lunes, 31 de julio de 2006

Vulnerabilidad en el servicio "Servidor" de Microsoft Windows

Se ha encontrado un problema de seguridad en el servicio Servidor de
Windows que puede ser aprovechado por un atacante para provocar una
denegación de servicio.

El fallo se debe a un puntero a null en el driver de servidor srv.sys
a la hora de manejar mensajes SMB especialmente manipulados.

El problema no tiene relación con el boletín de seguridad MS06-035
publicado por Microsoft en julio. El fallo afecta a zonas de código
distintas y, por ahora, Microsoft afirma que no es posible ejecutar
código a través de esta vulnerabilidad, sólo provocar una denegación
de servicio del sistema causando que deje de responder (pantalla azul
de la muerte).

Se ha hecho público un exploit funcional de la vulnerabilidad.

No existe parche oficial, se recomienda bloquear el tráfico que
provenga de fuentes desconocidas a los puertos 135-139 y 445 o
desactivar el servicio si no es imprescindible.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Windows Server Message Block Protocol Remote Denial
of Service Vulnerability
http://www.frsirt.com/english/advisories/2006/3037

domingo, 30 de julio de 2006

Denegación de servicio en el protocolo IKE de productos Cisco

Se ha encontrado una vulnerabilidad en el protocolo IKE (Internet Key
Exchange) que permite provocar una denegación de servicio por consumo
de recursos. Si se consigue aprovechar la vulnerabilidad, un atacante
podría impedir que usuarios legítimos negociasen una conexión segura.

Según Cisco, esta vulnerabilidad no está asociada a ningún fabricante
concreto, sino que es específica del protocolo IKE version 1. Afecta
a sistemas que lo implementen, y en Cisco son: PIX y en appliances de
seguridad ASA, Cisco IOS software, y concentradores VPN 3000 Series.

Esta vulnerabilidad puede verse mitigada si se implementa la función
"Call Admission Control for IKE". Se puede encontrar más información
sobre cómo implementarla en
http://www.cisco.com/en/US/products/sw/iosswrel/ps5207/products_feature_guide09186a0080229125.html.


Laboratorio Hispasec
Laboratorio@hispasec.com


Más información:

Cisco Security Response: Internet Key Exchange Resource Exhaustion Attack
http://www.cisco.com/en/US/tech/tk583/tk372/tsd_technology_security_response09186a00806f33d4.html

sábado, 29 de julio de 2006

Denegación de servicio a través de Rewrite en Apache Server 1.x y 2.x

Se ha encontrado una problema de seguridad en Apache HTTP Server que
puede ser aprovechado por atacantes remotos para comprometer un
sistema vulnerable.

El fallo se debe a un error off-by-one en mod_rewrite, y puede ser
aprovechado para provocar un desbordamiento de memoria intermedia del
tipo one-byte.

Si se explota este problema el servidor podría dejar de responder
o permitir la ejecución de código arbitrario bajo ciertas
circunstancias (depende de las opciones con las que el servidor fue
compilado).

También se deben dar estas condiciones:
* Deben existir reglas Rewrite por las que se controle el comienzo de
una URL.

* Las reglas RewriteRule no deben incluir las flags Forbidden (F),
Gone (G), o NoEscape (NE).

Se recomienda actualizar a las versiones 1.3.37, 2.0.59, o 2.2.3.


Laboratorio Hispasec
Laboratorio@hispasec.com


Más información:

Apache "mod_rewrite" LDAP URI Handling Remote Off-By-One Buffer Overflow Vulnerability
http://www.frsirt.com/english/advisories/2006/3017

Apache HTTP Server 1.3.37 Released
http://www.apache.org/dist/httpd/Announcement1.3.html

Apache HTTP Server 2.0.59 Released
http://www.apache.org/dist/httpd/Announcement2.0.html

Apache HTTP Server 2.2.3 Released
http://www.apache.org/dist/httpd/Announcement2.2.html

viernes, 28 de julio de 2006

Denegación de servicio a través de protocolo TCP en Sun Solaris 8, 9 y 10

Se ha encontrado un fallo por el que un usuario remoto privilegiado
podría crear un "ACK storm" o "ACK flood" a través de conexiones TCP y
provocar así una denegación de servicio por consumo de recursos.

Un "ACK storm" ocurre cuando se envían secuencias de paquetes TCP con
numeración incorrecta. Las respuestas y envíos erráticos por parte de
cliente y servidor agotan los recursos y provocan que deje de
responder.

La aplicación de los parches limita el número de respuestas a paquetes
TCP especialmente formados, previniendo este tipo de ataque.

Se recomienda aplicar, según versión y plataforma:

Para Sparc:
Solaris 8 aplicar 116965-17 o posterior.
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116965-17&method=h
Solaris 9 aplicar 118305-07 o posterior.
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=118305-07&method=h
Solaris 10 aplicar 118833-12 o posterior.

x86 Platform
Solaris 8 aplicar 116966-16 o posterior.
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=116966-16&method=h
Solaris 9 aplicar 117470-06 o posterior.
http://sunsolve.sun.com/pub-cgi/pdownload.pl?target=117470-06&method=h
Solaris 10 aplicar 118855-10 o posterior.


Laboratorio Hispasec
Laboratorio@hispasec.com


Más información:

Solaris Hosts are Vulnerable to a Denial of Service Induced by an Internet Transmission Control Protocol (TCP) "ACK Storm"
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102206-1

jueves, 27 de julio de 2006

Múltiples vulnerabilidades en Mozilla Firefox, Thunderbird y SeaMonkey

Se han identificado múltiples vulnerabilidades en Mozilla Firefox,
SeaMonkey y Thunderbird que pueden acarrear diferentes problemas de
seguridad, muchos de ellos críticos. Los fallos, hasta catorce, son
descritos a continuación:

* Un error a la hora de asignar valores especialmente manipulados a
través de Java en el objeto window.navigator. Esto puede ser aprovechado
por atacantes para ejecutar código arbitrario a través de la visita a
una página.

* Una corrupción de memoria a la hora de manejar eventos XPCOM
concurrentes. Esto puede ser aprovechado por atacantes para ejecutar
código arbitrario a través de la visita a una página o de un correo.

* Un error a la hora de acceder a métodos DOM nativos que puede ser
aprovechado por atacantes para tener acceso a cookies y otra información
sensible.

* Un error a la hora de borrar variables temporales usadas en la
creación de nuevos objetos Function, que puede ser aprovechado por
atacantes para comprometer el sistema a través de la visita a una
página o correo.

* Un error de desbordamiento de heap a la hora de procesar adjuntos
en formato Vcard. Es posible ejecutar código arbitrario si contiene
un campo base64 especialmente formado.

* Un error a la hora de borrar objetos temporales. Un atacante puede
aprovechar este problema para ejecutar código arbitrario a través de
la visita a una página o de un correo.

* La referencia JavaScript a los objetos frame y window no se
elimina debidamente cuando se borra la referencia al contenido. Esto
puede ser aprovechado por atacantes para ejecutar código arbitrario
a través de la visita a una página o a través de un correo.

* Un desbordamiento de enteros a la hora de procesar cadenas muy largas
pasadas al método toSource, que puede ser aprovechado para ejecutar
código arbitrario.

* Un error en el constructor Object, que puede aprovecharse para
comprometer un sistema a través de una página o correo.

* Una escalada de privilegios a la hora de manejar scritps Proxy
AutoConfig (PAC) especialmente manipulados. Esto puede permitir a
atacantes remotos eludir restricciones de seguridad.

* Errores en los permisos UniversalBrowserRead y UniversalBrowserWrite
pueden ser aprovechados por scripts para elevar privilegios e instalar
programas arbitrarios en sistemas vulnerables.

* Un error a la hora de procesar objetos XPCNativeWrapper especialmente
manipulados permite a atacantes perpetrar ataques de cross site scripting.

* Un error a la hora de manejar URIs de chrome puede ser aprovechado por
atacantes para ejecutar scripts arbitrarios con privilegios elevados.

* Varios errores de corrupción de memoria pueden ser aprovechador para
comprometer el sistema a través de una página especialmente manipulada.

Las versiones vulnerables son:

En Mozilla Firefox, 1.5.0.4 y anteriores.
En Mozilla Thunderbird, 1.5.0.4 y anteriores.
En Mozilla SeaMonkey, 1.0.2 y anteriores.

Se recomienda actualizar los sistemas a la versión 1.5.0.5 de Firefox
y Thunderbird y 1.0.3 de SeaMonkey que solventa estos errores. Si se
tienen configuradas las actualizaciones automáticas, la aplicación
descargará automáticamente esta versión a partir de hoy.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Security patches for Mozilla Firefox/Thunderbird/SeaMonkey
http://isc.sans.org/diary.php?storyid=1515

miércoles, 26 de julio de 2006

Evolución de la seguridad en Mac OS

Kaspersky ha publicado un estudio sobre las vulnerabilidades detectadas
en MacOS en la primera mitad de 2006 en comparación con el mismo periodo
del pasado año. Se observa así la evolución de un sistema cada vez más
popular y por lo tanto, más propenso al descubrimiento (y
aprovechamiento) de problemas de seguridad.

En un artículo, firmado por Claudiu Dumitru y publicado en
viruslist.com, se ha desgranado el número de vulnerabilidades
encontradas en los primeros seis meses de 2006 y comparado con el primer
semestre de 2005. Este año, se han descubierto 60 vulnerabilidades,
mientras que en 2005 fueron 51. Aunque a muchos sorprenda la cantidad de
vulnerabilidades, cabe recordar que en todo software se descubren gran
cantidad de fallos mensualmente, aunque los medios generalistas no
redacten noticias con ellos. En cualquier caso, como siempre, lo
interesante no está en los números totales (que suelen esgrimirse con
intenciones tendenciosas), sino en los detalles escondidos detrás de
estas cifras.

