viernes, 30 de junio de 2006

Apple publica la actualización Mac OS X 10.4.7

En respuesta a la necesidad de mejorar las prestaciones de su sistema
operativo, no sólo en lo referente a funcionalidad, sino también a
cuestiones de seguridad, Apple ha puesto a disposición de sus usuarios
la actualización a la versión 10.4.7 de su sistema OS X.

Mac OS (Macintosh Operating System) versión X es un sistema operativo
multiusuario, basado en BSD y Mach microkernel, y dotado de una valorada
interfaz gráfica denominada Aqua. Recientemente, tras un drástico giro
en su modelo de negocio, se abrió la posibilidad de ejecutar OS X no
sólo en las tradicionales plataformas PPC (Power PC), sino también en
arquitecturas Intel.

Esta actualización de carácter acumulativo, ciñéndonos exclusivamente a
lo relacionado con la seguridad, soluciona algunas fallas existentes,
descubiertas y documentadas en el tránsito desde la versión precedente
a la actual.

AFP (Apple File Protocol) se actualiza (véase la referencia
CVE-2006-1468), impidiendo la revelación de información sensible
por parte de usuarios no autorizados. El motor antivirus ClamAV
(CVE-2006-1989) corrige un problema mediante el cual es posible
la ejecución de código arbitrario, caso de proporcionar al motor
automático de actualización una base de datos espejo de índole
maliciosa.

Las mejoras alcanzan también al framework ImageIO (CVE-2006-1469),
susceptible de facilitar la ejecución de código y la denegación de
servicio, al visualizar ficheros TIFF especialmente creados por los
potenciales atacantes. El gestor de demonios launchd (CVE-2006-1471)
corrige un problema que permite a los usuarios locales la escalada
de privilegios en la máquina. Y por último, la implementación libre
OpenLDAP (CVE-2006-1470) recibe una corrección, ya que la versión
obsoleta facilita que los atacantes remotos ocasionen la denegación
total de los servicios en la máquina.

Las actualizaciones pueden ser obtenidas en el centro de descarga del
soporte de Apple, cuya dirección aparece en el campo "más información".
Entre los paquetes suministrados están también los pertenecientes a la
familia de servidores, Apple Mac OS X Server.

Es importante notar que justo después de la emisión de este conjunto
de actualizaciones, ha aparecido un fallo crítico en iTunes
(CVE-2006-1467), versiones 6.0.4 y anteriores. Un desbordamiento de
entero en el manejo del ficheros de codificación de audio (AAC) permite
a los atacantes tener una vía para tomar control completo del sistema,
caso de que los usuarios vulnerables abran ficheros AAC especialmente
creados. La actualización para iTunes se encuentra también en el centro
de descargas.


Sergio Hernando
shernando@hispasec.com


Más información:


About the security content of the Mac OS X 10.4.7 Update
http://docs.info.apple.com/article.html?artnum=303973

Apple iTunes Advanced Audio Coding File Handling Integer Overflow
Vulnerability
http://www.frsirt.com/english/advisories/2006/2601

Centro de descarga de actualizaciones
http://www.apple.com/support/downloads/

MAC OS X
http://www.apple.com/es/macosx/

Apple Security
http://www.apple.com/support/security/

jueves, 29 de junio de 2006

Denegación de servicio en Lotus Domino

IBM ha publicado un aviso de seguridad, en el que se informa que las
versiones de la rama 6.x de Lotus Domino son susceptibles de sufrir un
ataque de denegación de servicio. La versión 5.0.13 también es vulnerable.

Lotus Domino es un conocido servidor de trabajo colaborativo muy
empleado en ámbitos empresariales, que abastece a aplicaciones cliente
del tipo Lotus Notes, y en el que es posible además integrar
aplicaciones de todo tipo. Los orígenes de Domino se remontan a las
versiones primitivas de Lotus Notes Server, desarrollado originalmente
por Lotus Development Corporation. En la actualidad es un producto
desarrolado y mantenido por International Business Machines Corporation
(IBM).

El problema provoca que, bajo ciertas condiciones no del todo
especificadas, un atacante pueda ensamblar un mensaje malicioso que
colapse en el servicio de enrutado (nrouter.exe) del servidor, al
extremarse el consumo de CPU en un intento de entrega que
nunca tendrá éxito. A consecuencia de la denegación, los mensajes de
correo posteriores al malicioso quedarán detenidos en cola y no serán
entregados hasta que el mensaje bloqueante sea eliminado, lo que plantea
serios problemas de continuidad. Los mensajes maliciosos deben contener
una petición de reunión en formato vCal para provocar el éxito de la
acción atacante.

La vulnerabilidad puede ser calificada como crítica, ya que es posible
forzar la denegación remotamente. Teniendo en cuenta que Lotus Domino es
un producto casi exclusivamente presente en organizaciones y que suele
ser punto de entrada a sistemas de gestión de diversa índole, es
conveniente tratar la amenaza como un factor de riesgo de criticidad
elevada. Es importante notar que, en caso de recibir un mensaje
malicioso, el problema no quedará resuelto con el mero hecho de
reiniciar el servidor, ya que el mensaje originante seguirá en cola y
seguirá taponando los envíos posteriores.

La explotación de la vulnerabilidad puede conducir a la denegación total
del servidor Domino, y por tanto, a la ruptura de la continuidad de los
servicios que pendan de él.

La recomendación más plausible que podemos emitir es instar a los
administradores de soluciones Domino a que actualicen sus versiones con
la máxima premura. El equipo de soporte de IBM confirma que las
versiones 6.5.4 Fix Pack 1, 6.5.5, y 7.0 son seguras, y carecen de este
problema.

A comienzos de año, nos hicimos eco de un problema similar, con
más implicaciones de seguridad que el descrito, con lo que recomendamos
a aquellos administradores con servidores Lotus en producción o
mantenidos a efectos históricos revisen todos los boletines pendientes
para certificar que su grado de exposición ante los problemas
documentados queda totalmente mitigado.

Aprovechando las tareas de mantenimiento, los administradores Lotus
pueden hacer uso del tutorial oficial de dimensionado de
infraestructuras de correo, publicado en
http://www.ibm.com/developerworks/lotus/library/domino-mail-sizing/ como
medida complementaria al aseguramiento del funcionamiento adecuado del
servidor.


Sergio Hernando
shernando@hispasec.com


Más información:

Lotus Domino SMTP-based Denial of Service vulnerability
http://www-1.ibm.com/support/docview.wss?rs=463&uid=swg21211952

IBM Lotus. Información del fabricante
http://www.ibm.com/software/lotus

IBM Lotus. Recursos para desarrolladores
http://www.ibm.com/developerworks/lotus

IBM Lotus. Seguridad
http://www.ibm.com/developerworks/lotus/security

Central de actualizaciones de IBM
http://www.ibm.com/software/lotus/support/upgradecentral/index.html

Hispasec Sistemas. Vulnerabilidades en Domino (Enero de 2006)
http://www.hispasec.com/unaaldia/2634

miércoles, 28 de junio de 2006

Microsoft elimina la funcionalidad "phone home" de Windows Genuine Advantage

Tras una controversia mediática y un debate importante producido en
el sector, la compañía de Redmond ha optado finalmente por poner
próximamente a disposición de los usuarios una nueva versión de WGA
(Windows Genuine Advantage) que no efectúa "llamadas a casa".

WGA era oficialmente, hasta ayer, un componente de doble acción: por
un lado, valida la legitimidad de las copias de Microsoft Windows que
corren en una determinada máquina (WGA validation); y por otro lado,
cumple una función de notificación (WGA notifications) orientada a
informar al usuario sobre los beneficios de usar versiones legítimas,
recomendaciones que son ofrecidas al usuario a modo de mensajes
emergentes de notificación.

WGA se ofrece al usuario junto al conjunto de actualizaciones de
seguridad, que mensualmente son ofrecidas a través de los servicios
de actualización de Microsoft. La compañía ha enfocado siempre la
disponibilidad de WGA como garante a los usuarios de que el software
que emplean es original y por tanto, libre de malware y con plenas
garantías en cuanto a los requisitos legales del servicio de soporte.
En primera instancia, el programa piloto de WGA realizaba una
verificación de la configuración contra los servidores de la compañía,
para determinar si las notificaciones WGA debían correr o no. Este
mecanismo se conoce como "phone home" o de llamada a casa.

Recientemente, los laboratorios de Firewall Leak Tester publicaron
un software denominado RemoveWGA cuyo propósito era impedir las
comunicaciones diarias de WGA con Microsoft. Según los integrantes
del laboratorio no tiene sentido alguno lanzar la herramienta de
notificación diariamente una vez superado el primer proceso de
validación. Esta herramienta no anula la parte correspondiente a
la legitimación, la cual sigue siendo posible tras su instalación.
El software, simplemente, impide las comunicaciones contra los
servidores. Pese a que Microsoft ha publicado notas oficiales, no
ha quedado claro para ciertos sectores y grupos de usuarios qué
información se envía a Microsoft a través de la herramienta. Estos
usuarios recelosos han llegado a sugerir que WGA debe ser considerado
spyware, habida cuenta de las condiciones en las que se comunicaba
con la casa matriz.

Simultáneamente a la aparición de RemoveWGA, Microsoft planificó
cambiar las comprobaciones diarias, para pasar a hacerlas cada 14
días. Finalmente, han declinado y han optado por publicar una guía
paso a paso sobre cómo eliminar WGA y desplegar próximamente una
versión WGA que no se comunica con la empresa a través del "phone
home".

La historia de WGA ha estado permanentemente salpicada por noticias
con gran trasfondo mediático. Hace más de un año, tal y como anunciamos
en "una-al-día", el investigador hindú Debasis Mohanty descubrió cómo
impedir que WGA realizase las verificaciones de legitimidad, lo que
daba pie a anular la intención original del producto.

No obstante, el principal problema de WGA es el efecto mediático que
han generado las comunicaciones del producto con Microsoft, hecho que
ha sido calificado en numerosos medios como una potencial fuente
de problemas de seguridad y confidencialidad. Nunca se conocerán las
posibles implicaciones a estos dos niveles que el producto pudo haber
tenido, ya que no existe ninguna vulnerabilidad documentada para WGA más
allá que la que permitió su anulación, ni tampoco existe ningún informe
riguroso en el que se declare unívocamente la pérdida de privacidad por
el uso de WGA. Sin embargo, el efecto mediático y la lejana sombra de
la duda han dado pie a tomar la decisión de cortar por lo sano.

No obstante, la solución final seguirá haciendo comprobaciones
periódicas sobre la legitimidad del software empleado, según informó
Microsoft, ya que sigue siendo mandato para la instalación de
determinadas actualizaciones del sistema.


Sergio Hernando
shernando@hispasec.com


Más información:

Microsoft Removes WGA 'Phone Home' Component
http://www.eweek.com/article2/0,1759,1982591,00.asp

Utility Nukes Windows Genuine Advantage Callbacks
http://www.eweek.com/article2/0,1895,1979756,00.asp

Cómo deshabilitar o desinstalar la versión piloto de Notificaciones de
Ventaja Auténticas de Microsoft Windows
http://support.microsoft.com/?kbid=921914

RemoveWGA
http://www.firewallleaktester.com/removewga.htm

Investigador hindú rompe el sistema de protección Windows Genuine
Advantage (WGA)
http://www.hispasec.com/unaaldia/2434

martes, 27 de junio de 2006

Vulnerabilidades en Internet Explorer 6

Se han descubierto dos vulnerabilidades en Internet Explorer que
pueden ser aprovechadas por atacantes para, potencialmente, revelar
información sensible del sistema y ejecutar código HTA y comprometer
un sistema.

