martes, 31 de octubre de 2006

Primer Congreso CAPSDESI y Día Internacional de la Seguridad Informática DISI

Con el lema "Construyendo la Sociedad del Conocimiento desde la
Confianza", los días 29 y 30 de noviembre de 2006 se celebrará en la
Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT de
la Universidad Politécnica de Madrid, el Primer Congreso de la Cátedra
UPM-Applus+ de Seguridad y Desarrollo de la Sociedad de la Información
CAPSDESI y el Día Internacional de la Seguridad de la Información DISI.

Organizan la EUITT, Applus+ y la UPM, bajo el patrocinio de la
Asociación Multisectorial de Empresas Españolas de Electrónica y
Comunicaciones ASIMELEC, AFINA, el Centro Criptológico Nacional CCN y
Red Seguridad, y con la colaboración de la Asociación de Técnicos de
Informática ATI, la Information Systems Security Association ISSA, la
Asociación de Ingenieros en Informática AI2, Hispasec Sistemas y hakin9.

El evento está estructurado en dos bloques. El miércoles 29 y la mañana
del jueves 30, congreso CAPSDESI; jueves 30 por la tarde, Día
Internacional de la Seguridad de la Información DISI. Las ponencias del
congreso se agruparán en sesiones "Visión de la Administración Pública",
"Seguridad en Sectores Críticos: Banca", "Gestión y Aplicaciones de
Seguridad" y "Gobierno de la Seguridad". La sesión del DISI, con una
clara orientación hacia los jóvenes investigadores, lleva como título "A
fondo: Amenazas y Vulnerabilidades".

Tras una conferencia Magistral de Apertura a cargo de D. José Luis Piñar
Mañas de la Agencia Española de Protección de Datos, y conferencias
invitadas de D. Jeimy Cano Martínez de la Universidad de los Andes y
Banco de la República de Colombia y D. Juan de Dios Bel, ISACA
Argentina, el evento contará con ponencias presentadas por destacados
expertos: D. Enrique Martínez de INTECO; D. Luis Jiménez del Centro
Criptológico Nacional; D. José Manuel Colodrás de ING Direct; D. José
Manuel Maza del Tribunal Supremo; Dña. Laura Prats de Applus+; D. Juan
Miguel Velasco de Telefónica Soluciones; D. Jesús Pardo de FNMT-CERES;
D. Carlos Jiménez de Secuware; D. Manuel Palao de Personas y Técnicas;
D. Miguel García Menéndez de ATOS; D. Ricardo Bria de SAFE Consulting;
D. Tomás Arrroyo del BBVA; D. Jesús Cea Avión de Hispasec Sistemas; D.
Raúl Siles Peláez de Hewlett Packard; D. Gonzalo Alvarez Marañón del
CSIC; D. Fernando Bahamonde de Rootaccount Network S.L. y D. Luis Frutos
de Business Software Alliance BSA.

En tanto se trata de una actividad de difusión propia de la cátedra, el
costo de la inscripción a todo el evento será de 350 Euros, y la
inscripción al DISI totalmente gratuita, en función de la disponibilidad
del Salón de Actos del Campus Sur, con un aforo para 500 personas. La
inscripción al evento (CAPSDESI+DISI) da derecho a las pausas para café
y comida en los salones de la cafetería del Campus. En cualquier caso,
se entregará a todos los asistentes un certificado de asistencia.

Las inscripciones a todo el congreso deben realizarse vía servidor Web
de asimelec http://www.asimelec.es que se habilitará para ello a partir
del lunes 6 de noviembre, en tanto las inscripciones -gratuitas- sólo
para asistencia al DISI se gestionarán a través de la página Web de la
cátedra http://www.capsdesi.upm.es, abriéndose con fecha 31 de octubre
el plazo de pre-inscripciones hasta el miércoles 22 de noviembre y
solicitando una posterior confirmación también vía Web.


Jorge Ramió Aguirre
Director Cátedra UPM-Applus+


Más información:

Asimelec
http://www.asimelec.es

Capdesi
http://www.capsdesi.upm.es

lunes, 30 de octubre de 2006

Navegadores nuevos con viejos problemas

Dos nuevas versiones de navegadores muy utilizados han aparecido casi
de forma simultánea. Mozilla Firefox 2.x e Internet Explorer 7.x de
Microsoft. Son dos evoluciones muy esperadas por los usuarios, que se
supone traerían mejoras en funcionalidad y protección. Tras varios días
a disposición de los usuarios, se ha demostrado que sufren distintos
problemas de seguridad. Lo extraño es que varios los han heredado de
sus versiones predecesoras.

Como adelantábamos hace unos días en un boletín, a IE7 "no le espera una
vida ‘cómoda’", y con sólo unos días en la calle, ha quedado demostrado.
Nada más "nacer", algunas casas ya lanzan ataques antiguos contra el
nuevo navegador de Microsoft. Se demostró el día 19 de octubre que un
problema de seguridad descubierto en abril de 2006 (y sin parche
oficial) en Internet Explorer 6, también afectaba a la nueva versión 7.
Puede ser aprovechado por atacantes para revelar información sensible.
El día 30 se ha descubierto una "nueva" vulnerabilidad en Internet
Explorer 7 que puede ser aprovechada por atacantes para falsificar el
contenido de una ventana emergente que se cargue desde un web site en la
que se confía. Este problema es un variación de un fallo muy similar no
corregido, encontrado en diciembre de 2004 en Internet Explorer 6.x.

Además, se ha publicado código para hacer que Internet Explorer 7.x
deje de responder a través de ADODB.Connection (aunque se especula con
que es posible ejecutar código, no se ha confirmado) y otro error de
falsificación de URL que afecta en mayor o menor medida a todos los
navegadores, pero que en Internet Explorer 7 resultaría especialmente
"útil" para realizar ataques de phishing.

Por otro lado, Mozilla Firefox no se queda atrás. Desde que está
disponible su versión final, ya se ha demostrado que vuelve a ser
vulnerable a dos errores de seguridad que se suponían solucionados. El
primero consiste en tres formas de echar abajo las versiones 1.5.x,
descubiertas por Michal Zalewski. Aunque se suponían solucionados, la
versión 2 todavía es vulnerable a alguno de los tres fallos. Por si
fuera poco, se ha descubierto también que es vulnerable a otro error
calificado como crítico y con casi un mes de antigüedad.

