sábado, 30 de septiembre de 2006

Cuatro problemas de seguridad en OpenSSL

Se han descubierto varios problemas de seguridad en OpenSSL. La librería
OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL
y TLS, y que es utilizada por multitud de programas, tanto para
implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus
componentes criptográficos individuales (funciones de cifrado y "hash",
generadores de claves, generadores pseudoaleatorios, etc).

OpenSSL sufrió también una grave vulnerabilidad descubierta a principios
de septiembre y que permitía la falsificación de firmas RSA, después de
casi un año (octubre de 2005) sin actualizaciones por problemas de
seguridad, y casi tres (octubre de 2003) sin errores graves. En esta
ocasión los fallos, calificados como de criticidad alta, son:

A la hora de interpretar ciertas estructuras ASN.1 inválidas, no se
maneja adecuadamente una condición de error. Esto termina en un bucle
infinito que consume la memoria del sistema. Se ve afectado cualquier
código que utilice OpenSSL para interpretar datos ASN.1 desde fuentes
no confiables. Esto incluye servidores SSL que activen la autenticación
de clientes y aplicaciones S/MIME. Esto no afecta a versiones anteriores
a la 0.9.7.

Existe un desbordamiento de memoria intermedia en la función
SSL_get_shared_ciphers, utilizada por exim y mysql, por ejemplo. Un
atacante podría enviar datos que harían que la memoria se desbordara.

Existe una posible denegación de servicio en el código de cliente SSLv2.
Si una aplicación cliente utiliza OpenSSL para realizar una conexión
SSLv2 a un servidor especialmente manipulado, este servidor podría hacer
que el cliente dejase de responder.

Por último, ciertos tipos de clave pública pueden tomar demasiado
tiempo de computación. Esto puede ser usado por atacantes para provocar
una denegación de servicio.

Se recomienda actualizar a 0.9.7l o posterior para la rama OpenSSL 0.9.7.
Se recomienda actualizar a 0.9.8d o posterior para la rama OpenSSL 0.9.8.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

New OpenSSL releases are now available to correct four security
issues.
http://www.openssl.org/news/secadv_20060928.txt

viernes, 29 de septiembre de 2006

Denegación de servicio a través de bloques idénticos en OpenSSH 3.x y 4.x

Se ha encontrado un problema de seguridad en OpenSSH que puede ser
aprovechado por atacantes remotos para provocar una denegación de servicio.

OpenSSH es una versión gratuita, ampliamente utilizada, de SSH (Shell
Seguro) que reemplaza protocolos como Telnet, Ftp, Rsh, etc, empleando
cifrado, por lo que es resistente a técnicas como la monitorización de
red, escucha y ataques de secuestro de comunicación.

El fallo se debe a un error en el manejo de múltiples bloques idénticos
en un paquete SSH durante la función de detección de ataque CRC. Si se
tiene habilitado el protocolo SSH versión 1, esto puede ser aprovechado
para provocar una denegación de servicio que consume todos los recursos
de CPU si se envía un paquete especialmente manipulado con bloques
idénticos.

Se puede modificar directamente el código fuente con las instrucciones
disponibles desde:

http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/deattack.c.diff?r1=1.29&r2=1.30&sortby=date&f=h

http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/packet.c.diff?r1=1.143&r2=1.144&sortby=date&f=h

http://www.openbsd.org/cgi-bin/cvsweb/src/usr.bin/ssh/deattack.h.diff?r1=1.9&r2=1.10&sortby=date&f=h


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

CVE-2006-4924 openssh DoS
https://bugzilla.redhat.com/bugzilla/show_bug.cgi?id=207955

jueves, 28 de septiembre de 2006

Nuevas vulnerabilidades en Internet Explorer y PowerPoint

Coincidencia o no, apenas unas horas después de que Microsoft publicara
su parche oficial que corrige la vulnerabilidad VML, ha aparecido una
nueva forma de ejecutar código arbitrario de forma inadvertida para el
usuario de Internet Explorer. Por si fuera poco, simultáneamente
Microsoft ha confirmado una grave vulnerabilidad en PowerPoint.

En julio de 2006, HD Moore se propuso hacer pública una vulnerabilidad
cada día que afectase a navegadores. Debido a su partición en el
proyecto Metasploit, dice poseer una amplia colección de errores, y
bautizó a ese mes como el de los bugs en navegadores. Eligió y publicó
una muestra cada uno de sus 31 días. Aunque no se centró en Internet
Explorer, sí que es cierto que la mayoría le afectaban. Muchos no eran
más que "simples" formas de hacer que el navegador mordiese el polvo
(dejase de responder o acaparase todos los recursos), pero otros
quedaron como posibles métodos de ejecución de código.

El día 17 de julio publicó un fallo relacionado con el método setSlice()
del navegador que fue calificado en un principio como denegación de
servicio. Sin embargo, el día 27 de septiembre aparece una forma de
aprovecharlo para ejecutar código. No deja de ser más que destacable la
"casualidad" de que surja un nuevo agujero de seguridad en Internet
Explorer horas después de que oficialmente se cierre otro. Hace ya meses
que Microsoft no hace más que sofocar fuegos (más o menos a tiempo,
siempre discutible) para que se prenda otra llama que permita nuevos
ataques. Parece como si los atacantes esperasen pacientemente a que se
corrija una vulnerabilidad, aprovechándola al máximo, para echar mano de
otra y volver a infectar sistemas.

También como "casualidad" (por la coincidencia en el tiempo), Microsoft
ha publicado un aviso de seguridad oficial en el que afirma que existe
una vulnerabilidad en PowerPoint (en todas sus versiones, incluso para
Mac) que permite la ejecución de código arbitrario. Este fallo se está
aprovechado activamente para la instalación de malware. Después
de algunos errores cometidos por casas antivirus, en los que se
calificaba como "0 day" vulnerabilidades con cierta solera, esta vez
parece que sí, que el peligro es real y no existe parche.

En realidad, no existe parche oficial para ninguna de estas
vulnerabilidades. Para Internet Explorer, se recomienda desactivar la
ejecución de componentes ActiveX en el navegador, si es posible usar
alternativas (cada vez más necesario) o utilizar la aplicación con
mínimos privilegios. Para PowerPoint, igualmente cabe la posibilidad de
usar alternativas (OpenOffice.org se presenta como perfecta candidata),
la edición Viewer de PowerPoint para abrir documentos no solicitados o
sospechosos o también protegerlo con mínimos privilegios. En ambos casos
siempre es necesario mantener un sistema antivirus actualizado.

En estos momentos, para Microsoft existen cuatro vulnerabilidades más
o menos recientes y que permiten ejecutar código (y además se está
haciendo). Una en Word (conocida públicamente desde el día 5 de
septiembre), dos en Internet Explorer (una desde el 13 de septiembre
y la que acabamos de describir) y otra en PowerPoint (también recién
descubierta).

Con esta tendencia, Microsoft se enfrenta a un grave problema y todavía
le queda un duro trabajo por hacer. Los usuarios finales y
administradores sufren las consecuencias, y debe ser más que complejo y
agotador el poder llevar la cuenta de las aplicaciones vulnerables, las
contramedidas efectivas y los fallos corregidos. Sin duda ellos se
llevan la peor parte.


Sergio de los Santos
ssantos@hispasec.com


Más información:

MoBB #18: WebViewFolderIcon setSlice
http://browserfun.blogspot.com/2006/07/mobb-18-webviewfoldericon-setslice.html

Vulnerability in PowerPoint Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925984.mspx

19/09/2006 Contramedidas prácticas para las últimas vulnerabilidades de
Microsoft
http://www.hispasec.com/unaaldia/2887

miércoles, 27 de septiembre de 2006

Publicado parche oficial para la vulnerabilidad VML

Como ya se intuía tras las declaraciones de Scott Deacon en el blog
oficial de Microsoft, se ha publicado fuera del ciclo mensual habitual
un parche para la grave vulnerabilidad VML de Internet Explorer.

El parche (que acompaña al boletín MS06-055) está disponible para todas
las versiones actuales del navegador, y puede ser descargado a través de
los canales habituales. Bien desde la página oficial de la compañía o
automáticamente vía WindowsUpdate.com y actualizaciones automáticas.
Recordemos que el fallo se da en la funcionalidad VML (Vector Markup
Language) de Internet Explorer, y permite la ejecución de código a
través de un desbordamiento de memoria intermedia e inyección de
shellcode con sólo interpretar una página HTML.

Desde enero, Microsoft no publicaba un parche fuera de su ciclo
habitual. Esta excepción ocurrió con la también famosa vulnerabilidad
WMF, que infectó a millones de sistemas Windows. En esta ocasión, aunque
se haya precipitado el parche (respetando el ciclo no se hubiese hecho
público hasta el 10 de octubre) desde Microsoft se sigue reconociendo
que los niveles de ataque e infección a través de este problema han sido
"limitados".

Cabe recordar que los usuarios precavidos que hayan aplicado
contramedidas, deben deshacerlas antes de aplicar el parche oficial. Si
se ha aplicado el parche no oficial de ZERT, debe ser desinstalado. Si
se ha "desregistrado" la librería vulnerable, debe ser de nuevo registrada.

Por otro lado, Microsoft ha aprovechado para publicar una segunda
versión de su boletín MS06-049, publicado el 8 de agosto. Esta nueva
versión soluciona un problema (en principio no relacionado con la
seguridad) de corrupción de datos comprimidos en volúmenes NTFS.

