jueves, 31 de agosto de 2006

La decadencia de los gusanos de infección masiva

Larry Seltzer publica en eWeek una reflexión sobre el escaso impacto
actual de los gusanos de red. Si en otros tiempos fueron capaces de
afectar a millones de usuarios de Windows (aunque también han existido
para servidores PHP, por ejemplo), degradar redes mundiales y permanecer
activos durante meses, hoy representan una simple reseña más en las
firmas de antivirus. Sin embargo, esto no significa que los sistemas
informáticos de consumo no estén en su peor momento en cuanto a niveles
de infección.

Bajo el título "The end of the worm era" (el fin de la era de los
gusanos), Seltzer comienza hablando sobre el virus W32.Wargbot que
aprovecha la vulnerabilidad descrita en el boletín MS06-040 de
Microsoft. Este virus ha pasado (o está pasando) sin pena ni gloria por
los sistemas (especialmente Windows 2000) sin que haya causado un mayor
destrozo. La vulnerabilidad dejaba la puerta abierta a la creación de un
gusano y este no tardó en aparecer. Una simple conexión abierta a una
red podía permitir el envío de paquetes manipulados y la ejecución de
código arbitrario en todas las versiones de Windows.

Estos tipos de fallos de seguridad fueron los responsables de gusanos
tan efectivos como el infame Blaster, que se alimentaba de la
vulnerabilidad descrita en MS03-039. Sasser, meses después, apareció
también a principios de 2004 con un método muy parecido. Ambos causaron
estragos en redes de todo el mundo, y millones de personas observaban
impotentes cómo les aparecía el mensaje de que había ocurrido un fallo
crítico y el ordenador se apagaría en un minuto.

Pero esto fue hace tres años, y quizás fuimos testigos del último de los
grandes gusanos de expansión e infección masiva. Hoy no es lo habitual,
y la discreta presencia de Wargbot lo confirma. Esto no quiere decir que
la amenaza sea menor, simplemente que la tendencia cambia. Las primeras
versiones de Blaster eran un desastre en cuestión de programación, y aun
así consiguió una propagación masiva. Wargbot es mucho más sofisticado,
y no habrá sido tan famoso, pero seguro que ha cumplido la misión para
la que fue creado y ha logrado que se lucren de alguna forma sus
programadores. Si bien los gusanos pueden estar en decadencia, los
troyanos bancarios campan a sus anchas en ordenadores de todo el mundo,
y decenas de nuevas versiones aparecen cada día. Los niveles de
infección siguen siendo excesivamente elevados, pero no precisamente por
gusanos de gran expansión. Se busca la eficacia silenciosa de virus,
troyanos y gusanos, huyendo de la infección masiva y del fácil
reconocimiento de casas antivirus.

Las causas de esta decadencia de gusanos de red pueden ser muchas. La
aparición del Service Pack 2 para Windows XP, con el cortafuegos
activado por defecto, y su mejora de la seguridad en general, puede ser
una de las más significativas. Un estudio realizado por Microsoft,
revela que del total de sistemas que ha desinfectado su "Malicious
Software Removal Tool" sólo un 3% corresponde a XP SP2, mientras
que XP y XP SP1 acumulan el 63% de las infecciones detectadas.

Las actualizaciones automáticas también ayudan a mitigar el impacto de
estos gusanos, previniendo a los usuarios de infecciones causadas por
vulnerabilidades. Sobre este punto (y de lo que no habla Seltzer) es
interesante destacar lo "contraproducente" de una actividad vírica
masiva y descontrolada que aprovecha agujeros de seguridad. Cada vez son
más rápidos en aparecer los virus y gusanos que aprovechan
vulnerabilidades críticas, y esto ha podido provocar una especie de
muerte por éxito del sistema de infección masivo. Los usuarios ajenos a
la seguridad, que no parchean sus sistemas, comprueban como el ordenador
se vuelve ya no sólo lento e inestable, sino absolutamente inoperativo
al poco tiempo. Esto comenzó a constatarse durante 2004, cuando era
imposible conectar un ordenador con un Windows no parcheado a Internet,
pues era cuestión de minutos que Blaster o Sasser aparecieran
infectándolo todo y obligando a una instalación completa con parches
incluidos.

Esto marcó un punto de inflexión, y el campo de la infección masiva por
gusanos se ha visto tan saturado desde entonces, que literalmente es ya
imposible mantener un ordenador "usable" durante un periodo de tiempo
razonable si no es con un cortafuegos y con los parches de seguridad
correspondientes. Prácticamente han sido los propios gusanos los que han
"obligado" sin remedio a los usuarios, incluso a los más descuidados y
temerarios, a parchear un sistema y refugiarse detrás de un cortafuegos,
y sin vulnerabilidades, no hay forma de propagarse. Quizás han cavado su
propia tumba por un excesivo éxito.

Sin embargo, la evolución sigue su camino y los niveles de infección
siguen altos. Los troyanos bancarios, mucho más discretos y que
encuentran principalmente en los navegadores la puerta de entrada en los
sistemas operativos, han tomado el relevo y representan hoy una de las
mayores amenazas víricas de las que preocuparse.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The End of the Worm Era
http://www.eweek.com/article2/0,1759,2009720,00.asp

miércoles, 30 de agosto de 2006

Un estudio analiza los ataques informáticos en los últimos siete años

Trusted Strategies, en colaboración con Phoenix Technologies han
publicado un estudio basado en los procesos judiciales relacionados
con los ataques informáticos documentados desde 1999 hasta 2006. La
novedad de este análisis radica en el hecho de que no se basa, como
es costumbre, en encuestas a grandes empresas (con respuestas que
pueden verse falseadas por la subjetividad del que contesta) sino
que se fundamenta en datos proporcionados por el sistema judicial
de los Estados Unidos de América.

En estudio se basa en los casos relacionados con la intrusión en redes
y robo de datos procesados y hechos públicos por el "Department of
Justice Computer Crime and Intellectual Property Section" ocurridos
desde marzo de 1999 a febrero de 2006. Este estudio aporta así una
visión basada en hechos denunciados y procesados, más cercana a la
realidad que los habituales estudios sobre el tema. En el estudio
se han tenido en cuenta los casos de difusión de malware, robo de
información, denegaciones de servicio o accesos no autorizados, y
se han clasificado según el tipo de ataque, los métodos utilizados,
la relación atacante-víctima, localización del atacante y equipo
usado para el ataque.

Las conclusiones más relevantes no se hacen esperar. Las mayores
pérdidas se producen por acceso no autorizado a través de cuentas
privilegiadas. Los atacantes se hacen con el usuario y la contraseña
de cuentas más o menos privilegiadas y lo utilizan para obtener
información sensible a la que habitualmente no tendrían permiso
para acceder. Según el informe, este tipo de acceso no autorizado
produce muchas más pérdidas que los daños producidos por virus y
gusanos. Si bien el malware produce unas pérdidas totales mayores,
este daño está más repartido entre un número mayor de empresas, así
que cada incidente cuesta menos a las compañías que un ataque de
acceso no autorizado. Casi todas las compañías sufren ataques
víricos (con lo que las pérdidas totales se disparan), mientras
son menos las que sufren accesos no autorizados pero el impacto
económico de las pérdidas es mayor en cada caso. En el informe
se habla de que, como media, una empresa ha perdido "sólo" 2.400
dólares por cada ataque de naturaleza vírica.

Pero parece que las empresas no han tomado conciencia todavía de la
gravedad del problema del robo de identidad. El 88% de los ataques
eran simples accesos de empleados con contraseñas robadas (o deducidas,
habría que añadir), y desde su propia casa. Sin embargo, y siempre
según el informe, el gasto en prevención vírica y cortafuegos sigue
aumentando mientras que la inversión en sistemas de control de acceso
e identificación (que podría haber detenido la mayor parte de los
ataques descritos en el informe y, hoy en día, paliar el efecto de
un gran número de troyanos destinados al robo de credenciales) supone
solo la mitad de lo dedicado al control vírico.

Luchar contra el malware es imprescindible, nadie pone en duda la
necesidad de inversiones adecuadas. La infección masiva de sistemas ha
supuesto tradicionalmente uno de los mayores "miedos" de administradores
y gerentes (acuciados quizás por un agresivo marketing) y de ahí la
importante inversión para poner fin a los virus. Pero (además de
existir otras técnicas adicionales, baratas y efectivas para detener
los virus y del nuevo rumbo "profesional" de la actividad vírica) la
seguridad debe ser atacada por todos los flancos (muy relacionados entre
sí), y olvidar la implementación de un plan de autenticación robusto y
una política de contraseñas adecuada, es condenar un sistema al robo de
información sensible. Es decisión de la gerencia clasificar y priorizar
la importancia de cada amenaza.

Otro dato curioso es la actividad de las compañías que han sufrido este
tipo de ataques. Con diferencia, (23, 22 y 20 % respectivamente),
organizaciones gubernamentales, empresas de venta al por menor y
compañías de alta tecnología han sido las víctimas más apetecibles. En
la cola, con el 4 y 2% respectivamente, empresas de salud y educación.

La inmensa mayoría de atacantes utilizaron su propio ordenador personal
para llevar a cabo sus fechorías desde casa. Tan sólo un 5% ha usado
sistemas propios de la compañía para acceder a los datos robados o
perpetrar otros ataques.

El 57% de los atacantes no tenían relación con la víctima, mientras
que el 22% eran antiguos empleados de la compañía y el 14% eran
empleados en el momento del ataque. Sólo el 7% mantenían una relación
de tipo cliente o proveedor.

En el informe también se habla de cifras millonarias de pérdidas e
inversión (los daños han sido valorados en una media de 1,5 millones de
dólares por incidente), pero los simples números se vuelven irrelevantes
cuando el mayor peligro es la fuga de información secreta de una
empresa. ¿Cuánto valen los datos confidenciales de una empresa? Es
imposible hablar de cantidades exactas en estos casos. Si se piensa en
cifras para prevenir estos ataques, es necesario invertir adecuadamente,
conociendo los verdaderos peligros y según una delicada evaluación de
riesgos y amenazas que sólo puede ser calculada a través de un estudio
personalizado. En cualquier caso, se recomienda la lectura del informe
completo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Network Attacks: Analysis of Department of Justice Prosecutions 1999 - 2006
http://www.net-security.org/article.php?id=941

martes, 29 de agosto de 2006

Múltiples vulnerabilidades en impresoras Dell Color Laser Printer

Se han encontrado varias vulnerabilidades en varias impresoras Dell
Color Laser, que pueden ser aprovechadas por atacantes para eludir
ciertas restricciones de seguridad y provocar una denegación de
servicio.

El primer fallo es que el servidor FTP integrado no restringe el
uso del comando PORT. Esto puede ser aprovechado para conectar
sistemas arbitrarios a través del servidor FTP.