Las razones de estos fallos prematuros y antiguos (y aparecerán más,
sin duda) en unas versiones "mejoradas" pueden ser muy diversas, y
aventurarse a encontrar un motivo concreto no es sencillo. Se supone
un problema surgido por combinación de varios factores y no resultaría
productivo estancarse en la "pelea mediática" entre el código que no
se conoce y el que puede ser analizado por millones de ojos. Toda
transición a una versión superior con nuevas funcionalidades puede ser
más o menos traumática, no hay que llevarse las manos a la cabeza. Lo
que es sin duda deseable es que ciertos factores no hayan tenido nada
que ver. Por ejemplo, esperamos que no hayan influido de ninguna manera
procesos de calidad insuficientes en productos que se ponen a
disposición de millones de usuarios. O que las prisas por aparecer y
protagonizar una lucha mediática hayan tenido mayor peso que el hecho de
lanzar un producto de mayor calidad... o que los parches creados para
vulnerabilidades anteriores no hayan supuesto más que maquillaje que no
solucionen los problemas de raíz... En cualquier caso, y sean cuales
sean los motivos, como decía Alan Cox hace sólo unos días, "la alta
calidad sólo se aplica a algunos proyectos, los que tienen buenos
autores y buenas revisiones de código", y esta afirmación será siempre
válida para todo el software.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerabilidad Firefox 2.0 y anteriores
http://www.extremeambient.net/2006/10/29/vulnerariblidad-firefox-20-y-anteriores/

Firefox 2, vulnerable
http://www.kriptopolis.org/firefox-2-vulnerable

ADODB.Connection POC Published.
http://blogs.technet.com/msrc/archive/2006/10/27/adodb-connection-poc-published.aspx

IE Address Bar Issue
http://isc.sans.org/diary.php?storyid=1804
http://blogs.technet.com/msrc/archive/2006/10/26/ie-address-bar-issue.aspx

Information on Reports of IE 7 Vulnerability
http://blogs.technet.com/msrc/archive/2006/10/19/information-on-reports-of-ie-7-vulnerability.aspx

domingo, 29 de octubre de 2006

Denegación de servicio en PostgreSQL 8 y 7

Se han encontrado algunas vulnerabilidades en PostgreSQL que pueden
ser aprovechadas por atacantes para provocar una denegación de
servicio.

PostgreSQL es una base de datos relacional "Open Source", bastante
popular en el mundo UNIX, junto a MySQL. El primer fallo documentado
se debe a una comprobación incorrecta de tipos que puede ser
aprovechada para provocar que el sistema deje de responder
si se convierten ciertos literales en el tipo ANYARRAY.

El segundo fallo se debe al manejo de funciones de agregación en
estamentos UPDATE. Esto puede ser aprovechado para hacer que el
sistema deje de responder.

El tercer fallo se debe a un error a la hora de hacer log de mensajes
de ROOLBACK o estamentos COMMIT en V3-protocol puede ser aprovechado
para provocar que el sistema deje de responder.

Se recomienda actualizar a la versión 8.1.5, 8.0.9, 7.4.14, o 7.3.16.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PostgreSQL Multiple Request and Function Handling Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2006/4182

New PostgreSQL Minor Versions Released
http://www.postgresql.org/about/news.664

Changesets
http://projects.commandprompt.com/public/pgsql/changeset/26457
http://projects.commandprompt.com/public/pgsql/changeset/25504
http://projects.commandprompt.com/public/pgsql/changeset/25953

sábado, 28 de octubre de 2006

Denegación de servicio en Cisco Security Agent bajo Linux

Se ha detectado un problema de seguridad en Cisco Security Agent (CSA)
para Linux que puede permitir a atacantes provocar una denegación de
servicio.

Si se realiza un escaneo de puertos con opciones específicas contra un
sistema que ejecute una versión vulnerable de CSA, sería posible
provocar que el sistema deje de responder por consumo de todos los
recursos al intentar identificar el escaneo. Los procesos críticos
podrían fallar y afectar a la conectividad remota.

Las versiones CSA para Windows y Solaris no se ven afectadas.

Se puede mitigar el problema conectando los sistemas a redes
confiables. El problema está documentado para clientes en
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsg40052

Las versiones afectadas son:
CSA Hotfix anterior a 4.5.1.657, se recomienda instalar CSA Hotfix
4.5.1.657
CSA Hotfix anterior a 5.0.0.193, se recomienda instalar CSA Hotfix
5.0.0.194

Descargables desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/csahf-crypto?psrtdcat20e2

CUCM 5.0 incluyendo versión 5.0(4), instalar CUCM 5.0(4) con
actualización CSA COP
CUPS 1.0 incluyendo versión 1.0(2), instalar CUPS 1.0(2) con
actualización CSA COP

Descargables desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cmva-3des?psrtdcat20e2
http://www.cisco.com/pcgi-bin/tablebuild.pl/cups-10?psrtdcat20e2


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Security Agent for Linux Port Scan
Denial of Service
http://www.cisco.com/warp/public/707/cisco-sa-20061025-csa.shtml

viernes, 27 de octubre de 2006

Alan Cox: "Se invierte mucho dinero en seguridad, pero también en intentar romperla"

"Se invierte mucho dinero en seguridad, pero, la situación es peor,
porque también se invierte mucho dinero en intentar romperla" Esta es
una de las afirmaciones que según news.com, ha lanzado Alan Cox mientras
asistía a la LinuxWord de Londres celebrada hace pocos días. Alan Cox,
respetado desarrollador del núcleo de Linux y actual trabajador de Red
Hat, se queja de la autocomplacencia del mundo del código abierto con
respecto a la seguridad.

Alan Cox conoce el mundo del código abierto. Ha programado activamente
el núcleo de Linux e incluso tenía su propia versión de la rama 2.4.
Según publica news.com, sus declaraciones no tienen desperdicio.

Advierte de que mucho código abierto está lejos de ser seguro y que se
están invirtiendo grandes sumas de dinero en intentar romper la
seguridad de este código. Aunque no lo menciona, es fácil constatar que
en los últimos meses se han puesto en marcha varias iniciativas desde
empresas privadas (más las iniciativas que con toda seguridad existen
"en la oscuridad") que incentivan el descubrimiento de problemas de
seguridad, que se ha convertido en un negocio a todos los niveles. No
sólo en el código abierto, sino en todo tipo de filosofía. Se paga a
cambio del conocimiento de los detalles de la vulnerabilidad, por la
exclusividad de la publicación del fallo bajo el nombre de la empresa.
Cuanto más crítico el problema, más jugoso el premio. Este es el caso de
iDefense, o TippingPoint. Por ahora, se le pueden adjudicar varias
publicaciones de vulnerabilidades que han visto la luz a través de estos
proyectos, tanto en productos de código abierto como "cerrado".

"Lo que aparece en los medios de comunicación como que el código abierto
es seguro y más fiable y que tiene menos fallos son afirmaciones muy
peligrosas", dijo Cox. "Un análisis de 150 proyectos de SourceForge (un
repositorio de software de código abierto) no obtendría los mismos
buenos resultados que el núcleo de Linux. La alta calidad sólo se aplica
a algunos proyectos, los que tienen buenos autores y buenas revisiones
de código".

Alan Cox continua: "El debate de Microsoft diciendo "Mira qué seguros
somos" contra Linux afirmando "Nosotros somos más seguros" no se está
enfocando en los puntos importantes". Esta es una de las afirmaciones
que podemos considerar particularmente más lúcidas. En los últimos
meses, esta estéril discusión se ha materializado especialmente en la
constante comparación (casi competitiva) de la comunidad entre los
navegadores Internet Explorer y Firefox, su número de errores, la
criticidad, la rapidez para corregirlos... algo que como bien opina Cox,
no es realmente la cuestión.

Cox, por otro lado, también habló del nuevo proyecto llamado Software
Quality Observatory for Open Source Software (SQO-OSS) fundado por la
Comisión Europea y estrenado recientemente. Pretende medir la calidad
del código abierto de manera estricta y cuantificable a través de
fórmulas establecidas. Respecto al proyecto, parece no tenerlo del todo
claro y dijo que "es bueno establecer medidas, y SQO-OSS tiene un gran
potencial, pero existen problemas con esto, y riesgos asociados a este
tipo de metodología".