Las direcciones para descargar los parches de actualización MS06-055 son
las siguientes:
* Microsoft Windows XP Service Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=383C13DC-51A9-4B12-89E3-871A1A3DE98F&DisplayLang=es
* Microsoft Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=B5F19858-4E86-4FD4-A264-E4823FF6D0A9&DisplayLang=es
* Microsoft Windows XP Professional x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=AFD3279C-6171-4F20-A36E-B9B56EE4C7F1&DisplayLang=es
* Microsoft Windows Server 2003 y Microsoft Windows Server 2003 Service
Pack 1
http://www.microsoft.com/downloads/details.aspx?FamilyId=AF8F3A58-BA7A-41BF-BB1B-3A9DDFDC3E27&DisplayLang=es
* Microsoft Windows Server 2003 para sistemas Itanium y Microsoft
Windows Server 2003 con SP1 para sistemas Itanium
http://www.microsoft.com/downloads/details.aspx?FamilyId=271E9C78-1C6A-443E-924D-43FD6D51E643&DisplayLang=es
* Microsoft Windows Server 2003 x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=E2CB474F-FC1B-4B7D-A607-02A1528C6743&DisplayLang=es
* Internet Explorer 5.01 Service Pack 4 sobre Microsoft Windows 2000
Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C48FF93-6559-4616-9C2D-406E808B7E97&DisplayLang=es
* Internet Explorer 6 Service Pack 1 sobre Microsoft Windows 2000
Service Pack 4
http://www.microsoft.com/downloads/details.aspx?FamilyId=EA7DE30F-D765-4E5B-BFD4-64F3FED578FF&DisplayLang=es

Las direcciones para descargar los parches de actualización MS06-049:
* Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=08806182-6a26-4663-91ea-179817350a91&DisplayLang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin MS06-049
Vulnerability in Windows Kernel Could Result in Elevation of Privilege
http://www.microsoft.com/technet/security/Bulletin/MS06-049.mspx

Microsoft Security Bulletin MS06-055
Vulnerability in Vector Markup Language Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-055.mspx

martes, 26 de septiembre de 2006

Nuevo troyano bancario dirigido a entidades españolas y latinoamericanas

Descubierto un nuevo troyano bancario que combina la captura del
teclado físico con una técnica optimizada para los teclados virtuales.
Está diseñado específicamente contra los usuarios de diversas
entidades de Argentina, Bolivia, Brasil, Cabo Verde, España, Estados
Unidos, Paraguay, Portugal, Uruguay y Venezuela.

La principal novedad de este troyano reside en la combinación de la
técnica keylogger tradicional con un método de captura de pantalla
optimizado para los teclados virtuales. Esta combinación le permite
atacar a una gran variedad de páginas de autenticación de acceso a
la banca electrónica, de manera independiente a si utilizan o no
teclados virtuales.

Vídeo/Flash del troyano en la web de Banesto (técnica keylogger):
http://www.hispasec.com/laboratorio/troyano_captura_banesto.htm

El método que utiliza contra los teclados virtuales consiste en
realizar una pequeña captura de un área de pantalla, alrededor del
cursor del ratón, en el momento que el usuario hace click en la tecla
virtual. Adicionalmente, y para que el atacante no tenga la menor
duda, el troyano incluye en la imagen capturada una señal en color
rojo que indica el punto exacto donde el usuario pinchó con el ratón.

Vídeo/Flash del troyano en la web de Caja Murcia (teclado virtual):
http://www.hispasec.com/laboratorio/troyano_captura_cajamurcia.htm

Tanto el log del keylogger en formato texto, como los archivos de
imágenes capturadas en formato JPG, son enviadas por FTP al ordenador
del atacante. Una vez recibe los datos, el atacante puede hacerse
pasar por la víctima y suplantar su identidad en la web de la
entidad bancaria.

Este troyano, aunque también afecta a bancos de EE.UU o Portugal,
entre otros países, tiene su objetivo mayoritario en entidades
españolas y latinoamericanas.

Según países, el troyano se dirige a las siguientes entidades:

ARGENTINA: Banco Hipotecario, Banco de La Pampa, Banco de la Provincia de Buenos Aires, Banco Credicoop Coop. Ltdo., Banco Ciudad de Buenos Aires, Banca Nazionale del Lavoro, ABN AMRO Argentina, Banco Itaú del Buen Ayre, Banco Patagonia, Banco Macro Bansud, BankBoston, Banco RIO, Banco Comafi y Banco del Chubut.

BOLIVIA: Banco Ganadero, Banco BISA, Banco de Crédito de Bolivia,
Banco Santa Cruz, Banco Solidario y Banco Central de Bolivia.

BRASIL: Caixa Econômica Federal, Banrisul, Banco do Estado de Santa
Catarina, Banco Rural, Santander Banespa, Banco do Brasil, Banparanet,
e-tim y CitiBank Brasil.

CABO VERDE: Banco de Cabo Verde

ESPAÑA: Banca March, Bancaja, BBVA, Fibanc, Banco de Valencia,
Banesto, Banco Finantia Sofinloc, Banco Espirito Santo, Banco Cetelem,
Banco Gallego, Banco Guipuzcoano, Banco Urquijo, Barclays, Banco
Popular, Bankoa, Bansacar, Santander Central Hispano, Bbk,
Caixa Laietana, Caja Castilla La Mancha, Caja de Extremadura,
Caja Granada, Caixa Girona y Caja Murcia.

ESTADOS UNIDOS: Bank of America y Citibank.

PARAGUAY: Interbanco, Banco Amambay, Banco Continental SAECA, Banco Regional, Banco Sudameris, Abogacía del Tesoro y BBVA.

PORTUGAL: Banco de Portugal, Millennium bcp, Banif - Banco
Internacional do Funchal, BBVA Portugal, Banco Finantia, Barclays
Bank, CitiBank Portugal y Banco Invest.

URUGUAY: BBVA, Nuevo Banco Comercial, Banco Surinvest, BankBoston y CitiBank.

VENEZUELA: Banco Mercantil y Banco Banesco.

Más información sobre como funciona el troyano, un análisis técnico
detallado, conclusiones y comentarios adicionales, pueden encontrarse
en el siguiente informe (formato PDF):

http://www.hispasec.com/laboratorio/troyano_spain_latino.pdf


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

05/09/06 Troyano bancario captura en vídeo la pantalla del usuario
http://www.hispasec.com/unaaldia/2873

12/07/2006 - Troyanos bancarios y evolución del phishing
http://www.hispasec.com/unaaldia/2818

lunes, 25 de septiembre de 2006

Parche no oficial para la vulnerabilidad VML

De nuevo, una organización independiente ha decidido publicar un parche
para solucionar temporalmente el problema que supone el fallo VML, que
está siendo aprovechado para la distribución e instalación de todo tipo
de malware a través de Internet Explorer.

Tal y como ocurriera a principios de año con la popular vulnerabilidad
WMF, la gravedad del fallo VML ha promovido la aparición de un parche no
oficial. De hecho, fue a partir de aquella experiencia (una especie de
plaga, en la que miles de sistemas Windows quedaron infectados) que un
grupo de reputados expertos (entre los que se encuentra Ilfak Guilfanov,
programador del exitoso primer parche no oficial) creó la organización
ZERT (Zero Day Emergency Response Team). Su objetivo desde entonces es
el de programar parches para solventar problemas de seguridad de tipo "0
day" siempre que su gravedad lo requiera. Esta es una de esas ocasiones.
La actualización creada por ZERT permite mantener la funcionalidad VML
de Internet Explorer y evitar que sea vulnerable. Hasta ahora, las
soluciones sólo permitían mitigar el problema por ejemplo deshabilitando
javascript o desregistrando la librería responsable (vgx.dll).

ZERT no pretende reemplazar a los parches oficiales. Según ellos, sólo
ofrecen una alternativa en un momento de crisis. De hecho recomiendan
que el suyo sea desinstalado cuando Microsoft publique el oficial. La
idea es proporcionar una respuesta rápida y eficaz a un problema cuando
no existe otra solución.

Y es que la vulnerabilidad basada en la funcionalidad VML (Vector Markup
Language) del navegador Internet Explorer necesita soluciones porque
está siendo aprovechada de forma masiva. Cada vez son más las páginas
que (si son visitadas con permisos de administrador) intentan infectar a
los sistemas con decenas de troyanos distintos. En el laboratorio de
Hispasec, estamos comprobando y analizando las nuevas formas de
aprovechar la vulnerabilidad, y sorprende la rapidez con la que el
código es modificado y ofuscado para pasar desapercibido ante los
programas antivirus. Con la ayuda de VirusTotal, estamos comprobando que
son muy pocos los productos que son capaces de alertar del intento de
explotación, e incluso éste es modificado constantemente. Esto indica
una clara voluntad por parte de los atacantes de aprovechar al máximo el
problema mientras no exista parche y sin que los antivirus entorpezcan
su difusión.

Microsoft por su parte no termina de recomendar la aplicación de parches
de terceros. También ha publicado una entrada en su blog en la que deja
entrever que es posible que publique una solución fuera del ciclo
habitual, aunque no reconoce que el problema esté siendo aprovechado de
forma tan masiva.