El primer fallo se debe en un error a la hora de manejar las
redirecciones que puede ser aprovechado para acceder a documentos
servidos a través de otro sitio web usando la propiedad
object.documentElement.outerHTML.

El segundo fallo se debe a un error en el manejo de ficheros
compartidos que puede ser aprovechado para que un usuario ejecute
aplicaciones HTA especialmente manipualdas a través de ataques de
directorio transversal en el nombre del fichero.

Se ha comprobado que los errores afectan a un sistema Windows XP
Service Pack 2 completamente actualizado, aunque otras versiones
pueden verse afectadas. No existe parche oficial. Se recomienda
deshabilitar el active scripting y filtrar el tráfico de archivos
compartidos.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Internet Explorer Information Disclosure and HTA File
Execution Vulnerabilities
http://www.frsirt.com/english/advisories/2006/2553

lunes, 26 de junio de 2006

Salto de restricciones a través de error_log en PHP

Se ha descubierto un problema en PHP que puede ser aprovechado por
atacantes locales para saltarse restricciones de seguridad.

El fallo se debe a un error de validación en la función error_log
en el proceso del parámetro destino. Esto puede ser aprovechado
para saltarse la protección "safe mode" a través de un ataque de
directorio transversal en el wrapper "php://".

El problema se ha confirmado en las versiones 5.1.4 y 4.4.2 aunque
otras versiones se pueden ver afectadas.

Se recomienda no confiar en el modo seguro para proteger contra
scripts PHP o deshabilitar la función error_log.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

error_log() Safe Mode Bypass PHP 5.1.4 and 4.4.2
http://securityreason.com/achievement_securityalert/41

domingo, 25 de junio de 2006

Un día cualquiera en la vida de un receptor de spam

Como cualquier otra mañana, una de las primeras cosas que hacemos es
descargar el correo. La descarga del correo corporativo es, cada día
con más fuerza, una actividad de alto riesgo, ya que el grado de
contaminación del mismo es creciente en número y peligrosidad.

Hoy el montante inicial de mensajes en mi buzón asciende a 211. Para
tratar de ponernos en la piel de un usuario estándar, he prescindido del
filtro perimetral y he prescindido de las medidas de seguridad en la
estación del trabajo que no sean estrictamente las que proporciona la
mayoría de clientes de correo, es decir, el antispam local. El objetivo
era ponerse en la piel de los usuarios con configuraciones domésticas y
corporativas estándar.

Evidentemente muchos usuarios y empresas operan con soluciones antispam
que mitigan el problema. De hecho, disponer de filtrado de correo
perimetral y en la estación debería entenderse como una obligación, pero
la realidad es que no siempre se cumplen estas dos condiciones de contorno.

Una vez descargado el correo, toca revisarlo. Revisar tantos mensajes
requiere cierto tiempo, y aunque un repaso de las cabeceras suele bastar
para distinguir el spam de lo que no es correo basura, siempre hay que
echar un ojo a la carpeta de correo no deseado, por si el antispam local
del cliente ha clasificado como basura un correo legítimo. No podemos
correr el riesgo de perder información valiosa, seamos usuarios
domésticos o usuarios corporativos.

La fauna que aparece en la bandeja de entrada es bastante variopinta.
Comenzamos con un buen número (23) de mensajes en los que se hace spam
sobre productos farmacéuticos, y donde se incita a su compra bajo
dudosas condiciones de legitimidad. Este tipo de mensajes, en texto
plano, suelen traspasar los filtros de correo basura basándose en la
adulteración del texto mediante la incrustación de caracteres, lo que
anula la detección por palabras clave. Por ejemplo, "It's h'e'r'b'a'l
solution what hasn't side e'ffect, but has 100% g'uaranted results!",
mensaje que permite la legibilidad pero que sin embargo, pone en jaque
al grueso de soluciones antispam. El gancho empleado habitualmente es
ofrecer productos que requieren receta accesibles con un sólo click, y
sin tener receta claro. Antidepresivos, píldoras diversas y un amplio
recetario, donde destacan los productos potenciadores de la sexualidad,
en sus más diversas variantes.

Otro buen número de mensajes (6) son variantes de las anteriores, pero
en este caso es correo HTML con imágenes incrustadas. El objetivo de
la presentación HTML es ofrecer al receptor una imagen visual de los
productos y provocar su atención. Los filtros locales en este caso no
se atreven a ocultar la imagen incrustada, ya que el nombre "top.jpg"
es frecuente y podría corresponderse a contenidos legítimos. El cliente
de correo advierte que es probable que el correo sea basura, pero a la
luz del usuario final no termina de quedar claro.

Hora de comprarse un reloj. Un total de 11 mensajes nos invitan a
adquirir un prestigioso reloj a un precio inusualmente bajo. Los
mensajes llegan en texto plano combinado con texto HTML, y nuevamente
traspasan el filtro de spam mediante la adulteración de palabras.
Sustituir "watches" por "//atches" puede ser suficiente en muchos casos.
El enlace, ofuscado en código HTML, nos transporta al casi ininteligible
dominio http://6euiu1bht5bfx663qromtooo.cahitaic.com/, donde en un sólo
click podemos ordenar nuestra réplica de reloj favorita: Cartier, Rolex,
Breitling, Bvlgari o cualquier otra marca de prestigio.

Nuestros amigos los spammers también nos sirven en la bandeja de entrada
información sobre mercados volátiles. Un total de 24 mensajes nos
invitan a hacer inversiones meteóricas que pueden reportarnos un
beneficio bursátil interesante. La presentación de los mensajes es
variopinta, texto plano e incrustación de imágenes de algunos "tickers"
que contienen datos reales del mercado de valores. El spam financiero
fue comentado en un boletín anterior, http://www.hispasec.com/unaaldia/2762,
y se basa en la generación de confianza al no venir acompañados de
enlaces ni peticiones de cesión de datos. Se presentan como meros
informes, estudiados y cuidados y cuya información es habitualmente
real. El gancho es precisamente ese: su verosimilitud y el factor
confianza. Basta con que respondamos a uno sólo preguntando sobre
cualquier operación, para que un amable teleoperador nos quiera
vender un servicio de asesoramiento financiero que probablemente
no sea legítimo según la legislación mercantil vigente. Muchas
veces, el dinero invertido caerá en oscuras e intrazables cuentas
numeradas para no volver nunca a nuestro bolsillo.

Llega el turno de las hipotecas, los préstamos y demás servicios
financieros. La gama de servicios que nos ofrecen los spammers es
abrumadora, y digna de cualquier entidad bancaria, no en calidad y
fiabilidad, sino en número. Lo que necesitemos, allí estará esperando
nuestro click. Un ejemplo puede ser http://getredyquote.net/index4.php?refid=41.
Ocho mensajes en total. El gancho es, evidentemente, la presentación
de condiciones muy favorables en este tipo de préstamos. Gracias a
estos servicios obtener una hipoteca de 350.000 euros pagando sólo
300 euros mensuales es posible, y ese es un gancho que muchos no
pueden rechazar.

Llegó el turno del phishing. Hoy sólo he recibido un scam de Paypal,
si bien, como por todos es sabido, el phishing a entidades financieras
es una cuestión diaria. Afortunado de mí, ya que hoy sólo requieren mi
atención para verificar una de mis cuentas de Paypal (que no poseo).

Cómo no, los premios. Seis mensajes me hacen saber que es mi día de suerte.
Y es que usando el correo es muy probable que nos toquen diariamente
ingentes cantidades de dinero, o que recibamos la comunicación de un
alto cargo del Gobierno Nigeriano que quiere compartir unos pocos
millones de dólares con nosotros. Estos bulos, de los más vetustos en
la red, siguen produciendo rendimientos a los atacantes absolutamente
desorbitados, y por tanto, persisten. El gancho es el factor económico.
Sólo en loterías varias he sido agraciado hoy con 950.000 dólares
americanos y 367.000 euros. Es para estar contentos.

Y qué mejor manera de gastar el dinero recibido en premios que comprar
software a precios escandalosamente bajos. 7 mensajes me invitan a unos
ahorros espectaculares en http://tverdiisoft.com/ y sitios similares.
Además con la gran ventaja de poder descargarlo, eso sí, previo pago. El
gancho queda claro, y es el factor oferta. Resistirse a la tentación de
un descuento del 70%, 80% o del 90% es complicado. Me pregunto por qué
no encuentro nunca rebajas del 90% en productos ofertados en los
distribuidores autorizados y legítimos. Será que simplemente, no existen.

El repaso del correo me da la oportunidad también de citarme con
hermosas mujeres, de recibir curiosos ficheros ZIP con contenidos
confidenciales (plagados de malware, obviamente), spam erróneo,
caracterizado por envíos en blanco, y por el spam oriental, el cual es
ininteligible, al menos para un usuario que no domine el japonés, el
chino mandarín y otras lenguas similares. Hasta me dan la posibilidad de
sacarme un título universitario, un máster o un doctorado por un módico
precio, en una Universidad de la que nunca oí hablar. También me ofrecen
un puesto de trabajo en el que sin hacer prácticamente nada puedo
conseguir unos jugosos emolumentos a fin de mes (siendo mula para el
phishing). Y todo esto puedo hacerlo jugando a un Casino online, sin
moverme de mi asiento. 19 mensajes en esta modalidad, entre los que he
echado en falta los correos cadena en sus distintas modalidades.

Por cierto, en mi bandeja de correo también había correo legítimo de
diversos contactos, listas de suscripción y mis compañeros.

Sobre estadísticas, es difícil encontrar consenso. El coste imputable al
spam es astronómico, más de 255 millones de dólares anuales en usuarios
domésticos y más de 8900 millones de dólares sólo en las corporaciones
norteamericanas, las más devastadas por la segmentación aplicada a los
ataques de correo basura. Generalmente hay consenso en que, en el mejor
de los casos, borrar un correo basura requiere 5 segundos de media entre
que es identificado y procesado, lo que convierte al tiempo improductivo
anual por empleado debido al spam un factor digno de considerar.

Se estima que el 28% de los receptores contesta a los mensajes de spam y
que el 8% termina realizando una compra. Por sectores, el ganador es el
spam farmacéutico, con aproximadamente un 52% del total de spam.

A la vista de estos números, es fácil razonar que el spam es rentable,
lo que justifica su presencia diaria en nuestros buzones. Por si esto
fuera poco, diversas fuentes estiman el crecimiento esperado del spam en
torno a un 67% para el próximo 2007.

Malos tiempos para el correo electrónico.