Lo que más llama la atención es el ligero cambio de tendencia en el
sistema de Apple, en paralelo con el que ya ha sido observado estos
meses en el sistema operativo de Microsoft. Entre enero y junio de 2005,
de los 51 errores, se encontraron 38 que estaban relacionados
estrictamente con el sistema operativo Mac OS, mientras que este año
sólo son 24. El incremento de vulnerabilidades lo han sufrido las
aplicaciones. Safari, iTunes, QuickTime, el cliente de correo y otros
programas instalados por defecto, han elevado sus fallos hasta 36,
mientras que en 2005 sólo se encontraron 13 vulnerabilidades en ellos.
Queda claro que la fijación de investigadores y otras personas
relacionadas con la seguridad se ha centrado en la búsqueda de errores
en aplicaciones que rodean al sistema operativo, en detrimento de
problemas en el sistema en sí, habitualmente menos accesible desde el
exterior (muchos de los problemas del sistema operativo son
aprovechables sólo de forma local y a través de cuentas legítimas). Los
fallos en aplicaciones populares permiten ser aprovechados de forma
anónima y remota con el envío de archivos especialmente manipulados, lo
que facilita la tarea de comprometer un sistema aunque requiera de
cierta interacción de la víctima.

Esta misma tendencia que centra sus esfuerzos en la búsqueda de errores
no ya en el propio sistema operativo, sino en aplicaciones habitualmente
instaladas sobre él, es la que ha estado sufriendo Microsoft en los
últimos meses. Se ha observado un espectacular incremento de
vulnerabilidades en Office e Internet Explorer que han salido a la luz
en forma de "0 day" (vulnerabilidades públicas sin parche). Mientras,
errores en el sistema operativo han sido relativamente escasos y hechos
públicos a través de un boletín con su respectivo parche.

La nueva tendencia puede responder a los esfuerzos por asegurar los
sistemas operativos que todos los fabricantes han puesto en marcha, y a
la necesidad de criminales y mafias de abrir nuevas vías para la
introducción de malware a través de Internet. Esta nueva vía de
aprovechar vulnerabilidades que surge también en los productos de Apple,
permite barajar la posibilidad de MacOS X como un sistema cada vez más
popular y objetivo de malware, aunque a corto plazo es poco probable que
esto ocurra.

En este sentido, el único "susto" que sufrieron los usuarios de Mac pasó
con más bombo que gloria en forma de gusano llamado Leap.A. El troyano
apareció en febrero y gozó de cierta popularidad pero, entre otras
razones, su torpe programación impidió una difusión más allá de la anécdota.

Aun así Stephen Toulouse, jefe de comunicaciones sobre respuestas de
seguridad de Microsoft, publicó en su blog personal una nota donde de
manera informal, lanzaba consejos a su rival Apple. A finales de marzo,
con el asunto de Leap.A todavía candente, hablaba de ataques masivos
contra el sistema de la manzana y de la necesidad inminente de un
antivirus para sus usuarios. Aconsejaba también a Apple tomar otro rumbo
con respecto a su política de publicación de boletines e información
sobre vulnerabilidades (que consideraba escasa). Aseguraba además que en
los próximos años Mac OS experimentaría un aumento considerable de
amenazas especialmente dirigidas a ellos. Toulouse ya comparaba lo que
Apple está experimentando hoy con los cada vez más habituales ataques a
Windows que requieren interacción por parte del usuario. Reconocía haber
aprendido la lección en ese sentido para ofrecer a sus clientes
información clara y orientación preceptiva de forma rápida.

En cualquier caso, al margen de polémicas, quizás Mac OS pague el precio
de una creciente fama y sufra las mismas tendencias que Microsoft con
respecto a vulnerabilidades y malware. Por supuesto, al menos por ahora
y durante una buena temporada, a una escala infinitamente menor.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Kaspersky Lab publishes a report on the evolution of malicious programs
for MacOS X
http://www.kaspersky.com/news?id=192165618

Apple should copy Microsoft on security
http://www.techworld.com/security/news/index.cfm?NewsID=5645

Apple: Finding the Root of the Problem
http://www.businessweek.com/technology/content/mar2006/tc20060308_032391.htm

Manzanas y gusanos - Hispasec - Una al día 22/02/2006
www.hispasec.com/unaaldia/2678

Blog de Stephen Toulouse:
http://www.stepto.com/default/LogArchive_ThisMonth.aspx

martes, 25 de julio de 2006

Revelación de información a través del servidor web en Checkpoint FireWall-1/VPN-1

Se ha encontrado una posible vulnerabilidad en FireWall-1/VPN-1 por la
que un atacante remoto puede ver ficheros arbitrarios del sistema
víctima.

El programa no comprueba correctamente la entrada proporcionada por el
usuario en el servidor web embebido que se ejecuta en el puerto 18264
a través de TCP. Un atacante remoto podría realizar una petición que
contuviese caracteres hexadecimales especialmente manipulados y ver
así archivo en el sistema víctima.

Check Point ha informado que este problema ha sido corregido en la
versión FireWall-1 R55W HFA03.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

FireWall-1/VPN-1 Input Validation Hole in PKI Web Service Lets Remote Users View Files on the Underlying System
http://www.securitytracker.com/alerts/2006/Jul/1016563.html

Check Point FireWall-1 PKI Web Service Remote Directory Traversal Vulnerability
http://www.frsirt.com/english/reference/16632

lunes, 24 de julio de 2006

Suplantación biométrica

Lo que hasta ahora parecía solo posible en las películas de cine,
empieza a ser estudiado como una posible amenaza: engañar los sistemas
de identificación biométricos mediante suplantación.

La suplantación biométrica no es ninguna novedad. De hecho, cualquiera
que haya visto películas donde intervienen sistemas informáticos casi
seguro que ha visto algún ejemplo. Desde los más clásicos (cortar el
dedo para acceder a los sistemas protegidos mediante huella digital
o grabar la contraseña en una cinta magnetofónica) a los más
'sofisticados' de utilizar una lentilla para imitar el iris.

En el pasado algunas de estas 'hazañas cinematográficas' han sido
realizadas en entornos de laboratorio. Ya hace años se demostró
como muchos sistemas de reconocimiento de huella digital podían
ser fácilmente suplantados (afortunadamente no era necesario cortar
el dedo del usuario; un molde del dedo realizado con gelatina era más
que suficiente).

No obstante, el último aviso sobre la posibilidad de realizar una
suplantación biométrica ha venido de la laboratorio de biometría de
Deloitte & Touch: no es necesario el dedo, basta con disponer de la
huella digital, algo que solemos dejar en virtualmente cualquier sitio.
Para protegerse ante esta amenaza, algunos sistemas lectores verifican
que la huella suministrada tiene pulso, evitando así la lectura de
dedos y huellas artificiales.

Por ahora son únicamente pruebas de concepto a nivel de laboratorio:
recoger una huella digital y utilizarla para suplantar a un usuario
a través de un lector biométrico. No obstante, cabe recordar que los
sistemas biométricos no son habitualmente utilizados por lo que los
incentivos para los atacantes son reducidos. Ahora bien, la utilización
de un sistema de protección biométrico también suele ser un indicador
que allí hay algo de valor.

La lección importante que debe aprenderse de esto es que la biometría
trata con un elemento que no es secreto: hay elementos visibles que
pueden ser registrados (cara, iris...); la voz puede grabarse; por
allí donde pasamos solemos dejar muestras de ADN y huellas digitales.
En consecuencia, la biometría es un mal sustituto de los sistemas de
identificación, pero puede ser útil en sistemas de autenticación de
doble factor: no sólo es necesario demostrar que el dedo es nuestro,
también deberemos asegurar que sabemos algo, como una contraseña o
un PIN.


Xavier Caballé
xavi@hispasec.com


Más información:

The Future of Crime - Biometric Spoofing?
http://it.slashdot.org/article.pl?sid=06/07/21/1248204&from=rss

Scientists pore over biometric-spoofing tests
http://news.zdnet.co.uk/hardware/emergingtech/0,39020357,39243463,00.htm

Body Check. Biometric Access Protection Devices and their Programs Put to
the test
http://www.heise.de/ct/english/02/11/114/

Impact of Artificial Gummy Fingers on Fingerprint Systems
http://web.mit.edu/6.857/OldStuff/Fall03/ref/gummy-slides.pdf
http://cryptome.org/gummy.htm

domingo, 23 de julio de 2006

Páginas "de confianza" como fuente de troyanos

Un banner de publicidad alojado en MySpace ha conseguido infectar a más
de un millón de usuarios de Windows gracias a una vulnerabilidad para la
que existe parche desde enero de 2006. No es la primera ni la última vez
que esto ocurre. Los anuncios en las páginas pueden convertir a una web
de confianza en una fuente de código no deseado.

Durante este mes de julio, quien navegase a través de MySpace.com con
Intenet Explorer no parcheado y privilegios de administrador, quedaba
infectado automáticamente por algún tipo de adware. Al contrario de lo
que pueda parecer, la página MySpace no tiene, en principio,
responsabilidad directa sobre el incidente. Normalmente contratará
servicios de publicidad a terceros que se encargan de seleccionar,
alojar y hacer visible la publicidad en su página, y ha sido a través de
este sistema (no se conocen exactamente las causas originales, si el
servidor de publicidad fue comprometido o no) que se ha llegado a
infectar a más de un millón de personas.

El malware se ejecutaba sin permiso, a través de la vulnerabilidad WMF,
parcheada por Microsoft en enero de 2006. Es curioso que se detectara el
problema al visitar la página con Firefox, pues el navegador pedía
confirmación para descargar un archivo en formato wmf que no se había
solicitado. Fue así como se descubrió el pastel. Las versiones
actualizadas de Internet Explorer evitan también la instalación del
virus. Investigaciones posteriores hacen pensar que este ataque
permanecía activo en otras webs desde principios de julio.

Bernardo Quintero, en septiembre de 2005, ya analizó una situación
parecida en una entrada del blog de Laboratorio de Hispasec: "Dilbert
intenta infectarme". La historia se repite pero de una forma todavía más
ruin y taimada. En aquella ocasión, al visitar la (muy recomendable)
tira cómica diaria de Dilbert aparecía una ventana emergente donde se
informaba de errores de registro o del sistema de archivos. Obviamente
era falsa, pues el mismo aviso aparecía independientemente del sistema
operativo con que se visitara. La ventana sugería la instalación de un
tal WinFixer 2005 de forma gratuita, de lo contrario el sistema no
funcionaría correctamente. Al intentar declinar la oferta y pulsar en
"cancelar", el programa pretendía instalar un ActiveX, que sin duda no
tenía muy buenas intenciones y donde seguro se alojaba el código
necesario para infectar la máquina. Tras varias tentativas e
insistencias, se conseguía convencer al programa de que realmente no se
quería instalar el dudoso programa. El adware pretendía, no sólo
infectar el sistema, sino que tuviese que pagar 40 dólares por ello.
Para colmo, no todos los antivirus detectaban como peligrosa esta
supuesta herramienta.