Según ZERT, el grupo ha tardado 19 horas en crear su parche, comprobarlo
y publicarlo. Microsoft dice que cuando la programación de su
actualización llegue al nivel de calidad y compatibilidad al que
aspiran, será puesto a disposición de todos. Según ellos han avanzado
bastante en estos días y la publicación podría ocurrir antes del día 10
de octubre, porque prima la calidad y la protección de sus usuarios
antes que un estricto cumplimiento del ciclo de actualización.

Si estas iniciativas no oficiales siguen proliferando, junto con la cada
vez más habitual aparición de graves vulnerabilidades antes de la
publicación de parches, es posible que Microsoft tenga que replantearse
la eficacia de su ciclo actual de actualizaciones o, con el fin de
agilizar su publicación, bajar el listón de "calidad" al que aspiran.


Sergio de los Santos
ssantos@hispasec.com


Más información:

El último parche acumulativo para Internet Explorer introduce una nueva
vulnerabilidad
http://www.hispasec.com/unaaldia/2860

A quick entry on the VML issue
http://blogs.technet.com/msrc/archive/2006/09/22/458266.aspx

ZERT y parche no oficial
http://isotf.org/zert/

domingo, 24 de septiembre de 2006

Vulnerabilidades en Cisco Intrusion Prevention System

Se han identificado dos vulnerabilidades en Cisco Intrusion Detection
(IDS) y Cisco Intrusion Prevention System (IPS) que pueden ser
aprovechadas por atacantes remotos para provocar una denegación de
servicio o eludir restricciones de seguridad.

El primer problema se debe a un error en la interfaz web de
administración, que no maneja de forma adecuada paquetes "Client
Hello" del protocolo SSLv2. Esto puede ser aprovechado por atacantes
para hacer que un dispositivo vulnerable deje de responder a todas las
peticiones de administración remota a través de la interfaz web de
administración o la interfaz de línea de comando (CLI) a través de SSH
y la consola, por fallo del proceso mainApp.

El segundo fallo se debe a un error a la hora de manejar paquetes IP
fragmentados. Esto puede ser aprovechado por atacantes para eludir la
inspección de tráfico, sortear la protección proporcionada por un
dispositivo vulnerable que se ejecute en modo promiscuo o inline y
acceder a sistemas internos.

Los siguientes productos se ven afectados por el primer problema:
* Cisco IDS 4.1(x) con software anterior a 4.1(5c)
* Cisco IPS 5.0(x) con software anterior a 5.0(6p1)
* Cisco IPS 5.1(x) con software anterior a 5.1(2)

Los siguientes productos se ven afectados por el segundo problema:
* Cisco IPS 5.0(x) con software anterior a 5.0(6p2)
* Cisco IPS 5.1(x) con software anterior a 5.1(2)

Cisco ha puesto a disposición de sus clientes software para solucionar
el problema. Puede ser obtenido a través de los canales de
distribución habituales.

Las actualizaciones están disponibles desde:
Para Cisco IPS versiones 5.1(x):
http://www.cisco.com/pcgi-bin/tablebuild.pl/ips5?psrtdcat20e2.

Para Cisco IPS versiones 4.1(x) y 5.0(x):
http://www.cisco.com/pcgi-bin/tablebuild.pl/ids-patches?psrtdcat20e2


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Intrusion Prevention System Management
Interface Denial of Service and Fragmented Packet Evasion Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20060920-ips.shtml

sábado, 23 de septiembre de 2006

Cross site scripting a través de la etiqueta meta-refresh en Cisco Guard

Se ha encontrado una vulnerabilidad en Cisco Guard que puede ser
aprovechada por atacantes para ejecutar código script arbitrario.

El falllo se debe a un error de validación en la funcionalidad de
anti-spoofing, que no valida correctamente el tráfico HTTP
inspeccionado antes de ser enviado al navegador a través de la
etiqueta meta-refresh, que se utiliza para enviar al cliente la
petición original. Esto puede ser aprovechado por atacantes para
ejecutar código script arbitrario si se insta a una víctima a visitar
un enlace especialmente manipulado con una secuencia de caracteres
específica y un script insertados en la URL original.

Para que el script sea procesado:
* El cliente debe seguir la URL especialmente manipulada.
* Guard debe ejecutar la protección activa básica.
* La petición HTTP debe ser procesada y desviada por el Guard.

Los productos vulnerables son:

* Cisco Guard Appliance (Versión de software 3.X)
* Cisco Guard Blade (Versión de software 4.X)
* Cisco Guard Appliance [Versión de software 5.0(3)]
* Cisco Guard Appliance [Versión de software 5.1(5)]

Cisco ha puesto a disposición de sus clientes software para solucionar
el problema. Puede obtenerse a través de los canales de distribución
habituales.

Se debe visitar:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-ga-crypto?psrtdcat20e2
(para el dispositivo)
http://www.cisco.com/pcgi-bin/tablebuild.pl/cisco-agm-crypto?psrtdcat20e2
(para el módulo 7600)


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Guard Enables Cross Site Scripting
http://www.cisco.com/warp/public/707/cisco-sa-20060920-guardxss.shtml

viernes, 22 de septiembre de 2006

Múltiples vulnerabilidades en Apple Mac OS X AirPort

Se han encontrado múltiples vulnerabilidades en Apple Mac OS X que
pueden ser aprovechadas por atacantes para comprometer un sistema
vulnerable o provocar una denegación de servicio.

El primer fallo se debe a un desbordamiento de pila en el controlador
wireless AirPort a la hora de manejar marcos mal formados. Esto puede
ser aprovechado por un atacante cercano para ejecutar código
arbitrario con privilegios de system.

El segundo fallo se debe a un desbordamiento de heap en el controlador
wireless AirPort a la hora de procesar escaneo de actualizaciones en
caché. Esto puede ser aprovechado por un atacante cercano para
provocar una denegación de servicio o comprometer el sistema.

El tercer fallo se da también en el controlador wireless Airport, en
las API para software de terceros. Esto puede ser aprovechado por un
atacante cercano para ejecutar código con los privilegios del usuario
ejecutando el software vulnerable.

Los productos afectados son:
Apple Mac OS X 10.3.9
Apple Mac OS X Server 10.3.9
Apple Mac OS X 10.4.7
Apple Mac OS X Server 10.4.7

Se recomienda actualizar el software afectado visitando:

AirPort Upgrade 2006-001 :
http://www.apple.com/support/downloads/airportupdate2006001.html

Security Upgrade 2006-005 (10.3.9) :
http://www.apple.com/support/downloads/securityupdate20060051039.html

Security Upgrade 2006-005 (10.4.7 PPC) :
http://www.apple.com/support/downloads/securityupdate20060051047ppc.html

Security Upgrade 2006-005 (10.4.7 Universal) :
http://www.apple.com/support/downloads/securityupdate20060051047universal.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Apple Mac OS X AirPort Multiple Remote Buffer and Integer Overflow Vulnerabilities
http://www.frsirt.com/english/advisories/2006/3737

jueves, 21 de septiembre de 2006

Acceso no autorizado a Cisco IOS a través de la cadena de comunidad DOCSIS

Se ha identificado una vulnerabilidad en Cisco IOS de Cisco IAD2400
Series, 1900 Series Mobile Wireless Edge Routers y Cisco VG224 Analog
Phone Gateway que puede ser aprovechada por atacantes remotos para
obtener acceso no autorizado a un dispositivo vulnerable.

El fallo se debe a un error de diseño por el que la cadena de
comunidad por defecto incrustada "cable-docsis" del protocolo SNMP,
(Simple Network Management Protocol) y utilizada para las interfaces
que acaten Data Over Cable Service Interface Specification (DOCSIS),
puede estar habilitada inadvertidamente para dispositivos configurados
para administrar SNMP. Como consecuencia existiría una cadena de
comunidad de escritura y lectura que estaría habilitada y sería
conocida, lo que permite a atacantes obtener acceso privilegiado a un
dispositivo vulnerable.

Los dispositivos vulnerables son:
* Cisco IAD2430 Integrated Access Device
* Cisco IAD2431 Integrated Access Device
* Cisco IAD2432 Integrated Access Device
* Cisco VG224 Analog Phone Gateway
* Cisco MWR 1900 Mobile Wireless Edge Router
* Cisco MWR 1941 Mobile Wireless Edge Router

Los confirmados no vulnerables:
* Cisco IAD2420 Integrated Access Device
* Cisco IAD2421 Integrated Access Device
* Cisco IAD2423 Integrated Access Device
* Cisco IAD2424 Integrated Access Device

Como contramedida, se puede deshabilitar el servidor snmp si no se usa
con el comando:
no snmp-server

o controlar el acceso al servidor para redes confiables.

Cisco creará software específico para solventar el problema, pero no
está disponible aún. Para conocer qué versiones de IOS son
vulnerables, se puede visitar:
http://www.cisco.com/warp/public/707/cisco-sa-20060920-docsis.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: DOCSIS Read-Write Community String Enabled in Non-DOCSIS Platforms
http://www.cisco.com/warp/public/707/cisco-sa-20060920-docsis.shtml

miércoles, 20 de septiembre de 2006

El misterioso caso del "0 day" que nunca llegó a ser

El día 19 de septiembre Symantec anunció una nueva vulnerabilidad
desconocida en PowerPoint que permitía la ejecución de código arbitrario
y que estaba siendo activamente aprovechada. Ante la avalancha de este
tipo de noticias que últimamente azotan a Microsoft, todo apuntaba a que
sería un nuevo "0 day", vulnerabilidad sin parche explotada de forma
masiva. En esta ocasión las alarmas sonaron de forma precipitada, y
sobre todo, antes de un buen análisis del problema.