El segundo fallo es que el servidor HTTP no autentica correctamente
ciertas peticiones HTTP. Esto puede ser aprovechado para realizar
cambios no autorizados a la configuración del sistema o provocar
que el dispositivo deje de responder.

Los fallos se han confirmado en los modelos 5110cn, Dell 3110cn,
y Dell 3010cn con versiones de firmware anteriores aA01 y en Dell
5100cn, Dell 3100cn, y Dell 3000cn con versiones de firmware
anteriores a A05.

Se recomienda aplicar los parches correspondientes:

Dell 5110cn (versiones de firware anteriores a A01):
http://ftp.us.dell.com/printer/R130538.EXE

Dell 3110cn (versiones de firware anteriores a A01):
http://ftp.us.dell.com/printer/R130356.EXE

Dell 3010cn (versiones de firware anteriores a A01):
http://ftp.us.dell.com/printer/R132075.EXE

Dell 5100cn (versiones de firware anteriores a A05):
http://ftp.us.dell.com/printer/R132718.EXE

Dell 3100cn (versiones de firware anteriores a A05):
http://ftp.us.dell.com/printer/R132079.EXE

Dell 3000cn (versiones de firware anteriores a A05):
http://ftp.us.dell.com/printer/R132368.EXE


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

20060824 FXPS Print Engine Vulnerabilities
https://itso.iu.edu/20060824_FXPS_Print_Engine_Vulnerabilities

lunes, 28 de agosto de 2006

Inyección de código shell en Novell Identity Manager 3.0.x

Se ha anunciado una vulnerabilidad en Novell Identity Manager 3.0, por
la que un usuario remoto podrá llegar a ejecutar comandos arbitrarios
en el sistema afectado.

El problema reside en que el script 'idmlib.sh' no valida de forma
adecuada los valores introducidos por los usuarios. Un atacante podría
proporcionar un valor especialmente creado para provocar la ejecución
de comandos shell por el proceso nxdrv, que corre con privilegios de
root. Por tanto, un usuario malicioso podrá llegar a ejecutar comandos
shell arbitrarios con privilegios de root.

Novell ha publicado un parche para la versión 3.0.x, disponible en:
http://support.novell.com/servlet/filedownload/ftf/idm30linux_unix2.tgz


Antonio Ropero
antonior@hispasec.com


Más información:

Novell Identity Manager Input Validation Flaw May Let Remote Users
Inject Shell Code
http://www.securitytracker.com/alerts/2006/Aug/1016741.html

IDM 3.0.x Bi-directional Linux-UNIX Driver
http://support.novell.com/cgi-bin/search/searchtid.cgi?/2974299.htm

domingo, 27 de agosto de 2006

Modificación no autorizada de contraseñas en varios productos Cisco

Se ha encontrado un fallo por el que ciertas versiones del software
en Cisco PIX 500 Series Security Appliances, Cisco ASA 5500 Series
Adaptive Security Appliances (ASA), y el Firewall Services Module
(FWSM) se ven afectados por un error que puede causar que la contraseña
EXEC, contraseñas de usuarios definidos localmente y la contraseña
de enable en la configuración de inicio (en la memoria no volátil),
sean cambiadas a un valor determinado no aleatorio sin intervención
ni notificación al usuario.

Usuarios no autorizados pueden aprovechar este fallo para obtener
acceso a un dispositivo que ha sido reiniciado después de que las
contraseñas en su configuración de inicio hayan sido cambiadas.
Además, usuarios autorizados pueden quedar bloqueados y perder la
capacidad de manejar el dispositivo.

El fallo sólo es reproducible bajo las siguientes circunstancias:

* Si el software deja de responder por algún bug del programa y no
en todas las circunstancias.

* Si dos o más usuarios hacen uso concurrente de cambios en la
configuración, independientemente del método utilizado para acceder
al dispositivo.

Para versiones 7.0.x del software PIX/ASA, la primera versión no
vulnerable es 7.0(5.1). La última versión puede ser descargada desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2

La última versión 7.0.x para ASA puede ser descargada desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2

Para la versión 7.1.x del software PIX/ASA, la primer versión no
vulnerable es 7.1(2.5). La última versión 7.1.x puede ser descargada
desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/pix-interim?psrtdcat20e2

La última versión 7.1.x interim para ASA puede ser descargada desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa-interim?psrtdcat20e2

La primera versión no vulnerable para FWSM es 3.1(2). La última
versión puede ser descargada desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cat6000-fwsm?psrtdcat20e2


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Unintentional Password Modification in Cisco Firewall Products
http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.shtml

sábado, 26 de agosto de 2006

Múltiples actualizaciones para OpenBSD

OpenBSD ha publicado varios avisos de seguridad que cubren diferentes
vulnerabilidades en distintos componentes de su sistema.

OpenBSD es un sistema operativo OpenSource gratuito y de alta calidad,
perteneciente a la familia *BSD, como NetBSD o FreeBSD. Se caracteriza
por ofrecer un excelente nivel de seguridad en su instalación por
defecto. Como reza en la página oficial, en ocho años sólo han sufrido
un problema de seguridad remoto en la instalación por defecto.

El primer fallo encontrado puede provocar una denegación de servicio
local en el kernel (kernel panic) si son asignados más semáforos que el
número por defecto.

El segundo fallo se debe a un error off-by-one en dhcpd. Un atacante
podría hacer que dhcpd dejase de responder si se envía un paquete
DHCPDISCOVER con una opción de identificador de cliente de 32 bytes.

El tercer fallo afecta al servicio relacionado con el cifrado isakmpd y
provoca que IPSec se ejecute parcialmente sin protección de repetición.
Si isakmpd actuase como respondedor durante una negociación SA, se
crearían SA con una ventana de repetición de tamaño 0. Un atacante
podría reinyectar paquetes IPsec obtenidos a través de un sniffer y
serían aceptados sin comprobar el contador de repetición.

Se ha solucionado por último un potencial problema de denegación de
servicio en sendmail. Un mensaje con líneas de cabeceras realmente
largas podría causar que sendmail dejase de responder.

Los problemas afectan a todas las arquitecturas en todos los casos. Los
parches para las distintas versiones pueden ser descargados desde:
ftp://ftp.openbsd.org/pub/OpenBSD/patches/.
Además, en la página oficial se encuentra la información necesaria para
modificar el código fuente de los programas afectados.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

OpenBSD errata & patch list:
http://www.openbsd.org/errata.html

viernes, 25 de agosto de 2006

eEye y Microsoft, en pie de guerra

El boletín MS06-042 está causando más que un dolor de cabeza a
Microsoft. La última vulnerabilidad ha provocado una curiosa disputa
verbal entre Microsoft y eEye, una de las más reputadas compañías de
seguridad, responsable de excelentes herramientas de análisis y
descubridora de importantes vulnerabilidades.

El 8 de agosto Microsoft publicó el boletín MS06-042. En él se
recomendaba la aplicación de un parche acumulativo para Internet
Explorer que solucionaba ocho problemas de seguridad. Al poco tiempo se
descubrió que este parche causaba problemas para visualizar algunas
páginas. El fallo se daba en las webs que aceptasen el uso de la versión
1.1 del protocolo HTTP además de compresión de tráfico. Microsoft
reconoció el error y programó para el día 22 de agosto la publicación de
una reedición del parche que solucionara el problema.

El día 22 llegó y Microsoft retrasó su publicación a causa, según ellos,
de problemas técnicos en la distribución. A eEye no le sentó nada bien
el retraso e hizo público de forma unilateral y por iniciativa propia lo
que la empresa ya había descubierto hacía días: el fallo que introducía
el parche era en realidad una vulnerabilidad crítica. No dio detalles
técnicos, sólo advirtió del peligro que podía suponer lo que en
principio parecía un simple error.

A su vez, a Microsoft no le gustó que eEye rompiese el acuerdo de no
hablar de "vulnerabilidad" hasta que la nueva edición del parche no
estuviese preparada. Calificó la actitud de eEye como de "irresponsable"
por dar pistas a los posibles atacantes. Curiosamente, fue en el propio
boletín de Microsoft donde se daban más detalles técnicos que en la nota
publicada por eEye. En el de Microsoft se hablaba de "URL largas",
detalle definitivo que según eEye sí que constituía una verdadera
irresponsabilidad por allanar el camino a la aparición de exploits para
la vulnerabilidad. Por si fuera poco, en el blog oficial de Internet
Explorer, el programador Tony Chor hablaba en concreto de la librería
urlmon.dll como fuente del problema (que sería confirmado posteriormente
por eEye al hacer público el análisis de la vulnerabilidad).

No ha sido hasta el día 25 que Microsoft ha publicado por fin la segunda
versión del parche, donde se supone solucionada la grave vulnerabilidad.
Justo en ese momento, a su vez, eEye ha hecho público con todo lujo de
detalles el problema de las "URL largas" y la librería urlmon.dll.
Microsoft, por su parte, ha decidido eliminar el nombre de la empresa
eEye de los créditos de la nueva versión del boletín MS06-042 (donde se
acreditan a los descubridores de vulnerabilidades), por considerar que
no lo merece porque su actitud ha puesto en riesgo a sus clientes.

Mientras, Ross Brown, director ejecutivo de eEye, carga en su blog
contra Microsoft sin pelos en la lengua. Analiza en tono irónico las
palabras del blog MSRC de Microsoft en el que se aclaran los motivos del
retraso del nuevo parche y concluye: "si se analiza este párrafo [en el
que Microsoft justifica el retraso] se dice, en esencia, que no querían
tener un subconjunto de clientes desprotegidos... ¿así que dejaron a
todos desprotegidos? ¡Gracias por la ayuda, chicos!".

También se queja de la ambigüedad de las palabras de Microsoft a la hora
de achacar los problemas para el retraso. Para Brown, el verdadero
problema ha sido la herramienta comercial SMS (Systems Management
Server) pero lo han ocultado sutilmente hablando de "problemas en la
distribución" (de ahí que el parche estuviese disponible sólo a través
del canal oficial de soporte y no de forma pública).

Por otro lado, Microsoft también se ha molestado con Trend Micro, por
haber calificado la última vulnerabilidad en PowerPoint como un "0 day",
cuando en realidad no es más que un fallo ya parcheado para Office.
Trend Micro informó el día 19 de un supuesto nuevo tipo de malware que
aprovechaba una vulnerabilidad nueva para la que no existía solución.
Microsoft ha desmentido que sea un nuevo fallo, además de lamentar la
actitud de la empresa antivirus por hablar de vulnerabilidades sin
ponerse previamente de acuerdo con ellos, de forma que podía haber sido
estudiada antes de causar una alarma innecesaria.