Esta violenta, intrusiva y fraudulenta campaña de mercadotecnica
destinada a infectar sistemas es conocida desde hace tiempo en Internet.
Lo que no es tan habitual es que el ataque se produzca al visitar
páginas de confianza como puede ser la tira cómica de Dilbert o páginas
tan populares como MySpace.com, donde incluso las defensas pueden verse
más relajadas, tanto a nivel técnico (quizás a estas páginas, desde las
opciones del navegador, se les permitan más licencias que al resto) como
a nivel personal (muchos recelarán menos de mensajes que provengan de
páginas a las que son asiduos).

Pero en el caso de MySpace no había opción. No se pretendía convencer al
visitante para que instalase su propio troyano sino que, directamente,
se intentaba aprovechar una vulnerabilidad para ejecutar el código de
forma absolutamente inadvertida para el usuario. Y todo esto, no desde
páginas de dudoso contenido e intenciones, sino desde una reputada
página como MySpace, visitada por millones de usuarios al día. No en
vano Alexa califica a MySpace.com como la sexta página más visitada en
Internet. En realidad la técnica es realmente efectiva para los que
intentan infectar sistemas. Consiguen de esta forma, al colar una
infección indirecta a través de publicidad, muchas más visitas que si
tuviesen que convencer a todas esas personas de que visitaran cualquier
enlace llegado a través de spam. El impacto numérico es mucho mayor, y
además, los usuarios acuden por su propia voluntad al foco de infección.

De la "anécdota" con la página de Dilbert se pueden sacar las
conclusiones que ya conocemos. No hay límite para la codicia de algunas
"empresas" y no dudan en emplear todo tipo de técnicas engañosas para
captar clientes o víctimas. Con respecto a MySpace, además de
aprender a no fiarnos de ninguna página, sea de confianza o no, podemos
concluir que existen todavía más de un millón (y más de dos, y de
tres...) de personas navegando con Internet Explorer desactualizado (al
menos desde enero) y con privilegios de administrador. Parece que ningún
consejo o advertencia sobre los peligros de Internet hace mella en estos
usuarios.

Si este dato hace que muchos se lleven las manos a la cabeza, hay que
recordar que otros cuantos se las estarán frotando, al comprobar con
este ejemplo práctico lo elevado de su "potencial cuota de mercado" en
sus "negocios" particulares.

Las páginas, por su parte, no deben confiar sus servicios de publicidad
a terceros con dudosa reputación. Incluso estos a veces revenderán sus
servicios o incrustarán banners alojados en páginas que escapen a su
control. No está claro cómo ha llegado hasta ahí una publicidad tan dañina.

En cualquier caso, cae otro mito que ya costó inculcar a los usuarios en
su momento. Si habían comprendido que existía una parte "peligrosa" en
Internet (páginas pornográficas, juego online, archivos en redes p2p,
adjuntos ejecutables...) donde eran conscientes de que podían correr
algún riesgo y por ello tomaban algunas precauciones, si se ha acuñado
el término "mal uso" de Internet, como una práctica en la que se visitan
páginas "inapropiadas", este aprendizaje ya no es válido, queda
desfasado e incompleto. Hoy, más que nunca a través de este tipo de
ataques indirectos, cualquier página puede ser fuente de problemas e
infecciones. Toda web, ya sea de música, pornografía, juego en línea o
humor, se convierte en un hostil campo de batalla, donde los sistemas
Windows se convierten es el objetivo preferido y ningún usuario puede ni
debe sentirse seguro.

Ante este panorama, no cabe más que tomar todas las precauciones
posibles sin distinción, en páginas "amigas" o no, e intentar que el
negocio de la "publicidad infecciosa", no les funcione a estos
desaprensivos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Hacked Ad Seen on MySpace Served Spyware to a Million
http://blog.washingtonpost.com/securityfix/2006/07/myspace_ad_served_adware_to_mo.html

Dilbert intenta infectarme
http://blog.hispasec.com/laboratorio/43

sábado, 22 de julio de 2006

Las barreras del análisis forense en dispositivos móviles

En análisis de dispositivos telefónicos móviles puede ser, en muchas
ocasiones, una labor ardua. Bajo muchas circunstancias, el estudio se
puede volver incluso imposible.

La imposibilidad no siempre viene determinada por la capacidad técnica,
sino por los requisitos legalmente exigibles a las evidencias que
procedan de este tipo de dispositivos. Por ejemplo, una de las
condiciones clave en la recolección de evidencias es la asepsia,
práctica que asegura que las pruebas recogidas no están contaminadas, y
que por tanto, son válidas para ser utilizadas en procesos judiciales.
En otras ocasiones, las dificultades sí están causadas por aspectos
técnicos, ya que para poder conservar adecuadamente una prueba, ésta ha
tenido que ser previamente recolectada con éxito.

Las primeras señales de alarma sobre estas problemáticas técnicas fueron
las que el investigador de Cambridge Tyler Moore volcó en un "white
paper", sobre procedimientos policiales a la hora de gestionar los
dispositivos móviles en tareas de análisis forense. En un amplio y
elaborado estudio titulado "Economics of digital forensics", Moore
realizó un completo barrido por las limitaciones presupuestarias a las
que se enfrentan las Fuerzas de Seguridad.

Este estudiante de postgrado resaltó en su documento que existen
infinidad de modelos de móviles, con diversos sistemas operativos, y que
no existen herramientas de análisis suficientes para cubrir para todas
las variedades. Pese a que siempre es posible la inspección forense
manual, el estudio determinó que el modus operandi de las fuerzas de
seguridad incluía mayoritariamente el uso de herramientas automatizadas
de análisis, con lo que la opción de analizar manualmente los
dispositivos sólo podía aplicarse en determinadas condiciones, y no
siempre.

El empleo de herramientas automatizadas para este tipo de tareas puede
tener diversas justificaciones: tiempo disponible para analizar,
cantidades de unidades a inspeccionar de modo preliminar, formación y
capacidad de los agentes e incluso, la responsabilidad en la
manipulación de las pruebas, ya que muchos productos policiales de
análisis automatizado están certificados para cumplir determinados
aspectos legislativos, y por tanto, son preferibles ante la inspección
manual. No menos importante es el factor económico, ya que los
presupuestos siempre son limitados y por tanto, el número de horas de
auditoría no automatizada lo es también.

Partiendo de esta premisa, lo más lógico era pensar que las Fuerzas de
Seguridad en general tenían en esta falta de medios técnicos un talón de
Aquiles de considerable envergadura. Este extremo ha sido confirmado
oficialmente por Kevin Mansell, formador del CENTREX británico, la
autoridad encargada de la formación de los efectivos policiales en el
Reino Unido.

Mansell apunta a la escasa estandarización de sistemas operativos como
la causa fundamental del problema. Ante tanta heterogeneidad, los
fabricantes de productos analíticos optan por los sistemas mayoritarios,
quedando muchas soluciones móviles desatendidas. A este factor se añade
el hecho de que los fabricantes de telefonía móvil tampoco contemplan
estándares a la hora de almacenar y tratar la información contenida en
los dispositivos, lo que añade aún más dificultad a la extracción de
evidencias, muy mermada cuando se emplean formatos propietarios que, por
ejemplo, pueden contener métodos de cifrado exclusivos que no han sido
suficientemente investigados ni documentados.

El creciente uso de aparatos de telefonía móvil los está convirtiendo en
piezas clave en las investigaciones policiales. Sin embargo, las dos
curvas principales quedan claramente desequilibradas: el aumento de
modelos comercializados es directamente proporcional a la baja de
rendimiento en técnicas forenses de los mismos, lo que resulta en un
problema bastante serio para los investigadores. Adicionalmente, lo que
para las autoridades es un problema, es una ventaja para los usuarios
finales, que ven en la diversificación una reducción probabilística de
que se puedan recuperar datos de dispositivos móviles sustraídos o
perdidos. Esta ventaja es aprovechada por los criminales, muchos de los
cuales son conocedores de estas limitaciones y las aprovechan para
entorpecer al máximo las trazas de sus actividades delictivas.

Una balanza difícil de equilibrar y que tiende, cada día más, a un mayor
desequilibrio. La privacidad, la estandarización, los intereses
contrapuestos de operadores de telefonía, fabricantes, autoridades y
usuarios convierten a este cóctel en una bebida poco miscible.

Aquellos lectores que estén interesados en experimentar este tipo de
análisis, pueden recurrir a alguna aplicación de forensia de tarjetas
SIM, como por ejemplo, TULP2G, un desarrollo del Netherlands Forensic
Institute y que se ofrece en modalidad de código abierto, para ser bien
descargado directamente como ejecutable, bien como código compilable con
.NET 2.0 Framework SDK.


Sergio Hernando
shernando@hispasec.com


Más información:

Police expert admits mobile phone forensics barrier
http://www.theregister.co.uk/2006/07/07/mobile_phone_forensics_barrier/

Tyler Moore: Economics of digital forensics
http://www.cl.cam.ac.uk/users/twm29/weis06-moore.pdf

Fighting Crime With Cellphones' Clues
http://www.textually.org/textually/archives/2006/05/012258.htm

CENTREX Británico
http://www.centrex.police.uk/

TULP2G
http://tulp2g.sourceforge.net/

viernes, 21 de julio de 2006

Varias vulnerabilidades en Cisco Security Monitoring, Analysis and Response System (CS-MARS)

Se han descubierto varias vulnerabilidades en Cisco Security Monitoring,
Analysis and Response System (CS-MARS), dos relacionadas con software
integrado de terceras partes y otra con la interfaz de línea de comando
(CLI).

Cisco Security Monitoring, Analysis and Response System (CS-MARS)
representa a una familia de dispositivos capaces de centralizar y
monitorizar infraestructuras de seguridad de grandes redes y permite
a los administradores identificar y analizar registros y eventos de
seguridad recopilados en la red.

El primer fallo se debe a que CS-MARS utiliza una base de datos Oracle
que contiene varias cuentas por defecto con contraseñas conocidas. Si se
obtiene acceso a la base de datos, las cuentas por defecto podrían ser
utilizadas para acceder a información sensible contenida en ella. Este
problema está documentado con el "Bug ID" CSCsd16256.