Symantec anunció que había detectado un nuevo malware, bautizado como
Trojan.PPDropper.E que se escondía en archivos PowerPoint e infectaba
al que abriese el documento con una versión (en principio se habló de
sólo la versión china) vulnerable de Microsoft PowerPoint. Su error
fue dar por sentado de que el código aprovechaba una vulnerabilidad
no documentada hasta ese momento, para la que no existía parche, y
que por lo tanto, todas las versiones de PowerPoint hasta el momento
suponían un potencial riesgo.

Varios medios, especializados o no, replicaron automáticamente la
noticia del fallo y catalogaron el problema de nuevo "0 day", quizás
precipitadamente y sin la confirmación y comprobaciones adecuadas.
Parecía oficial, sonaron todas las alarmas, y junto a la (esta vez
cierta y verdadera) última vulnerabilidad "0 day" en el componente
VML de Internet Explorer que apareció ese mismo día, se predecía una
semana negra para los productos de Microsoft.

Pero no. Todo era un incomprensible error de Symantec a la hora de
analizar el código que tenía entre manos. Microsoft, tras ser alertada
y analizar el problema, ha confirmado oficialmente que no es una nueva
vulnerabilidad, sino una ya descubierta y parcheada en marzo de 2006.
En concreto, la descrita en el boletín de seguridad MS06-012. Los que
tengan instalado ese parche, están protegidos contra este efímero "0
day" que nunca llegó a ser.

Tras el anuncio oficial de Microsoft, los medios se retractan,
rectifican y actualizan sus alertas, advirtiendo que no hubo más que
sensacionalismo y falta de rigor donde debió existir una comedida
noticia de seguridad. Algunos, incluso, esconden los enlaces que
hacían referencia al fallo bajo la alfombra y ya no son accesibles.

Cabe preguntarse cómo Symantec puede concluir que un fallo así se
trata de un problema nuevo, cuando una comprobación en un sistema
que ya estuviese actualizado con el boletín MS06-012 hubiese dado
una respuesta rápida y concluyente. Un sistema totalmente parcheado
sería inmune en las pruebas, y dejaría claro que el problema no es
nuevo. Resulta incompresible un despiste de este tipo. Sin embargo
no ha sido la única casa antivirus que ha errado en su diagnóstico.

TrendMicro informó el día 19 agosto de un supuesto nuevo tipo de
malware que aprovechaba una vulnerabilidad nueva para la que no
existía solución. Microsoft desmintió al poco tiempo que se tratara
de un nuevo fallo, además de lamentar la actitud de la empresa antivirus
por hablar de vulnerabilidades sin ponerse previamente de acuerdo con
ellos. Un caso extrañamente similar.

Es posible que, a falta de la eclosión vírica esporádica que sufrían
los sistemas Windows cada cierto tiempo, y que ponía a las casas
antivirus en portada de todos los medios, estén buscando notoriedad
de alguna forma precipitada.

En definitiva, con más o menos vulnerabilidades "0 day", la vida sigue
igual y los usuarios en general pueden aprender que hasta los más
profesionales se equivocan, y los de Windows en particular preocuparse
por otras vulnerabilidades reales y no parcheadas que a día de hoy
existen, tal y como describíamos en el boletín de ayer.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Contramedidas prácticas para las últimas vulnerabilidades de Microsoft
http://www.hispasec.com/unaaldia/2887

Trojan.PPDropper.E
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-091810-5028-99&tabid=2

Exploit for vulnerability in Chinese version of Microsoft PowerPoint
http://www.symantec.com/enterprise/security_response/weblog/2006/09/exploit_for_unpatched_vulnerab.html

Vulnerability Summary CVE-2006-4854
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4854

martes, 19 de septiembre de 2006

Contramedidas prácticas para las últimas vulnerabilidades de Microsoft

Desde estas líneas hemos advertido ya en muchas ocasiones sobre las nuevas tendencias del malware y la cada vez más preocupante aparición de vulnerabilidades "0 day" o problemas de seguridad para los que no existe parche pero sí forma de aprovecharlos. En estos momentos se conocen tres que afectan a productos de Microsoft. Cansados de ofrecer una descripción más o menos rutinaria de las vulnerabilidades, en esta ocasión nos centraremos en cómo mitigar sus efectos o eliminarlos por completo. Como siempre, sin demasiado esfuerzo y sin esperar pasivamente parches, es posible minimizar el riesgo.

Es un hecho que los creadores de malware programan la aparición de vulnerabilidades estratégicamente para que Microsoft no pueda publicar un parche los días previstos (los segundos martes de cada mes). Intentan así maximizar el impacto de sus códigos. De hecho, ahora mismo se le acumula el trabajo y Microsoft mantiene tres vulnerabilidades críticas sin parchear, aunque el día 12 tuvo la oportunidad de hacerlo por lo menos en una de las que a continuación se describen. Ante esta ausencia de actualizaciones, casi siempre es posible aplicar sencillas contramedidas que permitan a los usuarios de estos productos sentirse un poco más seguros.

La primera vulnerabilidad fue descubierta el día 5 de septiembre.
Se advirtió que circulaba un documento en formato Word que, al abrirse con Office 2000, permitía la ejecución de código arbitrario. Esta vulnerabilidad supone el último problema de una larga lista que sufre la suite ofimática desde hace meses. El fallo pudo ser corregido el día 12 de septiembre, pero Microsoft no lo hizo y no se prevé que aparezca un parche hasta al menos el día 10 de octubre. Para este problema, una de las soluciones es utilizar el visualizador de Microsoft, Viewer 2003. Esta herramienta de 12 megas permite visualizar (pero no editar) los documentos de los que sospechemos. Otra solución posible es utilizar la alternativa libre y gratuita OpenOffice.org, por ahora (y hasta que por volumen de usuarios suponga un jugoso objetivo), libre de tantas vulnerabilidades descubiertas.

El segundo problema de seguridad "0 day" afecta a Internet Explorer. Fue descubierto el día 13 de septiembre, y se publicó directamente la forma de explotarlo, aunque no parece que está siendo aprovechado de forma masiva. El fallo afecta al control ActiveX daxctle.ocx. Para solventar este problema es posible deshabilitar la actividad del control en el navegador, inhabilitándolo desde el registro para que Internet Explorer no pueda instanciarlo.

Esto se consigue guardando el siguiente texto en un archivo con extensión .reg y ejecutándolo con privilegios de administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{D7A7D7C3-D47F-11D0-89D3-00A0C90833E6}]
"Compatibility Flags"=dword:00000400

ISC SANS ha puesto a disposición de todos una herramienta automática que realiza la misma acción. Los enlaces están más abajo.

Por último, el día 18 de septiembre se ha descubierto otro grave problema de seguridad en Internet Explorer que está siendo aprovechado de forma activa y permite la ejecución de código. El problema está basado en la funcionalidad VML (Vector Markup Language) del navegador. Esta vulnerabilidad se puede mitigar deshabilitando JavaScript de las zonas en las que no se confía.

Para deshabilitar todo control ActiveX o JavaScript cómodamente, se debe ir a la pestaña de "seguridad" desde las "opciones de Internet" y elevar a "alta" la seguridad de la zona "Internet". Esto permite que por defecto, todas las páginas se visiten sin JavaScript o ActiveX, acción que eleva sustancialmente la seguridad del navegador. Si alguna página de confianza deja de funcionar o no se puede interactuar con ella de forma adecuada, basta con incluir su dirección en los "sitios de confianza".

Este sencillo mecanismo para diferenciar el comportamiento del navegador según las páginas es poco utilizado pero muy útil en una aplicación tan "atacada" como Internet Explrer. Microsoft puede presumir de haber incluido esta característica de serie en el navegador desde sus primeras versiones. Opera no lo ha hecho hasta su versión 9 y Firefox permite desactivar JavaScript selectivamente según dominios a través de la extensión NoScript. Esta extensión resulta imprescindible, pues Firefox también ha sufrido graves y numerosos problemas de seguridad disparados a través de este lenguaje.

Por supuesto, muchos antivirus también protegen del intento de
aprovechar estas vulnerabilidades, pero las actualizaciones y firmas no
siempre están disponibles a tiempo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Killbit apps for current IE Exploit
http://isc.sans.org/diary.php?storyid=1706&rss

Word Viewer 2003
http://www.microsoft.com/downloads/details.aspx?familyid=95E24C87-8732-48D5-8689-AB826E7B8FDF&displaylang=es

Vulnerability in the Microsoft DirectAnimation Path ActiveX Control
Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925444.mspx

Vulnerability in Word Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/925059.mspx

Seen in the wild: Zero Day exploit being used to infect Pcs
http://sunbeltblog.blogspot.com/2006/09/seen-in-wild-zero-day-exploit-being.html

lunes, 18 de septiembre de 2006

Salto de restricciones de seguridad en Citrix Access Gateway

Se ha identificado un problema de seguridad en Citrix Access Gateway
que puede ser aprovechado por atacantes para eludir ciertas
restricciones de seguridad.