Sergio de los Santos
ssantos@hispasec.com


Más información:

Linux guru warns on security of open-source code
http://news.com.com/2100-1002_3-6129835.html

SQO-OSS: Software Quality Observatory for Open Source Software
http://www.sqo-oss.eu/

Zero Day Initiative
http://www.zerodayinitiative.com/

Vulnerability contributor program
http://labs.idefense.com/vcp/

Alan Cox
http://en.wikipedia.org/wiki/Alan_Cox

jueves, 26 de octubre de 2006

Revelación de información en switches 3com SS3 4400XX

Se ha identificado una vulnerabilidad en switches 3Com SS3 4400 que
puede ser aprovechada por atacantes para eludir restricciones de
seguridad y revelar información sensible.

El fallo se debe a un manejo inadecuado de paquetes normalmente
restringidos, lo que podría ser aprovechado para hacer que el
dispositivo envíe una respuesta con la cadena SNMP Community de
lectura-escritura. Con esta información se pueden llevara cabo ciertas
acciones administrativas sobre el sistema, como reconfigurar la VLAN o
deshabilitar puertos.

Los productos afectados son:
3Com SS3 4400 (con firmware 6.10 y anterior)
3Com SS3 4400PWR (con firmware 6.10 y anterior)
3Com SS3 4400SE (con firmware 6.10 y anterior)
3Com SS3 4400FX (con firmware 6.10 y anterior)

Se recomienda aplicar el parche disponible desde: http://pa.3com.com


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

3Com Switches Management Packets Handling Information Disclosure Vulnerability
http://www.frsirt.com/english/advisories/2006/4184

miércoles, 25 de octubre de 2006

El "downloader" más pequeño del mundo

Gil Dabah ha propuesto un desafío que consiste en crear el "downloader"
(descargador automático) más pequeño posible para Windows. Por ahora,
ha conseguido un ejecutable de 304 bytes capaz de descargar un archivo
desde Internet y ejecutarlo de forma transparente, lo que supone un
importante avance en esta técnica.

Gil Dabah más conocido como Arkon, es un apasionado de la programación y
colaborador de ZERT. Este fue el grupo que programó el parche no oficial
para la vulnerabilidad VML de Internet Exploer. Arkon se ha propuesto
crear el ejecutable más pequeño capaz de descargar a su vez otro archivo
de Internet y ejecutarlo.

Con esta simple premisa Arkon (con ayuda de otros expertos que han
aportado ideas) ha llegado (en una tercera versión) a crear un
ejecutable perfectamente funcional en 304 bytes, cuando la primera
versión pesaba los ya escasos 411 bytes. A través de sofisticadas e
ingeniosas técnicas ha conseguido reducir a la mínima expresión un
programa que descarga desde su página otro programa que a su vez
muestra un simple mensaje por pantalla.

Code crunching es el nombre dado a este método, destinado a optimizar
cada byte usado en un ejecutable. Las técnicas aplicadas son realmente
creativas, y se valen de todo tipo de artimañas para arañar bytes y
reducir al máximo el programa.

Aparte del interés para programadores, la funcionalidad de este
experimento lo vuelve especialmente interesante. Este programa es
absolutamente inocuo de por sí, pero su finalidad lo convierte en
potencialmente peligroso. Los "downloaders" son herramientas muy usadas
por el malware en general, para intentar pasar inadvertidos ante las
medidas de protección. Su principal función consiste en conectar con un
servidor de Internet y descargar nuevos componentes y troyanos. Dividen
el proceso de infección en dos pasos, primero se fuerza la ejecución del
"downloader" y es este el que descarga el malware en sí, a través de
distintos métodos de ofuscación. El archivo descargado contiene el
"payload" o carga vírica y con este método, los atacantes sólo tienen
que cambiar o reemplazar el ejecutable que es descargado para seguir
aprovechando la infección cuando el "payload" sea demasiado "detectado"
o cualquier otro motivo. Lo interesante es que con el diminuto tamaño
conseguido por Arkon, se consigue una rapidez y unas características
especiales que podrían incluso evitar que su actividad sea detectada en
redes. Pero sin duda, lo más relevante (y el objetivo principal) es que
a la hora de programar, la imaginación puede superar cualquier límite
impuesto.

Como curiosidad, y conociendo que cualquier programa que intente
descargar algo desde Internet puede resultar potencialmente peligroso,
la muestra tiny3.exe ha sido enviada a VirusTotal.com con los siguientes
resultados.

Authentium 4.93.8 10.23.2006 could be a corrupted executable file
CAT-QuickHeal 8.00 10.20.2006 (Suspicious) - DNAScan
Fortinet 2.82.0.0 10.23.2006 suspicious
NOD32v2 1.1825 10.22.2006 probably unknown NewHeur_PE virus
Panda 9.0.0.4 10.22.2006 Suspicious file

Insistimos en que el experimento en sí no es peligroso, pero es normal
que algunos antivirus lo detecten. Si el archivo descargado desde
la página de Arkon (de nuevo un inofensivo archivo llamado f.exe) y
ejecutado sin avisar fuese cambiado por otro, sí que podría tomarse
como vehículo de infección. Además de que tiny3.exe intenta descargar
y ejecutar algo de forma transparente, lo que ya de por sí es
sospechoso si no conociésemos su procedencia.

El reto sigue abierto para quien pueda desafiar los límites y rebajar
el ejecutable por debajo de los 300 bytes. Incluso se ha creado una
lista para discutir sobre el tema:
http://whitestar.linuxbox.org/mailman/listinfo/code-crunchers


Sergio de los Santos
ssantos@hispasec.com


Más información:

Code Crunching - Tiny PE (challenge) [update #2: now with 304 bytes!]
http://blogs.securiteam.com/index.php/archives/675

Tiny PE - Rel0ad3d (304 bytes!)
http://blogs.securiteam.com/index.php/archives/690

martes, 24 de octubre de 2006

Malware y phishing, ¿ponemos más puertas al campo?

Los sistemas de seguridad reactivos, basados en firmas tradicionales
para el malware y listas negras para el phishing, están obsoletos y
se muestran insuficientes para abordar una realidad cuyos números y
efectos se desconocen.

La Real Academia Española describe "poner puertas al campo" como frase
coloquial usada para dar a entender la imposibilidad de poner límites
a lo que no los admite.

Por definición, tanto el malware como el phishing son conjuntos
finitos, si bien están en continuo crecimiento. La producción actual
es tan prolífica que a efectos prácticos es imposible luchar de forma
efectiva intentando poner una nueva "puerta" para cerrar la vía de
entrada de cada nuevo caso de malware o phishing.


¿Se desconoce la magnitud del problema?

Cuando uno trabaja dentro del sector tiene acceso a material de
primera mano y tendencia a perder la perspectiva que se distingue
del problema desde el exterior. Es normal que difiera la percepción
de un usuario respecto a un profesional de la seguridad.