Sergio Hernando
shernando@hispasec.com


Más información:

Definición del spam
http://es.wikipedia.org/wiki/Spam

El spam sigue creciendo inmune a cualquier medida en su contra
http://www.hispasec.com/unaaldia/2763

El spam financiero y su impacto en los mercados de valores
http://www.hispasec.com/unaaldia/2762

Spam, spam, spam ...
http://blog.hispasec.com/laboratorio/126

Spam: Basura en el correo
http://www.20minutos.es/noticia/8241/0/correo/basura/spam/

Evaluación de alternativas para reducir el spam
http://www.rediris.es/mail/abuso/doc/MedidasAntiSPam.pdf

Hoaxes, cadenas, spam y otros correos indeseados
http://www.rompecadenas.com.ar/

Algunas estadísticas sobre spam (enero de 2006)
http://www.commtouch.com/Site/News_Events/pr_content.asp?news_id=602&cat_id=1

Calculadora de costes corporativos debidos al spam
http://www.commtouch.com/site/ResearchLab/calculator.asp

sábado, 24 de junio de 2006

Desbordamiento de memoria intermedia a través de ficheros MIDI en Winamp 5

Se ha identificado una vulnerabilidad en Nullsoft Winamp que puede ser
aprovechada por atacantes remotos para hacerse con un sistema vulnerable.

Winamp es seguramente el reproductor de archivos multimedia más famoso
para plataformas Windows. Entre sus cualidades está el soportar
múltiples formatos, ser ligero, aceptar infinidad de plug-ins y la
posibilidad de descarga de versiones gratuitas.

El fallo se debe a un desbordamiento de memoria intermedia en la
librería in_midi.dll, que no maneja adecuadamente cabeceras
especialmente formadas de archivos MIDI. Esto podría ser aprovechado por
atacantes para hacer que la aplicación deje de responder y posiblemente
ejecutar código arbitrario. Para ello un usuario sólo tendría que
visitar una página especialmente manipulada que intentase abrir un
archivo en formato .mid o ejecutarlo directamente si el atacante lo
envía de alguna forma.

Muchos usuarios no tienen conciencia de la importancia de actualizar
todo el software que puedan tener instalado en su sistema,
independientemente del sistema operativo. Winamp, cada cierto tiempo,
sufre de un problema de desbordamiento de memoria en algún formato y
puede convertirse en un origen de ataques al sistema tan peligroso como
cualquier otro. En la mayoría de las ocasiones, sólo necesita de la
ejecución de un archivo con la aplicación vulnerable para ser
aprovechado. Su popularidad lo convierte en un jugoso objetivo para
atacantes.

En este caso, además, existe código público capaz de aprovechar la
vulnerabilidad. Se recomienda actualizar a Winamp 5.22 o posterior desde
http://www.winamp.com/player/index.php


Sergio de los Santos
ssantos@hispasec.com


Más información:

Version History
http://www.winamp.com/player/version_history.php#5.24

viernes, 23 de junio de 2006

Los efectos colaterales de las vulnerabilidades

Las diversas vulnerabilidades que aparecen día a día constituyen, en
muchas ocasiones, únicamente un primer foco de exposición para los
usuarios y las organizaciones.

Si nos referimos a normativa, la gestión de las vulnerabilidades
técnicas puede enfocarse de muchas maneras. La más empleada es
posiblemente la gestión de vulnerabilidades según ISO 17799:2005, cuyo
punto 12.6 está específicamente diseñado para estos propósitos, como
parte vital dentro del dominio que componen la adquisición, el
desarrollo y el mantenimiento de sistemas de la información.

El control de vulnerabilidades técnicas se puede abordar desde diversas
ópticas complementarias y paralelas a la citada. Si nos referimos a la
reciente ISO 27001:2005, se nos recomienda el establecimiento de
controles que permitan reducir los riesgos debidos a la explotación de
vulnerabilidades publicadas.

Quizás sería conveniente corregir ese matiz de la norma e incluir no
sólo las vulnerabilidades publicadas, sino también las que no lo están.
Es que la gestión de TI debe tener un concepto de previsión que en
raras ocasiones se está utilizando cuando definimos controles para este
punto de la norma. Así por ejemplo, si abordamos el control para
productos de amplio espectro de uso como Mozilla Firefox o Internet
Explorer, productos que sabemos que tienen un historial notorio de
vulnerabilidades, es prudente prever futuras fallas, que si bien no
serán conocidas en detalle hasta que ocurran, sabemos que tarde o
temprano aparecerán.

En líneas generales, la gestión de vulnerabilidades enfocada desde las
buenas prácticas consiste en obtener información a tiempo de las
vulnerabilidades técnicas, evaluar la exposición de la organización ante
dichas problemáticas y definir las acciones apropiadas para mitigar y
solucionar las deficiencias técnicas. Para un adecuado gobierno IT no
debe bastar con esperar a que los fabricantes nos pongan en bandeja los
parches. Hay que extraer inteligencia y metodologías de previsión de los
incidentes documentados. Este pequeño valor añadido es el que convierte
a la gestión de parches tradicional en una gestión de
vulnerabilidades proactiva, acorde a las necesidades de gestión de
riesgo que precisan las organizaciones.

En muchas ocasiones, este control de vulnerabilidades termina cuando
gestionamos una corrección primaria. Aparece un fallo en RealVNC y lo
solucionamos. Aparecen fallos en OpenSSH y Sendmail y son corregidos.
Sirvan estos tres ejemplos para ilustrar que esta política no suele ser
suficiente, ya que los productos y servicios primarios son, en numerosas
ocasiones, parte integrante de otros que heredan de los primeros los
mismos estados de vulnerabilidad.

Vamos a poner un ejemplo muy sencillo que clarifica esta visión del
problema. Si se nos ha fundido una bombilla en casa y al sacar del
armario un retráctil de 6 bombillas éste cae al suelo, provocando la
rotura de la bombilla que hemos seleccionado para reponer la fundida, lo
más prudente es pensar que es posible que el resto de bombillas puedan
estar dañadas, así que será conveniente examinar la totalidad de la caja
en ese momento, para comprar nuevas bombillas en caso de que hayan
quedado inutilizadas todas tras la caída. No parece adecuado guardar la
caja sin más y esperar a que se funda una nueva bombilla para ver si
tuvimos suerte en el primer incidente y sólo hubo una rotura. Actuando
así, es posible que el día que precisemos un repuesto, no lo tengamos.

Yéndonos a casos reales, IBM Hardware Management Console (HMC), un
extendido sistema de gestión por consola, se ve afectado de los recientes
fallos declarados no sólo para OpenSSH (relativo a la inyección de
comandos shell, sino también al de Sendmail (correspondiente a la
corrupción de memoria en el manejo de señales). Ambas documentadas
a tiempo en "una-al-día" y nuestro servicio corporativo de gestión de
vulnerabilidades S.A.N.A. Aquellas organizaciones que cerraron la
gestión de parches con los ofrecidos por los fabricantes primarios el 13
de febrero y el 23 de marzo respectivamente, fueron notificados ayer de
que un producto, en este caso IBM HMC, se veía expuesto colateralmente
por dichos problemas, con lo que la correcta aplicación de controles
sobre el punto 12.6 de la norma obliga a reabrir la incidencia y
paliarla, siguiendo los mismos procedimientos, siempre y cuando seamos
usuarios de esta solución.

Otro caso demostrativo es el que padece Cisco CallManager, que adolece
de un salto de restricciones en RealVNC. El incidente original se
remonta al 17 de mayo, pero sin embargo es ayer cuando los servicios
postventa de Cisco oficializan que CallManager padece de ese mismo
problema. En ambos casos, las ventanas temporales son muy amplias y por
tanto, el grado de exposición de las organizaciones es extremo, ya que
los tres problemas documentados, especialmente el de RealVNC, son de
carácter altamente crítico.

¿Es normal que los fabricantes como Cisco e IBM hayan consumido tanto
tiempo en notificar la afectación indirecta en sus productos? Sí, es
comprensible, ya que sus laboratorios sólo resuelven problemas
colaterales que no hayan sido provocados en primera instancia por
desarrollos propios. Además, la calidad de servicio de ambas compañías
requiere que estos efectos colaterales se prueben y verifiquen en
cientos de configuraciones distintas, desplegadas para clientes en
ámbitos de TI muy dispares y sometidos a contratos de servicio con
requisitos técnicos y legales bastante heterogéneos.

Es aquí donde tenemos que corregir a ISO 17799 e ISO 27001, y no
circunscribir únicamente la gestión de vulnerabilidades técnicas a los
problemas publicados y declarados, sino ser proactivos y, apoyándonos en
buenos inventarios de productos internos, anticiparnos a los problemas
futuros.

Eso es la gestión de la seguridad. Previsión, anticipación y
proactividad. Atrás quedó la gestión de parches pura y dura.


Sergio Hernando
shernando@hispasec.com


Más información:

Cisco Security Response: RealVNC Remote Authentication Bypass Vulnerability
http://www.cisco.com/warp/public/707/cisco-sr-20060622-cmm.shtml

Hardware Management Console Cumulative history and Readme for use with
HMC V5 R2 and V5 R2.1
http://www14.software.ibm.com/webapp/set2/sas/f/hmc/power5/install/v52.Readme.html#MH00688

Grave Vulnerabilidad en RealVNC
http://www.hispasec.com/unaaldia/2760

Importante actualización en Sendmail
http://www.hispasec.com/unaaldia/2707

jueves, 22 de junio de 2006

El misterioso caso de la desfiguración de Microsoft Francia

Durante el pasado fin de semana, la página experts.microsoft.fr,
perteneciente a Microsoft Francia, fue desfigurada por un grupo turco
llamado TiTHacK. Durante varias horas, se pudo leer un mensaje que
evidenciaba que había ocurrido algún tipo de intrusión en el servidor.
Tras muchas acusaciones y teorías, Zone-h se puso en contacto con el
autor de la "gamberrada".

Durante buena parte del fin de semana, cualquier usuario que accediese
a experts.microsoft.fr, página servida por Internet Information Server
(IIS) 6.0 bajo Windows 2003, podía leer lo siguiente:

HACKED! Hi Master (: Your System 0wNed By Turkish Hackers! redLine &
rudeb0y & Ejder & The_Bekir & SaCReDSeeR & ASH owNed you! next target:
microsoft.com TiTHacK.CoM & SavSaK.CoM

Donde una serie de apodos, al parecer turcos, se jactaban de su hazaña y
amenazaban, en claro gesto de fanfarronería, con ir contra la dirección
principal de la compañía microsoft.com como próximo objetivo. El autor
de los hechos reportó el problema a Zone-h, el repositorio de
"defacements" más usado en Internet. En él documentó la intrusión como
"genérica", sin dar detalles de cómo lo había conseguido. Ese mismo día
el mismo grupo había conseguido desfigurar muchas otras páginas que,
como la de Microsoft, también eran servidas por IIS.

En ese momento se barajaron muchas posibilidades. Los más escandalosos
apuntaron a la posibilidad de que existiese un nuevo "0 day" o
vulnerabilidad no documentada en IIS que estuviese siendo aprovechada en
masa. Los analistas más moderados pensaron en seguida en alguna especie
de despiste en la configuración que hubiese permitido la intrusión.
Otros, más radicales, pretendían reafirmar sus posiciones ante el
software de Microsoft argumentando que si la propia compañía no era
capaz de asegurar correctamente sus servidores, quién podría. Microsoft,
por su parte, achacó el problema en primera instancia al proveedor de
hosting.

Pero todos se equivocaban. Zone-h contactó con el propio autor y
descubrió el misterio. En realidad, ese subdominio de Microsoft estaba
usando "DotNetNuke", un script .net que, este sí (o al menos alguno de
sus módulos), sufría una vulnerabilidad no documentada. El atacante
descubrió que la versión que ejecutaba el servidor de Microsoft era
vulnerable, y desde ahí, consiguió modificar la página con los permisos
con los que se ejecutaba el script.