El fallo se debe a un error en la opción Advanced Access Control a la
hora de utilizar la autenticación LDAP. Esto podría ser aprovechado
por atacantes para tener acceso a la aplicación vulnerable sin
proporcionar las credenciales válidas.

Las versiones afectadas son Citrix Access Gateway con Advanced Access
Control 4.2

Se recomienda aplicar el parche AAC420W004 descargable desde:
http://support.citrix.com/servlet/KbServlet/download/11002-102-15244/AAC420W004.zip


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Citrix Access Gateway Advanced Access Control LDAP Authentication Bypass
http://www.frsirt.com/english/advisories/2006/3643

LDAP authentication vulnerability in Access Gateway Advanced Access Control
http://support.citrix.com/article/CTX110950

Hotfix AAC420W004 - For Access Gateway - Advanced Access Control 4.2 for Windows Server 2000 & 2003
http://support.citrix.com/article/CTX110439

domingo, 17 de septiembre de 2006

Diversas vulnerabilidades en Adobe Macromedia Flash Player 8.x

Se han detectado varias vulnerabilidades no especificadas en Adobe
Macromedia Flash Player que pueden ser aprovechadas por atacantes para
ejecutar código arbitrario o eludir restricciones de seguridad.

Existen varios errores de validación de entradas de los que no se han
aportado detalles pero que permiten la ejecución de código si se
visita una página especialmente manipulada o se tiene acceso al
reproductor de cualquier otra forma.

Existe un error que permite ser aprovechado para eludir la opción
allowScriptAccess.

Existe otro error en la forma en la que el control ActiveX se invoca
por los productos Microsoft Office en Windows.

Se recomienda actualizar a la versión 9.0.16.0, disponible desde hace
semanas en http://www.adobe.com/go/getflash
o directamente desde
http://fpdownload.macromedia.com/get/flashplayer/current/install_flash_player.exe

Para otras versiones, consultar:
http://www.adobe.com/support/security/bulletins/apsb06-11.html

Para conocer qué versión utiliza cada posible navegador en el sistema,
se puede visitar la página
http://www.macromedia.com/software/flash/about/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Vulnerabilities in Adobe Flash Player 8.0.24.0 and Earlier Versions
http://www.adobe.com/support/security/bulletins/apsb06-11.html

sábado, 16 de septiembre de 2006

Múltiples vulnerabilidades en el VLAN Trunking Protocol (VTP) de Cisco IOS

Se han descubierto múltiples vulnerabilidades en Cisco IOS, que pueden
ser aprovechadas por atacantes para ejecutar código arbitrario o
provocar una denegación de servicio.

El primer fallo se debe a un error en la funcionalidad VLAN Trunking
Protocol (VTP), que no maneja adecuadamente paquetes resumen
especialmente manipulados recibidos en un puerto troncal habilitado.
Esto podría ser aprovechado por atacantes en el segmento de red
local para provocar un reinicio del sistema.

El segundo fallo se debe a error de enteros en la funcionalidad VTP a
la hora de manejar configuraciones especialmente manipuladas
(contadores estadísticos con números negativos). Esto podría ser
aprovechado para que cambios en la base de datos VLAN no sean
propagados adecuadamente por el dominio VTP.

El tercer fallo se debe a un desbordamiento de memoria intermedia en
la funcionalidad VTP a la hora de procesar anuncios de resumen
recibidos en un puerto troncal habilitado con un elemento
Type-Length-Value (TLV) que contenga un nombre de VLAN excesivamente
largo. Si supera los 100 caracteres, esto podría ser aprovechado para
provocar una denegación de servicio y ejecutar código arbitrario.

Los switches configurados con el modo VTP de operación transparente no
se ven afectados.

Las correcciones para los problemas se encuentran accesibles a través de
las siguientes direcciones:
Denegación de servicio a través del campo versión de VTP:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsd52629
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsd34759

Desbordamiento de memoria intermedia a través del nombre VTP VLAN:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsd34855
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCei54611

Fallo de enteros en VTP:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCse40078
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCse47765


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Response: Cisco VLAN Trunking Protocol Vulnerabilities
http://www.cisco.com/en/US/products/hw/switches/ps5528/tsd_products_security_response09186a00807335bc.html
http://www.cisco.com/warp/public/707/cisco-sr-20060913-vtp.shtml

viernes, 15 de septiembre de 2006

Nueva versión de Firefox, Thunderbird y SeaMonkey corrige varias vulnerabilidades

Mozilla ha publicado una nueva actualización para Mozilla Firefox que
soluciona siete problemas de seguridad. Cuatro están calificadas como
críticas, dos como de moderado y una como de bajo peligro. Thunderbird y
SeaMonkey también se ven afectados por las siguientes vulnerabilidades,
según la clasificación MFSA (Mozilla Foundation Security Advisory).

MFSA 2006-57: Soluciona un problema de corrupción de heap a través de
expresiones regulares en javascript. Es posible hacer que el motor de
la expresión regular lea más allá del final de la memoria intermedia,
provocando que la aplicación deje de funcionar.

MFSA 2006-58: Soluciona un fallo por el que se podría comprometer el
mecanismo de actualización automática si el usuario acepta certificados
no fiables.

MFSA 2006-59: Soluciona varios fallos de concurrencia que derivaban en
problemas de corrupción de memoria que podrían ser potencialmente
utilizados para ejecutar código arbitrario en el sistema.

MFSA 2006-60: Falsificación de firma RSA. Los clientes Mozilla contienen
algunas Autoridades Certificadoras que tienen firmas RSA de exponente 3,
que se han descubierto vulnerables a un ataque de falsificación por el
que firmas inválidas no serían detectadas.

MFSA 2006-61: Soluciona una forma por la que se puede inyectar contenido
dentro de un subframe de otra página utilizando
targetWindow.frames[n].document.open(). Esto haría que el contenido de
un atacante pareciese legítimo en la página.

MFSA 2006-62: Cross site scripting a través del bloqueador de ventanas
emergentes. No supone una amenaza seria. La página del atacante debería
encuadrarse en otra página, abrir una ventana emergente y que el usuario
la abriese.

MFSA 2006-63: Afecta sólo a Thunderbird. Si un mensaje HTML que contiene
una imagen remota apuntando a script XBL es abierto, un atacante podría
ejecutar javascript aunque estuviese deshabilitado.

MFSA 2006-64: Soluciona varios problemas de estabilidad que derivaban en
problemas de corrupción de memoria que podrían ser potencialmente
utilizados para ejecutar código arbitrario en el sistema.

Estos problemas de seguridad están solucionados en la versión 1.5.0.7 de
Firefox y Thunderbird y la 1.0.5 de SeaMonkey, y pueden actualizarse
desde www.mozilla.org o a través de las actualizaciones automáticas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Fixed in Firefox 1.5.0.7
http://www.mozilla.org/projects/security/known-vulnerabilities.html#firefox1.5.0.7

Get your fress Firefox Updates
http://isc.sans.org/diary.php?storyid=1702&rss

jueves, 14 de septiembre de 2006

Varias vulnerabilidades en Macromedia Coldfusion MX

Se han encontrado vulnerabilidades en ColdFusion que pueden ser
empleadas por atacantes para perpetrar ataques de cross site
scripting, eludir ciertas restricciones de seguridad y también pueden
ser aprovechadas para provocar que la aplicación deje de responder.

ColdFusion es un popular software de servidor de aplicaciones web que
agrupa un lenguaje propio, herramientas visuales de desarrollo y
servidor de aplicaciones. Es ampliamente utilizado en entornos
empresariales para ofrecer soluciones Internet e Intranet bajo
plataformas como Windows, Linux y Solaris.

El primer error que permite ataques de cross site scripting se debe a
que la entrada que se le pasa a través de URL no es debidamente depurada
antes de ser enviada al usuario a través de la página de error de
ColdFusion Esto puede ser aprovechado para ejecutar código HTML o script
arbitrario en el navegador del usuario. Esta vulnerabilidad ha sido
confirmada en las versiones 6.1, 7.01, y 7.02.

Para solucionarlo, se recomienda aplicar los hotfix para estas versiones
descargable desde:
http://www.adobe.com/cfusion/knowledgebase/index.cfm?id=dcf966be

Además, es posible provocar un bucle infinito en ColdFusion de forma
remota si se envía un comando especialmente manipulado al Flash Remoting
Gateway de ColdFusion.

Existe por último un error en las plantillas CFML, que son capaces bajo
ciertas circunstancias de, desde fuera de un sandbox, llamar a
componentes de ColdFusion ( CFC) que sí están dentro. Este problema no
es aprovechable de forma remota.

Las versiones afectadas por este problema son la 7 y 7.0.1. Se
recomienda actualizar a la versión 7.0.2 o aplicar el hotfix para la
versión 7.0.1 desde:
http://www.adobe.com/support/security/bulletins/hf701-apsb06-12.zip
http://www.adobe.com/support/coldfusion/ts/documents/94491491/hf701-61892.zip


Sergio de los Santos
ssantos@hispasec.com


Más información:

ColdFusion cross-site scripting in error page
http://www.adobe.com/support/security/bulletins/apsb06-14.html

Denial of service in ColdFusion Flash Remoting Gateway
http://www.adobe.com/support/security/bulletins/apsb06-12.html

ColdFusion Sandbox Security vulnerability
http://www.adobe.com/support/security/bulletins/apsb06-13.html

miércoles, 13 de septiembre de 2006

Tercera edición del boletín MS06-042 de Microsoft

Microsoft ha publicado una nueva edición de su boletín de seguridad
"Actualización acumulativa para Microsoft Internet Explorer (MS06-042)"
debido a que se ha descubierto una nueva vulnerabilidad crítica en el
parche que lo acompaña. Los usuarios deben volver a instalar, por
tercera vez, esta actualización.