La segunda vulnerabilidad se encuentra en el servidor de aplicación web
JBoss que CS-MARS utiliza. Un componente de la instalación de Jboss (JMX
console) podría permitir que un usuario remoto no autenticado ejecutase
comandos shell arbitrarios con los privilegios del administrador CS-MARS
a través de peticiones HTTP especialmente manipuladas. Este problema
está documentado con el "Bug ID" CSCse47646

Por último, la línea de comando de CS-MARS (CLI) contiene varias
vulnerabilidades que podrían permitir a usuarios autenticados como
administrador, ejecutar comandos con privilegios de root. Estos
problemas están documentados con los "Bug ID" CSCsd29111, CSCsd31371,
CSCsd31377, CSCsd31392 y CSCsd31972.

Todas las vulnerabilidades han sido corregidas en la versión de CS-MARS
4.2.1. Las actualizaciones pueden obtenerse desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cs-mars?psrtdcat20e2


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Vulnerabilities in Cisco Security Monitoring, Analysis and
Response System (CS-MARS)
http://www.cisco.com/en/US/products/products_security_advisory09186a00806e9b6f.shtml

jueves, 20 de julio de 2006

Grupo de parches de julio para diversos productos Oracle

Oracle ha publicado, en su habitual ciclo trimestral, un conjunto de 65
parches para diversos productos de la casa que solventan una larga lista
de vulnerabilidades sobre las que apenas han dado detalles concretos.

La lista de productos afectados abarca a casi toda la gama de software
de la compañía: Database 10g Release 1 y 2, Oracle9i Database Release 2,
Oracle8i Database Release 3, Enterprise Manager 10g Grid Control,
Application Server 10g Release 1, 2 y 3, Collaboration Suite 10g Release
1, Oracle9i Collaboration Suite Release 2, E-Business Suite Release 11i,
E-Business Suite Release 11.0, Pharmaceutical Applications....

La lista se alarga con los productos que también se ven afectados como
parte integrante de alguno de los anteriores: Application Server Portal,
Developer Suite, Workflow...

De entre las 65 correcciones destacan:

* Diez que afectan a Application Server resultando nueve de ellas críticas.

* Veinte que afectan a E-Business Suite resultando cinco de ellas críticas.

* Cuatro que afectan a Enterprise Manager resultando dos de ellas críticas.

Existen además cuatro nuevas vulnerabilidades que afectan a
instalaciones cliente Oracle Database. Para tres de estas
vulnerabilidades, un servidor no confiable puede causar que el cliente
deje de responder si se conecta a ese servidor. El cuarto fallo podría
permitir la ejecución de código en el cliente.

De todos ellos sólo se han hecho públicos ciertos problemas que permiten
la inyección de consultas SQL si el atacante puede crear funciones
PL/SQL. Los fallos se basan en una falta de validación adecuada de
entrada en los paquetes sys.kupw$worker, sys.dbms_cdc_impdp,
sys.dbms_stats y sys.dbms_upgrade.

Estos 65 problemas declarados se resuelven a través de hasta 250 parches
para cubrir distintas versiones y plataformas. Una importante cantidad
de software que ni siquiera estaba totalmente disponible a la hora de
hacer público el boletín, pues algunos parches se han retrasado. Este es
sólo uno de los muchos problemas que puede acarrear una adecuada
administración de productos Oracle. La críptica matriz de riesgos y
parches que aporta la documentación de Oracle, da una idea de la
envergadura y problemática que implica una actualización de estos
servidores. Es quizás por esto (o a causa de esto), que Oracle desde
hace algunos años, publica estas actualizaciones cada tres meses. Un
tiempo necesario para que los administradores planifiquen adecuadamente
la actualización, pero excesivo por otro lado por la acumulación de
problemas que se apilan durante ese periodo.

Oracle, como política de divulgación, opta siempre por el más
escrupuloso silencio a la hora de detallar sus problemas de seguridad.
Fue sólo en una ocasión, una semana antes de la aparición de su
actualización de abril de 2006, que publicó en su página de MetaLink un
nota en la que se describía un problema de elevación de privilegios en
Oracle Database. Para colmo, se detallaba cómo aprovecharse del
problema. Poco después fue admitido el error, retirada y ocultada la
nota, junto con el resto de problemas de seguridad. No ha sido hasta
este ciclo de parches, tres meses después, que esta vulnerabilidad ha
sido solucionada.

Este oscurantismo es criticado desde algunos sectores. Es habitual, para
agravar el problema, que ciertos especialistas publiquen, al poco tiempo
de analizar los parches, detalles sobre las vulnerabilidades ya
solucionadas (cuando todavía no todos los administradores han aplicado
los parches), nuevos problemas de seguridad o se quejen sobre fallos no
solventados por completo.

En cualquier caso, desde Hispasec se recomienda aplicar los parches,
preferiblemente con ayuda y consejo del servicio postventa del
fabricante de forma que se garantice una correcta actualización del
producto y evitar interacciones no deseadas.

Para comprobar las matrices de productos afectados y la disponibilidad
de parches, es necesario comprobar la notificación oficial, enlazada más
abajo. La próxima actualización trimestral está planeada para el 18 de
octubre de 2006.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Oracle Critical Patch Update - Julio 2006
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2006.html

Critical Patch Update - July 2006 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=372928.1

Oracle accidentally exposes flaw, exploit
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1179667,00.html

Oracle's summer update fixes 65 flaws
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1201186,00.htm

miércoles, 19 de julio de 2006

Grave vulnerabilidad en /proc del núcleo Linux

Se ha detectado una grave vulnerabilidad en las versiones del kernel
Linux pertenecientes a la rama 2.6 e inferiores a la versión 2.6.17.4,
que podría facilitar la escalada de privilegios local en las máquinas
afectadas.

El problema está causado por una condición de carrera existente en
/proc, que permite, bajo ciertas condiciones, ganar poderes de
superusuario.

/proc es una interfaz característica en sistemas UNIX, que conecta el
núcleo y el nivel de usuario, presentado dinámicamente bajo demanda y en
forma de sistema de archivos virtual, para ofrecer comunicación entre
núcleo y procesos.

La gravedad del problema se diluye teniendo en cuenta que, para
completar con éxito la escalada de privilegios, es necesario no sólo
correr una versión de kernel 2.6, sino además, tener soporte "a.out"
(CONFIG_BINFMT_AOUT=y), además de ser necesaria una ausencia de montaje
de /proc en modalidad "noexec". Adicionalmente, se requiere acceso local
a la máquina para poder ejecutar el exploit, si bien esto no impide
ataques remotos, en los que previamente se haya conseguido acceso a la
máquina a través de intrusiones típicas, como SSH, vía ataques de
diccionario. No son descartables otras combinatorias para determinar si
el problema puede reproducirse bajo otras condiciones de contorno.

El factor mas crítico es la existencia de un exploit público que permite
la realización de la escalada sin mucho esfuerzo, liberado en forma de
"0day". Para ello, basta con compilar el código fuente disponible y
luego ejecutar el programa resultante de la salida del compilador contra
un fichero voluminoso del sistema. En los núcleos no vulnerables,
aparecerán mensajes de fallo de segmento, o de fallo de formato de
ejecutable. En caso de vulnerabilidad, aparecerá, ante la ejecución de
"whoami", la evidencia de la escalada a root:

sh-3.1# whoami
root

Esta vulnerabilidad de suma a otra, aparecida hace pocos días, mediante
la cual, y a causa de un manejo inadecuado de los "core dumps", se hacía
igualmente factible el acceso a directorios restringidos, e incluso,
adquirir privilegios de root. Este problema forzó la aparición de la
versión 2.6.17.4 del kernel, que vuelve a quedar anulada días después
para resolver este "0day" que documentamos.

Ante la gravedad del problema, y existiendo otro problema reciente tal y
como se ha explicado, se aconseja seriamente a los administradores Linux
que estudien su estado de vulnerabilidad, y que actualicen a la versión
2.6.17.5 del núcleo con la mayor brevedad posible.


Sergio Hernando
shernando@hispasec.com


Más información:

Linus Torvalds. [PATCH] Fix nasty /proc vulnerability (CVE-2006-3626)
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.17.5

martes, 18 de julio de 2006

Nuevos contenidos en CriptoRed (junio de 2006)

Breve resumen de las novedades producidas durante el mes de junio
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA

- Modelo para la Creación de un Grupo de Respuesta a Incidentes de Seguridad Informática Gubernamental Central en América Latina
http://www.criptored.upm.es/paginas/docencia.htm#gtletraM

OTROS SERVIDORES:

- Ponencias la Jornada ISO 27001 (Málaga, España)
http://www.nexusasesores.com/noticia.php?idNoticia=30

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

- Julio 13 al 19 de 2006: Seventeenth Australasian Workshop on Combinatorial Algorithms AWOCA 2006 (Uluru - Australia)
http://www.ballarat.edu.au/conferences/awoca2006/

- Agosto 7 al 10 de 2006: International Conference on Security and Cryptography SECRYPT 2006 (Setúbal - Portugal)
http://www.secrypt.org/

- Agosto 20 al 25 de 2006: Security Stream World Computer Congress de IFIP (Santiago - Chile)
http://www.wcc-2006.org/

- Agosto 30 a septiembre 2 de 2006: First International Workshop on Critical Information
Infrastructures Security (Samos - Grecia)
http://critis06.lcc.uma.es/

- Septiembre 7 al 9 de 2006: IX RECSI Reunión Española de Criptología y Seguridad de la Información (Barcelona - España)
https://www.recsi2006.org/

- Septiembre 18 al 22 de 2006: Encuentro Mexicano de Computación ENC 2006 (San Luis Potosí - México)
http://enc.smcc.org.mx/

- Septiembre 19 de 2006: European Workshop on Technological & Security Issues in Digital Rights Management (Hamburgo - Alemania)
http://eudirights06.lcc.uma.es/

- Septiembre 20 de 2006: 2nd International Workshop on Security and Trust Management STM'06 (Hamburgo - Alemania)
http://www.hec.unil.ch/STM06/index.htm

- Septiembre 27 al 29 de 2006: Collaborative Electronic Commerce Technology and Research CollECTeR LatAm (Valparaíso - Chile)
http://www.collecter-latam.org/index.php