Tener puntos de vistas diferentes suele ser complementario y
enriquecedor. Además, tradicionalmente las casas de seguridad han
realizado, en ocasiones o de forma puntual, un mal uso de las
estadísticas y las alertas, utilizándolas como herramienta de
marketing para provocar la necesidad de adquirir unos determinados
productos. No es de extrañar que el usuario de hoy mantenga cierta
actitud crítica, por otro lado recomendable, cuando se le habla de
los peligros que acechan en Internet.

Ahora bien, cuando uno lee en prensa que aparecen 2.000 nuevos virus
cada mes de boca de un reputado experto en seguridad, ya no es un
simple problema de percepción entre usuarios finales y profesionales
del sector. La brecha es mayor.


Algunos números

Un laboratorio antivirus puede recibir cada día una media de mil
nuevas muestras de malware para las que su solución no disponía de
firma de detección específica. No hay ninguna errata en los números,
hablamos de 1.000 en 24 horas, Y hay casos donde el volumen es mayor.

El phishing y el robo de credenciales de acceso a banca, al contrario
del malware, tal vez sea una actividad más visible. No en vano la
estrategia más común por parte de los atacantes es realizar un spam
masivo para hacer llegar la dirección falsa al mayor número de
víctimas potenciales. Todos hemos recibido varios mensajes de ese
tipo, y más o menos podemos hacernos una idea del volumen.

Ahora bien, cuando hablamos de troyanos bancarios o de phishing
segmentado entramos en un terreno mucho más oscuro. Como dato,
en el laboratorio de Hispasec analizamos más de 100 troyanos bancarios
cada día.


¿En qué se traducen estos números?

La situación es algo contradictoria. Vivimos la época con mayor número
de amenazas e incidentes en Internet, si bien la percepción general
sobre la inseguridad se ha relajado respecto a años anteriores.


Algunos culpables

El malware ha dejado de ser noticia. Antes solía aparecer regularmente
un gusano de propagación masiva que obtenía la atención de los medios
tradicionales y protagonizaba titulares.

Ahora la estrategia de los atacantes ha cambiado. En vez de un gusano
de propagación masiva que infecta miles de usuarios en poco tiempo,
pero que también provoca que los antivirus reaccionen en tiempo récord,
prefieren distribuir miles de variantes que infectan a más usuarios,
pasan más desapercibidas, y dificultan la labor de detección de los
antivirus.

Además el malware actual es menos perceptible por los usuarios
infectados. Atrás quedaron los virus que mostraban efectos en las
pantallas de los usuarios, eliminaban archivos, o los gusanos que
provocaban un aumento en el tráfico de red. Los troyanos y el
spyware, reyes indiscutibles de la escena actual, es software diseñado
para permanecer oculto en los sistemas y no dar señales de su
actividad.


La situación actual

A efectos prácticos, el disponer de un antivirus o no hacer caso a
los mensajes de phishing no garantiza a un usuario que su sistema
no esté infectado o sea víctima de una estafa.

De hecho, es muy común encontrarse sistemas con antivirus instalados
donde conviven varios troyanos y/o spyware. Con frecuencia los
usuarios nunca llegan a ser conscientes de las infecciones, más de
una vez habremos escuchado la frase: "parece que este Windows tiene
demasiado tiempo, va muy lento y con errores, toca formatearlo de
nuevo". Sí, en muchas ocasiones la responsabilidad no es del sistema
de Microsoft (comodín para todos los males), o al menos no en
exclusividad.

Tampoco faltan casos de usuarios que han sido víctimas de fraude a
través de la banca electrónica por Internet que además de disponer
de antivirus actualizado nunca han visitado una página de phishing.


Lo que hay que exigir

Los sistemas de seguridad totalmente reactivos no son suficientes,
tenemos que exigir prevención y proactividad.

Por ejemplo, las firmas tradicionales siguen siendo imprescindibles
para los antivirus en la actualidad, si bien debemos de adquirir
soluciones que complementen esa capa de detección con buena tecnología
heurística o basada en el comportamiento, capaces de detectar malware
nuevo y desconocido.

No existe antivirus infalible, pero a buen seguro conseguiremos un
mayor grado de protección.

En el caso del phishing debemos exigir a nuestras entidades sistemas
de autenticación más robustos, utilizar el típico usuario y contraseña
o PIN estático para el acceso y autorización de transacciones es a
todas luces insuficiente.

Aunque son muchos los factores en contra a los que se debe enfrentar
una entidad para implantar un sistema de autenticación multifactor y/o
multicanal, la mayoría ajenos a la tecnología, la experiencia
demuestra que cualquier avance, por pequeño que sea, es significativo
en la lucha contra el phishing.

Un ejemplo, las tarjetas de coordenadas no dejan de ser un pseudo
intento de OTP (One-Time Password) primitivo. A algunos le resultará
contradictorio que en pleno siglo XXI tengamos que mirar una tarjeta
de plástico y jugar a los barquitos para introducir una contraseña.
Pero las entidades que las han implantado han visto reducir
drásticamente su nivel de fraude por Internet.

Tampoco es, ni mucho menos, la solución definitiva. Sistemas más
robustos que las tarjetas de coordenadas (certificados, tokens,
canales alternativos vía móviles, etc.) pueden ser, y serán atacados,
con efectividad. De hecho algunos de ellos ya son objetivos puntuales
en la actualidad. Pero mientras existan entidades con sistemas más
débiles, basados en el usuario y contraseña tradicional, los atacantes
y el phishing se cebarán en ellos.


Resumiendo

Es una frase manida, pero no por ello le quita razón: la seguridad es
un proceso continuo. No vamos a encontrar la solución mágica contra
los ataques y el fraude, desconfié de quién le ofrezca el producto
definitivo y 100% seguro.

Tampoco es menos cierto que la seguridad es una responsabilidad
compartida. Aunque cada vez se tiende a hacer los sistemas de
seguridad más transparentes para el usuario, pocos pueden resistir
cuando no se hace un uso responsable de la tecnología.

Debemos de aprender a evolucionar en el tiempo. Como usuarios
tendremos que in/formarnos continuamente sobre las nuevas amenazas
que van surgiendo, no en vano la educación en materia de seguridad
es una las principales y más útiles barreras contra los ataques. Nos
tocará también adquirir nuevos hábitos y adaptarnos a nuevas
tecnologías.

Pero, sobre todo, debemos exigir a los proveedores unos niveles
mínimos de seguridad en todos los sistemas que nos rodean, desde la
solución antivirus de nuestro PC pasando por la banca electrónica de
nuestra entidad. A día de hoy muchos están por debajo de lo que exige
la situación actual.

Tú eres el usuario, tú mandas, ¿hora de cambiar?.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Barras antiphishing para navegadores
http://blog.hispasec.com/laboratorio/37

Antiphishing en Internet Explorer 7
http://blog.hispasec.com/laboratorio/167

(Sobre la robustez de las firmas antivirus tradicionales)
http://blog.hispasec.com/laboratorio/166

Troyano bancario contra entidades españolas y latinoamericanas
http://blog.hispasec.com/laboratorio/159

lunes, 23 de octubre de 2006

Múltiples vulnerabilidades en Novell eDirectory 8.x

Novell ha publicado actualizaciones para varias vulnerabilidades en
Novell eDirectory que pueden ser aprovechadas por atacantes remotos
no autenticados para comprometer un sistema vulnerable. Novell fue
advertido por los laboratorios de iDefense sobre estos problemas el
16 y 17 de agosto de 2006.