Por tanto, quedaron decepcionados los que, en medios genéricos,
exageraban el asunto con atractivos titulares. En realidad, según
parece, nadie había "hackeado" a Microsoft como compañía, ni se habían
introducido en sus redes, ni habían conseguido información confidencial.
El ataque se "limitaba" a la modificación de la página por defecto en un
subdominio a través de script ajeno a Microsoft, pero para entonces el
daño a la imagen de la empresa ya estaba hecho.

Las conclusiones que se pueden extraer de este incidente son varias,
al margen de que le haya ocurrido a un gigante como Microsoft. Los
"defacements" o desfiguraciones suponen un grave problema para la imagen
de la empresa, cuyos clientes pueden perder la confianza en ella al
sentir que no son capaces de proteger sus propios sistemas. La paradoja
es que, en muchas ocasiones, una desfiguración de la página de una
empresa, siendo el mayor daño que se le pueda causar en cuestión de
imagen, queda fuera de sus competencias. Son comunes las empresas que
han delegado la administración de sus servidores a terceros, y al estar
alojados en sistemas que no controlan directamente, poco pueden hacer
al respecto excepto exigir y asumir responsabilidades. También existen
casos en los que los servidores comprometidos son los DNS, y se redirige
a los visitantes a páginas distintas que den la impresión de
"defacement", pero que no tiene por qué significar que una página
original haya sido atacada.

Lo curioso es que sin embargo, ataques internos o más silenciosos
que pueden haber robado activos de información importantes para la
organización pero han dejado intacta su página web, quedan por siempre
enterrados por las compañías, que no suelen airear incidentes que de
verdad le han podido provocar un daño serio. Estos verdaderos problemas,
al no manifestarse en forma de "graffitis" virtuales expuestos a todo el
mundo, a menudo quedan silenciados detrás de las puertas de los
despachos, pero no por ello son menos frecuentes.

Es necesario valorar la relativa gravedad de este tipo de incidentes. Se
podría llegar a tachar de más insegura a una empresa cuya sede ha sido
pintarrajeada en el exterior, que a cualquier otra en la que, quién
sabe, es posible que se estén llevando la información importante
discretamente por la puerta de atrás.

Otra conclusión interesante se basa en las políticas de uso de software.
En este caso concreto, el culpable ha sido una instalación desafortunada
de software, probablemente no autorizado y poco revisado. Todas las
empresas deben llevar un estricto control sobre el software instalado
en sus sistemas, que debe ser autorizado, probado y aprobado por los
responsables en cada caso. Sólo a través de una política de seguridad
adecuada esto puede llevarse a cabo sin incidentes, sean visibles o no.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The Microsoft France incident: IIS 6.0 bug or not?
http://www.zone-h.org/content/view/4770/31/

miércoles, 21 de junio de 2006

Nueva vulnerabilidad en Microsoft Office

De nuevo, es necesario alertar sobre una vulnerabilidad en Microsoft Office. Concretamente en su componente Excel, pero que muy posiblemente afecte al resto de programas de la suite. Se trata de la tercera vulnerabilidad grave en un mes en este paquete ofimático.
El día 20 de junio aparecía en páginas especializadas en exploits (programas que aprovechan vulnerabilidades) una nueva forma de aprovechar una vulnerabilidad en Microsoft Excel. El programa permite la ejecución de código arbitrario sobre un sistema con los privilegios del usuario que ejecute la aplicación.

Al parecer, es bastante probable que el problema, aunque enfocado en un principio hacia Excel, sea reproducible en el resto de componentes de Microsoft Office y en varias versiones del paquete.

El fallo se debe a un error de límites en la librería hlink.dll a la hora de manejar enlaces dentro de documentos. Esto puede ser aprovechado para provocar desbordamientos de memoria intermedia basados en pila si un usuario pulsa sobre un enlace especialmente manipulado dentro de un documento.

En esta ocasión, el problema sólo se reproduce si se recibe por cualquier medio un archivo Office y el usuario pulsa sobre un hiperenlace contenido en él, no basta con abrir el documento. El exploit es público y está disponible para todo aquel que quiera estudiarlo.

No existe parche oficial y, lógicamente, se recomienda no pulsar en enlaces contenidos en documentos sospechosos que provengan de fuentes confiables o no.

Esta vulnerabilidad se ha convertido en el tercer "0 day" que sufre Microsoft Office un mes. El 19 de mayo se advertía sobre la aparición de un documento Word que cuando era abierto por un usuario con varias versiones de Microsoft Word, ejecutaba código arbitrario en el sistema de forma completamente oculta. Microsoft publicó el día 13 de junio el boletín MS06-027 que solucionaba el problema. El 15 de junio aparecía un nuevo "0 day" en Excel, que permite la ejecución de código arbitrario y del que ayer mismo se publicó un boletín especial de una-al-día. También ayer, día 19, aparece por sorpresa esta nueva amenaza para usuarios de Microsoft Office, de la que todavía no se han observado muestras activas en masa.

Desde Hispasec, una vez más, se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Detalles sobre la vulnerabilidad de Microsoft Excel
http://www.hispasec.com/unaaldia/2796

Detalles sobre la vulnerabilidad de Microsoft Word
http://www.hispasec.com/unaaldia/2768

Another Excel Flaw Found, Exploit Code Released
http://www.eweek.com/article2/0,1759,1979409,00.asp

martes, 20 de junio de 2006

Detalles sobre la vulnerabilidad de Microsoft Excel

Microsoft ha publicado nuevos detalles sobre la vulnerabilidad que afecta a Microsoft Excel, junto con algunas técnicas para mitigar el posible impacto. El fallo se debe a una validación errónea de memoria que puede derivar en la ejecución de código arbitrario. Debido a que el problema está siendo activamente aprovechado y no existe parche oficial, se ha convertido en un "0 day", lo que supone un importante problema de seguridad.

El fallo afecta a las siguientes versiones de Excel: 2003, Viewer 2003, 2002, 2000, 2004 para Mac y v. X para Mac. Para que el error pueda ser aprovechado y un atacante consiga ejecutar código, la víctima deberá abrir con alguna de estas versiones un archivo especialmente manipulado. Habitualmente, la extensión más "sospechosa" será xls pero también xlt, xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif, xlk, xld, xlshtml, xlthtml y xlv son susceptibles de provocar problemas si son abiertas con Excel.

El archivo especialmente manipulado puede llegar a través de cualquier medio y de cualquier fuente. El hecho de que un correo con remitente conocido adjunte un fichero en Excel no debe suponer que automáticamente se confíe en él. Como con cualquier otro malware, las direcciones de los remitentes pueden ser falsificadas.

El código para aprovechar esta vulnerabilidad (exploit) es público y está a disposición de cualquiera con mínimos conocimientos de programación. Los privilegios que conseguiría el atacante serían los mismos que los del usuario que ha abierto el archivo. Algunas casas antivirus reconocen ya este ataque con diferentes nombres, pero sin duda aparecerán variantes, quizás no detectadas, en los próximos días. Por ahora, su difusión es bastante discreta.

En Excel 2002 y 2003, el programa preguntará si se quiere abrir, salvar o cancelar la acción antes de abrir el archivo manipulado, lo que supone una pequeña forma de mitigar el problema. En Excel 2000 lo abrirá de forma automática.

No existe parche oficial, y Microsoft no se ha pronunciado sobre fechas de publicación. Mientras, recomienda mitigar el impacto del problema a través de algunas modificaciones en el registro.

Para Excel 2003, Microsoft recomienda evitar el "modo recuperación" de Excel. Para ello se debe acceder a la siguiente rama del registro:

HKEY_CURRENT_USER/Sofware/Microsoft/Office/11.0/Excel

crear o modificar el valor de “Resiliency” y eliminar la lista ACL (Access Control List) para que nadie pueda acceder a este valor.

El impacto de esta contramedida podría se calificado de medio. Se perderá la funcionalidad de recuperación de documentos Excel corruptos. Después de aplicar esta contramedida Microsoft Excel no intentará reparar documentos corruptos y no se recuperará si se abre un documento mal formado. Si esto ocurre será necesario eliminar los procesos a mano.

Aparte de estas medidas, y a la espera de posibles virus o malware en general que pretendan aprovechar este problema y replicarse a través de correo electrónico, se recomienda limitar o eliminar si es posible los archivos adjuntos en este formato a nivel de servidor perimetral de correo. Además, se deberá impedir que otros componentes de Windows como Outlook o Internet Explorer, ejecuten de forma automática archivos Excel.

Se debe prestar especial atención a este tipo de problemas de seguridad que afectan a un software tan popular, y sobre los que la información suele ser escasa o confusa. Muchos usuarios todavía no conciben que archivos con extensiones históricamente confiables puedan suponer un problema para sus sistemas. Cualquier archivo puede resultar potencialmente peligroso siempre que se combinen adecuadamente las circunstancias. En realidad, sólo es necesario un programa vulnerable que interprete un fichero que sepa aprovechar esa vulnerabilidad. Con esta premisa en mente, cualquier archivo puede resultar fatal mucho más allá de los típicos ejecutables para Windows.

Desde Hispasec se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/921365.mspx

lunes, 19 de junio de 2006

Ciertos metadatos en fotografías vuelven a revelar información sensible

El estonio Tonu Samuel ha publicado en su página web un pequeño estudio
sobre una característica poco conocida de algunas cámaras digitales.
Esta funcionalidad puede revelar información sensible de la fotografía
digital original en el caso de que haya sido manipulada.

Muchas cámaras digitales almacenan información adicional en cada
fotografía. Estos datos son usados para clasificar la información y
pueden estar divididos en campos como el tamaño de la fotografía, el
dispositivo, la fecha, el espacio de colores... Lo menos conocido es que
además, algunas cámaras almacenan junto a la fotografía un thumbnail o
miniatura de la fotografía original, que sobrevive intacta a futuros
cambios del archivo.

De esta forma, podemos consultar los metadatos de una fotografía
retocada y, si existe la miniatura, seremos capaces de ver la fotografía
original, tal y como fue captada por el objetivo de la cámara en primera
instancia. Arreglo de colores, modificación de encuadres, eliminación de
elementos no deseados... todo esto queda expuesto a través de la
miniatura, lo que puede derivar en una clara revelación no intencionada
de información que se ha querido ocultar de forma activa.

Para demostrarlo, Tonu Samuel ha creado un programa automatizado
que busca fotografías en Internet con sus respectivos thumbnails
o miniaturas, y las expone en su página para que observemos las
diferencias. La mayoría son cambios inapreciables pero entre las
fotografías cazadas, por ejemplo, se encuentra una fotografía a un
documento censurado. En su miniatura se observa el documento (un
manuscrito) sin censurar, pero resulta demasiado pequeño para ser
legible. La fotografía está alojada en el servidor del FBI.

Los metadatos son "datos sobre los datos" que incluyen muchos
dispositivos y que los fabricantes justifican alegando que su inclusión
mejora la edición, el visionado, el archivado y la recuperación de
documentos. En este caso, estas mini fotos reveladoras incluidas en las
propias fotos retocadas, son posibles gracias al estándar Exchangeable
Image File (EXIF) creado por la Japan Electronic Industry Development
Association (JEIDA) y que se encarga de añadir los datos adicionales al
archivo de imagen. Existe una gran cantidad de software capaz de leer
estos metadatos en las fotografías digitales.