- Octubre 4 al 6 de 2006: Segundo Encuentro Internacional de Hackers U-Manizales Con 2 (Manizales - Colombia)
http://www.umanizales.edu.co/umc2/

- Noviembre 14 al 17 de 2006: Primer Congreso Mexicano de Seguridad Informática
MCIS/COMSI 2006 (Oaxaca - México)
http://lssd.esimecu.ipn.mx/comsi/

- Noviembre 28 a diciembre 1 de 2006: IV Congreso Internacional de Telemática y
Telecomunicaciones CITTEL ‘2006 (La Habana - Cuba)
http://www.cujae.edu.cu/eventos/cittel/

- Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad en Tecnologías de Información y Comunicaciones (La Habana - Cuba)
http://www.segurmatica.com/descargas12_1/informatica2007.doc

Puedes encontrar más información sobre estos eventos en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

CONGRESOS EN IACR:
International Association for Cryptologic Research IACR Calendar of Events in
Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE MAYO DE 2006

- Workshop on Mathematical Cryptology WMC 2006 en U. de Cantabria el 29 y 30 Junio (España)
http://grupos.unican.es/amac/wmc/

- CFP European Workshop on Technological & Security Issues in Digital Rights Management
http://eudirights06.lcc.uma.es/

- Curso de Digital Rights Management DRM en Smart University '06 (Riviera Francesa)
http://www.strategiestm.com/conferences/smartuniv/06/programme-6_drm.htm

- Jornadas de Seguridad Informática Celebradas en Universidad de Vigo (España)
http://webs.uvigo.es/curso-seguridad/

- Primer OWASP Open Web Application Security Project Spain Chapter Meeting (España)
http://www.owasp.org/index.php/Spain

- Creada la Cátedra Applus+ de Seguridad y Desarrollo de la Sociedad de la Información en la UPM
http://www.capsdesi.upm.es/

5. OTROS DATOS DE INTERES EN LA RED

- Número actual de miembros en la red: 583
(165 universidades; 205 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

- Estadísticas: 43.803 visitas, 125.102 páginas solicitadas y 41,45 GigaBytes servidos en junio de 2006 (datos estimados al 29 de junio)
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

junio de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#jun06

lunes, 17 de julio de 2006

Vulnerabilidad en Microsoft Powerpoint confirma una nueva tendencia

El pasado día 12 de julio se anunciaba una nueva vulnerabilidad en
PowerPoint que podía ser aprovechada por atacantes para ejecutar código
arbitrario. Como viene siendo habitual, y en lo que se está convirtiendo
en una nueva tendencia, aparecía justo después de la publicación de los
parches oficiales de Microsoft, los segundos martes de cada mes.

En un principio, el fallo en PowerPoint se debía sólo a una corrupción
de memoria en la librería mso.dll a la hora de manejar una presentación
especialmente manipulada. Esto podría ser aprovechado para ejecutar
código arbitrario si un usuario abre con Microsoft Powerpoint un archivo
con formato PPT. El problema se detectó a partir de la observación de un
archivo en este formato que fue enviado a ciertos usuarios, que contenía
caracteres chinos y hacía referencia a una especie de carta de amor.

Microsoft ya ha reconocido el problema y ha publicado una notificación
oficial. Las casas antivirus también lo reconocen ya, y se ha sabido que
distintas versiones intentan instalar programas para el reconocimiento
de teclas pulsadas (keyloggers) o puertas traseras.

En los últimos días se han hecho públicas hasta tres pruebas de concepto
distintas que aprovechan las que pueden ser consideradas tres
vulnerabilidades diferentes en PowerPoint. No se sabe exactamente a qué
versiones afectan. Estas pruebas de concepto, según han sido publicadas,
provocan que la aplicación deje de responder, pero es probable que
allanen el camino para que, con algunas modificaciones, aparezcan nuevos
exploits capaces de ejecutar código.

Una vez más (y ya van tres) se hace pública una vulnerabilidad Office
justo después de la publicación mensual de parches de Microsoft, lo que
maximiza el tiempo de aprovechamiento del fallo y por tanto, la
posibilidad de infectar los sistemas. Los usuarios que no tomen las
precauciones adecuadas (actualización de antivirus, limitación de
privilegios y sentido común), estarán desprotegidos y se convertirán en
sencillas víctimas hasta, por lo menos, el próximo ocho de agosto en el
que aparezcan nuevos boletines de seguridad con sus respectivos parches.
A menos que Microsoft no publique excepcionalmente una actualización
fuera de su ciclo habitual, pero esto sólo ha ocurrido en contadas
ocasiones en las que el problema de seguridad se había convertido en una
verdadera epidemia, situación que no se ha dado todavía en este caso.

Tras los últimos acontecimientos relacionados con Office podemos
observar un claro cambio de tendencia en la forma en la que aparecen
estos problemas, unida a una obsesiva y oportunista fijación contra este
software de Microsoft. La adopción cada vez mayor por parte de usuarios
de técnicas de protección como cortafuegos y antivirus, unido a una
mayor concienciación a la hora de no dejarse engañar por ficheros
directamente ejecutables, ha provocado que hayan descendido los intentos
de aprovechamiento de vulnerabilidades en el propio sistema operativo.
Hoy resulta mucho más sencillo intentar engañar a potenciales víctimas a
través de la apertura de documentos Office, formato con el que los
usuarios se sienten mucho más cómodos y no tienen miedo a abrir en sus
sistemas.

Esta vulnerabilidad se ha convertido en el cuarto "0 day" que sufre
Microsoft Office en algunas semanas. El 19 de mayo se advertía sobre la
aparición de un documento Word que cuando era abierto por un usuario,
ejecutaba código arbitrario en el sistema de forma completamente oculta.
Microsoft publicó un parche que solucionaba el problema. El 15 de junio
aparecía otro "0 day" en Excel, que permitía la ejecución de código
arbitrario y que también fue solucionado. El día 19 de junio, aparece
por sorpresa una nueva amenaza para usuarios de Microsoft Office de la
que todavía no existe parche oficial. Todos han sido descubiertos pocos
días después de la publicación mensual de parches y boletines.

Esta tendencia recuerda a una especie de evolución de los tiempos en que
los virus se multiplicaban mayoritariamente a través de documentos
Office, con la salvedad de que entonces incluían "macros" ejecutadas en
un sistema absolutamente desprotegido y hoy es a través de
vulnerabilidades y técnicas más "sofisticadas". Poco a poco y tras la
inclusión de medidas de seguridad contra la ejecución indiscriminada de
"macros", se volvió a confiar en este popular formato. De hecho hacía
varios años que, salvo contadas excepciones, no eran portadores de carga
vírica ni ejercían de troyanos. Hoy, archivos PPT, XLS y DOC vuelven a
ser protagonistas de la escena vírica.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Chinese words of love exploit PowerPoint day zero flaw
www.sophos.com/pressoffice/news/articles/2006/07/chinesewords.html

Information on the recent Powerpoint vulnerability
http://blogs.technet.com/msrc/archive/2006/07/14/441893.aspx

domingo, 16 de julio de 2006

Secuestro de un portátil a través de las vulnerabilidades en los controladores de dispositivo

Una de las presentaciones que han despertado un mayor
interés de la próxima edición del Black Hat USA 2006, que se
celebrará entre finales de julio y principios de agosto en
Las Vegas, consiste en la demostración de cómo tomar el
control de un ordenador portátil aprovechando las
vulnerabilidades del controlador WiFi.

La mayoría de ordenadores portátiles, así como un número
creciente de ordenadores de bolsillo y sobremesa, disponen
de capacidad para la conexión a redes inalámbricas. Es
bastante frecuente que el interfaz WiFi se encuentre activo,
incluso cuando no se está utilizando. Es más, habitualmente
se configuran las interfaces WiFi para que, constantemente,
busquen la existencia de nuevas redes a las que conectarse.

En el próximo Black Hat USA 2006, que se celebrará entre
finales de julio y principios de agosto en Las Vegas
(Nevada, Estados Unidos), dos investigadores norteamericanos
presentarán una técnica nueva que permite aprovechar la
existencia de la interfaz WiFi para poder tomar el control
remoto de los ordenadores.

La técnica, de la que por el momento solo se conocen
detalles generales, consiste en la detección de
vulnerabilidades en el controlador WiFi utilizando técnicas
fuzzing. Para ello, se utiliza el programa LORCON para
generar una gran cantidad de tráfico, totalmente aleatorio,
que sirve para identificar la existencia de problemas en el
controlador WiFi. Una vez detectado un problema, se intenta
explotar y, en caso de conseguirlo, el atacante dispone del
control total del equipo remoto.

Lo importante de esta nueva técnica es que no es condición
indispensable que el ordenador víctima está conectado a una
red específica. Es más, más de la mitad de las
vulnerabilidades pueden ser explotadas antes de acceder a la
red.

Estas vulnerabilidades se encuentran en un gran número de
controladores de dispositivos, debido a que los
desarrolladores de los mismos no suelen aplicar las técnicas
de programación necesarias para evitar los problemas de
seguridad. Esto era algo bastante conocido, pero hasta la
fecha la utilización de estas vulnerabilidades era
técnicamente complejo. Las técnicas que se presentarán, por
contra, parecen ser fácilmente utilizables y automatizables.

Es importante indicar que no es un problema único de los
controladores WiFi. Está previsto que en la presentación
muestren problemas similares en otro tipos de conexiones
inalámbricas: Bluetooth, EvDO (protocolo de alta velocidad
para teléfonos 3G, similar al UMTS) y HSDPA (evolución de
UMTS, coloquialmente identificada como 3,5G).


Xavier Caballé
xavi@hispasec.com


Más información:

Researches use Wi-Fi driver to hack computers
http://www.computerworld.com.au/index.php/id;1006412995;relcomp;1

Yet another wireless hack!
http://blogs.ittoolbox.com/wireless/networks/archives/yet-another-wireless-
hack-10244

LORCON
http://www.securiteam.com/tools/5YP0L1PIUI.html

Black Hat USA 2006 Topics and Speakers
http://www.blackhat.com/html/bh-usa-05/bh-usa-05-speakers.html

FranzWiki (herramientas de fuzzing)
http://www.scadasec.net/secwiki/FuzzingTools

sábado, 15 de julio de 2006

Todavía no se han corregido todos los problemas de seguridad en Excel

Aunque el superparche de Microsoft destinado a Excel y publicado bajo el
boletín MS06-037 cubría ocho importantes problemas de seguridad, tres de
los cuatro fallos descubiertos durante el último mes han quedado sin
reparación oficial.