Existe un error de límites en el motor NCP a la hora de procesar NCP
sobre IP. Esto puede ser aprovechado para provocar un desbordamiento de
memoria basado en heap a través de un paquete especialmente manipulado,
que provocaría que eDirectory leyera un cantidad de memoria especificada
de datos arbitrarios dentro de un búfer estático. El atacante podría,
sin credenciales, ejecutar código arbitrario con privilegios de
administrador o root, con los que se ejecuta habitualmente este proceso.

También, varios problemas dentro de la función
evtFilteredMonitorEventsRequest pueden ser aprovechados para provocar
un desbordamiento de memoria intermedia basado en heap a través de una
petición especialmente manipulada. Los fallos son un desbordamiento de
enteros y una llamada a la función free con valores fuera de los límites
del array reservado.

El efecto de estos problemas puede ser la denegación de servicio o la
ejecución de código arbitrario con privilegios de administrador. Las
vulnerabilidades se han confirmado en la versión 8.8 y 8.8.1 aunque
versiones anteriores pueden verse afectadas.

Se han publicado soluciones para eDirectory Post 8.8.1 FTF1 disponibles
desde:

Para Windows:
http://support.novell.com/servlet/filedownload/sec/pub/edir881ftf_1.exe/

Para Linux\Unix:
http://support.novell.com/servlet/filedownload/sec/pub/edir881ftf_1.tgz/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Novell eDirectory NCP over IP length Heap Overflow Vulnerability:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=426

Novell eDirectory evtFilteredMonitorEventsRequest Heap Overflow
Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=427

Novell eDirectory evtFilteredMonitorEventsRequest Invalid Free Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=428

domingo, 22 de octubre de 2006

Denegación local de servicio a través de TCP Fusion Code en Solaris 10

Existe un error por el que Sun Solaris 10 podría causar un pánico en
el kernel en la función TCP/IP tcp_fuse_rcv_drain a la hora de usar
conexiones loopback cuando ambos extremos de la conexión residen en el
mismo sistema.

Este problema puede permitir a un usuario local no privilegiado provocar
una denegación de servicio en el sistema víctima.

Se recomienda aplicar los parches correspondientes:

Plataforma SPARC:
Solaris 10, aplicar 118833-23 o posterior desde:
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118833-23-1

Plataforma x86:
Solaris 10, aplicar 118855-19 o posterior desde:
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118855-19-1

También es posible deshabilitar el origen del problema añadiendo la
línea:
set ip:do_tcp_fusion = 0x0
al fichero /etc/system


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the Solaris 10 TCP Fusion Code May Lead to a System Panic, Resulting in a Denial of Service (DoS)
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102667-1&searchclause=

sábado, 21 de octubre de 2006

Actualización del kernel para Red Hat Enterprise Linux 3.x

Red Hat ha publicado una actualización para el kernel debido a que se
han encontrado varios problemas de seguridad.

Los fallos corregidos son:

* Un fallo en la implementación de la memoria compartida de IPC permite
a un usuario local provocar una denegación de servicio, dejando al
sistema congelado.

* Un filtrado de información en la implementación de la función
copy_from_user en plataformas s390 y s390x permite a usuarios locales
leer memoria arbitraria del kernel.

* Un fallo en el subsistema ATM afecta a sistemas que tengan el hardware
ATM configurado y soporte para ATM permite a atacantes remotos provocar
una denegación de servicio por acceso a memoria intermedia de sockets
después de haber sido liberado.

* Una vulnerabilidad de directorio transversal en smbfs que permite a
usuarios locales eludir restricciones chroot a través de secuencias
"..\\" para un sistema de ficheros SMB montado.

* Un fallo en la llamada de sistema mprotect que puede permitir
habilitar el permiso de escritura para adjuntos de sólo lectura de la
memoria compartida.

* Un fallo en el manejo de DVD en el controlador de CDROM que permite a
un usuario elevar privilegios hasta root a través de un dispositivo
USB especialmente manipulado.

Las actualizaciones, para las diferentes versiones y plataformas están
disponibles desde Red Hat Nework. Se recomienda actualizar a través
de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
http://rhn.redhat.com/errata/RHSA-2006-0710.html

viernes, 20 de octubre de 2006

Falsificación de cabeceras en Adobe Flash Player Plugin 7, 8 y 9

Se han encontrado vulnerabilidades en Adoble Flash Player Plugin que
permiten a un atacante remoto inyectar cabeceras HTTP arbitrarias.

El fallo se produce al llamar a la función addRequestHeader
especialmente manipulada. Un atacante podría añadir valores
arbitrarios en las cabeceras de una petición Flash HTTP.

Un atacante también podría proporcionar valores especialmente
manipulados al atributo contentType para establecer valores
arbitrarios en una petición Flash HTTP.

Esto permitiría a un atacante perpetrar ataques de cross site
scripting, falsificaciones de peticiones y robar información sensible.
Se ven afectadas todas las versiones de Flash Player para plataformas
Windows y Linux, hasta la 9.0.16 para Windows y la 7.0.63 para Linux.

La beta 9.0.18d60 para Windows no se ve afectada por este problema.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Adobe Flash Player Plugin Lets Remote Users Injection Arbitrary HTTP Header Data httphttp://securitytracker.com/alerts/2006/Oct/1017078.html

HTTP header injection vulnerabilities in Adobe Flash Player
http://www.adobe.com/support/security/advisories/apsa06-01.html

jueves, 19 de octubre de 2006

Versión final de IE7 y vulnerabilidades en varios navegadores

Microsoft ha sacado a la luz un producto esperado desde hace exactamente
5 años, fecha en la que apareció Internet Explorer 6. Durante este
tiempo, han surgido alternativas que lo han hecho reaccionar y dedicar
un amplio desarrollo para poner a punto su nuevo navegador. Internet
Explorer 7 llega en un momento en el que prácticamente todos los
navegadores se ven afectados de una manera u otra por distintas
vulnerabilidades.

Desde el día 18 de octubre está disponible en inglés (para XP y 2003)
la versión final de Internet Explorer 7. Se distribuirá a través de las
actualizaciones automáticas, pues está concebido como una actualización
crítica, aunque pedirá primero permiso. Los administradores que no
deseen que se instale por considerarlo un producto poco maduro por el
momento, pueden ayudarse de una herramienta que Microsoft aloja en sus
páginas.

A IE7 no le espera una vida "cómoda". Nada más "nacer", algunas casas ya
lanzan ataques antiguos contra el nuevo navegador de Microsoft. Se ha
demostrado que un problema de seguridad descubierto en abril de 2006 (y
sin parche oficial) en Internet Explorer 6, también afecta a la nueva
versión 7. Puede ser aprovechado por atacantes para revelar información
sensible y se debe a un error en el manejo de redirecciones para URLs
con el manejador de URI "mhtml:".

IE7 aparece además en un momento en el que un problema de seguridad en
el conector (plugin) de Adobe Flash Player afecta a casi todos los
navegadores (el conector se necesita para visualizar Flash en cualquier
navegador). El fallo permite a un atacante remoto inyectar cabeceras
HTTP arbitrarias a través de la manipulación del método addRequestHeader
o de la propiedad contentType. Esto permitiría a un atacante perpetrar
ataques de "cross site scripting", falsificaciones de peticiones y
robar información sensible. Se ven afectadas todas las versiones de
Flash Player, hasta la 9.0.16 para Windows y la 7.0.63 para Linux.
La beta 9.0.18d60 para Windows no es vulnerable. No se sabe si la
recentísima beta 9 para Linux (muy esperada) es vulnerable.