Microsoft ha aprovechado la publicación de los parches habituales del
segundo martes de septiembre, para hacer pública la tercera edición de
uno de los boletines más problemáticos hasta la fecha. La empresa eEye
ha vuelto a descubrir un error de seguridad provocado por el parche y
que permite la ejecución de código arbitrario. El fallo es casi idéntico
al descubierto el día 24 de agosto y se da en la librería URLMON.DLL,
en las páginas que acepten el uso de la versión 1.1 del protocolo HTTP
además de compresión de tráfico GZIP y utilización de URL largas. Esta
vulnerabilidad permite la ejecución de código arbitrario si se visita
un enlace especialmente manipulado con Internet Explorer.

El 8 de agosto Microsoft publicó el boletín MS06-042. En él se
recomendaba la aplicación de un parche acumulativo para Internet
Explorer que solucionaba ocho problemas de seguridad. Al poco tiempo
se descubrió que este parche causaba problemas para visualizar algunas
páginas. El fallo se daba en las webs que aceptasen el uso de la
versión 1.1 del protocolo HTTP además de compresión de tráfico.
Microsoft reconoció el error y programó para el día 22 de agosto
la publicación de una reedición del parche que solucionara el
problema.

El día 22 llegó y Microsoft retrasó su publicación a causa, según ellos,
de problemas técnicos en la distribución. eEye hizo público que el fallo
que introducía el parche era en realidad una vulnerabilidad crítica. El
día 24 se publicó la segunda versión del boletín, que obligaba a una
reinstalación. El día 12 de septiembre, esta vez en acuerdo con eEye, se
ha hecho público que existe una nueva vulnerabilidad muy parecida, pero
distinta, que no cubre la segunda versión del parche.

Como anécdota, mencionar que en esta ocasión sí que aparece eEye en los
reconocimientos del boletín, como descubridora de esta última
vulnerabilidad.

En definitiva, junto con los boletines MS06-52, MS06-53, MS06-54, se
debe volver a instalar MS06-42 si se utiliza Internet Explorer 5 ó 6
con SP1 (los usuarios de Service Pack 2 no sufren este problema). La
reinstalación ocurrirá de forma automática si se elige actualizar a
través de las herramientas integradas en el sistema.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Tres boletines de seguridad de Microsoft en septiembre:
http://www.hispasec.com/unaaldia/2880

eEye y Microsoft, en pie de guerra
http://www.hispasec.com/unaaldia/2862

Cumulative Security Update for Internet Explorer (918899) (MS06-042)
http://www.microsoft.com/technet/security/bulletin/MS06-042.mspx

Los parches de MS06-042 pueden impedir la visualización de ciertas
páginas con Internet Explorer
http://www.hispasec.com/unaaldia/2856

El último parche acumulativo para Internet Explorer introduce una
nueva vulnerabilidad
http://www.hispasec.com/unaaldia/2860

martes, 12 de septiembre de 2006

Tres boletines de seguridad de Microsoft en septiembre

Tal y como adelantamos ayer, hoy como segundo martes de mes, Microsoft
siempre fiel a su cita ha publicado tres boletines de seguridad.

Se han publicado los boletines MS06-052 al MS06-054 y las
actualizaciones distribuidas, según la propia clasificación de
Microsoft, una es de gravedad "crítica", otra está calificada
como "importante" y la última queda clasificada como "moderada".

* MS06-052: Evita una vulnerabilidad en el protocolo PGM (Pragmatic
General Multicast) que podría permitir la ejecución de código arbitrario
si un atacante envía un mensaje multidifusión especialmente manipulado
a un sistema afectado. Las comunicaciones PGM necesitan del servicio
MSMQ (Microsoft Message Queuing) 3.0 para que sean permitidas.
Este servicio no se instala por defecto. Está calificado como
"importante".

* MS06-053: Destinado a evitar una vulnerabilidad de revelación de
información en el servicio de indexación debido a la forma en la que
se tratan las validaciones de consultas. Afecta a Windows 2000, Windows
XP y Windows Server 2003. Según la calificación de Microsoft tiene un
nivel "moderado".

* MS06-054: Se trata de una actualización de seguridad para evitar
una vulnerabilidad en Publisher que podría permitir la ejecución
remota de código. Afecta a Office 2000, 2002 y 2003. Recibe una
calificación de "crítico".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS06-052
Vulnerability in Pragmatic General Multicast (PGM) Could Allow Remote
Code Execution (919007)
http://www.microsoft.com/technet/security/Bulletin/MS06-052.mspx

Microsoft Security Bulletin MS06-053
Vulnerability in Indexing Service Could Allow Cross-Site Scripting (920685)
http://www.microsoft.com/technet/security/Bulletin/MS06-053.mspx

Microsoft Security Bulletin MS06-054
Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (910729)
http://www.microsoft.com/technet/security/Bulletin/MS06-054.mspx

lunes, 11 de septiembre de 2006

Microsoft publicará mañana tres actualizaciones de seguridad

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan tres parches de
seguridad, dos destinados a su sistema operativo Windows y uno a su
suite ofimática Office.

Si en agosto fueron doce los boletines de seguridad, este mes son tres
las actualizaciones que prevé publicar Microsoft el día 12 de
septiembre. De los dos para el sistema operativo, ninguno alcanza el
estado de crítico, sólo "importante". El boletín para Microsoft Office
sí que se considera de importancia crítica. Como es habitual, las
actualizaciones requerirán reiniciar el sistema.

Se espera que en esta actualización para Microsoft Office se repare la
vulnerabilidad de "0 day" de la que se ha estado hablando en los últimos
días y que afecta a Microsoft Word. El fallo se encuentra en
WINWORD.EXE, ha estado siendo aprovechado de forma activa, y permite la
ejecución de código a través del visionado de documentos en este
formato. Esta vulnerabilidad se une a la larga lista de fallos críticos
aprovechados antes de la existencia de parche que han aparecido en los
últimos meses contra todos los productos de la suite Microsoft Office.

Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx

domingo, 10 de septiembre de 2006

Nuevos contenidos en CriptoRed (agosto de 2006)

Breve resumen de las novedades producidas durante el mes de agosto
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA EN AGOSTO

* Web Services
http://www.criptored.upm.es/paginas/docencia.htm#gtletraW

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Agosto 30 a septiembre 2 de 2006: First International Workshop on
Critical Information Infrastructures Security (Samos - Grecia)
http://critis06.lcc.uma.es/

* Septiembre 7 al 9 de 2006: IX RECSI Reunión Española de Criptología
y Seguridad de la Información (Barcelona - España)
https://www.recsi2006.org/

* Septiembre 18 al 22 de 2006: Encuentro Mexicano de Computación ENC
2006 (San Luis Potosí - México)
http://enc.smcc.org.mx/

* Septiembre 19 de 2006: European Workshop on Technological & Security
Issues in Digital Rights Management (Hamburgo - Alemania)
http://eudirights06.lcc.uma.es/

* Septiembre 20 de 2006: 2nd International Workshop on Security and
Trust Management STM'06 (Hamburgo - Alemania)
http://www.hec.unil.ch/STM06/index.htm

* Septiembre 27 al 29 de 2006: Collaborative Electronic Commerce
Technology and Research CollECTeR LatAm (Valparaíso - Chile)
http://www.collecter-latam.org/index.php

* Octubre 4 al 6 de 2006: Segundo Encuentro Internacional de Hackers
U-Manizales Con 2 (Manizales - Colombia)
http://www.umanizales.edu.co/umc2/

* Noviembre 14 al 17 de 2006: Primer Congreso Mexicano de Seguridad
Informática MCIS/COMSI 2006 (Oaxaca - México)
http://lssd.esimecu.ipn.mx/comsi/

* Noviembre 28 a diciembre 1 de 2006: IV Congreso Internacional de
Telemática y Telecomunicaciones CITTEL �2006 (La Habana - Cuba)
http://www.cujae.edu.cu/eventos/cittel/

* Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad
en Tecnologías de Información y Comunicaciones (La Habana - Cuba)
http://www.segurmatica.com/descargas12_1/informatica2007.doc

Puedes encontrar más información sobre estos eventos en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

CONGRESOS EN IACR:
International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE JUNIO Y JULIO DE 2006

* Participación Dr. Ribagorda en Seminario Iberoamericano de Seguridad
en las TIC (Cuba)
http://www.informaticahabana.com/

* Ultima Llamada Trabajos Conferencia Iberoamericana IADIS 2006 el
04/09/06 (España)
http://www.iadis.org/ciawi2006/es/index.asp

* Alta Oficial en la Red del Instituto Nacional de Tecnologia da
Informaçao (Brasil)
http://www.criptored.upm.es/paginas/instituciones.htm#brasil

* Jornadas AGSI 2006 sobre Tecnologías de la Información al Servicio
del Negocio (Argentina)
http://www.worktec.com.ar/agsi2006/agsi2006_programa.html

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 592
(168 universidades; 208 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 32.045 visitas, 86.908 páginas solicitadas y 30,77
GigaBytes servidos en agosto de 2006
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

agosto de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#ago06

sábado, 9 de septiembre de 2006

Vulnerabilidad de falsificación de firmas RSA en OpenSSL

El proyecto OpenSSL ha publicado actualizaciones para las ramas 0.9.7 y
0.9.8 de su librería SSL, que solucionan una vulnerabilidad que puede
ser aprovechada para eludir ciertas restricciones de seguridad
falsificando firmas RSA.