En definitiva, a Microsoft le molesta especialmente que se proporcione
información sobre vulnerabilidades cuando no existe parche disponible
para solventarlas. Para ellos, la actitud adecuada ante el
descubrimiento de una vulnerabilidad pasa por ponerse en contacto con
ellos, acordar una fecha de publicación de soluciones y a partir de ahí
el descubridor podrá ofrecer todos los detalles que desee. Pero hacerlo
antes se supone una irresponsabilidad.

Un episodio más de la eterna disputa entre la filosofía del "ocultismo"
y la total revelación de detalles de seguridad.


Sergio de los Santos
ssantos@hispasec.com


Más información:

No sólo de Office viven las mafias informáticas
http://www.hispasec.com/unaaldia/2858

Update coming for IE 6.0 SP1 security vulnerability
http://blogs.msdn.com/ie/archive/2006/08/22/711402.aspx

Power Point Zero Day? No.
http://blogs.technet.com/msrc/archive/2006/08/23/449075.aspx

Microsoft Zaps eEye from IE Flaw Credits
http://www.eweek.com/article2/0,1759,2008265,00.asp

A Dizzying Intellect
http://technobabylon.typepad.com/

Cumulative Security Update for Internet Explorer (918899) (MS06-042)
http://www.microsoft.com/technet/security/bulletin/MS06-042.mspx

Los parches de MS06-042 pueden impedir la visualización de ciertas
páginas con Internet Explorer
http://www.hispasec.com/unaaldia/2856

El último parche acumulativo para Internet Explorer introduce una
nueva vulnerabilidad
http://www.hispasec.com/unaaldia/2860

jueves, 24 de agosto de 2006

Vulnerabilidades en varios productos Cisco


Se han descubierto dos vulnerabilidades de seguridad que afectan a gran
variedad de productos Cisco y que pueden permitir a atacantes locales
obtener acceso a los dispositivos y a atacantes remotos eludir ciertas
restricciones de seguridad.

Se han encontrado dos vulnerabilidades en Cisco VPN 3000 a la hora de
manejar ficheros a través de File Transfer Protocol (FTP). Si un
atacante autenticado aprovechase esta vulnerabilidad, podría ejecutar
ciertos comandos FTP y borrar archivos del dispositivo. La
vulnerabilidad no permite a usuarios no autenticados transferir ficheros
desde o hacia el dispositivo. El servidor FTP está habilitado por
defecto como protocolo de administración en estos dispositivos.

Las versiones del software vulnerable son:

* Cualquiera anterior a la 4.1.
* Cualquier versión 4.1.x anterior a, e incluyendo, 4.1(7)L
* Cualquier versión 4.7.x anterior a e incluyendo 4.7(2)F

Los comandos que podría ejecutar un atacante son:

CWD (Cambiar directorio de trabajo)
MKD (Crear directorio)
CDUP (Subir un directorio)
RNFR (Renombrar ficheros)
SIZE (Obtener tamaño del fichero)
RMD (Borrar directorio)

Para este error se aconseja deshabilitar o limitar el servidor FTP.
Cisco ha creado un parche para solventar esta vulnerabilidad, disponible
a través de los canales habituales del fabricante.

Se ha encontrado además un fallo por el que ciertas versiones del
software en Cisco PIX 500 Series Security Appliances, Cisco ASA 5500
Series Adaptive Security Appliances (ASA), y el Firewall Services Module
(FWSM) se ven afectados por un error que puede causar que la contraseña
EXEC, contraseñas de usuarios definidos localmente y la contraseña de
enable en la configuración de inicio (en la memoria no volátil), sean
cambiadas a un valor determinado no aleatorio sin intervención ni
notificación al usuario.

Las versiones vulnerables son, las series PIX 500 Security Appliances y
ASA 5500 Series Adaptive Security Appliances si tienen este software
instalado:

* Cualquier versión (incluyendo interim) desde 7.0(x) incluyendo 7.0(5)
* Cualquier versión (incluyendo interim) desde 7.1(x) incluyendo 7.1(2.4)

Para el FWSM de Cisco Catalyst 6500 Switches y Cisco 7600 Series
Routers, el software vulnerable es:

* Cualquier versión (incluyendo interim) desde 3.1(x) incluyendo 3.1(1.6)

Usuarios no autorizados pueden aprovechar este fallo para obtener acceso
a un dispositivo que ha sido reiniciado después de que las contraseñas
en su configuración de inicio hayan sido cambiadas. Además, usuarios
autorizados pueden quedar bloqueados y perder la capacidad de manejar el
dispositivo.

El fallo sólo es reproducible bajo las siguientes circunstancias:

* Si el software deja de responder por algún bug del programa y no en
todas las circunstancias.

* Si dos o más usuarios hacen uso concurrente de cambios en la
configuración, independientemente del método utilizado para acceder al
dispositivo.

Cisco aclara que la contraseña modificada no es producto de un
comportamiento predefinido ni se trata de ningún tipo de puerta trasera
que establezca contraseñas específicas. Se trata de un error de
codificación relacionado con la interpretación de la configuración.

Para conocer las versiones no vulnerables a esta vulnerabilidad se
recomienda visitar el enlace disponible en la página de Cisco.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco VPN 3000 Concentrator FTP Management Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20060823-vpn3k.shtml

Unintentional Password Modification in Cisco Firewall Products
http://www.cisco.com/warp/public/707/cisco-sa-20060823-firewall.shtml

miércoles, 23 de agosto de 2006

El último parche acumulativo para Internet Explorer introduce una nueva vulnerabilidad

El 8 de agosto Microsoft publicó el boletín MS06-042. En él se
recomendaba la aplicación de un parche acumulativo para Internet
Explorer que solucionaba ocho problemas de seguridad. Dos semanas
después se ha hecho público que, inadvertidamente, este parche ha
introducido una nueva vulnerabilidad crítica.

Los usuarios de Windows 2000 SP4 y XP SP1 que aplicaron este parche,
sufrieron un comportamiento errático del navegador al visitar ciertas
webs. El navegador informaba de un error irreparable y se cerraba de
forma abrupta, impidiendo la visualización de la página. El fallo se da
en las páginas que acepten el uso de la versión 1.1 del protocolo HTTP
además de compresión de tráfico.

Lo que en principio se consideró un "efecto colateral", se ha convertido
en la "vulnerabilidad crítica del momento" para Internet Explorer.
Investigadores de eEye comenzaron a indagar en este error y descubrieron
que era aprovechable para la ejecución de código arbitrario. Microsoft y
eEye decidieron esperar a la publicación de una nueva versión del parche
(programada para el día 22 de agosto) para informar sobre la verdadera
naturaleza del error, convertido en vulnerabilidad.

Pero el día 22, en vez de la nueva versión del parche, Microsoft ha
publicado un aviso advirtiendo que el código no ha superado las últimas
pruebas y que no está listo para su distribución. Mientras, eEye decide
por iniciativa propia y unilateralmente, hacer pública la verdadera
naturaleza del problema, y llamar vulnerabilidad crítica a lo que en un
principio se consideró "problema". Responsables de Microsoft se han
mostrado molestos por esta decisión, pero eEye no ha ofrecido ningún
detalle técnico sobre el asunto que pueda dar pistas a atacantes. Aun
así, es cuestión de días que aparezcan pruebas de concepto o exploits
funcionales para este nuevo falllo, pues según eEye esta información
está disponible en el mundo "underground". Microsoft ha vuelto a
publicar un aviso donde se añade el uso de "URL largas" (además de la
compresión y el protocolo HTTP 1.1) como origen del problema.

Es importante destacar que el problema no afecta a los usuarios de
Windows XP con el Service Pack 2 instalado, que no sufrirán este error
y por tanto no tendrán que realizar ninguna acción al respecto. Los
usuarios de Windows 2000 Service Pack 4 que quieran utilizar Internet
Explorer pueden deshabilitar el uso del protocolo HTTP 1.1 en el
navegador, y los usuarios de XP Service Pack 1 pueden además actualizar
a Service Pack 2. En ningún caso es preferible no instalar el parche,
pues no hay que olvidar que aunque introduzca un problema grave,
solventa ocho errores, varios considerados críticos. Microsoft planea
la publicación de un parche definitivo en los próximos días.

No es la primera vez que un parche de seguridad, tanto de Microsoft como
de cualquier otro fabricante o comunidad, introduce problemas en el
sistema instalado. Es bastante habitual observar publicaciones de nuevas
versiones para parches por haber introducido problemas de compatibilidad
o estabilidad (esta misma semana lo ha sufrido Ubuntu). También es más
que habitual (en más ocasiones de las que pensamos y "en las mejores
familias") introducir "errores de regresión" en las soluciones. Esto se
produce cuando un parche solventa algún problema de seguridad pero también,
como efecto colateral, abre algún antiguo agujero cerrado en cualquier
otro momento por otro parche. Incluso hemos sido testigos de cómo un
parche no corregía realmente un error de seguridad. Lo que no resulta
tan habitual, al menos hasta el momento, es introducir con un parche
de seguridad una vulnerabilidad completamente nueva.

Si bien la razón principal para la introducción del ciclo mensual de
publicación de parches de Microsoft era la mejor planificación de
seguridad para los administradores, no hay duda de que también permitía
a Microsoft trabajar con un margen de tiempo suficiente como para probar
convenientemente el código. En esta ocasión, a la vista de los
indeseables resultados, parece que no han podido realizar las pruebas
necesarias.


Sergio de los Santos
ssantos@hispasec.com


Más información:

MS06-042 Related Internet Explorer 'Crash' is Exploitable
http://research.eeye.com/html/alerts/AL20060822.html

Long URLs to sites using HTTP 1.1 and compression Could Cause Internet
Explorer 6 Service Pack 1 to Unexpectedly Exit
http://www.microsoft.com/technet/security/advisory/923762.mspx

Today's postponed re-release of MS06-042, and posting of a Security Advisory
http://blogs.technet.com/msrc/archive/2006/08/22/448689.aspx

martes, 22 de agosto de 2006

Elevación de privilegios a través del comando format en Solaris

Se ha confirmado la existencia de una vulnerabilidad en el comando
"format" de Solaris 8, 9 y 10 que puede permitir a un usuario la
elevación de sus privilegios en el sistema.

La vulnerabilidad reside en un desbordamiento de memoria intermedia
en el comando "format", por la que un atacante local que disponga
del privilegio "File System Management" del perfil RBAC (o cualquier
otro perfil que permita al usuario ejecutar format con los privilegios
de root) podría ejecutar código arbitrario con los privilegios de
root.