El parche publicado el pasado día 13 solventaba ocho problemas de
seguridad. Entre ellos se encontraba un "viejo conocido", referente a
la corrupción de memoria a la hora de usar la función de reparación de
documentos. Esto permitía la ejecución de código arbitrario gracias a
un exploit público que estaba siendo usado activamente en la Red para
instalar malware (Mdropper.G, Booli.A, Flux.E, Booli.B...). Este
problema fue descubierto a mediados de junio.

Pero existen además tres problemas anunciados que no han sido todavía
resueltos. Uno es el referente a los enlaces en documentos de Office. En
principio se creyó que afectaba sólo a Excel, pero Microsoft confirmó
que es posible que otros componentes de Office también sean vulnerables.
El fallo se debe a un error de límites en la librería hlink.dll a la
hora de manejar enlaces dentro de documentos. Esto puede ser aprovechado
para provocar desbordamientos de memoria intermedia basados en pila si
un usuario pulsa sobre un enlace especialmente manipulado dentro de un
documento, lo que permitiría la ejecución de código. De hecho existen
varias formas públicas de conseguirlo, una de ellas llamada Urxcel.A.

Otro de los problemas no solucionados está relacionado con el manejo de
componentes Shockwave Flash dentro de documentos. Es posible ejecutar
código arbitrario nada más abrir un documento Excel que en su interior
contenga un objeto Flash especialmente manipulado. Si bien no existe
parche, Microsoft recomienda activar los kill bits de los controles
ActiveX, tal y como se describe en
http://support.microsoft.com/kb/240797/EN-US/ para protegerse. Este
problema está siendo aprovechado por malware como Flemex.A.

Por último, existe un último problema sin solucionar que puede ser
aprovechado para ejecutar código arbitrario si un usuario repara un
archivo especialmente manipulado o pulsa sobre la opción "estilos".
Este se conoce como "caso Nanika" por ser el apodo de su descubridor,
y por existir una prueba de concepto llamada nanika.xls. Al parecer
sólo afecta a versiones asiáticas del producto y fue descubierto el
día 2 de julio.

Los problemas de seguridad en productos ofimáticos, no sólo de
Microsoft, van en aumento. Estos últimos han corregido 19 problemas de
seguridad con su suite en los últimos cuatro meses, y todavía, por lo
visto, queda trabajo por hacer. Además, se añade el problema de los cada
vez más habituales 0day, o fallos de seguridad que aparecen públicamente
con exploit y sin parche. En este ciclo de actualización, si se tiene en
cuenta que han sido ocho los problemas corregidos y tres los que quedan
sin resolver, sólo siete de once fueron reportados de forma privada a
Microsoft. El resto comenzaron a ser aprovechados sin que existiese
parche para solucionarlos.

Al menos, el hecho de que haya podido dar "nombre" a los virus o
troyanos que intentan aprovecharse de estos problemas, significa que
algunas versiones son detectadas por algunos antivirus actualizados
y en consecuencia serán bloqueados antes de actuar. Esto, obviamente,
no garantiza nada puesto que aparecerán nuevas versiones indetectables
en poco tiempo. Es en estos casos en que los parches oficiales, por
una razón u otra, se retrasan, cuando los antivirus pueden demostrar
también su utilidad.

En cualquier caso, evitar la apertura de documentos Office sospechosos,
actualizar sistema y antivirus, interactuar con el entorno bajo cuentas
de usuario limitadas o utilizar herramientas alternativas para la
ofimática, suponen la mejor protección.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Critical Excel Flaws Remain Unpatched
http://www.eweek.com/article2/0,1759,1988145,00.asp

Microsoft patched only the most critical Excel flaw
http://blogs.securiteam.com/index.php/archives/506

Information on Proof of Concept posting about hlink.dll
http://blogs.technet.com/msrc/archive/2006/06/20/437826.aspx

Buffer overflow in certain Asian language versions of Microsoft Excel
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-3431

viernes, 14 de julio de 2006

Vulnerabilidades en varios módulos para Mambo CMS

En los últimos días se han descubierto varios problemas en diferentes
módulos y componentes para Mambo que pueden llevar a comprometer el
sistema donde se aloja. Mambo es un popular sistema de portales CMS
basado en el lenguaje de programación PHP y base de datos de código
abierto, para el que existen gran cantidad de módulos y componentes
adicionales.

Las vulnerabilidades más recientes, del día 14 y 11 de julio, se dan
en el componente SiteMap y PccookBook. En ambas el fallo se debe al
parámetro mosConfig_absolute_path en sitemap.xml.php y pccookbook.php
respectivamente, que no es debidamente depurado y puede llevar a la
inclusión de ficheros en el servidor. Para aprovechar los fallos es
necesario que register_globals esté habilitado.

Se ha identificado también una vulnerabilidad en el módulo ExtCalendar
para Mambo. El fallo se debe a un error de validación de entrada en el
parámetro mosConfig_absolute_path del script extcalendar.php, que puede
aprovecharse también para incluir archivos en el sistema y ejecutar
comandos arbitrarios con los privilegios del servidor web.

El día 8 se encontraron además varias vulnerabilidades en los módulos
Simpleboard y com_forum para Mambo que también pueden ser aprovechadas
para incluir ficheros en el sistema y ejecutar comandos arbitrarios con
los privilegios del servidor web.

Por último, el día 4 de julio se dio a conocer un fallo en el módulo
Galleria que puede ser aprovechado para comprometer un sistema
vulnerable. El error se debe al parámetro mosConfig_absolute_path en
galleria.html.php, que no es convenientemente verificado antes de ser
usado para incluir ficheros. Para aprovechar el fallo es necesario que
register_globals esté habilitado.

Para todos existen pruebas de concepto capaces de aprovechar las
vulnerabilidades. Se recomienda actualizar cuanto antes los módulos si
se tienen habilitados y estar atentos a posibles nuevas alertas de
seguridad, muy habituales en esta aplicación web.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Mambo Sitemap Component Remote File Include Vulnerabilities
http://advisories.echo.or.id/adv/adv38-matdhule-2006.txt

Mambo PccookBook Component File Inclusion Vulnerability
http://advisories.echo.or.id/adv/adv37-matdhule-2006.txt

ExtCalendar Module for Mambo "mosConfig_absolute_path" File Inclusion
Vulnerability
http://advisories.echo.or.id/adv/adv36-matdhule-2006.txt

SimpleBoard Mambo Component Remote Include Vulnerability
http://milw0rm.com/exploits/1994

galleria Mambo Module Remote File Include Vulnerability
http://www.milw0rm.com/exploits/1981

com_forum Mambo Component Remote Include Vulnerability
http://www.milw0rm.com/exploits/1995

jueves, 13 de julio de 2006

Vulnerabilidades en Adobe Acrobat y Adobe Reader

Se han encontrado dos vulnerabilidades que afectan a las versiones 6.x
de Adobe Acrobat y Adobe Reader, uno de los programas más populares para
la edición y visualización de archivos en formato PDF (Portable Document
Format).

La primera vulnerabilidad afecta a Adobe Acrobat y Adobe Reader en
Macintosh. Usuarios locales pueden eludir restricciones de seguridad y
elevar privilegios. El fallo se debe a permisos inseguros por defecto en
los ficheros y directorios de instalación. Esto permite a usuarios
locales no privilegiados borrar ficheros o reemplazarlos por otros
binarios de forma que se podría lanzar malware inadvertidamente.

El fallo se ha dado en Adobe Acrobat 6.0.4 y Adobe Reader 6.0.4 para Mac
OS aunque versiones anteriores pueden verse afectadas. Se recomienda
actualizar a Adobe Acrobat 6.0.5 o Adobe Reader 6.0.5 ó 7.0.8 desde
http://www.adobe.com/support/downloads/

Se ha encontrado además una vulnerabilidad en Adobe Acrobat que puede
ser aprovechada por atacantes para comprometer el sistema víctima.

El fallo se debe a un error de límites a la hora de "destilar" ficheros
a PDF. Esto puede ser aprovechado para crear un desbordamiento de
memoria intermedia a través de un documento especialmente manipulado,
que llevaría a la ejecución de código. El fallo se ha encontrado en las
versiones 6.0 hasta 6.0.4 del programa para Windows y Mac OS. La
versión 6.0.5 no es vulnerable y puede ser obtenida desde
http://www.adobe.com/support/downloads

Adobe no ha ofrecido muchos más detalles sobre los errores, pero
califica este último de crítico. Se recomienda actualizar el software
afectado.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

File Permissions Vulnerability in Adobe Reader and Adobe Acrobat (Mac OS)
http://www.adobe.com/support/security/bulletins/apsb06-08.html

Buffer Overflow Vulnerability in Adobe Acrobat
http://www.adobe.com/support/security/bulletins/apsb06-09.html

miércoles, 12 de julio de 2006

Troyanos bancarios y evolución del phishing

El phishing tradicional, aquel que llega a través de e-mail y nos
invita a visitar una página web que imita a la original de la entidad
para que suministremos las claves de acceso, ya no es el principal
vector de ataque del fraude en Internet. El número de troyanos
bancarios supera en número y efectividad al phishing más conocido,
sin embargo no hay datos públicos sobre su actividad ni modus
operandi. A continuación mostraremos un vídeo de como actúa uno de
esos troyanos que lleva meses entre nosotros.


El phishing tradicional

El phishing tradicional es fácil de advertir, ya que es enviado de
forma masiva a nuestros buzones de correo, lo que facilita su
localización temprana y los avisos relativos a casos concretos.

A la parte pública, con iniciativas de información y alerta o las
recomendaciones de seguridad publicadas por las propias entidades
financieras, hay que sumar las acciones privadas entre entidades
y empresas de seguridad que permiten la detección de sitios
fraudulentos antes que sean conocidos. En estos últimos casos los
incidentes no suelen trascender, por lo que el número de ataques
phishing es mayor que el que pueda revelar cualquier estadística
pública.

Además de la detección, más o menos temprana, otro apartado importante
es el de la mitigación. El phishing tradicional ofrece oportunidades
al usuario para que pueda diferenciar el sitio original de uno
fraudulento, ya que hay elementos visibles que permiten su
identificación.