Además, ni Konqueror ni Opera, ajenos habitualmente a la estéril
controversia sobre seguridad en navegadores, se libran del
descubrimiento de fallos en estos días. Red Hat ha publicado una
actualización para kdelibs debido a que se ha encontrado un problema
crítico de seguridad que afectaría al navegador Konqueror. Se ha
descubierto un desbordamiento de enteros en la forma en la que Qt maneja
imágenes pixmap. Un atacante podría crear una página web de tal forma
que si es visitada con Konqueror haría que este dejase de responder y,
potencialmente, ejecutaría código arbitrario.

Por si fuese poco, en una versión relativamente antigua de Opera (la 9.0
y 9.01) se ha encontrado también un problema que puede ser grave. El
fallo se debe a un error de límites a la hora de procesar URLs muy
largas, que puede provocar un desbordamiento de memoria intermedia
basado en heap. Es posible que permita la ejecución de código arbitrario
con sólo visitar una página especialmente manipulada. El problema se da
en las versiones 9.0 y 9.01 bajo Windows y Linux. Ni la versión 8.x ni
la 9.02 (disponible desde hace semanas) se ven afectadas por este
problema.

En cualquier caso, con la llegada de la nueva versión 7, se espera que
el grueso de los usuarios que hoy utilizan IE6 deban acostumbrarse a
nuevas facilidades (tanto para el usuario como para el administrador)
que se han venido retrasando en el navegador. Aunque se haya concebido
con la seguridad en la cabeza, como todo software remodelado introducirá
nuevos vectores de ataque a través de estas mismas nuevas comodidades...
y es seguro que los creadores de malware están, en estos mismos
momentos, trabajando duro para sacarles provecho.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Critical: kdelibs security update
https://rhn.redhat.com/errata/RHSA-2006-0720.html

Advisory: Very large link addresses can cause Opera to crash
http://www.opera.com/support/search/supsearch.dml?index=848

Toolkit to disable automatic delivery of Internet Explorer 7
http://www.microsoft.com/downloads/details.aspx?FamilyId=4516A6F7-5D44-482B-9DBD-869B4A90159C&displaylang=en

HTTP Header Injection Vulnerabilities in the Flash Player Plugin
http://www.rapid7.com/advisories/R7-0026.jsp

Flash player plugin 9 para Linux
http://www.adobe.com/go/fp9_update_b1_installer_linuxplugin

Microsoft IE mhtml: Redirection Domain Restriction Bypass
http://www.osvdb.org/25073

Internet Explorer 7
http://www.microsoft.com/spain/windows/ie/default.mspx

miércoles, 18 de octubre de 2006

Grupo de parches de octubre para diversos productos Oracle

Oracle ha publicado un conjunto de más de cien parches para diversos
productos de la casa que solventan una larga lista de vulnerabilidades
sobre las que apenas han dado detalles concretos. Las consecuencias
son que atacantes locales y remotos pueden provocar denegaciones de
servicio, ejecutar código arbitrario, tener acceso de escritura y
lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir
restricciones de seguridad. Los fallos se dan en varios componentes de
los productos.

La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 2, versión 10.2.0.1, 10.2.0.2
* Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.6, 9.2.0.7
* Oracle8i Database Release 3, versión 8.1.7.4
* Oracle Application Express, versiones 1.5 - 2.0
* Oracle Application Server 10g Release 3, versiones 10.1.3.0.0
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 -
10.1.2.0.2, 10.1.2.1.0
* Oracle Application Server 10g Release 1 (9.0.4), versiones 9.0.4.2,
9.0.4.3
* Oracle Collaboration Suite 10g Release 1, versiones 10.1.2.0
* Oracle9i Collaboration Suite Release 2, versión 9.0.4.2
* Oracle E-Business Suite Release 11i, versiones 11.5.7 - 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* Oracle Pharmaceutical Applications versiones 4.5.0 - 4.5.1
* Oracle PeopleSoft Enterprise People Tools, versiones 8.22, 8.46,
8.47, 8.48
* Oracle PeopleSoft Enterprise Portal Solutions, Enterprise Portal,
versión 8.8, 8.9
* JD Edwards EnterpriseOne Tools, versiones 8.95, 8.96
* JD Edwards OneWorld Tools SP23
* Oracle9i Database Release 1, versiones 9.0.1.4
* Oracle9i Database Release 1, versiones 9.0.1.5, 9.0.1.5 FIPS
* Oracle9i Application Server Release 2, versiones 9.0.2.3, 9.0.3.1
* Oracle9i Application Server Release 1, versión 1.0.2.2
* Oracle Developer Suite, versiones 6i, 9.0.4.1, 9.0.4.2, 9.0.4.3,
10.1.2.0.2, 10.1.2.2
* Oracle Database 10g Release 1, versión 10.1.0.3
* Oracle9i Database Release 2, versión 9.2.0.5
* Oracle Application Server 10g Release 1 (9.0.4), versión 9.0.4.1

De las más de cien correcciones:

* 22 afectan a Oracle Database y todas requieren un usuario y
contraseña válidos para poder ser aprovechadas.

* 6 afectan a Oracle HTTP Server, y 5 son aprovechables remotamente
sin necesidad de autenticación.

* 35 afectan a Oracle Application Express, y 25 son aprovechables
remotamente sin necesidad de autenticación.

* Las instalaciones cliente de Oracle Database no necesitan parches.

* 14 nuevos parches afectan a Oracle Application Server. 13 de las
cuales son aprovechables de forma remota sin autenticación. 3 de ellas
son aplicables a instalaciones cliente de Oracle Reports Developer y
Oracle Containers para J2EE. 6 nuevos parches aprovechables de forma
remota sin autenticación se aplican a productos Oracle Application
Server que están soportados sólo para uso como parte de otros
productos.

* No se han publicado nuevos parches específicos para Oracle
Collaboration Suite, pero 12 vulnerabilidades de Oracle Aplication
Server están incluidas en el código de Oracle Collaboration Suite y
son aprovechables de forma remota sin necesidad de autenticación.

* 13 nuevos parches para Oracle E-Business Suite, uno es aprovechable
de forma remota sin necesidad de autenticación. Oracle E-Business
Suite incluye código de Oracle9i Application Server Release 1, versión
1.0.2.2. 8 de las vulnerabilidades de Oracle Application Server son
aplicables a esta versión de código y 7 son aprovechables de forma
remota sin necesidad de autenticación.

* Un nuevo parche para Oracle Pharmaceutical Applications.

* No hay parches para Oracle Enterprise Manager, pero incluye
componentes de Oracle Database y Oracle Application Server que se
ven afectados por vulnerabilidades anteriores.

* 8 nuevos parches para Oracle PeopleSoft Enterprise PeopleTools
y Enterprise Portal Solutions, y uno nuevo parche para JD Edwards
EnterpriseOne. Una vulnerabilidad de Oracle PeopleSoft Enterprise
PeopleTools es aprovechable de forma remota sin necesidad de
autenticación.