Para saber si algunos usuarios tienen ese privilegio, se pueden
ejecutar los comandos:

grep 'File System Management' /etc/user_attr
profiles testuser | grep 'File System Management'
grep format /etc/security/exec_attr

Según versión y plataforma, los parches para solventar el problema
son:

Para la plataforma SPARC:
Solaris 8 aplicar el parche 108975-10 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-108975-10-1
Solaris 9 aplicar el parche 113072-08 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113072-08-1
Solaris 10 aplicar el parche 118833-18 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118833-18-1

Para la plataforma x86
Solaris 8 aplicar el parche 108976-10 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-108976-10-1
Solaris 9 aplicar el parche 114423-07 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114423-07-1
Solaris 10 aplicar el parche 118997-09 o posterior.
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118997-09-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability Due to Buffer Overflow in The format(1M)
Command May Allow Privilege Elevation For Certain RBAC Profiles
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102519-1&searchclause=

lunes, 21 de agosto de 2006

No sólo de Office viven las mafias informáticas

En los últimos meses, la suite Microsoft Office ha sido víctima de una oleada de vulnerabilidades que se han hecho estratégicamente públicas cuando todavía no se había desarrollado un parche oficial. Se ha establecido una nueva tendencia que ha transformado a los documentos Office en principales sospechosos de contener troyanos y puertas traseras, convirtiéndolos en objetivo de atacantes. Pero no es el único software ofimático susceptible de ser atacado.

En anteriores boletines hemos informado puntualmente de la aparición de vulnerabilidades “0 day” en Microsoft Office. Casi todos los componentes de esta suite (PowerPoint, Excel, Word...) han sido víctimas de graves problemas de seguridad que permitían la ejecución de código arbitrario si se abría un documento especialmente manipulado.

Sin ir más lejos, y como último ejemplo conocido, el día 19 de agosto se alertó de un nuevo malware que puede estar aprovechando una nueva vulnerabilidad en Microsoft Powerpoint. A través de un archivo con formato “ppt”, podría llegar a ejecutarse código arbitrario con los permisos del usuario que abriese el documento. Aunque puede estar relacionada con las vulnerabilidades descritas en el boletín MS06-048, este problema es nuevo y no estaría documentado hasta el momento. No existe exploit público, aunque se sabe que circula malware capaz de aprovechar el problema.

A la vista de este continuo desfile de problemas de seguridad cabe preguntarse si la malsana fijación con la suite de Microsoft se debe a que es la más insegura o la más popular. Un suceso dado a conocer por Symantec vuelve a confirmar que la suite más utilizada será siempre la más atacada, y que si se cierra una puerta se abrirán otras de forma que los atacantes siempre consigan un buen margen sobre el que trabajar. Ichitaro es un procesador de textos de la compañía japonesa Justsystem, una empresa con más de 20 años de experiencia en el sector. Debido a las obvias diferencias de lenguaje, no es de extrañar que un producto “autóctono” y concebido especialmente para esta cultura tan distinta a la occidental, disfrute de un gran éxito en aquel país. Aunque existen versiones japonesas de Microsoft Office, Ichitaro es muy utilizado en gobiernos e instituciones educacionales, y goza de una buena salud, según indican sus quince versiones principales existentes y la existencia de versiones para Linux y Mac.

Según ha informado Symantec, se ha detectado un ataque que aprovechaba una vulnerabilidad de desbordamiento de pila en este software, y que permite la ejecución de código arbitrario en el sistema. Según John Canavan, autor de la alerta, el ataque incluye la descarga (a través de Tarodrop) y uso de un troyano llamado Infostealer.Papi utilizado para espiar a la víctima y enviar información a los atacantes.

No se tienen datos exactos sobre la popularidad o alcance del ataque, pero sin duda representa un incidente interesante para la reflexión. En la continua búsqueda de negocio y datos secretos conseguidos a través del espionaje, las mafias informáticas son bastante eficientes. Si este software es popular entre las instituciones públicas y usuarios japoneses, no han dudado en buscar vectores de ataque que descarguen un troyano capaz de infectar los equipos de este país si eso les reporta beneficios. Si en Japón o cualquier otro punto del planeta se hubiese utilizado cualquier otro programa, (OpenOffice, Microsoft Word, AbiWord...) de forma mayoritaria, es seguro que también hubiesen conseguido encontrarle algún problema grave que permitiera la ejecución de sus códigos dañinos.

Las vulnerabilidades “0 day” destinadas a pasar inadvertidas y conseguir una propagación limitada pero duradera, no son por tanto exclusivas de una marca o compañía, sino patrimonio de cualquiera que sea usada por la cantidad suficientes de personas como para suponer un jugoso objetivo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Justsystem's Ichitaro zero-day used to propogate Trojan
http://www.symantec.com/enterprise/security_response/weblog/2006/08/justsystems_ichitaro_0day_used.html

Vulnerabilidad en Microsoft Powerpoint confirma una nueva tendencia
(17/07/2006)
http://www.hispasec.com/unaaldia/2823

Microsoft PowerPoint 0-day Vulnerability FAQ - August 2006
http://blogs.securiteam.com/index.php/archives/559

domingo, 20 de agosto de 2006

Los profesionales del fraude online también usan publicidad clásica

Un agente del FBI muestra durante la DefCon de este año un anuncio publicitario de los servicios de Carderplanet, una banda internacional dedicada al fraude con tarjetas de crédito y robo de identidad.

Por si alguien tenía alguna duda sobre el nivel de profesionalización del 'sector' del fraude online, el agente Thomas Grasso, del cuerpo especializado en crimen online del FBI, mostró hace unos días en el DefCon un vídeo publicitario de sus servicios. El vídeo en si es neutro en cuanto al tipo de actividades que desarrollaba la gente de Carderplanet (grupo que se ha disuelto hace un tiempo), pero se localizó en un sitio web dedicado a ofrecer las herramientas y datos necesarios a clientes dispuestos a usarlos para fines fraudulentos.

Básicamente, el anuncio muestra el planeta Tierra, y va soltando sus frasecitas que pretenden dar una imagen de profesionalidad de su servicio: "¿Busca una solución profesional? Descubra el poder de la tecnología. Las ideas más creativas. Investigación profesional. Un acercamiento preciso e imparcial. Servicio al cliente personalizado. El equipo en el que puede confiar. Todo lo que necesite para los negocios. Carderplanet.".

Es muy importante que tanto las empresas como los usuarios de a pié se den cuenta de que esto es sólo una muestra de hasta que punto el fraude online es mayoritariamente realizado de forma sistemática y profesional. Obviamente, siguen existiendo individuos que realizan este tipo de actividades en solitario, pero la mayor parte del pastel se lo llevan grupos organizados que ya manejan cifras que impresionan. El propio agente Grasso ha hablado de cifras del coste estimado del crimen online en los Estados Unidos: 67.000 millones de dólares solamente el año pasado. Nuestra experiencia en el campo de la lucha contra el fraude online (nuestro servicio anti-phishing sin ir más lejos, o los análisis de troyanos orientados a fraude bancario) nos arroja datos que no hacen más que confirmar esta profesionalización.

Julio Canto
jcanto@hispasec.com



sábado, 19 de agosto de 2006

Los parches de MS06-042 pueden impedir la visualización de ciertas páginas con Internet Explorer

Dentro de los doce boletines de seguridad publicados el pasado día 8 de agosto, el MS06-042 escondía una actualización para ocho problemas de seguridad descubiertos en el navegador Internet Explorer, con varias de estas vulnerabilidades calificadas como críticas. La solución a estos problemas en forma de parche acumulativo ha introducido un nuevo error que hace que el navegador deje de responder al visitar ciertas páginas.

Los usuarios de Windows 2000 SP4 y XP SP1 que hayan aplicado este parche, habrán observado un comportamiento errático del navegador al visitar ciertas webs. El navegador informa de un error irreparable y se cierra de forma abrupta, impidiendo la visualización de la página. Aunque este fallo podría considerarse como una "denegación de servicio", no parece que en principio permita ser aprovechado por atacantes para ejecutar ningún otro tipo de acción que pueda comprometer el sistema. Es importante destacar que el problema no afecta a los usuarios de Windows XP con el Service Pack 2 instalado, que no sufrirán este error y por tanto no tendrán que realizar ninguna acción al respecto.

Este inconveniente ha sido reconocido por Microsoft, admitiendo que ha sido introducido inadvertidamente con la última actualización acumulativa para Internet Explorer. El fallo se da en las páginas que acepten el uso de la versión 1.1 del protocolo HTTP además de compresión de tráfico. Estas dos circunstancias no son manejadas correctamente por el navegador si ha sido actualizado con los parches del boletín MS06-042 (acción más que recomendada).

Microsoft ha creado un “hotfix” que soluciona el problema, pero no lo ha hecho público para descarga (sólo está disponible a través de la línea de soporte del fabricante). Mientras, como contramedida, los usuarios pueden desactivar el uso de la versión 1.1 del protocolo en el navegador. Esto se consigue a través de las “Opciones de Internet” en la pestaña “Opciones avanzadas”. En este menú es necesario desactivar la opción “Usar HTTP 1.1”. Si realmente es este el origen del problema, las páginas “problemáticas” deberían poder ser visitadas sin problemas.

En cualquier caso, Microsoft planea una nueva publicación del parche el día 22 de agosto, que no contendrá este fallo y que estará disponible a través de los canales habituales de distribución de parches públicos.

Sergio de los Santos
ssantos@hispasec.com


Más información:

Internet Explorer 6 Service Pack 1 unexpectedly exits after you install the 918899 update
http://support.microsoft.com/kb/923762/

viernes, 18 de agosto de 2006

Solucionados dos problemas de seguridad en MySQL 5

Se han solucionado dos vulnerabilidades en MySQL que pueden ser aprovechadas por atacantes para eludir ciertas restricciones de seguridad o elevar privilegios.
MySQL es un servidor de bases de datos SQL, de código abierto, altas prestaciones y muy difundido en el mundo Linux.

El primer fallo permite a un atacante crear nuevas bases de datos aunque no tenga privilegios para ello. Si un usuario tiene acceso a una base de datos pero no tiene permisos para crear nuevas bases de datos, podrá conseguirlo si la nueva comparte nombre con la que ya tiene acceso, pero con una o más letras modificadas de minúscula a mayúscula o viceversa. Por ejemplo, si un usuario tiene acceso a la base de datos "ejemplo", podrá crear "ejempLo" aunque no tenga permisos para ello.

Esto sólo es posible si MySQL se ejecuta en un sistema de ficheros sensible a mayúsculas (por tanto MySQL no es vulnerable si se ejecuta bajo Microsoft Windows). El problema está calificado como "no crítico".

El segundo fallo se debe a que los argumentos de rutinas suid son calculados en el contexto del que ha definido la rutina, en vez de hacerlo en el contexto de seguridad del que llama a la rutina. Si un atacante tiene suficientes privilegios como para llamar a una rutina suid, podría ejecutar código (consultas o estamentos) bajo los privilegios del que ha definido la rutina suid y por lo tanto elevar sus privilegios. Este problema está calificado como de gravedad "seria"

Las vulnerabilidades, documentadas desde hace algunas semanas, han sido solucionadas en el CVS, y serán solventados en la futura versión 5.0.25 de la base de datos.

Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Trouble with "create database"
http://bugs.mysql.com/bug.php?id=17647

Arguments of suid routine calculated in wrong security context
http://bugs.mysql.com/bug.php?id=18630

jueves, 17 de agosto de 2006

Habemus malware para MS06-047


Después de detectar malware destinado a aprovechar una vulnerabilidad en el servicio Servidor de Microsoft Windows (MS06-040), se ha encontrado nuevo código dañino que aprovecha otra vulnerabilidad descrita en el boletín MS06-047 y que se difunde en forma de documento Word.


El boletín MS06-047 soluciona una vulnerabilidad en diferentes versiones de Office y Works Suite en Visual Basic for Applications que puede ser aprovechada para lograr la ejecución remota de código arbitrario. Está calificado como "crítico" y afecta a Office 2000, Project 2000, Access 2000, Office XP, Project 2002, Visio 2002, Microsoft Works Suites (2004, 2005 y 2006), Visual Basic for Applications SDK 6.x. El error de desbordamiento de memoria intermedia se localiza en la librería vbe6.dll.

Si el malware bautizado como Wgareg fue rápido (apenas 5 días desde la publicación del parche), este nuevo código no ha tardado demasiado en aparecer. Se trata de un documento Word que llega a través del correo y que puede tener el nombre de syosetu.doc y una extensión de 107.520 bytes. El hash MD5 es 7443358555983341CB9BB12BB0A0A191. Si este archivo es abierto con un Microsoft Office vulnerable, tratará de descargar otros componentes desde distintas localizaciones e intentará comprometer el sistema con puertas traseras y troyanos.

La primera muestra de este malware llegó a VirusTotal a las 9 de la mañana (hora española) del día 14 de agosto, lo que indica que puede estar circulando al menos desde entonces. Aun así, a día 17 de agosto son pocos los antivirus capaces de detectarlo, además todos con nombres dispares, sin un distintivo común que lo identifique claramente: W97M/ProjMod!exploit (eTrust-Vet), W32/Bgent.ZE!tr (Fortinet), Exploit-OleModule (McAfee), Exploit:Win32/Ponaml.gen (Microsoft), Trojan.Mdropper (Symantec), TROJ_MDROPPER.BK (TrendMicro).

Esta nueva amenaza para usuarios de Microsoft Office se une a los últimos problemas de seguridad que está sufriendo esta suite ofimática, que se ha convertido en claro objetivo para “atacantes profesionales”. Afortunadamente, al contrario que Wgareg (malware para MS06-040 que se ejecuta automáticamente conectándose a un servicio), aprovechar esta vulnerabilidad no es tan sencillo pues requiere de interacción por parte de la potencial víctima. Esto limitará su difusión de forma significativa.

Desde Hispasec se recomienda no abrir ningún archivo Office no solicitado y actualizar los sistemas lo antes posible con los parches correspondientes del boletín MS06-047.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-047.mspx

New trojan exploits MS06-047 with Word File
http://blogs.securiteam.com/index.php/archives/556

miércoles, 16 de agosto de 2006

Desbordamiento de búffer y escalada de directorios en Sony VAIO Media Integrated Server


Se han descubierto un par de vulnerabilidades que afectan a diversas versiones de Sony VAIO Media Integrated Server, y que pueden ser utilizadas por atacantes remotos para acceder a información sensible dentro de los sistemas afectados o incluso para comprometerlos.

Las vulnerabilidades, descubiertas por Joe Moore de la compañía británica Pentest Limited, han sido confirmadas en las versiones 2.x, 3.x, 4.x y 5.x de este software. Si bien ni Pentest Limited ni la propia Sony han dado información detallada acerca de los errores que provocan estas vulnerabilidades, si han desvelado que uno de ellos se debe a un problema de desbordamiento de búffer, mientras que el otro se debe a un problema de filtrado de entradas que permitiría realizar escaladas de directorios.

La explotación de la primera vulnerabilidad permitiría a un atacante comprometer el sistema ya que podría ejecutar código arbitrario con privilegios de usuario SYSTEM, mientras que la segunda permitiría acceder a información contenida en archivos arbitrarios, con la consiguiente posibilidad de revelar datos potencialmente sensibles.

La compañía recomienda descargar y aplicar el parche oficial (VAIO Media Integrated Server 4.x/5.x Update Program 1.0.00.42120), disponible en la siguiente dirección:
http://www.vaio-link.com/downloads/select/select.asp?l=en

Laboratorio Hispasec
laboratorio@hispasec.com



martes, 15 de agosto de 2006

Publicado Fix Pack 13 para IBM WebSphere Application Server 6.0.2


IBM ha publicado un paquete de actualizaciones para su WebSphere Application Server 6 para servidores AIX que solventa una larga lista de errores, algunos de los cuales tienen implicaciones de seguridad.

IBM Websphere es una plataforma orientada a la prestación de servicios empresariales. Estos sistemas están diseñados para obtener flexibilidad en la infraestructura, facilidad en la integración de software y sistemas, mejores tasas de productividad y una mejora en su adaptabilidad ante amenazas y riesgos externos.

La compañía no se ha prodigado en detalles acerca de la naturaleza de los problemas de seguridad en sí, aunque entre ellos se encuentran exposiciones potenciales de seguridad, descritos en los APAR (Authorized Program Analysis Report) con identificaciones PK22747, PK24334, PK25740 y PK26123 respectivamente. Se puede comprobar también la existencia de una vulnerabilidad que podría permitir acceder al código fuente de archivos JSP (APAR PK23475), además de otros problemas de revelación de información sensible localizados en los archivos de trazas de ffdc (PK24834), y en Trace (PK25568). Finalmente, también se ha encontrado un problema ThreadIdentitySupport (PK25199) que afectaría a mecanismos de autoridad en el servidor.

IBM recomienda aplicar esta actualización a las versiones 6.0.2, 6.0.2.1, 6.0.2.3, 6.0.2.5, 6.0.2.7, 6.0.2.9, o 6.0.2.11 sobre AIX que estén en producción. Las direcciones para descargar este Fix Pack 13 de WebSphere Application Server 6.0.2 para plataformas AIX están disponible en el aviso oficial de compañía:
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24012915


Laboratorio Hispasec
laboratorio@hispasec.com



lunes, 14 de agosto de 2006

Ejecución de código arbitrario en HP OpenView Storage Data Protector


Se ha encotrado una vulnerabilidad en HP OpenView Storage Data Protector que puede ser aprovechada por atacantes no autorizados para comprometer un sistema vulnerable.

HP OpenView Storage Data Protector es un software utilizado principalmente en empresas para la creación y recuperación de copias de seguridad y respaldos. Consta de un servidor central y un agente de backup instalado en los sistemas que van a ser respaldados, y es en este último componente donde se da el problema.

El problema se debe a un fallo combinado de error del mecanismo de autenticación y no validación de los mensajes enviados a los agentes. A la hora de comunicarse con el servidor central de bakcup (Cell Backup), se utiliza un protocolo propietario. Si se manipulan convenientemente algunos campos de este protocolo, es posible enviar comandos arbitrarios a los agentes sin necesidad de autenticación. Los comandos serían ejecutados en los clientes con los privilegios del programa agente.

A no ser que el agente esté expuesto al exterior (situación poco probable), el problema sólo es aprovechable desde una red interna local.

El problema se ha confirmado en las versiones 5.1 y 5.5 de OpenView Storage Data Protector sobre HP-UX, IBM AIX, Linux, Microsoft Windows y Solaris.

Se recomienda aplicar los parches correspondientes según la matriz de actualizaciones publicada por el fabricante en
http://itrc.hp.com/service/cki/docDisplay.do?docId=c00742778


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Vulnerability Issues with HP OpenView Storage Data Protector
http://www.uniras.gov.uk/niscc/docs/re-20060811-00547.pdf?lang=en

domingo, 13 de agosto de 2006

Habemus malware para MS06-040

Esta madrugada del sábado a domingo, antes de que acabe esta segunda semana de mes (la oficial de Microsoft para publicar parches de actualización) ya se han detectado ejemplares de malware que explotan una de las vulnerabilidades solventadas por estos.

El pasado martes, y dentro del marco de su famosa política de publicación mensual de parches, Microsoft publicó una larga lista de boletines que solventaban una lista aún mayor de vulnerabilidades, muchas de ellas clasificadas como críticas. Entre estos boletines nos encontrábamos con uno que, con solo echar un vistazo al contenido, clamaba a gritos ser convertido en vector de ataque para malware: MS06-040.

Este boletín describe una vulnerabilidad en el servicio Server utilizado en los sistemas 2000, XP y 2003. Afectaba a todos ellos, incluso en el caso de XP con su Service Pack 2 instalado, o 2003 con el SP1. Microsoft clasificó la gravedad del impacto sobre todas estas plataformas como crítica, por lo que puede dar a priori una idea de la peligrosidad del asunto.

El servicio Server ofrece un interface RPC (Remote Procedure Call: llamadas a procedimientos remotos) para soporte de impresión de archivos y compartición de pipes con nombre en entornos de red. El problema en sí se debe a un desbordamiento de buffer dentro de este servicio, que en principio podía ser explotado para provocar denegaciones de servicio o incluso para provocar la ejecución remota de código arbitrario.

El propio boletín de Microsoft ya avisaba sobre la especial propensión a sufrir este ataque por parte de plataformas Windows 2000, debido a la naturaleza en sí de la vulnerabilidad. No han pasado más que unos días para ver hecho realidad lo que todos temíamos: ya hay confirmación de la existencia de malware en la red que hace uso de la vulnerabilidad descrita para infectar sistemas afectados.

Ha sido Swa Frantzen, handler del Internet Storm Center de SANS, el encargado de avisar de la presencia de este malware que, en esta ocasión, viene en forma de bot que de momento se ha visto con el nombre 'wgareg.exe' y con un valor hash md5 de 9928a1e6601cf00d0b7826d13fb556f0.

Frantzen utilizó nuestro servicio VirusTotal para comprobar que tal se estaban portando las soluciones antivirus para detectar esta amenaza. Tras enviarlo al servicio, comprobó que sólo 9 de los 27 motores incluidos en el servicio eran capaces de detectarlo, y todos ellos mediante heurísticas.

No hay que confiarse de todas formas sobre este perfil, ya que la gente de LURHQ ha comentado que han detectado la existencia de una variante diferente, con nombre 'wgavm.exe' y valor hash md5 de 2bf2a4f0bdac42f4d6f8a062a7206797 que también está haciendo de las suyas. Dado que usa los mismos servidores de control que el anteriormente nombrado, se sospecha que esta otra variante es una versión precursora de la detectada con nombre 'wgareg.exe'.