No es la primera vez que los metadatos en documentos ponen en aprietos
la intimidad de usuarios y credibilidad de organizaciones más o menos
importantes.

En febrero de 2006 Brian Krebs entrevistó a un controlador de redes Bots
conocido sólo por su apodo 0×80. Obviamente, el delincuente no quería
revelar su identidad. Sin embargo, a través de algunas sutiles pistas en
la entrevista publicada y sobre todo, una supuesta fotografía de 0x80
que ilustraba el texto, casi lo localizan. Un avispado visitante de
Slashdot descargó la fotografía y comprobó sus metadatos. Entre ellos
figuraba el pueblo de Roland de sólo unos miles de habitantes. Este dato
acompañado de las pistas e investigaciones de otros lectores de
Slashdot, hacía sencillo el descubrir a un presunto "0x80". Luego se
barajó la posibilidad de que los datos fueran falsos o antiguos, pero
eso no resta interés a lo que podría haber sido un imperdonable descuido
para un supuesto experto que cometía un importante delito con el que, a
sus 21 años, se gana la vida.

Quizás un suceso más conocido relacionado con lo metadatos ocurrió en
agosto de 2003, donde el equipo de gobierno de Tony Blair y un documento
escrito en Microsoft Word fueron los protagonistas. Se descubrió que
Alastair Campbell, director de estrategias y comunicaciones del gobierno
de Blair, podría haber plagiado un documento referente a la guerra de
Irak hecho público a través la página oficial de gobierno británico en
febrero de 2003 titulado "Iraq - Its Infrastructure of Concealment,
Deception and Intimidation". En el documento se suponía a Saddam Hussein
la tenencia de armas de destrucción masiva. Esto, a la poste, resultó
pura invención, pero lo realmente sorprendente fue que, indagando en los
bytes del infundado documento, se encontraron los nombres ocultos de
cuatro civiles que habían trabajado en él, que lo habían modificado o
editado, haciendo tambalear la veracidad de la supuesta fuente del
documento. En él se podían observar, a través de datos almacenados por
Microsoft Word, todas las rutas de sistemas Windows donde había sido
editado el documento, en qué impresoras se había impreso y los nombres
del usuario del sistema que lo había hecho. Atando cabos y adjudicando
los nombres de usuario a personas reales, finalmente se descubrió que el
archivo había sido plagiado a partir una antigua tesis de hace más de
quince años (coincidente con la primera guerra de Irak). El episodio
hizo dudar de la capacidad del gobierno de Blair, haciendo que el señor
Campbell tuviese que dar muchas explicaciones sobre la "reutilización"
de documentos oficiales. Poco después, todo el gabinete se pasó al
formato PDF para publicar documentos en su web.

Si realmente se necesita cierta privacidad, y teniendo en cuenta que
son incluidos de forma automática, los metadatos pueden suponer un
verdadero problema. Sólo conocer de su existencia y un poco de edición
y precaución antes de hacer público un archivo puede impedir que con
una fotografía o documento, estemos diciendo, inconscientemente, mucho
más de lo que contamos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

EXIF thumbnails extracted
http://no.spam.ee/~tonu/

Enlace al manuscrito del FBI
http://no.spam.ee/~tonu/exif/?srcid=1847&src=http://www.fbi.gov/wanted/seekinfo/erienote1.jpg

Interview with a Botmaster
http://it.slashdot.org/article.pl?sid=06/02/18/0556206

Exchangeable image file format
http://en.wikipedia.org/wiki/Exif

Microsoft Word bytes Tony Blair in the butt
http://www.computerbytesman.com/privacy/blair.htm

Fotos ocultas por error... dentro de las propias fotos
http://www.microsiervos.com/archivo/seguridad/fotos-en-fotos.html

una-al-dia (17/08/2003) Los documentos de Word esconden información sensible
http://www.hispasec.com/unaaldia/1757

una-al-dia (18/08/2003) Detalles sobre los datos ocultos en el informe sobre Irak
http://www.hispasec.com/unaaldia/1758

domingo, 18 de junio de 2006

Salto de restricciones de seguridad en Sun Grid Engine

Se ha anunciado una vulnerabilidad de seguridad en Sun Grid Engine,
que puede ser empleada por atacantes locales para evitar restricciones
de seguridad.

El problema confirmado en Sun Grid Engine 5.3 y Sun N1 Grid Engine
6.0, en todas las plataformas, puede permitir a un usuario local
sin privilegios detener el servicio grid, o hacer uso de él incluso
si el acceso fue denegado. La vulnerabilidad está provocada por una
autorización y autenticación incompleta cuando se trabaja en modo
CSP (Certificate Security Protocol).

Sun ha publicado actualizaciones para N1 Grid Engine 6.0 en todas
las plataformas, Sun Grid Engine 5.3 requiere la actualización a N1
Grid Engine 6.0 antes de la instalación de los correspondientes
parches. Las actualizaciones publicadas pueden consultarse desde:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102321-1


Antonio Ropero
antonior@hispasec.com


Más información:

Incomplete Authentication and Authorization in Sun Grid Engine 5.3
and N1 Grid Engine 6.0 Certificate Security Protocol (CSP) Mode
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102321-1

sábado, 17 de junio de 2006

Los fabricantes de soluciones SCADA debaten sobre la revelación de información de problemas de seguridad

Al cabo del día cualquier laboratorio de investigación de
vulnerabilidades procesa una cantidad ingente de información sobre
nuevos problemas de seguridad, correspondientes a una cantidad muy
amplia de productos. Según la tecnología se hace más accesible y más
madura, nuevos servicios y productos irrumpen en los mercados, trayendo
cada uno de ellos el pan de los problemas de seguridad bajo del brazo.

Generalmente, los avisos de seguridad son de criticidad baja, o media.
Los avisos críticos o muy críticos son menos frecuentes, lo que sin
duda representa un balón de oxígeno para aquellos administradores
corporativos y usuarios finales. Ya que deben mantener, en un entorno
muy cambiante, una variedad muy amplia de sistemas, sujetos a continuo
escrutinio en busca de problemas de seguridad. No sólo por parte de los
laboratorios, sino de atacantes que pretenden como bien sabemos, obtener
beneficios diversos de la explotación de sistemas.

En algunos segmentos, los problemas de seguridad soy muy poco
frecuentes. Posiblemente por estar menos expuestos y ser menos
populares, a causa de su complejidad y por tratarse de sectores en
los que tradicionalmente los problemas de seguridad se solucionan
sin levantar mucha repercusión mediática. Uno de estos ámbitos es
el que representan son los sistemas de control SCADA.

Los sistemas SCADA (Supervisory Control and Data Acquisition) son
aquellos empleados habitualmente en el control y monitorización de
procesos industriales, con un elevado factor de automatización, y
que generalmente precisan de supervisión continua para garantizar el
estado óptimo de operación. Cualquier entorno industrial o de alta
especialización es susceptible de funcionar con algún sistema de
este tipo, incluso con varios en combinaciones diversas.

Los problemas de seguridad en entornos SCADA son siempre un arma de
doble filo: por un lado tenemos el problema de seguridad en sí, y por
otro lado, la criticidad del entorno de operación. Este segundo factor
normalmente es el más delicado, y esto es fácil de comprender. Los
procesos de control industrial y no industrial supervisados por sistemas
SCADA son muy variopintos, y entre ellos están procesos de alta
criticidad. Se emplean en industrias petroleoquímicas, químicas, generación
y transporte de energía eléctrica, plantas nucleares, instalaciones
militares, aeroportuarias, aerospaciales, aceleradores de partículas
... la lista es larga, así como las implicaciones que puede tener un
problema de seguridad en cualquiera de estos entornos.

Recientemente, un problema de seguridad inherente a SCADA ha suscitado
una polémica, en un sector de la seguridad de la información en el que
tradicionalmente no suele haber noticias ni flujo de información, debido
a su exclusividad. En este caso, el desbordamiento de búfer en un
servidor ICCP de LiveData ha sido el detonante de la mecha.
Técnicamente, el problema se debe a un error de límites en los
servidores ICCP que permite, previo envío de cápsulas malformadas,
denegar el servicio de estas implementaciones del RFC 1006 del servicio
de transporte ISO sobre TCP, habituales en despliegues SCADA.

El problema técnico es moderadamente crítico, pero lo que hace que este
tipo de problemas sea de una criticidad extrema es el factor entorno de
operación, tal y como se ha comentado anteriormente. No es lo mismo
denegar el servicio de un servidor de correo que denegar el servicio
en un servidor que tiene implicaciones en la gestión de, por poner un
ejemplo, la alimentación de barras de combustible en un reactor nuclear.
Las razones son obvias.

Los descubridores del problema, Digital Bond, una de las únicas
consultoras de seguridad dedicadas a la seguridad SCADA, recurrieron al
proceso de revelación de información vía US-CERT. Contactaron con el
fabricante, y dejaron que US-CERT y CERT/CC gestionasen el difícil
proceso de sincronizar y coordinar a los fabricantes que dependen del
producto vulnerable, así como a los fabricantes en los que había
sospecha de vulnerabilidad por la naturaleza del problema detectado.

Finalmente, hoy día 17, se ha liberado un aviso público de seguridad en
el que queda patente que estos servidores son vulnerables. Esto ha
abierto el debate sobre si es pertinente o no ofrecer este tipo de
información en un sector en el que tradicionalmente no suele haber
revuelos. De hecho, es la primera vez que se gestiona vía CERT un
problema de seguridad de este tipo, lo que hace que el caso sea
especialmente llamativo.

Esto demuestra, tal y como comentan en el blog de Digital Bond, que CERT
tiene la suficiente capacidad para coordinar incluso en un ambiente que
habitualmente no es el que suelen manejar. El aviso publicado está
precedido por 8 semanas de espera transcurridas entre el aviso inicial
al fabricante y la puesta en conocimiento de CERT del asunto.
Adicionalmente, se fijaron horquillas de entre 3 y 6 meses para que el
fabricante resolviera el problema una vez notificado, lo que hace que
desde que se avisara inicialmente al vendedor, debieran transcurrir
entre 6 y 9 meses para que el aviso viera la luz.

El problema documentado, volviendo al símil de la punta del iceberg, es
sólo el comienzo del hilo del que poder tirar. Otros muchos sistemas
SCADA/EMS operan con implementaciones ICCP bajo formatos propietarios,
lo que hace que sea altamente probable la existencia de productos en
situación de vulnerabilidad similar. En palabras de Digital Bond,
numerosos fabricantes, en los que recaen sospechas de problemas
parecidos, no ofrecieron información sobre el estado de vulnerabilidad
de sus productos, con lo cual se desconoce si deben o no deben ser
sometidos a actualización. Estos fabricantes con estatus de
vulnerabilidad desconocido son, según CERT, Advanced Control Systems
Inc, Barco, Eliop, EA-India, Invensys Process Systems, LogicaCMG, Radio
Control Central Stations Inc, SPL Worldgroup Inc, S&C Electric Company
y Telvent.