En la mayoría de los casos, el usuario podrá observar que la URL o
dirección que aparece en el navegador no corresponde con la de su
entidad, o que la conexión no es segura (no aparece el https ni el
candadito en el navegador). Y como medida preventiva, por activa
y por pasiva, se le está recomendando a los usuarios que deben hacer
caso omiso de los mensajes de correo electrónico que le piden que
introduzca su usuario y contraseña con cualquier excusa.

Las entidades y empresas de seguridad también tienen fácil prevenir
ciertas prácticas de phishing tradicional, mitigar la funcionalidad
de los que se detecten activos y cerrarlos de forma rápida.

Pese a que efectivamente el phishing tradicional es bastante
primitivo, no deja de ser un problema importante. Aunque el número
de incidentes reales es prácticamente un tema tabú, nunca se
ofrecerán datos de usuarios afectados o cantidades económicas
concretas, el hecho de que no decaigan los ataques es la mayor
constatación de que sigue siendo una actividad rentable para los
estafadores.

El problema no acaba en el fraude en sí mismo, a los ataques con
éxito que puedan darse hay que sumar la imagen negativa que afecta
a entidades con nombre propio y al canal en general, efecto colateral
que en ocasiones es más perjudicial para las entidades que el propio
fraude directo.

En este contexto, cuando aun no hemos superado el phishing tradicional
y los diferentes agentes implicados discuten sobre responsabilidades
o estrategias para luchar contra este tipo de estafas, existe una
evolución del phishing que es más desconocida y complicada de
prevenir.


Los troyanos bancarios

Aunque todo el mundo ha escuchado hablar de los troyanos bancarios,
no existen datos concretos sobre su proliferación ni sobre los métodos
que utilizan.

Por norma general los troyanos bancarios suelen asociarse a los
keyloggers, programan que capturan las pulsaciones de teclas cuando
introducimos nuestras claves. Incluso en círculos más especializados
se tiene esa errónea percepción, basta con observar como las propias
entidades implantan teclados virtuales en un intento de prevenir su
acción.

La realidad es que ya hace tiempo que la técnica tipo keylogger dejó
de ser la utilizada mayoritariamente por los troyanos bancarios,
precisamente por la proliferación de teclados virtuales. Hoy día los
troyanos bancarios capturan las contraseñas de manera independiente
a si se introducen las claves por el teclado real o por un teclado
virtual, por mucho que este último se mueva o cambie la posición de
las teclas.

A continuación vamos a mostrar un vídeo de un troyano bancario que
lleva a cabo su acción pese a que el usuario sigue recomendaciones
de seguridad tales como escribir directamente la dirección,
comprobar el https, o el certificado de la entidad.

http://www.hispasec.com/directorio/laboratorio/phishing/demo3/troyano_banesto.htm

No se trata de un troyano especialmente avanzado ni novedoso, lleva
meses actuando en España, protagonizando incidentes reales, y es
bien conocido entre las propias entidades y antivirus. Sin embargo
aparecen variantes a razón de una por semana prácticamente, todas
ellas enfocadas a varias entidades españolas e internacionales.

Lo más preocupante es que la evolución de este tipo de malware es
constante. En el Laboratorio de Hispasec llevamos tiempo viendo,
por ejemplo, troyanos que son efectivos contra el uso de certificados
en los clientes, tokens y claves de un sólo uso, diferentes
estrategias contra los sistemas de tarjetas de coordenadas, etc.

No estamos hablando de pruebas de concepto o troyanos de laboratorio,
sino de especímenes reales que llevan ya tiempo infectando los
sistemas y afectando a los usuarios.

De estos troyanos, sólo una pequeña parte es analizada, y un
porcentaje aun inferior de esos análisis llega a las entidades
afectadas.

En estos momentos los laboratorios de las empresas antivirus están
saturados por el volumen de malware en general que se produce,
de forma que sólo puntualmente ofrecen datos concretos
sobre algunos especímenes. No es un problema de los antivirus, es
que a día de hoy es materialmente imposible analizar y publicar
informes de todos los especímenes que aparecen.

Las entidades recurren a empresas de seguridad para que analicen
algunos sistemas de usuarios comprometidos, pero el número de
troyanos detectados con esta estrategia es ínfima, además de ser
un esquema reactivo, inefectivo, muy poco escalable y menos
rentable.

En VirusTotal estamos recibiendo más de 5.000 muestras
diarias para analizar de forma automática, aproximadamente un
30% de ellas están relacionadas con el crimeware. En Hispasec
analizamos "a mano" unos 90 troyanos bancarios diariamente, sólo
para detectar a que entidades afectan y a donde van a parar los
datos capturados.

El desconocimiento de este tipo de troyanos, las direcciones
concretan a las que apuntan, o los métodos generales que utilizan
para capturar las contraseñas, impiden a las entidades financieras
actuar tanto de forma reactiva como preventiva contra ellos.

El problema del phishing no acaba aquí, seguirá evolucionando,
lo que debe también evolucionar es la forma de abordarlo, ya que
en la actualidad no se está llevando a cabo de forma efectiva,
hay muchas áreas de oportunidad desaprovechadas.

Es fundamental que, ante la diversificación de las técnicas, exista
una cooperación real y que los agentes implicados superen sus
intereses particulares, de lo contrario nos seguirán ganando la
partida.

En estos momentos, desde el propio sector de la seguridad, hay
muchos intereses creados respecto a los sistemas de autenticación
empleados. Sin embargo, el talón de Aquiles y principal caballo de
batalla es y será la integridad del sistema del usuario.

En este terreno debemos sumar lo que tienen que ofrecernos (y
debemos exigirles) las casas antivirus, hoy por hoy cuentan con el
software de seguridad más implantado a nivel de usuario y con los
recursos humanos más especializados a nivel técnico. Sin embargo
suelen ser convidados de piedra en algunos grupos antiphishing.

Tampoco hay que olvidar la responsabilidad del sistema operativo o
del navegador, ya que muchos ataques aprovechan vulnerabilidades
o debilidades del software. Sumemos los ISPs, las fuerzas de
seguridad, legislación, iniciatias específicas desde la
administración pública, aportaciones de la comunidad académica,
asociaciones de usuarios...

Luchar contra el phishing y las estafas en Internet de forma
unilateral es condenarse al fracaso.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Troyano bancario que inyecta código a la sesión https
http://blog.hispasec.com/laboratorio/135

VirusTotal
http://www.virustotal.com/

Antiphishing y Sistemas Antifraude
http://www.hispasec.com/corporate/antiphishing.html

martes, 11 de julio de 2006

Siete boletines de seguridad de Microsoft en julio

Tal y como adelantamos la pasada semana, hoy como segundo martes
de mes, Microsoft siempre fiel a su cita ha publicado siete boletines
de seguridad que solventan un total de 18 vulnerabilidades.

Se han publicado los boletines MS06-033 al MS06-039 y las
actualizaciones distribuidas, según la propia clasificación de
Microsoft, cinco presentan un nivel de gravedad "crítico"
mientras que las otras dos son calificadas como "importantes".

* MS06-033: Evita una vulnerabilidad en ASP.NET que podría
permitir la revelación de información sensible, por la que se
consigue acceso no autorizado a objetos en las carpetas de
aplicaciones por sus nombres explícitos. Afecta a .NET Framework
2.0. Está calificado como "importante".

* MS06-034: Se trata de una actualización para evitar una vulnerabilidad
de ejecución remota de código en Microsoft Internet Information Services
usando Active Server Pages. Afecta a Internet Information Services (IIS)
5.0, 5.1 y 6.0. Según la calificación de Microsoft tiene un nivel
"importante".

* MS06-035: Se trata de una actualización de seguridad para evitar
dos vulnerabilidades descubiertas en el servicio Servidor. Afecta
a Windows 2000, Windows XP y Windows Server 2003. Microsoft califica
esta actualización como "crítica".

* MS06-036: Evita una vulnerabilidad en el cliente DHCP que podría
permitir la ejecución remota de código. Afecta a Windows 2000,
Windows XP y Windows Server 2003. También recibe una calificación
de "crítico".

* MS06-037: Se trata de una actualización para diversas versiones
de Excel que solventan hasta ocho vulnerabilidades diferentes y que
podrían llegar a permitir la ejecución remota de código. Afecta a
Excel 2000, 2002 y 2003. Recibe el nivel de "Crítico".

* MS06-038: Evita tres fallos de seguridad en Microsoft Office que
pueden permitir la ejecución remota de código. Afecta a Office 2000,
XP y 2003; Project 2000 y 2002 y Visio 2002. Según la calificación
de Microsoft tiene un nivel "Crítico".

* MS06-039: Evita dos vulnerabilidades de seguridad en filtros de
Microsoft Office que pueden permitir la ejecución remota de código
arbitrario. Afecta a Office 2000, 2003 y XP; Project 2000 y 2002 y
Microsoft Works Suite 2004, 2005, 2006. Afecta a Windows 2000.
Recibe el nivel de "Crítico".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS06-033
Vulnerability in ASP.NET Could Allow Information Disclosure (917283)
http://www.microsoft.com/technet/security/Bulletin/MS06-033.mspx

Microsoft Security Bulletin MS06-034
Vulnerability in Microsoft Internet Information Services using Active
Server Pages Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-034.mspx

Microsoft Security Bulletin MS06-035
Vulnerability in Server Service Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-035.mspx

Microsoft Security Bulletin MS06-036
Vulnerability in DHCP Client Service Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-036.mspx

Microsoft Security Bulletin MS06-037
Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-037.mspx

Microsoft Security Bulletin MS06-038
Vulnerabilities in Microsoft Office Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-038.mspx

Microsoft Security Bulletin MS06-039
Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-039.mspx

lunes, 10 de julio de 2006

Acceso inválido a memoria en Microsoft Office

Se ha encontrado una vulnerabilidad en Microsoft Office por la que un
atacante podría ejecutar código arbitrario si un usuario abre un archivo
Office en cualquiera de sus formatos.

Un atacante podría crear un fichero que, al ser cargado en el sistema
víctima, dispararía un error de acceso a memoria en la función
LsCreateLine de la librería mso.dll. Esto causa que la aplicación deje
de responder y, potencialmente, permite la ejecución de código bajo los
permisos del usuario que haya abierto el documento.

En principio el problema ha sido presentado para ser aprovechado a
través de Word, pero otros formatos que utilicen la misma librería de
Office pueden verse afectados.