Este malware está diseñado para formar parte de una red de bots de los utilizados para, por ejemplo, realizar ataques de denegación de servicio distribuidas (DDoS). Se cree que es una evolución de Mocbot, ejemplar que apareció a finales del año pasado y que explotaba la vulnerabilidad del servicio PNP descrita en el boletín MS05-039. Esta nueva versión es controlada también desde servidores IRC localizados en China. Al igual que los profesionales del Phishing, los creadores de este ejemplar de malware aprovechan la falta de cooperación de las entidades de dicho país a la hora de actuar contra sitios que hospedan contenido malicioso.

No podemos dejar de remarcar la importancia de mantener los sistemas parcheados de forma adecuada, no sólo como protección puntual contra este tipo de amenazas, sino como algo que debe formar parte de las buenas prácticas de seguridad en cualquier entorno corporativo o casero. Los creadores de malware aprovechan la desidia de los administradores y usuarios a la hora de aplicar esta regla para infectar decenas de miles de ordenadores con sus creaciones.

Es muy importante también aplicar una política de defensa en profundidad a la hora de utilizar tecnologías antivirus en entornos corporativos. La planificación y aplicación de políticas y procedimientos sólidos y coherentes con cada entorno particular es uno de los puntos importantes que destacamos durante nuestras actividades de auditoría y consultoría en este campo. Es recomendable, por ejemplo, el uso de al menos dos soluciones antivirus de casas diferentes para complementar las capacidades de ambas y así minimizar en lo posible el riesgo de una infección dentro de las redes.

Para luchar contra esta amenaza en concreto, también existen firmas de SNORT que detectarían la presencia de la amenaza en entornos infectados. Hay ya unas escritas y disponibles para su uso, y que pueden ser encontradas en el enlace que incluimos al pie de este una-al-día, concretamente en el aviso de LURHQ.

Julio Canto
jcanto@hispasec.com


Más información:
----------
Doce boletines de seguridad de Microsoft en agosto
http://www.hispasec.com/unaaldia/2846

Vulnerability in Server Service Could Allow Remote Code Execution (921883)
http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx

MS06-040 exploit in the wild
http://isc.sans.org/diary.php?storyid=1592

Mocbot/MS06-040 IRC Bot Analysis
http://www.lurhq.com/mocbot-ms06040.html

Microsoft Security Advisory (922437): Exploit Code Published Affecting the Server Service
http://www.microsoft.com/technet/security/advisory/922437.mspx

VirusTotal
http://www.virustotal.com

Wikipedia: Botnets
http://es.wikipedia.org/wiki/Botnet

sábado, 12 de agosto de 2006

Vulnerabilidades en SAP Internet Graphics Service

Según la información suministrada por el investigador Mariano Nuñez Di Croce, el equipo de CYBSEC ha descubierto dos importantes vulnerabilidades en SAP IGS (Internet Graphiscs Service) que han sido confirmadas por el fabricante.

SAP Internet Graphics Service (IGS) es un componente del servidor de aplicaciones SAP Web Application Server, frecuentemente utilizado para poder generar salida gráfica a los parámetros de operación del ERP. Usos habituales de IGS comprenden desde la elaboración de diagramas mediante Chart Engine o Chart Designer hasta casuísticas más especializadas, como los sistemas de información georgráfica, a través de Business Information Warehouse. IGS es también el motor básico para la conversión de formatos de imágenes y gráficos.

En el primer caso, un error de diseño permitiría a los atacantes la conducción de un ataque de denegación de servicio. Para ello bastaría con suministrar al servidor de imágenes una petición HTTP especialmente conformada, lo que podría desembocar en el colapso total del servidor, con los consiguientes perjuicios relacionados con la continuidad.

Las versiones afectadas son SAP IGS 6.40 con Patchlevel 15 e inferiores, así como SAP IGS 7.00 con Patchlevel 3 e inferiores. Habida cuenta de que IGS es un componente multiplataforma, se confirma el estado de vulnerabilidad en las principales plataformas derivadas de UNIX empleadas con habitualidad para servir vía SAP: AIX 64, HP-UX IA64 64bit, HP-UX PA-RISC 64bit, Linux IA64 64bit, Linux Power 64bit, Linux x86_64 64bit, Linux zSeries 64bit, OS/400 V5R2M0, Solaris SPARC 64bit y TRU64 64bit

Desde la versión 6.30 de SAP Web Application Server, IGS se encuentra activado por defecto en todas las configuraciones base. La posibilidad de ejecutar este ataque de forma remota confiere a la vulnerabilidad un estatus de criticidad elevada.

El segundo problema descubierto permitiría, bajo ciertas condiciones, aprovechar un error de diseño para forzar un desbordamiento de búfer. Las versiones afectadas son las mismas que en el caso anterior, añadiéndose a las plataformas vulnerables las variantes Microsoft: * Windows Server IA32 32bit, Windows Server IA64 64bit y Windows Server x64 64bit.

El impacto de esta vulnerabilidad depende de la plataforma, si bien en ambos casos es extraordinariamente crítico. En derivados UNIX, es posible la ejecución remota de código arbitrario con los privilegios que competen a la cuenta (adm) de administración, lo que prácticamente pone a los pies de los atacantes la infraestructura completa de SAP. En el caso de Windows los privilegios alcanzados corresponden a una cuenta de sistema LocalSystem, que permite igualmente tomar control ilegítimo de la infraestructura.

Los detalles concretos de ambas vulnerabilidades serán revelados por completo en el plazo de 3 meses, siguiendo así la política de revelación acordada con el fabricante, para tratar de impedir al máximo que los atacantes dispongan de datos suficientes e inmediatos para poder explotar los problemas documentados.

Los administradores SAP deben recurrir, para obtener más información, al boletín emitido por la compañía. La referencia asignada es SAP Note 968423. Es recomendable, dada la criticidad habitual de estos despliegues, efectuar las actualizaciones de la mano del servicio de soporte de la compañía.

Sergio Hernando
shernando@hispasec.com



viernes, 11 de agosto de 2006

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines de agosto publicado esta semana por
Microsoft y del que efectuamos un adelanto el pasado martes, se cuenta
el anuncio (en el boletín MS06-042) de una actualización acumulativa
para Internet Explorer, que además solventa un total de ocho nuevas
vulnerabilidades descubiertas en las versiones 5.01 y 6 del navegador.

Las vulnerabilidades corregidas son las siguientes:

* Revelación de información por problemas con redirección de dominios:
se ha descubierto una vulnerabilidad de revelación de información
debida a la forma en la que trata los redireccionamientos. Un atacante
puede explotar esta vulnerabilidad construyendo una página web, que si
es visitada por la víctima, permitiría al usuario malicioso leer datos
de archivos de una página web en otro dominio del navegador. Esta otra
página debe usar codificación gzip u otro tipo de compresión soportada
por Explorer para que la explotación se realice con éxito. Esta otra
página debe estar además cacheada en el cliente de la víctima.

* Corrupción de memoria por error en posicionamiento de HTML: se ha
descubierto una vulnerabilidad de ejecución remota de código debido a
la forma en la que Internet Explorer interpreta HTML con ciertas
combinaciones de posicionamiento de disposición. Un atacante puede
explotar la vulnerabilidad construyendo una página maliciosa que
provocaría la ejecución remota de código si es visualizada por la
víctima.

* Corrupción de memoria en tratamiento de CSS: se ha descubierto una
vulnerabilidad de ejecución de código remoto debido a la forma en la
que Internet Explorer trata los CSS (Cascading Style Sheets)
encadenados. Un atacante puede explotar la vulnerabilidad construyendo
una página web maliciosa que si es visitada por la víctima, provocaría
en el sistema de la víctima la ejecución de código arbitrario.

* Corrupción de memoria en interpretación de HTML: se ha descubierto
una vulnerabilidad de ejecución remota de código arbitrario debida a
la forma en la que Internet Explorer interpreta el HTML con ciertas
combinaciones de composición. Un atacante puede explotar la
vulnerabilidad construyendo una página web maliciosa que, si es
visitada por la víctima, provocaría la ejecución remota de código en
el sistema de esta.

* Corrupción de memoria por instanciación de objetos COM: se ha
descubierto una vulnerabilidad de ejecución remota de código debido a
la forma en la que Internet Explorer instancia objetos COM que no
fueron diseñados para ser instanciados por el mismo. Un atacante puede
explotar la vulnerabilidad construyendo una página web maliciosa que
provocaría la ejecución de código arbitrario si es visualizada por la
víctima.

* Vulnerabilidad cross-domain en elemento fuente: se ha descubierto
una vulnerabilidad en Internet Explorer debido a la forma en la que
trata las redirecciones que puede ser explotada para acceder a
información o para realizar ejecución remota de código. Un atacante
puede explotar la vulnerabilidad construyendo una página maliciosa que
si es visitada por la víctima, le permitiría leer archivos de una
página web en un dominio diferente de Internet Explorer. En el caso de
Windows 2000 SP4 y Windows XP SP1, el atacante puede explotar la
vulnerabilidad para provocar la ejecución remota de código si la
víctima visualiza la página maliciosa.

* Revelación de información de posición de ventana: se ha descubierto
una vulnerabilidad de revelación de información debido a que un script
puede persistir entre distintas navegaciones en Internet Explorer para
conseguir así acceso a la localización de una ventana en otro dominio
o zona de Internet Explorer. Un atacante puede explotar la
vulnerabilidad construyendo una página web maliciosa que revelaría
dicha información si la víctima la visita.

* Inyección de comandos a servidores FTP: se ha detectado una
vulnerabilidad de escalada de privilegios debida a la forma en la que
Internet Explorer trata ciertos enlaces a FTP que contiene caracteres
de salto de línea. Un atacante puede explotar esta vulnerabilidad
construyendo una página que permitiría al atacante mandar comandos a
un servidor FTP si el usuario pulsa sobre el enlace FTP. Si el
atacante realiza el ataque con éxito, podrá enviar comandos al
servidor como si fuera el usuario víctima.