Como nota final, comentar que los administradores de la solución
afectada, ICCP LiveData, pueden actualizar en ftp://ftp.livedata.com/.
Se consideran vulnerables todas las versiones del producto anteriores
a la versión 5.00.035. Los administradores SCADA que tengan en su
infraestructura algún tipo de implementación ICCP deberían, con la
máxima premura, contactar con el soporte del fabricante para conocer
su estado de vulnerabilidad, si existiera.


Sergio Hernando
shernando@hispasec.com


Más información:

Aviso original
http://www.kb.cert.org/vuls/id/190617

SCADA industry debates flaw disclosure
http://www.securityfocus.com/news/11396

US-CERT Livedata ICCP Vulnerability Note
http://www.digitalbond.com/SCADA_Blog/2006/05/us-cert-livedata-iccp-vulnerability.html

LiveData ICCP Server
http://www.livedata.com/docs/LiveData_ICCP_Server.pdf

Sistemas SCADA
http://es.wikipedia.org/wiki/SCADA

viernes, 16 de junio de 2006

El vertiginoso mundo de los exploits

No pasaron ni 24 horas desde que se publicaron las actualizaciones de
seguridad de Microsoft de junio y ya la ingeniería inversa había dado
sus frutos. Han comenzado a proliferar nuevos exploits capaces de
aprovechar las vulnerabilidades recién descubiertas para ejecutar
código y recolectar víctimas.

Microsoft publicó el día 13 de junio, como cada segundo martes de mes,
12 boletines de seguridad que agrupaban 21 vulnerabilidades distintas.
Desde octubre de 2004 no se recordaba un conjunto de vulnerabilidades
tan numeroso. Incluso en aquella ocasión, fueron algunas menos las
calificadas como críticas.

El aumento de parches no tiene nada que ver con la casualidad. Es
posible que esté relacionado con la oferta que desde febrero realiza
iDefense a quien descubra una vulnerabilidad crítica en Windows. Ofrece
hasta 10.000 dólares, nada más y nada menos. Por si fuera poco,
TippingPoint, otra compañía privada, ofrece 50.000 dólares a quien
encuentre fallos críticos no sólo en Windows, sino en "software
popular"... Estas dos iniciativas son responsables en total, de seis
de las vulnerabilidades descubiertas.

Pero el peligro no se encuentra sólo en el número de vulnerabilidades
ni en que los "investigadores" sean motivados para descubrirlas, sino
en el cada vez más corto lapso de tiempo que ocurre desde que se hace
público un fallo y aparecen exploits para aprovecharlo. Antes de que
se hiciesen públicos los boletines, ya se estaban aprovechando
activamente tres vulnerabilidades descritas en MS06-021 y MS06-027,
todas calificadas como críticas. Para dos vulnerabilidades descritas
en el MS06-030, también se han hecho públicos exploits a partir de
los boletines.

En total, se habla de que existen códigos públicos o privados para
aprovechar hasta 6 de las 21 vulnerabilidades. Todo eso, tan sólo
algunas horas después de que aparezcan los boletines y los parches
y de que los usuarios puedan actualizarse.

Aunque no todas las vulnerabilidades están siendo aprovechadas en masa,
el simple hecho de que existan suponen un grave problema. Como ya hemos
repetido en varias ocasiones, el malware puede ser mucho más productivo
y duradero si se ataca con él a un número de víctimas reducido. Es ese
simple "capricho" circunstancial el que ha librado desde hace algunos
años al resto de millones de usuarios de sufrir periódicamente un
gusano o virus masivo que afecte a nivel mundial.

En lo referente a los administradores, ya no se puede hablar de
ventanas de tiempo ni de periodo de pruebas para aplicar parches. Ya
no existe ese intervalo de tiempo en el que los administradores podían
permitirse ser vulnerables (porque no se conocía amenaza) en espera de
probar los parches y su impacto en el entorno o simplemente para
distribuirlos entre un gran número de máquinas. Hoy por hoy, deben
actuar lo antes posible y además emprender una importante reforma en el
sistema para mitigar el posible impacto de no aplicar parches o hacerlo
a destiempo. Esto, en muchos entornos, no es siempre posible y se ven
desbordados ante un trabajo a contrarreloj que puede acarrear
incompatibilidades.

Y es que el panorama no invita a la relajación ni el despiste. En
particular Microsoft advierte sobre la importancia de los boletines
MS06-021, MS06-022 y MS06-023, cuyas vulnerabilidades permiten la
ejecución de código con sólo visitar una página web con Internet
Explorer.

Pero actualizar un sistema Windows tampoco garantiza nada. No pasaron ni
48 horas desde los últimos boletines, y ya ha aparecido un nuevo "0 day"
o amenaza sin parche. Igual que se descubrió a mediados de mayo una
vulnerabilidad en Microsoft Word que podía ser aprovechada por atacantes
para comprometer el sistema, se acaba de hacer pública otra de similares
características en Excel. Incluso las dos se han descubierto en
parecidas circunstancias. La vulnerabilidad es aprovechada con sólo
abrir un archivo XLS con Microsoft Excel. El código ejecutado intenta
descargar malware desde una página web e inyecta código en Internet
Explorer para saltarse posibles cortafuegos. Microsoft ha confirmado
el problema y se está a la espera de más detalles. Para muchos, la
sensación de un sistema completamente actualizado y razonablemente
seguro se ha esfumado en cuestión de horas.

Este es un ejemplo más de la importancia y valor actual de una
vulnerabilidad que permita la ejecución de código en programas
populares. Instalar de alguna forma código no deseado en los sistemas
operativos, es la piedra angular de las bandas organizadas detrás de
los ataques de phishing y demás actividades ilegales, y la ejecución
de código se consigue, en su mayoría, a través de las vulnerabilidades.
Es lo que alimenta un negocio muy rentable y de ahí el ansia y la
vorágine de información fresca y privilegiada que permita continuar
con él.

El análisis, descubrimiento, parcheo y tráfico de vulnerabilidades se
está convirtiendo en una carrera cada vez más veloz y vertiginosa en
la que a nadie se le perdonará un descuido.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability Contributor Program
http://www.idefense.com/methodology/vulnerability/vcp.php

Zero Day Initiative
http://www.zerodayinitiative.com/

Exploits for Microsoft Flaws Circulating
http://www.pcworld.com/news/article/0,aid,126091,00.asp

Reports of a new vulnerability in Microsoft Excel
http://blogs.technet.com/msrc/default.aspx

Detalles sobre la vulnerabilidad de Microsoft Word
http://www.hispasec.com/unaaldia/2768

jueves, 15 de junio de 2006

Denegación de servicio en Sendmail 8.13.6 y anteriores

Se ha encontrado una vulnerabilidad en Sendmail que puede ser
aprovechada por atacantes remotos para provocar una denegación
de servicio.

Sendmail es el MTA (Mail Transfer Agent) más veterano y popular
en Internet, con una cuota de bastante más del 50% de los
servidores de correo.

La vulnerabilidad está causada por un error en la función recursiva
mime8to7() a la hora de realizar conversiones MIME. Algunos procesos
pueden dejar de responder si se procesan conversiones MIME especialmente
manipuladas para provocar la interrupción del servicio. El proceso
Sendmail puede quedarse sin espacio de pila si se le proporciona un
mensaje MIME profundamente anidado, con lo que dejaría de responder.

Específicamente, la denegación de servicio se producirá porque los
mensajes en cola no serán entregados o porque los ficheros de volcado de
core (core dump) acabarán con el espacio disponible en disco. La nueva
versión limita el valor de la constante MAXMIMENESTING para evitar el
problema.

El fallo ha sido confirmado en la versión 8.13.6 y anteriores. La
mayoría de fabricantes están en estos momentos publicando
actualizaciones para sus distintos productos y distribuciones. Desde
Hispasec, se recomienda que los sistemas sean actualizados lo antes
posible.

Desde la página oficial:

ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.13.7.tar.gz
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.13.7.tar.Z

La firma MD5 para comprobar la integridad del fichero
sendmail.8.13.7.tar.Z es fff614180192995ff5b2c8660aa86594

La firma MD5 para comprobar la integridad del fichero
sendmail.8.13.7.tar.gz es 5327e065cb0c1919122c8cecbeddbc28


Sergio de los Santos
ssantos@hispasec.com


Más información:
http://www.sendmail.org/releases/8.13.7.html

miércoles, 14 de junio de 2006

Memorias USB abandonadas para infectar sistemas

Steve Stasiukonis ha escrito un artículo sobre la ingeniería social
basada en las cada vez más populares unidades de memoria USB. En el
texto "Social Engineering, the USB Way" demostraba lo sencillo que había
sido obtener contraseñas de los usuarios de una empresa utilizando las
memorias USB como reclamo. Aunque sea un método curioso, no es nada nuevo.

Según cuenta en su artículo, fue contratado para realizar una auditoría
de seguridad en una compañía. Se le pidió expresamente que hiciese
hincapié en el escabroso asunto de la ingeniería social, más incluso que
en el aspecto técnico. Esto resulta una buena idea, pues a menudo son
los usuarios la mayor amenaza para la seguridad de una empresa.

Si anteriormente lo que solía hacer era un acercamiento físico a las
personas, de manera que se las engatusaba de alguna forma para que
revelaran información importante, en esta ocasión debía ser diferente.
Los trabajadores estaban alerta, pues ya conocían que se iba a llevar a
cabo una auditoría donde ser realizarían técnicas de ingeniería social.
Fue entonces cuando Stasiukonis cambió de técnica.

Recolectó memorias USB obsoletas e introdujo en ellas un troyano que
enviaría las contraseñas y demás información sensible al atacante. En
vez de intentar de nuevo convencerlos de que usaran aquellas memorias
antiguas y de poca capacidad, pensó en abandonarlas casualmente en el
aparcamiento, zonas para fumadores y demás áreas frecuentadas por los
trabajadores. La curiosidad hizo el resto y poco después el atacante
estaba recibiendo decenas de contraseñas. En concreto 15 de las 20
memorias fueron introducidas en un ordenador del trabajo y quedaron
infectados.

Este suceso no se diferencia de otras noticias conocidas del pasado.
En la "InfoSecurity Europe 2003 conference" se dieron a conocer unas
escalofriantes cifras. El 95% de los hombres y el 85% de las mujeres
revelaron sus contraseñas a cambio de un bolígrafo barato. También, como
ya se habló en un boletín de una-al-día anterior, el experimento de
autopromoción llevado a cabo por "The Training Camp" no ofrecía dudas.
Bajo la excusa de que el disco contenía información sobre una promoción
especial, se iba regalando un CD a los ejecutivos que acudían a su
trabajo en Londres. Los compactos no contenían en realidad tal oferta,
sino un simple código que permitía informar a la compañía de quién había
ejecutado el programa en su interior. Entre ellos, según la noticia, se
encontraba personal de grandes bancos y aseguradoras multinacionales.

La solución definitiva, aunque imprescindible, no pasa por utilizar más
seguros o mejores sistemas operativos. En este caso concreto, fue el
propio usuario el que ejecutó de forma consciente las supuestas imágenes
almacenadas en el interior de la memoria. Un sistema operativo con
restricciones de privilegios o bien protegido sólo habría mitigado el
problema, no lo habría hecho desaparecer. ¿Cómo luchar contra la
naturaleza humana?