Existe exploit funcional disponible públicamente, por lo que es probable
que aparezcan modificaciones capaces de aprovechar el problema para
ejecutar código. En principio, las versiones vulnerables de Microsoft
Office son la 2000, 2002 y 2003.

Este es el quinto problema de seguridad destinado a Microsoft Office (o
a alguno de sus componentes) que se hace público en apenas seis semanas.
Se recomienda no abrir archivos en formato Office de fuentes dudosas o
hacerlo con privilegios bajos.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

MS Word Unchecked Boundary Condition Vulnerability
www.checksum.org/cso/message/35194.html

Problemas de seguridad en productos ofimáticos
http://www.hispasec.com/unaaldia/2807

domingo, 9 de julio de 2006

Finaliza el soporte a versiones antiguas de Microsoft Windows

Quedan pocos días para que Microsoft detenga la producción de
actualizaciones de seguridad para versiones antiguas de Windows.

El próximo día 11 expira el plazo para que expire el ciclo de vida
de las actualizaciones de seguridad de Windows 98, Windows 98 Second
Edition (SE) y Windows Millennium Edition (ME).

A partir del día 11, los usuarios de estas plataformas contarán con
tres opciones posibles: actualizarse, adquiriendo licencias de versiones
más modernas de Windows; seguir empleando estas versiones obsoletas pese
a no disponer de parches de seguridad; o por último, plantearse la
posibilidad de migrar a soluciones no Microsoft, aprovechando el
acercamiento al mercado de distintas distribuciones UNIX, con entorno
de escritorio y procedimientos sencillos de instalación.

El volumen de usuarios afectados por la finalización de soporte se
estima en unos 70 millones. Otras fuentes hablan que el reparto puede
establecerse en unas 48 millones de máquinas en 98 y 98SE, por un total
de 25 millones de máquinas con ME. Estimaciones similares a la mostrada
cifran en el 13% el porcentaje de usuarios de productos operativos
Microsoft que emplean las versiones 98, 98SE y ME. Los analistas
estipulan que el porcentaje de usuarios residual que continúe usando
estas plataformas a finales de año, será del orden del 6%, lo que podría
traducirse en unos 35 millones de usuarios.

Revisando las notas ofrecidas por Microsoft es posible encontrar
información adicional sobre los plazos del ciclo de vida y los plazos
que se han consumido hasta llegar a esta retirada definitiva. En
primera instancia, el soporte técnico ampliado de correcciones para
Windows 98 y Windows 98 SE finalizó el 30 de junio de 2003, mientras que
el soporte técnico ampliado de correcciones para Windows Millennium
Edition finalizó el 31 de diciembre de 2003. El 11 de julio de 2006
también marca la fecha en la que aquellos que contrataron el servicio
de correcciones de seguridad no críticas, suministrado bajo demanda y
análisis previo de la compañía, dejarán de recibir servicio. Existirá
un soporte online de autoayuda habilitado hasta el 10 de julio de 2007,
suministrado en forma de base de conocimientos Web (Microsoft Knowledge
Base)

Es muy significativo el hecho de que, hasta que estos 70 millones de
usuarios decidan por qué camino seguir, estarán expuestos a los nuevos
ataques y vulnerabilidades que puedan aparecer. No será posible
obtener soluciones a dichos problemas por parte del fabricante, y quedará
su solución a merced de parches no oficiales y "workarounds" que
planteen los miembros de la comunidad de usuarios.

La ventana temporal que se abre hasta que la totalidad de usuarios
afectados decidan y materialicen su elección, se presenta como larga
y heterogénea. Por tanto, se abre una veda para la explotación de
vulnerabilidades en un coto cuyas lindes no tienen a día de hoy
barreras claramente definidas.

No menos significativo es que entre los distintos segmentos
poblacionales, existe un elevado número de usuarios que no tienen a
los parches de seguridad como prioridades de funcionamiento, o que
sencillamente, desconocen estos procedimientos de actualización. A su
favor juega que mucho código malicioso diseñado hoy en día no funciona
en estas plataformas obsoletas, tal y como corrobora Johannes Ullrich,
CTO de SANS Internet Storm Center, que curiosamente, plantea dos
soluciones para los usuarios afectos: actualizar a versiones más
modernas de Windows ... o migrar a Mac.

Quizás la decisión más difícil, sin menospreciar el dilema de los
usuarios domésticos, la tienen las corporaciones y empresas que por
diversas razones continúan empleando estos sistemas de escritorio. Los
planes de migración podrían ser costosos en tiempo y desembolso, y este
factor puede aumentar considerablemente el riesgo en el que se incurre
a partir de ahora. A consecuencia de esto, los gestores de seguridad
deberían revisar sus mapas de riesgos, y hacer las modificaciones
oportunas para la adecuada cuantificación.

La próxima cita será en julio de 2010, plazo en el que finaliza el
soporte técnico ampliado para la familia de Windows 2000, cuyo soporte
técnico estándar fue discontinuado hace precisamente un año.


Sergio Hernando
shernando@hispasec.com


Más información:


Brian Krebs: Microsoft to End Support Of Old Windows Versions
http://www.washingtonpost.com/wp-dyn/content/article/2006/06/30/AR2006063001587.html

El Soporte Técnico de Windows 98, Windows 98 Segunda Edición, y Windows
Millennium Edition finalizará el 11de Julio de 2006
http://support.microsoft.com/gp/lifean18

The Trustworthy Computing Security Development Lifecycle
http://msdn.microsoft.com/security/default.aspx?pull=/library/en-us/dnsecure/html/sdl.asp

Windows Life-Cycle Policy
http://www.microsoft.com/Windows/lifecycle.asp

sábado, 8 de julio de 2006

Ejecución remota de código en Adobe Macromedia Flash Player

Se han identificado dos vulnerabilidades en Adobe Macromedia Flash
Player que pueden ser aprovechadas por atacantes para ejecutar código
arbitrario o provocar una denegación de servicio.

El primer fallo se debe a un error motivado por un acceso a memoria
inadecuado a la hora de interpretar ficheros en formato SWF
especialmente manipulados. Esto puede ser aprovechado para ejecutar
código con sólo visitar un enlace en el que se reproduzca un fichero que
pretenda aprovechar esta vulnerabilidad. Al parecer sólo la versión
8.0.24.0 se ve afectada.

El segundo fallo se debe a un error no especificado a la hora de manejar
ficheros SWF especialmente manipulados. Esto puede ser aprovechado por
algunas páginas para que, cuando sean visitadas, provoquen que deje de
responder el navegador al que el reproductor está enlazado. Las
versiones 8.0.24.0 y anteriores son vulnerables.

Estas vulnerabilidades fueron descubiertas por Fortinet el 28 de
noviembre de 2005 y el nueve de junio de 2006 respectivamente pero ha
sido ahora, cuando Adobe Macromedia ha publicado una nueva versión, que
se han hecho públicas.

Se recomienda actualizar a la versión 9.0.16.0 desde
http://www.adobe.com/go/getflash
o directamente desde
http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe

Para conocer qué versión utiliza cada posible navegador en el sistema,
se puede visitar la página http://www.macromedia.com/software/flash/about/


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Macromedia Flash Player Could Allow Remote Code Execution
http://www.fortinet.com/FortiGuardCenter/advisory/FG-2006-20.html

Denial of Service Vulnerability in Macromedia Flash Player
http://www.fortinet.com/FortiGuardCenter/advisory/FG-2006-21.html

viernes, 7 de julio de 2006

Microsoft publicará siete actualizaciones de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan siete parches de
seguridad, cuatro destinados a su sistema operativo Windows y tres a su
suite ofimática Office.

Si en junio fueron doce los boletines de seguridad (que en realidad
escondían alrededor de dos decenas de vulnerabilidades), este mes son
siete las actualizaciones que prevé publicar Microsoft el día 11 de
julio. De los cuatro para el sistema operativo, alguno alcanza el estado
de crítico, lo que supone que la vulnerabilidad es aprovechable sin
interacción del usuario y permite ejecución de código. De los tres
boletines para Microsoft Office, al menos uno se considera también
crítico. Como es habitual, las actualizaciones requerirán reiniciar el
sistema.

Se espera que en esta tanda de actualizaciones para Microsoft Office se
reparen algunos de los problemas que viene arrastrando esta suite
informática desde hace exactamente un mes, y que se ha cebado con
especial insistencia en Microsoft Excel, del que se han encontrado hasta
cuatro errores graves. Durante la última semana, además, se han hecho
públicos nuevas formas de aprovechar estos errores, muy perfeccionadas,
en las que se elimina la necesidad de la interactividad del usuario y se
dan los detalles para atacar sistemas y versiones concretas.

También, es posible que se incluyan soluciones para al menos uno de los
problemas que ha dado a conocer HD Moore en su
"una-vulnerabilidad-al-día" particular. En una campaña sin precedentes
para lanzar su blog, Moore se ha propuesto hacer pública una
vulnerabilidad cada día que afecte a navegadores. Al parecer, posee una
amplia colección de errores, y ha bautizado al mes de julio como el mes
de los bugs en navegadores, donde elegirá y publicará una muestra cada
uno de sus 31 días. No se centra en Internet Explorer, ni todos los
fallos permitirán la ejecución de código. Sólo uno, hasta ahora, es
susceptible de ser aprovechado para comprometer el sistema. La mayoría
supondrán simples experimentos que servirán para que el navegador deje
de responder o acapare todos los recursos de la máquina. Además, según
Moore, tampoco será muy explícito en sus detalles, por lo que sólo
aquellos que entiendan perfectamente la naturaleza de los errores y
experimenten por ellos mismos, serán capaces de aprovechar los fallos en
los que se pueda finalmente ejecutar código. Eso sí, siempre irán
acompañados de una prueba de concepto funcional para demostrarlos.

De siete bugs hasta el momento publicados por Moore, cinco son para
Internet Explorer, uno para Mozilla y otro para Safari, aunque sólo uno
parece que sea realmente aprovechable más allá de provocar una caída de
la aplicación. Parece que Moore ya ha avisado a Microsoft hace tiempo de
la mayoría de los errores que publica, pero todavía no han sido
resueltos. En sus propias palabras, algunos los ha hecho públicos porque
son simples y de bajo riesgo.

Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx

Browser Fun
http://browserfun.blogspot.com