Actualice los sistemas afectados mediante Windows Update o descargando
los parches desde las siguientes direcciones:
* Internet Explorer 5.01 Service Pack 4 sobre Microsoft Windows 2000
Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0DE3F143-19A6-4F22-B53B-B6A7DA33DAF4
* Internet Explorer 6 Service Pack 1 sobre Microsoft Windows 2000
Service Pack 4 o sobre Microsoft Windows XP Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B5F17679-3AA5-4D66-A81E-F990FD0B48D2
* Internet Explorer 6 para Microsoft Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CDB85BCA-0C17-44AA-B74E-F01B5392BB31
* Internet Explorer 6 para Microsoft Windows Server 2003 y Microsoft
Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=20288DA2-A308-45C6-BD80-C68C997529BD
* Internet Explorer 6 para Microsoft Windows Server 2003 para sistemas
Itanium y Microsoft Windows Server 2003 con SP1 para sistemas Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=663F1E83-BDC0-4EC6-A263-398E7222C9B5
* Internet Explorer 6 para Microsoft Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5C2A23AC-3F2E-4BEC-BE16-4B45B44C6346
* Internet Explorer 6 para Microsoft Windows XP Professional x64
Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0CE7F66D-4D83-4090-A034-9BBE286D96FA


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin MS06-042
Cumulative Security Update for Internet Explorer (918899)
http://www.microsoft.com/technet/security/Bulletin/MS06-042.mspx

jueves, 10 de agosto de 2006

Desbordamiento de búffer en ClamAV por error en tratamiento de archivos UPX

Se ha descubierto una vulnerabilidad en Clam Antivirus que puede ser explotada por atacantes remotos para provocar denegaciones de servicio o incluso el compromiso de sistemas afectados.

La vulnerabilidad, descubierta por el investigador Damian Put, se debe a un problema en el tratamiento de archivos ejecutables PE empaquetados con UPX.

Clam AntiVirus es un motor antivirus gratuito y de código abierto. Mayormente utilizada en entornos UNIX, fue diseñada para su uso integrado con servidores de correo, analizando los mensajes que éstos procesan, incluyendo los adjuntos que éstos puedan llevar consigo.

El formato PE (Portable Executable) es el nativo de las plataformas Windows para ejecutables y DLLs. Básicamente, se trata de una estructura de datos que encapsula la información necesaria para que las distintas versiones de Windows puedan ejecutar el código propiamente dicho.

UPX (Ultimate Packer for eXecutables) es un empaquetador de ejecutables Open Source que soporta una buena cantidad de formatos de archivo. Si bien su funcionalidad es neutra, suele ser bastante frecuente encontrar malware empaquetado con diversas versiones de esta potente herramienta.

La vulnerabilidad en sí se debe a un error en la función 'pefromupx()', localizado en el archivo fuente 'libclamav/upx.c'. Esta función es la encargada de extraer el archivo Win32 PE del original empaquetado con UPX. Un error de comprobación de tamaños de variable utilizadas durante este proceso puede ser explotado - mediante la construcción de un archivo UPX especialmente formado a tal efecto - para provocar un desbordamiento de búffer basado en heap. Este desbordamiento puede llevar a una condición de denegación de servicio (cese de la ejecución del servicio en sí) o incluso a la ejecución de código arbitrario en el sistema afectado.

La vulnerabilidad, que fué detectada en las versiones 0.88.2 y 0.88.3, ha sido solventada en la 0.88.4, disponible para su descarga en la siguiente dirección:
http://www.clamav.net/stable.php#pagestart


Julio Canto
jcanto@hispasec.com



miércoles, 9 de agosto de 2006

Doce boletines de seguridad de Microsoft en agosto

Como cada segundo martes de mes, Microsoft ha publicado sus ya
habituales boletines de seguridad. Y una vez más se demuestra que para
la seguridad no existen vacaciones de verano, en este mes de agosto se
han anunciado doce nuevos boletines (MS06-040 al MS06-051). Según la
propia clasificación de Microsoft nueve de los nuevos boletines
presentan un nivel de gravedad "crítico" y los otros tres reciben
la calificación de "importante".

Es por tanto, importante conocer la existencia de estas
actualizaciones, evaluar el impacto de los problemas y aplicar
las actualizaciones en la mayor brevedad posible. Este es un boletín
de urgencia en el que describimos superficialmente cada uno de los
nuevos boletines de seguridad de Microsoft. En los próximos días
publicaremos otros boletines donde analizaremos más detalladamente
las actualizaciones más importantes.

* MS06-040: Evita una vulnerabilidad en el servicio Server que puede ser
explotada por usuarios maliciosos para comprometer sistemas afectados.
Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado
como "crítico".

* MS06-041: Se trata de una actualización para evitar dos vulnerabilidades
en Winsock y el servicio cliente DNS que pueden ser explotadas por
usuarios maliciosos para comprometer los sistemas afectados. Afecta
a Windows 2000, Windows XP y Windows Server 2003. Está calificado como
"crítico".

* MS06-42: Actualización acumulativa para Microsoft Internet Explorer
que además soluciona ocho nuevas vulnerabilidades que podrían permitir
la ejecución remota de código arbitrario. Según la calificación de
Microsoft está calificado como "crítico". Afecta a Internet Explorer
5.01 e Internet Explorer 6.

* MS06-043: Evita una vulnerabilidad de ejecución remota de código en
Outlook Express 6 para Windows XP y Windows Server 2003. También
recibe una calificación de "crítico".

* MS06-044: Se trata de una actualización para Windows 2000 debido
a que se ha detectado una vulnerabilidad de cross-site scripting con
redirección que puede ser explotada por usuarios remotos para lograr
la ejecución de código. Recibe el nivel de "Crítico".

* MS06-045: En este boletín se anuncian los parches de actualización
necesarios para solventar una vulnerabilidad con los GUID de carpetas
que permitiría que podrían permitir la ejecución remota de código
arbitrario. Afecta a Windows 2000, Windows XP y Windows Server 2003.
Está calificado como "importante".

* MS06-046: Destinado a solucionar un error de desbordamiento de búfer
en el control ActiveX HTML Help. Afecta a Windows 2000, Windows XP y
Windows Server 2003. Está calificado como "crítico".

* MS06-047: Soluciona una vulnerabilidad en diferentes versiones de
Office y Works Suite en Visual Basic for Applications que puede ser
explotada para lograr la ejecución remota de código arbitrario. Está
calificado como "crítico". Office 2000, Project 2000, Access 2000,
Office XP, Project 2002, Visio 2002, Microsoft Works Suites (2004,
2005 y 2006), Visual Basic for Applications SDK 6.x.

* MS06-048: Corrige dos vulnerabilidades en Power Point que podrían
permitir la ejecución remota de código. Afecta a Office 2000, 2003 y XP;
y a PowerPoint 2000, 2002 y 2003. Microsoft lo califica como "crítico".

* MS06-049: Informa sobre una actualización para Windows 2000 debido a
una vulnerabilidad en su kernel que puede ser explotada por usuarios
locales para realizar escaladas de privilegios. Según la calificación
de Microsoft recibe un nivel de "crítico".

* MS06-050: En este boletín se presenta una actualización de seguridad
para diversas versiones de Windows (2000, XP y 2003) destinados a
solventar dos vulnerabilidades detectadas en la Hyperlink Object Library.
Microsoft califica esta actualización como "importante".

* MS06-051: En este boletín se presentan dos vulnerabilidades en el
núcleo de Windows podrían permitir la elevación de privilegios y la
ejecución de código. Según la calificación de Microsoft recibe el
nivel de "importante". Afecta a Windows 2000, Windows XP y Windows
Server 2003.

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS06-040
Vulnerability in Server Service Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx

Microsoft Security Bulletin MS06-041
Vulnerability in DNS Resolution Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-041.mspx

Microsoft Security Bulletin MS06-042
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/Bulletin/MS06-042.mspx

Microsoft Security Bulletin MS06-043
Vulnerability in Microsoft Windows Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-043.mspx

Microsoft Security Bulletin MS06-044
Vulnerability in Microsoft Management Console Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-044.mspx

Microsoft Security Bulletin MS06-045
Vulnerability in Windows Explorer Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-045.mspx

Microsoft Security Bulletin MS06-046
Vulnerability in HTML Help Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-046.mspx

Microsoft Security Bulletin MS06-047
Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-047.mspx

Microsoft Security Bulletin MS06-048
Vulnerabilities in Microsoft Office Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-048.mspx

Microsoft Security Bulletin MS06-049
Vulnerability in Windows Kernel Could Result in Elevation of Privilege
http://www.microsoft.com/technet/security/Bulletin/MS06-049.mspx

Microsoft Security Bulletin MS06-050
Vulnerabilities in Microsoft Windows Hyperlink Object Library Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-050.mspx

Microsoft Security Bulletin MS06-051
Vulnerability in Windows Kernel Could Result in Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-051.mspx

martes, 8 de agosto de 2006

Nueva generación de gusanos para "teléfonos Windows"

Hasta la fecha la mayoría de gusanos para teléfonos móviles estaban
dirigidos a la plataforma mayoritaria, Symbian. Además actuaban de
forma similar a los gusanos de correo electrónico: para infectar un
sistema requerían de la intervención del usuario, quién debía aceptar
el mensaje, abrirlo y ejecutar el adjunto.

Durante la DefCon de este año hemos podido ver una novedad en este
terreno de la mano de Collin Mulliner, quién ha demostrado, entre
otros ataques, como es posible desarrollar un gusano que infecta los
dispositivos móviles de forma automática y transparente, sin la
necesidad de que el usuario intervenga.

La prueba de concepto ha sido posible gracias a una vulnerabilidad
en el procesamiento de mensajes MMS (Multimedia Messaging Service)
en la plataforma Windows CE. En concreto aprovecha un desbordamiento
de buffer en el procesamiento de archivos SMIL (Synchronized
Multimedia Integration Language) que permite ejecutar código
arbitrario.

A efectos prácticos, el usuario puede ser infectado al visualizar
un mensaje MMS, sin necesidad de que ejecute ningún archivo adjunto.

Symantec, tras el aviso de Cullin, se ha apresurado a anunciar que a
finales de 2005 su equipo de analistas también detectaron diversos
desbordamientos de buffer en Windows CE 5 / Windows Mobile, y que
en breve presentarán los resultados de su investigación.

La realidad es que, de momento, los gusanos que han tenido cierta
repercusión en la telefonía móvil han estado diseñados para la
plataforma Symbian. La presentación en la DefCon, aunque demuestra
el riesgo potencial existente, no deja de ser una prueba de concepto,
un experimento de laboratorio.

Sin embargo el aumento de dispositivos móviles basados en Windows CE
y la publicación de estas vulnerabilidades podría ser el caldo de
cultivo para el comienzo de una nueva generación de gusanos para la
plataforma móvil de Microsoft.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Advanced Attacks Against PocketPC Phones or getting 0wnd by MMS
http://www.mulliner.org/pocketpc/CollinMulliner_defcon14_pocketpcphones.pdf

Remote Code Execution on Windows Mobile Demonstrated
http://www.symantec.com/enterprise/security_response/weblog/2006/08/remote_code_execution_on_windo.html

lunes, 7 de agosto de 2006

Denegación de servicio en Microsoft Windows por tratamiento de WMF

Se ha descubierto una vulnerabilidad en diversas versiones de
Microsoft Windows que puede ser explotada por usuarios maliciosos para
provocar denegaciones de servicio.