La librería OpenSSL es un desarrollo "Open Source" que implementa los
protocolos SSL y TLS, y que es utilizada por multitud de programas,
tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para
emplear sus componentes criptográficos individuales (funciones de
cifrado y "hash", generadores de claves, generadores pseudoaleatorios,
etc).

El fallo está causado por un error de verificación de firmas. Se podría
falsificar una firma PKCS #1 v1.5 firmada por una clave RSA de exponente
3. Se validaría incorrectamente un certificado al no controlar
correctamente los datos extra de la firma RSA. Existen numerosas
Autoridades Certificadoras usando exponente 3. También PKCS #1 v1.5 es
usado en certificados x.509, por lo que todo software que valide
certificados en este formato es potencialmente vulnerable.

El fallo se ha confirmado en las versiones 0.9.7j y 0.9.8b aunque otras
podrían verse afectadas.

Para solventar el error, es posible descargar nuevas versiones:

Para la rama OpenSSL 0.9.7:
Actualizar a 0.9.7k o posterior.

Para la rama OpenSSL 0.9.8:
Actualizar a 0.9.8c o posterior.

Disponibles desde:
http://www.openssl.org/source/ o ftp://ftp.openssl.org/source/

También se ha hecho público un parche para quienes no deseen actualizar
el programa: http://www.openssl.org/news/patch-CVE-2006-4339.txt


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

RSA Signature Forgery
http://www.openssl.org/news/secadv_20060905.txt

viernes, 8 de septiembre de 2006

Aniversario del "bug" informático

Mañana, 9 de septiembre, se cumple el aniversario del primer "bug"
informático documentado de la historia. El término "bug" ha sido
asociado a interferencias y malfuncionamiento desde mucho tiempo antes
de que existieran los ordenadores modernos, siendo Thomas Edison uno
de los primeros en acuñar este significado. Si bien fue una mujer,
Grace Murray Hopper, quién a mediados de los años 40 popularizaría
el término "bug" aplicado a la informática.

"bug", traducido literalmente del inglés como "bicho", adquiere otro
significado cuando hablamos de informática. Esta otra acepción se
refiere a elementos y circunstancias en el software o hardware,
involuntarios e indeseados, que provocan un malfuncionamiento. A lo
largo de los años este término se ha popularizado y hoy día se
utiliza comúnmente para referirse a los errores en los programas
informáticos. La relación con la seguridad informática es directa,
ya que muchas de las vulnerabilidades que día a día vemos en Hispasec
están asociadas a "bugs".

Grace Murray Hopper (1906-1992), graduada en matemáticas y física por
el Vassar College, y doctora en matemáticas por la universidad de
Yale, ha pasado a la historia por ser una innovadora programadora
durante las primeras generaciones de ordenadores.

En 1943, durante la segunda guerra mundial, decidió incorporarse a la
marina estadounidense. Fue destinada al laboratorio de cálculo Howard
Aiken en la Universidad de Harvard, donde trabajó como programadora
en el Mark I.

El 9 de septiembre de 1945 (1947 según otras fuentes) el grupo de
trabajo de Aiken y Grace se encontraba en la sala del Mark II
intentando averiguar por qué el ordenador no funcionaba adecuadamente.
Tras un concienzudo examen lograron detectar que la culpable era una
polilla que se había colado entre los contactos de unos de los relés
del Mark II. Más tarde registrarían el incidente en el cuaderno
de bitácoras, pegaron la polilla que causó el problema y anotaron
debajo la frase "First actual case of bug being found".

Puede verse una foto de la anotación original del primer "bug" en:
http://www.history.navy.mil/photos/images/h96000/h96566k.jpg

A partir de entonces, cada vez que algún ordenador daba problemas
ellos decían que tenía "bugs" (bichos o insectos). Años más tarde
Grace también acuñaría el término "debug" para referirse a la
depuración de programas.

Además de los fines militares, única razón de ser de los primeros
ordenadores, cuentan que Grace fue de las primeras personas en buscar
utilidades civiles a la informática. Entre sus muchos méritos destaca
la creación del lenguaje Flowmatic, el desarrollo del primer
compilador, o su trabajo en la primera versión del lenguaje COBOL.

Grace continuó con sus avances en computación y tuvo numerosos
reconocimientos a lo largo de su carrera. Entre otros, recibió el
premio Hombre del Año en las Ciencias de Cómputos por la Data
Processing Management Association. Fue la primera mujer nombrada
Distinguished fellow of the British Computer Society, y la primera
y única mujer almirante en la marina de los Estados Unidos hasta la
fecha.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Grace Brewster Murray Hopper
http://www-gap.dcs.st-and.ac.uk/~history/Biographies/Hopper.html

Rear Admiral Grace Murray Hopper
http://www.history.navy.mil/photos/pers-us/uspers-h/g-hoppr.htm

Inventor of the Week Archive
http://web.mit.edu/invent/iow/hopper.html

An Illustrated History of Computers
http://www.computersciencelab.com/ComputerHistory/HistoryPt3.htm

First Computer Bug, 1945
http://www.history.navy.mil/photos/images/h96000/h96566k.jpg

jueves, 7 de septiembre de 2006

El SMiShing llega a España

Panda alertó a finales de agosto de un nuevo virus que se distribuye a
través de correo electrónico y convierte a los sistemas infectados en
equipos "zombi" que ayudan a reenviar nuevos virus. Esto no es ninguna
novedad, excepto porque las víctimas no reenvían correos electrónicos,
sino mensajes cortos a móviles españoles. El SMiShing se cuela en
nuestro país.

SMiShing es un impronunciable término que pretende ser una variante de
estafa del phishing "tradicional". Con esta técnica, los mensajes que
intentan convencer de que se visite un enlace fraudulento no llegan por
correo electrónico sino por mensaje corto (SMS) al móvil. Uno de los
primeros casos observados ocurrió fuera de nuestras fronteras. Algunas
personas comenzaron a recibir un mensaje con el siguiente texto en su
teléfono (en inglés): "Estamos confirmando que se ha dado de alta para
un servicio de citas. Se le cobrará 2 dólares al día a menos que cancele
su petición: www.XXXXXX.com".

Los usuarios, temerosos de la amenaza de cobro (quizás pensaban que el
cargo sería retirado del saldo de su tarjeta) acudían a obtener más
información a la dirección indicada. En ella, si se visitaba con
Microsoft Windows y sin las medidas de seguridad necesarias, el
incauto era infectado por un troyano.

Estos primeros casos no han tenido demasiado éxito. Obviamente el envío
de SMS resulta mucho más "caro" que la difusión por email de la estafa,
y esto dificulta su popularidad. Los atacantes aprovechan pasarelas SMS
que pueden resultar económicas o los servicios de correo que
proporcionan las operadoras, que facilitan el envío gratuito de un SMS
como si fuera un correo electrónico (numerotelefono@operadora.com).

Eliles-A worm es como ha bautizado al virus que se supone ha comenzado a
operar en España. La cadena comienza con la llegada de un adjunto al
correo electrónico, que se supone contiene un currículum de un
aspirante. Si se ejecuta bajo Windows, el ordenador queda comprometido y
es utilizado para el envío de SMS de forma automática, calculando
números de móviles españoles al azar. El texto del mensaje corto asegura
venir del operador de telefonía, y advierte al usuario de que puede
descargar un software antivirus gratuito para su teléfono móvil. De
nuevo el usuario del teléfono que descargue ese archivo SIS (para
sistemas Symbian) y ejecute la aplicación quedará infectado. No está
claro qué hace el virus en el móvil exactamente.

Según McAfee, el código del virus parece estar sacado de gran variedad
de otros códigos dispares, y ensamblado por principiantes. Los
comentarios están mayoritariamente en español, aunque algunos también en
alemán.

Está claro que el método sufre de numerosos y evidentes problemas y
obstáculos para propagarse y llegar a provocar algún tipo de alerta. No
deja de ser curioso por el simple hecho de atacar directamente a móviles
españoles (antes que otros países tradicionalmente pioneros en estos
casos) y por lo "completo" de su sistema de infección. No llegará lejos,
pero quizás siente las bases para futuros sistemas "integrados" de
infección donde se vean implicados métodos de virus tradicionales,
phishing y dispositivos móviles. Estos últimos, con una capacidad cada
vez mayor para conectarse entre sí y a otros sistemas, pueden ser un
interesante objetivo para las mafias informáticas en un futuro no muy
lejano. Ya hemos asistido a problemas de cierta consideración con el
virus Commwarrior en nuestro país, y algunas casas antivirus ya han
creado productos específicos para móviles, lo que indica que vislumbran
algún mercado en el que moverse.