Para comprobar las matrices de productos afectados y la disponibilidad
de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update - Octubre 2006
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html

* Critical Patch Update - October 2006 Documentation Map

http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=391560.1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915

Oracle Critical Patch Update - Octubre 2006
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2006.html

Critical Patch Update - October 2006 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=391560.1

martes, 17 de octubre de 2006

Oracle ofrecerá más y mejor información en sus boletines de seguridad

Oracle mejorará su sistema de notificación de alertas de seguridad,
añadiendo más información a la descripción de las vulnerabilidades.
Esto responde a una aclamada demanda por parte de administradores de
sus bases de datos, que sufrían desde hace años un confuso sistema
trimestral de parches y kilométricos boletines.

Parece que Oracle ha acabado reconociendo que la forma en la que venía
describiendo sus problemas de seguridad resultaba manifiestamente
mejorable y ha decido rediseñar su sistema de boletines que hasta ahora
venía siendo poco más que un jeroglífico. Incluso para usuarios
instruidos, parchear una base de datos podía convertirse en toda una
hazaña, en la que primero habría que moverse entre enormes tablas o
matrices para dar con la versión exacta de cada una de las (normalmente
entre 60 y 80) vulnerabilidades que se corrigen trimestralmente.
Componentes de aplicaciones, parches acumulativos, versiones con y sin
contramedidas, interminables matrices de riesgo... no son pocos los
administradores que desisten directamente cuando se enfrentan
trimestralmente a tan complicada tarea.

En su edición de octubre de CPU (Critical Patch Update), prevista para
el día 17, Oracle añadirá un rango de criticidad a sus boletines, un
sumario más detallado sobre las vulnerabilidades corregidas y una nueva
sección que destacará los fallos que pueden ser aprovechados de forma
remota sin necesidad de autenticación (los que pueden considerarse, por
tanto, como críticos y prioritarios).

Para ello, se ayudará de CVSS (Common Vulnerability Scoring System), un
estándar que gradúa la severidad de manera estricta a través de fórmulas
establecidas. De esta forma los administradores conocerán de manera
objetiva (a través de un número) la gravedad de los fallos. Podrán así
dar prioridad a la hora de parchear. Además, los fallos más graves
aparecerán en primera posición de los boletines. Hasta ahora se ofrecían
complejas subtablas que calificaban la facilidad de aprovechar el fallo
y el impacto del problema en los tres pilares de la seguridad de la
información: la confidencialidad, integridad y disponibilidad de los
datos.

CVSS es un sistema ya usado por compañías como Cisco, Qualys, Nessus y
Skype que basa el cálculo de rango de criticidad en tres puntuaciones:
Base (a su vez calculada a través de siete factores), temporal (un valor
calculado a partir de tres factores) y "ambiental" (a través de dos). De
estos tres factores principales, los dos últimos (temporal y ambiental)
pueden modificar y corregir el primero (la puntuación base) según las
circunstancias volátiles de la vulnerabilidad. Un sistema riguroso y
objetivo que espera convertirse en el estándar de calificación de
vulnerabilidades. En el apartado de más información se adjunta una
"calculadora" en línea de CVSS a partir de la introducción de todos
los factores.

El sumario, el destacado de las vulnerabilidades más graves, y
la adopción de un estándar para calificar las vulnerabilidades,
constituirán sin duda un cambio significativo en un sistema de alertas
que carecía de información clara y precisa sin necesidad de bucear en
un denso y complicado texto. Este oscurantismo unido a los numerosos
errores encontrados en sus parches (en este sentido David Litchfield
ha sido pieza clave) y en ocasiones incluso los largos periodos
(mínimo trimestral y con un récord de 800 días) en los que no se
ha proporcionado un parche para algún error, no convierten a Oracle
en un paradigma a seguir en este sentido. Esperamos que este sea el
primer paso para una mejor seguridad de una de las bases de datos
más utilizadas en entornos empresariales.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Zero-day details underscore criticism of Oracle
http://www.securityfocus.com/brief/118

Oracle taken to task for time to fix vulnerabilities
http://www.securityfocus.com/news/11252

CVSS Calculator:
http://www.patchadvisor.com/PatchAdvisor/CVSSCalculator.aspx

Oracle to Enhance Patch Documentation with CVSS
http://www.windowsitpro.com/Article/ArticleID/93861/93861.html?Ad=1

Changes Introduced With October 17th Critical Patch Update
http://blogs.oracle.com/security/

Oracle Security Alerts Get Overdue Makeover
http://www.eweek.com/article2/0,1759,2028804,00.asp

lunes, 16 de octubre de 2006

Múltiples vulnerabilidades en Bugzilla 2.x

Se han encontrado varias vulnerabilidades en Bugzilla que pueden ser
aprovechadas por atacantes con diferentes consecuencias.

La entrada que se le pasa a varios campos incrustados entre las
etiquetas

y

no es debidamente depurada antes de ser devuelta
a los usuarios. Esto puede derivar en ejecución de código HTML o
scripts arbitrarios en el navegador del usuario.

Un error a la hora de ver los adjuntos en modo diff permite a usuarios
que no son miembros del grupoinsidergroup, leer las descripciones de
los adjuntos. A la hora de exportar bugs al formato XML, el campo
deadline también es visible a usuarios que no formen parte del grupo
timetrackinggroup.

Se permite a los usuarios realizar ciertas acciones sensibles a través
de peticiones GET y POST, lo que puede ser aprovechado para borrar,
modificar o crear nuevos bugs.

La entrada que se le pasa a showdependencygraph.cgi no es debidamente
depurada antes de ser devuelta a los usuarios. Esto puede derivar en
ejecución de código HTML o scripts arbitrario en el navegador del
usuario.

Se recomienda actualizar a las versiones 2.18.6, 2.20.3, 2.22.1, o
2.23.3.

La tercera vulnerabilidad sólo está solucionada en las versiones
2.22.1 y 2.23.3.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Bugzilla Discloses Attachment Description and 'Deadline' Field to Remote Users
http://www.securitytracker.com/alerts/2006/Oct/1017064.html

Bugzilla Input Validation Holes Permit Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2006/Oct/1017063.html

2.18.5, 2.20.2, 2.22, and 2.23.2 Security Advisory
http://www.bugzilla.org/security/2.18.5/

Bugzilla Multiple Cross Site Scripting and Information Disclosure Vulnerabilities
http://www.frsirt.com/english/advisories/2006/4035

domingo, 15 de octubre de 2006

Revelación de información sensible por Cross site scripting en ASP.NET 2.0

También incluido en el conjunto de boletines de seguridad de Microsoft
del pasado martes, se encuentra el anuncio de una vulnerabilidad de
cross site scripting en servidores que ejecuten una versión vulnerable
de .Net Framework 2.0, y que podría permitir inyectar código script en
el navegador del usuario.

Si un atacante aprovecha este problema, el script podría permitir
falsificar contenido, revelación de información, o ejecutar cualquier
acción que el usuario pudiese realizar en la página web. Para que el
ataque tenga éxito se requiere de la interacción del usuario.

El fallo está relacionado con la propiedad AutoPostBack y la forma en
la que NET Framework 2.0 valida el valor de una petición HTTP.