El problema se debe a un error en el tratamiento de signos localizado
en la librería DDL cliente de GDI (gdi32.dll) a la hora de procesar
archivos de tipo WMF. Un atacante puede explotar esto para tirar una
aplicación que use dicha librería (por ejemplo. el explorador de Windows)
si consigue engañar a la víctima para que visualice un WMF malicioso.

La vulnerabilidad ha sido confirmada en un Windows XP SP2 totalmente
parcheado, y no se descarta que afecte a otras versiones de Windows.

Hasta que se publique un parche oficial que solvente este problema, se
recomienda no abrir archivos WMF que no provengan de fuentes de
confianza.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Windows GDI Library WMF Image Handling Remote Denial of Service Vulnerability
http://www.frsirt.com/english/advisories/2006/3180

domingo, 6 de agosto de 2006

Menos de sesenta segundos para tomar el control de un MacBook

El miércoles se realizó la esperada conferencia en el Black Hat 2006
donde, aprovechando vulnerabilidades en el controlador de dispositivo
WiFi, se obtenía el pleno control de un equipo.

Tal como adelantamos a mediados de julio, una de las conferencias
previstas en la edición 2006 de Black Hat resultaba, a priori, muy
interesante: unos investigadores anunciaban el descubrimiento,
aplicando técnicas de fuzzing, de centenares de vulnerabilidades
de seguridad en los controladores de redes inalámbricas. Algunas
de estas vulnerabilidades podían utilizarse para obtener el
control remoto de los ordenadores.

El miércoles se realizó la presentación. La primera curiosidad fue su
formato: con la excusa de evitar que cualquier asistente interceptara
el tráfico y pudiera descubrir el funcionamiento del exploit, la
presentación se hizo a través de vídeo.

La configuración era muy simple: un portátil Dell ejecutando Linux y
actuando como Punto de Acceso de una red inalámbrica y un portátil
Apple MacBook conectado a esa red WiFi.

Una vez establecido el enlace inalámbrico, desde el portátil Dell se
lanzó el ataque; en pocos segundos se obtenía un acceso al sistema
operativo Mac OS X, con privilegios de administrador y capacidad
para acceder, crear y borrar cualquier archivo del sistema.

La originalidad del ataque es que no aprovecha vulnerabilidades del
sistema operativo. Éstas se encuentran en el código del controlador
de dispositivo de la tarjeta y son consecuencia, por un lado, de la
complejidad en la implementación de los diversos protocolos utilizados
por las redes inalámbricas, así como por la presión existente para que
los fabricantes de hardware presenten productos de forma rápida.

Tampoco es un problema específico de los equipos que ejecuten el
sistema operativo Mac OS X. Los investigadores afirmaron que habían
detectado problemas similares en otras tarjetas, lo que también les
había permitido obtener acceso a portátiles que ejecuten Windows y
Linux. El objetivo de realizar la demostración con un MacBook era
ilustrar como los usuarios de estos equipos son, como el resto,
víctimas potenciales... a pesar de la aureola de seguridad que
tradicionalmente ha acompañado al mundo Mac OS.

Aunque para la realización de esta prueba de concepto, el equipo
atacado estaba conectado directamente al equipo atacante, los
investigadores afirmaron que también se puede realizar el ataque
de forma pasiva, sin necesidad de establecer una conexión entre
los equipos.

Unas pocas horas antes de la realización de la presentación, Intel
presentó una actualización del controlador para Windows de las
tarjetas WiFi incluidas en las placas base con procesador Centrino.
Aunque no está confirmado, parece que las vulnerabilidades corregidas
por Intel son precisamente las utilizadas en este tipo de ataque.
Por su parte, Apple está trabajando con los investigadores que han
realizado la demostración para corregir las vulnerabilidades.


Xavier Caballé
xavi@hispasec.com


Más información:

Hijacking a Macbook in 60 Seconds or Less (incluye el video de la
presentación)
http://blog.washingtonpost.com/securityfix/2006/08/hijacking_a_macbook_in_60_seco.html

You're Own3d! Wi-Fi driver hack attack demoed!
http://www.theregister.co.uk/2006/08/03/wifi_driver_hack/

Black Hat: MacBook hit with wireless hack
http://www.networkworld.com/news/2006/080306-black-hat-macbook-hit-with.html

Intel issues patches for wireless vulnerabilities
http://www.networkworld.com/news/2006/080206-intel-issues-patches-for-wireless.html

My Guess on the Wi-Fi exploit
http://wifinetnews.com/archives/006825.html

Vulnerabilitats als controladors de dispositiu WiFi (més detalls)
http://www.quands.cat/2006/08/04.html#a7606

Una-al-día (16/07/2006): "Secuestro de un portátil a través de las
vulnerabilidades en los controladores de dispositivo"
http://www.hispasec.com/unaaldia/2822

Colándose en un MacBook en menos de un minuto
http://blog.hispasec.com/laboratorio/147

sábado, 5 de agosto de 2006

Actualización de PHP 4 para solventar diversos problemas de seguridad

Se ha publicado una versión nueva de PHP 4 debido a que se han
solventado algunos problemas de seguridad detectados en versiones
anteriores a la 4.4.3.

* La nueva versión no permite el uso de ciertos caracteres en nombres
de sesión
* Se ha solventado un problema de desbordamiento de búfer en la
función wordwrap()
* Se evita el salto a directorios padre usando el segundo parámetro de
la función tempnam()
* Se ha mejorado la comprobación safe_mode para la función error_log()
* Se ha corregido una vulnerabilidad XSS dentro de la función
phpinfo()
* Se ha corregido la validación de desplazamientos y tamaños de
parámetros en la función substr_compare()

Se recomienda actualizar a la versión 4.4.3, disponible en la
siguiente dirección:
http://www.php.net/downloads.php


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PHP 4.4.3. Release Announcement
http://www.php.net/release_4_4_3.php

viernes, 4 de agosto de 2006

Nuevos contenidos en CriptoRed (julio de 2006)

Breve resumen de las novedades producidas durante el mes de julio
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA de JUNIO y JULIO

* PKI, AES y DES
http://www.criptored.upm.es/paginas/docencia.htm#gtletraP

* Seguridad en Servidores Web
http://www.criptored.upm.es/paginas/docencia.htm#gtletraS

* Modelo para la Creación de un Grupo de Respuesta a Incidentes de
Seguridad Informática Gubernamental Central en América Latina
http://www.criptored.upm.es/paginas/docencia.htm#gtletraM

* Una Guía Metodológica para el Cálculo del Retorno de la Inversión
en Seguridad Informática: Un Caso de Estudio (Tesis de Grado)
http://www.criptored.upm.es/paginas/investigacion.htm#tesis

* Solución Examen Seguridad Informática EUI-UPM Junio 2006
http://www.criptored.upm.es/paginas/docencia.htm#examenes

* Computer Security and Cryptography e-Book version 4.0 (Inglés)
http://www.criptored.upm.es/paginas/docencia.htm#librose

OTROS SERVIDORES:

* Ponencias la Jornada ISO 27001 (Málaga, España)
http://www.nexusasesores.com/noticia.php?idNoticia=30

* Revista Sistemas: Número dedicado a Seguridad y Computación
Forense (Colombia)
http://www.acis.org.co/index.php?id=777

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Agosto 7 al 10 de 2006: International Conference on Security
and Cryptography SECRYPT 2006 (Setúbal - Portugal)
http://www.secrypt.org/

* Agosto 20 al 25 de 2006: Security Stream World Computer Congress
de IFIP (Santiago - Chile)
http://www.wcc-2006.org/

* Agosto 30 a septiembre 2 de 2006: First International Workshop
on Critical Information Infrastructures Security (Samos - Grecia)
http://critis06.lcc.uma.es/

* Septiembre 7 al 9 de 2006: IX RECSI Reunión Española de Criptología
y Seguridad de la Información (Barcelona - España)
https://www.recsi2006.org/

* Septiembre 18 al 22 de 2006: Encuentro Mexicano de Computación
ENC 2006 (San Luis Potosí - México)
http://enc.smcc.org.mx/

* Septiembre 19 de 2006: European Workshop on Technological &
Security Issues in Digital Rights Management (Hamburgo - Alemania)
http://eudirights06.lcc.uma.es/

* Septiembre 20 de 2006: 2nd International Workshop on Security and
Trust Management STM'06 (Hamburgo - Alemania)
http://www.hec.unil.ch/STM06/index.htm

* Septiembre 27 al 29 de 2006: Collaborative Electronic Commerce
Technology and Research CollECTeR LatAm (Valparaíso - Chile)
http://www.collecter-latam.org/index.php

* Octubre 4 al 6 de 2006: Segundo Encuentro Internacional de Hackers
U-Manizales Con 2 (Manizales - Colombia)
http://www.umanizales.edu.co/umc2/

* Noviembre 14 al 17 de 2006: Primer Congreso Mexicano de Seguridad
Informática MCIS/COMSI 2006 (Oaxaca - México)
http://lssd.esimecu.ipn.mx/comsi/

* Noviembre 28 a diciembre 1 de 2006: IV Congreso Internacional de
Telemática y Telecomunicaciones CITTEL ‘2006 (La Habana - Cuba)
http://www.cujae.edu.cu/eventos/cittel/

* Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad
en Tecnologías de Información y Comunicaciones (La Habana - Cuba)
http://www.segurmatica.com/descargas12_1/informatica2007.doc

Puedes encontrar más información sobre estos eventos en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

CONGRESOS EN IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE JUNIO Y JULIO DE 2006

* CFP European Workshop on Technological & Security Issues in
Digital Rights Management
http://eudirights06.lcc.uma.es/

* Curso de Digital Rights Management DRM en Smart University '06
(Riviera Francesa)
http://www.strategiestm.com/conferences/smartuniv/06/programme-6_drm.htm

* Primer OWASP Open Web Application Security Project Spain Chapter
Meeting (España)
http://www.owasp.org/index.php/Spain

* Creada la Cátedra Applus+ de Seguridad y Desarrollo de la Sociedad
de la Información en la UPM
http://www.capsdesi.upm.es/

* Premio al Mejor Trabajo en Categoría Administración de Riesgos
Informáticos de AGSI
http://agsi-org.com.ar/?q=taxonomy/page/or/6

* Alta en la Red de la Escuela Superior Politécnica de Chimborazo
(Ecuador)
http://www.criptored.upm.es/paginas/instituciones.htm#ecuador

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 590
(167 universidades; 207 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 43.695 visitas, 122.018 páginas solicitadas y 38,71
GigaBytes servidos en julio de 2006 (datos estimados al 26 de julio)
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

julio de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#jul06