Las conclusiones son las de siempre, aunque con matices. Este nuevo
acercamiento a la ingeniería social supone una novedad en la medida en
la que desvincula completamente a un atacante. No es necesario entrar
físicamente en las oficinas, hablar con ningún empleado o regalar
objetos que puedan ser rastreados más tarde, ni siquiera enviar un email
que podría ser filtrado como correo basura. Basta abandonar un objeto
anónimo que llame la atención para que sean los propios usuarios los
que acudan al anzuelo.

También se puede reflexionar sobre la calidad de la formación que se
le presta a los usuarios. Si resulta imprescindible una formación y
concienciación para usuarios que trabajan a diario con sistemas de
información sensible, cabe preguntarse si se está prestando la formación
adecuada. Teniendo en cuenta que estos experimentos siguen evidenciando
año tras año importantes deficiencias en la educación sobre seguridad en
entornos laborales.

Por ejemplo, los administradores llevan años advirtiendo sobre la
peligrosidad de los adjuntos en los correos, pero quizás nadie ha
explicado de forma profesional por qué debe evitarse esta práctica, que
no es más que una forma concreta de controlar, en general, la ejecución
indiscriminada de archivos. Limitar la "formación" a recomendaciones
informales o "sermones" esporádicos no es suficiente por sí mismo. Más
que inculcar una serie de reglas, hacer comprender el peligro a través
de un programa de formación adecuado y respetar una estricta política
de seguridad resultan en una prevención mucho más efectiva.

Así se podrá evitar que desde el punto de vista de los atacantes, si
muchos usuarios han aprendido a no ejecutar cualquier programa que les
llegue por correo, no haya más que cambiar el método y distribuir los
archivos infectados a través de cualquier otro medio para que vuelvan
a tropezar en la misma piedra. Memorias USB abandonadas para infectar
sistemas no deja de ser una manera más (ni la primera ni la última) de
aprovechar el desconocimiento inherente del usuario no especializado y
la morbosa curiosidad del usuario en general.


Sergio de los Santos
ssantos@hispasec.com


Más información:

La seguridad no importa a los usuarios
http://www.hispasec.com/unaaldia/2676

Social Engineering, the USB Way
http://www.darkreading.com/document.asp?doc_id=95556&WT.svl=column1_1

Office workers give away passwords for a cheap pen
http://www.theregister.co.uk/2003/04/18/office_workers_give_away_passwords/

martes, 13 de junio de 2006

Doce boletines de seguridad de Microsoft en junio

Tal y como adelantamos ayer, hoy como corresponde a cada segundo
martes de mes, Microsoft ha publicado doce boletines de seguridad.

Se han publicado los boletines MS06-021 al MS06-032 y las
actualizaciones distribuidas, según la propia clasificación de
Microsoft, ocho presentan un nivel de gravedad "crítico", tres
son calificadas como "importantes" y una última como
"moderada".

* MS06-021: Se trata de una actualización acumulativa para Internet
Explorer, que además soluciona ocho nuevas vulnerabilidades en el
navegador de Microsoft, que pueden llegar a permitir la ejecución
remota de código. Está calificado como "crítico".

* MS06-022: Destinado a solucionar una vulnerabilidad de ejecución
remota de código en la forma en la que Windows maneja imágenes
ART. Afecta a Windows Server 2003, Windows XP, Windows 98 y
Windows Millennium Edition (Me). Según la calificación de Microsoft
tiene un nivel "crítico".

* MS06-023: Evita una vulnerabilidad en Microsoft JScript podría
permitir la ejecución remota de código. Afecta a Windows 2000,
Windows Server 2003 y Windows XP, Windows 98 y Windows
Millennium Edition (ME). Está calificado como "crítico".

* MS06-024: Se trata de una actualización para Microsoft Windows
Media Player, para solucionar una vulnerabilidad de ejecución remota
de código arbitrario en el reproductor al tratar imágenes en formato
PNG. Afecta a Windows Media Player 9, 10 y Windows Media Player para
XP. Recibe el nivel de "crítico".

* MS06-025: Destinado a solucionar dos vulnerabilidades de ejecución
remota de código en el servicio de acceso remoto y enrutamiento.
Afecta a Windows 2000, Windows Server 2003 y Windows XP.
Según la calificación de Microsoft tiene un nivel "crítico".

* MS06-026: Se trata de una actualización de seguridad para evitar
una vulnerabilidad en el motor de proceso de gráficos podría permitir
la ejecución remota de código. Afecta a Windows 98 y Me. Según la
calificación de Microsoft tiene un nivel "crítico".

* MS06-027: Soluciona una vulnerabilidad de ejecución remota de
código en Microsoft Word. Afecta a Word 200, 2002 y 2003. Microsoft
califica esta actualización como "crítica".

* MS06-028: Evita una vulnerabilidad en PowerPoint que podría
permitir la ejecución remota de código. Afecta a PowerPoint 2000,
2002 y 2003. También recibe una calificación de "crítico".

* MS06-029: Se trata de una actualización para Microsoft Exchange
Server con Outlook Web Access podría permitir la inyección de scripts.
Afecta a Exchange 2000 y Exchange Server 2003. Recibe el nivel de
"Importante".

* MS06-030: Evita dos vulnerabilidades en SMB (SMB) que podrían
permitir la elevación de privilegios o una denegación de servicio.
Afecta a Windows 2000, Windows Server 2003 y Windows XP. Según la
calificación de Microsoft tiene un nivel "Importante".

* MS06-031: Destinado a solucionar una vulnerabilidad de falsificación
en el servicio RPC que puede permitir a un atacante la falsificación
de un recurso de red confiable. Afecta a Windows 2000. Recibe el nivel
de "Moderado".

* MS06-032: Se trata de una actualización de seguridad para evitar una
vulnerabilidad en TCP/IP que podría permitir la ejecución remota de
código. Afecta a Windows 2000, Windows Server 2003 y Windows XP. Según
la calificación de Microsoft tiene un nivel "Importante".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS06-021
Cumulative Security Update for Internet Explorer (916281)
http://www.microsoft.com/technet/security/Bulletin/MS06-021.mspx

Microsoft Security Bulletin MS06-022
Vulnerability in ART Image Rendering Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-022.mspx

Microsoft Security Bulletin MS06-023
Vulnerability in Microsoft JScript Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-023.mspx

Microsoft Security Bulletin MS06-024
Vulnerability in Windows Media Player Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-024.mspx

Microsoft Security Bulletin MS06-025
Vulnerability in Routing and Remote Access Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-025.mspx

Microsoft Security Bulletin MS06-026
Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-026.mspx

Microsoft Security Bulletin MS06-027
Vulnerability in Microsoft Word Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-027.mspx

Microsoft Security Bulletin MS06-028
Vulnerability in Microsoft PowerPoint Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-028.mspx

Microsoft Security Bulletin MS06-029
Vulnerability in Microsoft Exchange Server Running Outlook Web Access Could Allow Script
http://www.microsoft.com/technet/security/Bulletin/MS06-029.mspx

Microsoft Security Bulletin MS06-030
Vulnerability in Server Message Block Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/Bulletin/MS06-030.mspx

Microsoft Security Bulletin MS06-031
Vulnerability in RPC Mutual Authentication Could Allow Spoofing
http://www.microsoft.com/technet/security/Bulletin/MS06-031.mspx

Microsoft Security Bulletin MS06-032
Vulnerability in TCP/IP Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-032.mspx

lunes, 12 de junio de 2006

Microsoft publicará mañana doce actualizaciones de seguridad

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan doce parches de
seguridad, nueve destinados a su sistema operativo Windows, uno a
Exchange y dos a su suite ofimática Office.

Si en mayo fueron tres los boletines de seguridad, este mes han
aumentado hasta doce las actualizaciones que prevé publicar Microsoft el
día 12 de junio. De los nueve para el sistema operativo, alguno alcanza
el estado de crítico, lo que supone que la vulnerabilidad es
aprovechable sin interacción del usuario y permite tomar el control del
sistema. El destinado a Exchange se describe como de peligrosidad
importante. Para Microsoft Office, al menos uno de los dos parches se
considera también crítico. Como es habitual, las actualizaciones
requerirán reiniciar el sistema.

Se espera que una de estas actualizaciones para Microsoft Office será
para el fallo crítico que existe en Word, y del que se ha hablado
anteriormente en este boletín. A mediados de mayo, se encontraba una
vulnerabilidad en Microsoft Word que podía ser aprovechada por atacantes
para comprometer el sistema. El fallo era causado por un error no
especificado que puede derivar en la ejecución de código arbitrario.
Debido a que el problema estaba siendo activamente aprovechado y no
existía parche oficial, se convirtió en un "0 day", lo que ha supuesto
un importante problema de seguridad. Microsoft reconoció la
vulnerabilidad pero afortunadamente, la discreción de los descubridores
ha permitido que no haya sido aprovechada en masa con lo que el impacto
conocido ha sido escaso. Sin embargo, una vez se apliquen técnicas de
ingeniería inversa al parche que será publicado el próximo martes, se
prevé la aparición de malware destinado a aprovechar la vulnerabilidad
cuando se conozcan los detalles.

Es probable que también, por fin, se publique este mes solución al grave
fallo de seguridad que el navegador Internet Explorer arrastra desde
finales de abril. Se identificó una vulnerabilidad que podía ser
aprovechada por atacantes para ejecutar código arbitrario. El fallo se
debe a una corrupción en la memora a la hora de procesar scripts HTML
manipulados. Si el código contiene etiquetas OBJECT especialmente
formadas, el navegador dejaría de funcionar y quedaría en disposición de
inyectar código y poder ser ejecutado. También en este caso, la
discreción de los investigadores ha permitido que no se hayan reportado
incidentes relacionados con la vulnerabilidad.

Para el resto de parches no se tienen mayores detalles.

Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

MSIE (mshtml.dll) OBJECT tag vulnerability
http://lists.grok.org.uk/pipermail/full-disclosure/2006-April/045422.html

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx

Detalles sobre la vulnerabilidad de Microsoft Word
http://www.hispasec.com/unaaldia/2768

domingo, 11 de junio de 2006

Denegación de servicio en Windows NetMeeting 3.01

Se ha descubierto una vulnerabilidad en Microsoft NetMeeting que
puede ser aprovechada por atacantes para provocar una denegación
de servicio.

El fallo se debe a un error en el tratamiento de determinados tipos
de datos recibidos. Esto puede ser aprovechado para sobreescribir
memoria de aplicaciones, lo que provocaría que la aplicación dejase
de responder o consumiese una gran cantidad de recursos del sistema.

El fallo ha sido confirmado en la versión 3.01 aunque otras podrían
verse afectadas. Se recomienda restringir el uso del producto a
redes en las que se confíe.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft NetMeeting memory corruption (Brief)
http://www.hexview.com/docs/20060606-1.txt

sábado, 10 de junio de 2006

Desbordamiento de memoria intermedia en LibTIFF

Se han descubierto dos vulnerabilidades en LibTIFF que pueden ser
aprovechadas por atacantes para provocar una denegación de servicio
y potencialmente, comprometer el sistema víctima.

La librería LibTIFF usada para leer y escribir imágenes en formato tiff
se utiliza habitualmente en sistemas UNIX. Múltiples programas tanto de
escritorio como en servidores web hacen uso de ella para permitir el
tratamiento de este tipo de imágenes, de ahí el riesgo que generan
estas vulnerabilidades.