Quizás el SMiShing sea más "caro" que el phishing tradicional pero,
debido a lo novedoso del método, puede que el potencial número de
víctimas sea mayor y unido al "desgaste" de técnicas tradicionales,
también resulte rentable para las mafias en un futuro. Puede que
Eliles-A worm sea sólo un primer paso.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Epidemia de Commwarrior en España
http://blog.hispasec.com/laboratorio/111

Eliles.A
http://www.pandasoftware.com/spain/virus_info/enciclopedia/verficha.aspx?idvirus=127568

Phishing attack targets Spanish mobiles
http://www.theregister.com/2006/09/06/smishing_attack/

miércoles, 6 de septiembre de 2006

Denegación de servicio a través de INSIST y registros SIG en BIND 9.x

Se han descubierto dos vulnerabilidades que afectan a varias versiones
de BIND 9 y que pueden provocar una denegación de servicio (que la
aplicación deje de responder) por parte de atacantes remotos.

BIND (Berkeley Internet Name Domain, o como se conocía anteriormente,
Berkeley Internet Name Daemon) es uno de los servidores DNS más usados
en Internet, especialmente en sistemas basados en Unix. Se han
encontrado dos errores que permiten a un atacante remoto provocar una
denegación de servicio.

El primer fallo se reproduce a través de consultas de registros SIG, que
pueden disparar un error si se devuelve más de un RRset. El peligro
puede ser mitigado si se restringen las fuentes que pueden realizar
recursión. También las consultas a registros SIG pueden disparar un
error al intentar construir una respuesta a una consulta si el servidor
está sirviendo una zona RFC 2535 DNSSEC y existen múltiples RRsets.

El segundo fallo deriva en un error INSIST si se envían las suficientes
consultas recursivas como para que la respuesta llegue después de que
todos los clientes esperando respuesta hayan abandonado la cola de
recursión. El peligro de esta vulnerabilidad también puede ser mitigado
si se restringen las fuentes que pueden realizar recursión.

Las versiones afectadas son:

* BIND 9.3.0, BIND 9.3.1, BIND 9.3.2, BIND 9.3.3b1 y BIND 9.3.3rc1
* BIND 9.4.0a1, 9.4.0a2, 9.4.0a3, 9.4.0a4, 9.4.0a5, 9.4.0a6 y 9.4.0b1

Aunque no se han podido confirmar los errores en la rama 9.2.x, se ha
creado un parche igualmente.

Se recomienda actualizar a BIND 9.3.2-P1, BIND 9.2.7 o BIND 9.2.6-P1
desde http://www.isc.org/sw/bind/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple DoS Vulnerabilities in the BIND 9 Software
http://www.niscc.gov.uk/niscc/docs/re-20060905-00590.pdf?lang=en

martes, 5 de septiembre de 2006

Troyano bancario captura en vídeo la pantalla del usuario

Se han detectado varios troyanos que realizan un vídeo de la pantalla
del usuario mientras éste se autentica para entrar en su cuenta
bancaria por Internet. Esta funcionalidad representa un salto
cualitativo en la peligrosidad de los troyanos bancarios, y en
especial contra los teclados virtuales implantados por muchas
entidades.

Son varias las entidades que, como medida de protección adicional,
han implantado los denominados "teclados virtuales". Básicamente
consisten en representaciones gráficas de teclados en pantalla, donde
el usuario puede pulsar con el ratón los diferentes números o letras
para introducir sus contraseñas, sin necesidad de utilizar el teclado
físico.

Esta solución está destinada específicamente a mitigar los troyanos
tipo "keyloggers" o capturadores de teclado, que son programas que
capturan las teclas que el usuario introduce por el teclado
físico-tradicional y se las envía a un tercero. De esta forma el
atacante obtiene los usuarios y contraseñas que puede utilizar
posteriormente para suplantar al usuario afectado.

Cómo suele ocurrir cuando una medida de seguridad se generaliza, no
tardaron en aparecer troyanos bancarios que burlaban este tipo de
protección. Desde aquellos que directamente se inyectaban en el
navegador y capturaban el usuario y contraseña antes de que fuera
enviado por HTTPS al servidor de la entidad, de manera independiente
a si había sido introducido con el teclado físico o virtual, hasta
los que fueron programados específicamente contra los teclados
virtuales y se activan al hacer click con el ratón, almacenando la
posición del cursor o realizando pequeñas capturas de pantalla.

En esta ocasión se ha detectado un nuevo troyano bancario que viene
a representar un salto cualitativo en la peligrosidad de este tipo
de especímenes, y sin duda una vuelta de rosca más en las técnicas
utilizadas contra los teclados virtuales. La novedad reside en que
el troyano tiene la capacidad de generar un vídeo que recoge toda la
actividad de la pantalla mientras que el usuario está autenticándose
en la banca electrónica.

El vídeo contiene sólo una sección de la pantalla, usando como
referencia el puntero del ratón, pero lo suficientemente amplia para
que el atacante pueda observar perfectamente los movimientos y
pulsaciones que el usuario legítimo realiza en el teclado virtual,
lo que permite obtener sin ninguna dificultad el usuario y contraseña
introducidos.

En Hispasec hemos elaborado un vídeo/flash donde puede verse en
acción al troyano y observar como le llega la información al atacante,
disponible en la dirección:

http://www.hispasec.com/laboratorio/troyano_video.htm


También pueden acceder a un análisis al detalle del espécimen, donde
se disecciona en profundidad partes del código, se enumeran las
entidades afectadas, y finalmente se obtienen algunas conclusiones,
disponible en (PDF):

http://www.hispasec.com/laboratorio/troyano_bancario_captura_video.pdf


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

12/07/2006 - Troyanos bancarios y evolución del phishing
http://www.hispasec.com/unaaldia/2818

lunes, 4 de septiembre de 2006

Múltiples vulnerabilidades en Mailman 2.x

Se han encontrado varias vulnerabilidades en Mailman que pueden ser
aprovechadas por atacantes para perpretar ataques de cross site
scripting o provocar una denegación de servicio.

Mailman es un gestor de listas de distribución por correo electrónico
muy popular. Programado en Python, está sustituyendo rápidamente a los
viejos entornos "majordomo", por su interfaz gráfica, su buen nivel de
integración de funciones y fácil modificación.

El primer error se da en la función de registro, que puede ser
aprovechado para inyectar un mensaje falso en los registros de error
a través de una URL especialmente manipulada. Para poder aprovechar
el problema es necesario que el administrador visita una página
especialmente manipulada.

El segundo error se da a la hora de procesar cabeceras formadas de
forma errónea. Si no siguen el estándar RFC 2231, pueden provocar una
denegación de servicio y hacer que la aplicación deje de funcionar.

El tercer fallo se debe a que una entrada no especificada no es
debidamente depurada antes de ser devuelta al usuario, lo que permite
que código HTML y script arbitrario pueda ser ejecutado en el
navegador del usuario bajo el contexto del lugar afectado.

Los fallos han sido corregidos en la versión 2.1.9rc1 de Mailman.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Mailman Multiple Cross Site Scripting and Remote Denial of Service
Vulnerabilities
http://www.frsirt.com/english/advisories/2006/3446

domingo, 3 de septiembre de 2006

Denegación de servicio a través de daxctle.ocx en Internet Explorer

Se ha descubierto un desbordamiento de búfer en Internet Explorer que
provoca que la aplicación deje de responder (denegación de servicio)
y posiblemente permita la ejecución de código arbitrario.

El fallo se produce cuando Internet Explorer maneja el método Spline
del objeto COM DirectAnimation.PathControl (daxctle.ocx). Si se
establece al primer parámetro al valor 0xffffffff, se disparará una
escritura en memoria inválida que provocará una denegación de servicio
y posiblemente permita la ejecución de código arbitrario.

Se ha confirmado que el problema afecta a la versión 6, aunque otras
podrían verse afectadas. No existe parche oficial. Como siempre la
principal recomendación consiste en no visitar enlaces sospechosos.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Internet Explorer (IE) Buffer Overflow in 'daxctle.ocx'
ActiveX Control Lets Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2006/Aug/1016764.html

viernes, 1 de septiembre de 2006

Ejecución de código a través de libTIFF en Sony PlayStation Portable

Se ha descubierto una vulnerabilidad en Sony PlayStation Portable que
puede ser aprovechada por atacantes para comprometer el sistema.

El fallo se debe a un error en la librería libTIFF a la hora de
visualizar imágenes TIFF con Photo Viewer. Un desbordamiento de memoria
intermedia puede llevar a la ejecución de código arbitrario. El fallo se
ha confirmado en todas las versiones 2.x del firmware. (2.60, 2.00 y
2.80). Existe código público capaz de aprovechar la vulnerabilidad.

No es la primera vez que la consola portátil sufre un problema parecido.
Hace justo un año, en septiembre de 2005, sufrió un fallo de seguridad
también en la librería libTIFF que permitía la ejecución de código a
través de una imagen especialmente manipulada.

LibTIFF es una librería gratuita muy utilizada en entornos UNIX que
facilita la manipulación de imágenes en formato TIFF (Tag Image File
Format). Su licencia le permite ser utilizada con cualquier intención,
por lo que su popularidad le ha llevado hasta la consola portátil de
Sony. No se aclara si se trata de un problema específico del dispositivo
o está adaptado a partir de una vulnerabilidad genérica de libTIFF.

No existe parche oficial. Se recomienda no abrir imágenes que provengan
de fuentes sospechosas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Sony PSP TIFF Image Viewing Code Execution Vulnerability
http://noobz.eu/content/home.html#280806