cs.princeton.edu/~sudhakar/papers/winval.pdf