El primero de los problemas está causado por un error de límites en
tiff2pdf a la hora de manejar ficheros TIFF con etiqueta DocumentName
que contenga caracteres UTF-8. Esto puede ser aprovechado para provocar un
desbordamiento de memoria intermedia basado en pila y podría permitir
la ejecución arbitraria de código.

Un segundo problema reside en un desbordamiento de búfer en el comando "tiffsplit" cuando trata un nombre de archivo muy largo, lo que puede emplearse por atacantes para provocar denegaciones de servicio o lograr la ejecución de comandos sin autorización.

La vulnerabilidad ha sido confirmada en la versión 3.8.2, aunque otras
podrían verse afectadas. Se recomienda no abrir imágenes en formato
TIFF que provengan de fuentes no confiables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

LibTIFF "tiff2pdf" and "tiffsplit" File Handling Buffer Overflow Vulnerabilities
http://www.frsirt.com/english/advisories/2006/2197

tiff2pdf dumps core when DocumentName contains UTF-8
http://bugzilla.remotesensing.org/show_bug.cgi?id=1196

viernes, 9 de junio de 2006

Actualización de seguridad de Firefox y Thunderbird

La fundación Mozilla publica actualizaciones de seguridad para sus
productos estrella: Firefox y Thunderbird.

Mozilla es un entorno de código abierto multiplataforma, de gran
calidad, nacido a partir de una iniciativa de Netscape. Firefox es
el navegador web del proyecto Mozilla, un producto de popularidad
creciente, con más de 170 millones de descargas. Thunderbird es el
cliente de correo y RSS.

La fundación Mozilla ha publicado la versión 1.5.0.4 de ambos productos,
que soluciona todos los problemas de seguridad y estabilidad conocidos
hasta el momento.

Todos los usuarios de Mozilla Firefox y Mozilla Thunderbird deben
actualizar a la versión 1.5.0.4. Gracias a la capacidad de actualización
automática de estos productos, la mayoría de ellos deberían trabajar
ya con dicha versión. Para saber qué versión del programa está
utilizando, ejecute el menú "ayuda -> sobre Mozilla Firefox", o
"ayuda -> sobre Mozilla Thunderbird".

Si todavía no ha actualizado de forma automática, fuerce una
actualización manual con el menú "ayuda -> buscar actualizaciones".


Jesús Cea Avión
jcea@hispasec.com


Más información:

Security Center
http://www.mozilla.org/security/

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/

Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html

Firefox
http://www.mozilla.com/firefox/

Thunderbird
http://www.mozilla.com/thunderbird/

Mozilla
http://www.mozilla.com/

jueves, 8 de junio de 2006

Cátedra de Seguridad y Desarrollo de la Sociedad de la Información: Seminario y Congreso en 2006

En la Universidad Politécnica de Madrid, España, se acaba de crear una
cátedra bajo el patrocinio de Applus+ con el nombre Cátedra Applus+ de
Seguridad y Desarrollo de la Sociedad de la Información. Las cátedras
permiten un mejor desarrollo de la investigación, favorecen los
encuentros técnicos y la difusión de una temática en particular, en
este caso el de la seguridad de las Tecnologías de la Información y
Comunicaciones en todas sus facetas.

En un sector estratégico como lo es hoy el de la seguridad en sistemas
y redes así como la protección de datos, este proyecto con carácter
abierto viene a cubrir un espacio y una necesidad que la sociedad
estaba demandando, la de potenciar la investigación y el desarrollo de
esta especialidad. Es más, siendo la primera cátedra con esta temática
que ve la luz, como tal irá abriendo camino a nuevos proyectos y
acciones que en lo que queda de este año 2006 se centrarán en la
celebración de un seminario y un congreso como se comenta más
adelante, además de la puesta en marcha de su servidor Web bajo un
subdominio de la Universidad Politécnica de Madrid.

La Cátedra Applus+ de Seguridad y Desarrollo de la Sociedad de la
Información, tiene como acción desarrollar la prospección, el análisis
y la difusión de la cultura y el conocimiento en torno a la seguridad
informática y el desarrollo de la Sociedad de la Información, en un
primer ámbito dentro del espacio iberoamericano, es decir, España,
Portugal y los países de Latinoamérica.

Su objetivo principal es convertirse en un marco de referencia bajo el
cual se desarrollen diversas actividades que fomenten la difusión y el
intercambio de información y conocimientos en temas relacionados con
la seguridad y la protección de la información en el desarrollo de la
sociedad, en su más amplio sentido.

Las tres áreas objeto son el área de Investigación y Proyectos; el
área de Formación y Eventos y el área de Relaciones Institucionales y
Difusión. En la primera, podemos destacar el fomento de proyectos de
investigación, dotación de becas para doctores e ingenieros, concesión
de un premio anual a la mejor Tesis Doctoral, realización de las
iniciativas para la seguridad y el desarrollo de la Sociedad de la
Información, creación de manuales y guías, informes técnicos y
observatorio. En cuanto a la segunda, organización y celebración de
cursos, seminarios, foros, reuniones y congresos; y por último, la
tercera dedicada al establecimiento de convenios de colaboración con
empresas e instituciones de los sectores público y privado y la
difusión de las actividades y resultados de la Cátedra.

Cabe destacar que la cátedra contempla una acción social dirigida
preferentemente a menores, personas de la tercera edad, sectores de
población marginados y personas discapacitadas, en cuanto al adecuado
uso de las nuevas tecnologías, sensibilización y educación sobre
riesgos existentes y la prevención de los mismos, acercándose para
ello a los entornos de estos sectores de la población.

Retomando las palabras que D. José Luis Piñar Mañas, Director de la
Agencia Española de Protección de Datos, expresó en el acto de
presentación de la cátedra celebrado recientemente en la Escuela
Universitaria de Ingeniería Técnica de Telecomunicación EUITT, a la
cual está adscrita, "la facilidad que existe hoy en día a la hora de
disponer de información viene acompañada de nuevos riesgos a los que
hay que buscar soluciones eficaces". En esa misma presentación,
D. Gonzalo León Serrano, Vicerrector de Investigación de la UPM,
subrayó el papel que las Cátedras Universidad-Empresa juegan en el
fortalecimiento de las relaciones entre la Universidad en el sector
empresarial, indicando que este tipo de iniciativas se potencia
especialmente desde la Universidad Politécnica de Madrid de forma
que entre sus objetivos inmediatos está incrementar hasta 100 las
46 cátedras de estas características con que cuenta en la
actualidad.

* Acciones de la Cátedra para este año 2006

PRIMER SEMINARIO CAPSDESI DE SEGURIDAD EN EL SECTOR FINANCIERO

Fecha: Jueves 22 de junio de 2006
Lugar: Sala de Grados de la Escuela Universitaria de Ingeniería
Técnica de Telecomunicación EUITT
Campus Sur UPM - Carretera de Valencia Km 6 - Madrid
Aforo: 67 personas

PROGRAMA:

08:45 - 09:15: Registro
09:15 - 09:30: Inauguración del seminario - D. José Manuel Perales;
Vicerrector de Nuevas Tecnologías y Servicios de Red de la UPM
09:30 - 10:00: 1ª ponencia - D. José Manuel Maza; Magistrado del
Tribunal Supremo
10:00 - 10:30: 2ª ponencia - D. Santiago Romero; Banco de España
10:30 - 11:00: 3ª ponencia - D. Tomás Arroyo; BBVA
11:00 - 11:30: Café
11:30 - 12:00: 4ª ponencia - D. Enrique Factor; Agencia Española de
Protección de Datos
12:00 - 12:30: 5ª ponencia - D. Juan Salom; Guardia Civil
12:30 - 14:00: Mesa Redonda
14:00 - 16:00: Comida en salones de la cafetería del Campus Sur UPM
16:00 - 17:45: Caso práctico de ataques - D. Jesús Cea, D. Bernardo
Quintero; Hispasec Sistemas
17:45 - 18:00: Conclusiones y Clausura

La asistencia al seminario (gratuito) será mediante invitación
personal dirigida a directores, responsables de seguridad,
especialistas y técnicos del sector financiero, empresas e
instituciones. Existen unas plazas limitadas reservadas para alumnos.
Para cualquier consulta, dirigirse al teléfono +34 91 336 7868 o
bien a la dirección de correo capsdesi@eui.upm.es.


PRIMER CONGRESO DE LA CÁTEDRA APPLUS+ DE SEGURIDAD Y DESARROLLO DE LA
SOCIEDAD DE LA INFORMACIÓN CAPSDESI '06

Lema: Construyendo la Sociedad del Conocimiento desde la Seguridad

Fecha: Miércoles 29 y jueves 30 de noviembre de 2006

Lugar: Salón de Actos del Campus Sur de la UPM - Carretera de Valencia
Km 6 - Madrid
Aforo: 570 personas

PROGRAMA:

PRIMER DIA: miércoles 29 de noviembre de 2006
MAÑANA
09:30 - 10:00: Registro
10:00 - 10:15: Inauguración
10:15 - 11:45: Sesión Conferencia Magistral
11:45 - 12:30: Café
12:30 - 14:00: Sesión Ponencias Invitadas
14:00 - 16:00: Comida
TARDE
16:00 - 17:00: Sesión Ponencias Invitadas
17:00 - 17:30: Café
17:30 - 18:30: Sesión Ponencias Invitadas

SEGUNDO DIA: jueves 30 de noviembre de 2006
MAÑANA
10:00 - 11:30: Sesión Conferencia Magistral
11:30 - 12:15: Café
12:15 - 13:15: Sesión Ponencias Invitadas
13:15 - 14:00: Mesa Redonda y Conclusiones
14:00 - 14:30: Presentación de Resultados de la Cátedra y entrega de
Premios Red Seguridad
TARDE
Entrada liberada con inscripción previa. Participación y asistencia
preferentemente estudiantil
Celebración del Computer Security Day CSD
16:00 - 17:00: Sesión Ponencias Invitadas
17:00 - 17:30: Café
17:30 - 18:00: Sesión Conferencia Magistral
18:30 - 19:30: Sesión Ponencias Invitadas
19:30 - 20:00: Sesión Conjunta con Otros Países en que se Celebre el CSD
20:00 - 20:15: Conclusiones y Clausura

Como se observa, la segunda jornada del congreso corresponde al 30 de
noviembre, día en que se celebra mundialmente el CSD, Computer
Security Day. Por ello, en la tarde de dicho día el congreso cambia
su orientación y perfil, y se dedica por completo a esta celebración,
teniendo un papel destacado las jóvenes iniciativas mediante la
presentación de trabajos, desarrollos propios y proyectos del sector
estudiantil, otro de los objetivos de la cátedra.

La planificación y organización de la jornada del CSD se hará
conjuntamente con grupos y asociaciones cuyos objetivos tengan relación
directa con esta temática de la seguridad, el desarrollo de nuevas
tecnologías de la información y el software libre, entre otros.


Jorge Ramió Aguirre
Promotor de la Cátedra
capsdesi@eui.upm.es


Más información:

Servidor de la cátedra
http://www.capsdesi.upm.es/

Escuela Universitaria de Ingeniería Técnica de Telecomunicación
http://www.euitt.upm.es/

Applus+
http://www.appluscorp.com/

Nota de Prensa de la Presentación de la Cátedra en la EUITT
http://www.upm.es/canalUPM/notasprensa/Doc2006060201.html

Universidad Politécnica de Madrid
http://www.upm.es/