Actualice los sistemas afectados mediante Windows Update o descargando
los parches desde:
http://www.microsoft.com/downloads/details.aspx?FamilyId=34C375AA-2F54-4416-B1FC-B73378492AA6&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin MS06-056
Vulnerability in ASP.NET 2.0 Could Allow Information Disclosure
http://www.microsoft.com/technet/security/bulletin/ms06-056.mspx

sábado, 14 de octubre de 2006

Múltiples vulnerabilidades en Microsoft Word

Dentro del conjunto de boletines publicado por Microsoft el pasado
martes, se encuentra el anunció de una actualización para evitar
diversas vulnerabilidades en Microsoft Word que pueden permitir
a un atacante remoto ejecutar código arbitrario.

Los problemas son:

* Una vulnerabilidad que permite la ejecución de código. Un atacante
podría aprovechar este fallo si se interpreta un fichero con Word que
incluya cadenas mal formadas.

* Una vulnerabilidad que permite la ejecución de código. Un atacante
podría aprovechar este fallo si se interpreta con Word un fichero que
incluya coreo combinado mal formado.

* Una vulnerabilidad que permite la ejecución de código. Un atacante
podría aprovechar este fallo si se interpreta con Word un fichero
especialmente manipulado que provocaría un problema de pila mal
formada.

* Una vulnerabilidad que permite la ejecución de código en Word para
Mac. Un atacante podría aprovechar este fallo si se interpreta con
Word un fichero que incluya cadenas mal formadas.

En todos los casos, para aprovechar los problemas, se debe abrir un
archivo especialmente manipulado que podría estar incluido como
adjunto en un correo o alojado en un web site malintencionado. Si el
usuario abriese el archivo con permisos de administrador, el atacante
tomaría completo control del sistema.

Actualice los sistemas afectados mediante Windows Update o descargando
los parches según versión desde las siguientes direcciones:

Microsoft Office 2000 Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CFC85449-4941-4DA5-A919-1DA388054E83&displaylang=es

Microsoft Office XP Service Pack 3 y Microsoft Works Suite 2004, 2005
y 2006:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5652303E-04B3-4713-AF2E-2C8D2450468D&displaylang=es

Microsoft Office 2003 Service Pack 1 o Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=30C516EB-BD63-4248-A34D-47AF7E9EA55A&displaylang=es

Microsoft Office Word Viewer 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EB230319-14A5-4206-A601-CF9DDE89352A&displaylang=es

Microsoft Office 2004 para Mac:
http://www.microsoft.com/mac/

Microsoft Office v. X para Mac:
http://www.microsoft.com/mac/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin MS06-060
Vulnerabilities in Microsoft Word Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-060.mspx

viernes, 13 de octubre de 2006

Contraseña por defecto en Cisco Wireless Location Appliances

Los Cisco Wireless Location Appliance contienen una contraseña por
defecto para la cuenta de administración "root". Un usuario que acceda
empleando este nombre de usuario tendrá un control total del
dispositivo.

La contraseña es la misma para todas las instalaciones del producto
con versiones anteriores a 2.1.34.0. La vulnerabilidad sigue presente
en instalaciones actualizadas a menos que se hayan seguido los pasos
explícitos para cambiar la contraseña tras la instalación inicial del
producto.

La vulnerabilidad se ha corregido en las versiones 2.1.34.0 y
posteriores. El problema se puede corregir mediante el cambio manual
de la contraseña de la cuenta afectada. Se debe acceder al WLA afectado
y cambiar la contraseña por defecto para la cuenta root.

Cisco señala en su aviso, que el nombre de usuario por defecto es "root"
y la contraseña "password". Se debe cambiar la contraseña mediante el
comando "passwd".


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Default Password in Wireless Location Appliance
http://www.cisco.com/warp/public/707/cisco-sa-20061012-wla.shtml

jueves, 12 de octubre de 2006

Microsoft retira el galardón MVP a un programador que distribuía software espía

MVP (Most Valued Professionals) es un reconocimiento anual que ofrece
Microsoft a miembros destacados de comunidades que de alguna forma,
ayudan a mejorar productos Microsoft. Se basa en las contribuciones
realizadas durante el año anterior y se nombran a través de un período
de nominación. Tras reconocer que la aplicación por la que se le
premiaba se distribuía junto con un programa espía, ha decidido
retirarle el premio a Cyril Paciullo, creador de Messenger Plus!

Los MVP no son empleados ni hablan en nombre de Microsoft. Se ha
convertido en un selecto galardón que sólo poseen 2600 personas en el
mundo. A principios de octubre este premio recayó en Cyril Paciullo,
más conocido como Patchou y creador de Messenger Plus!, un programa
que añade algunas ventajas y funciones al Messenger tradicional de
Microsoft. Sin embargo, y de forma inmediata, el nombramiento resultó
fuertemente criticado desde algunos sectores por considerar
desafortunado ofrecer tal premio a un programador que ayuda con su
software a la difusión de un dañino adware para el sistema.

Y es que Messenger Plus! viene integrado en su instalador con un
"patrocinador" opcional que no es más que un simple malware espía. El
programa "patrocinador" contiene todas las características claras que
lo convierten en un indeseable compañero para Windows. Abre ventanas
publicitarias de forma aleatoria en el sistema, no ofrece una forma
clara y simple para que pueda ser desinstalado, envía información a
terceros sobre hábitos, crea falsos enlaces en el escritorio, apenas
ofrece vagas o esquivas indicaciones sobre sus verdaderas acciones...
De hecho es bien conocido por los programas anti-spyware y se llama
LOP.

La aplicación creada por Patchou no es dañina en sí. Es en el momento en
el que se instala Messenger Plus! cuando ofrece la posibilidad adicional
de instalar el programa "patrocinador" que sí que inflige daño. En
ningún momento se avisa claramente (aunque sí a través de un escondido y
kilométrico acuerdo de licencia con una jerga imposible) de que se trata
del adware LOP. Messenger Plus! lo llama "programa de publicidad
patrocinador". La posibilidad de rechazar al "patrocinador" durante la
instalación no siempre ha sido tan evidente durante la larga vida del
programa (en versiones anteriores daba menos opciones y realizaba
cambios todavía más importantes en el sistema sin avisar). Según las
voces más críticas, el hecho de que ahora Messenger Plus! permita o no
la instalación de su "patrocinador" es irrelevante. No advierte
claramente de que se trata de un elemento intrusivo para el sistema y la
sola distribución como componente adicional (que además anima a instalar
como fórmula de soporte) condena a todo el producto

Teniendo en cuenta que es Microsoft la compañía que apadrina el premio,
una de las anécdotas más interesantes del asunto es que el instalador
del programa, con el adware integrado (el adware por separado es
detectado por casi todos), era reconocido como potencialmente peligroso
exclusivamente por el producto antivirus de Microsoft, como ha
demostrado VirusTotal. Al menos a fecha de 5 de octubre. Hoy, Messenger
Plus! ha sido modificado de alguna forma (aunque mantiene su número de
versión, ni su firma MD5/SHA-1 ni tamaño son ya los mismos que hace unos
días) y ya ningún escáner lo detecta. La versión de detección de firmas
de Microsoft es la misma que lo identificaba hace unos días, por tanto
parece que no ha sido Microsoft la que lo ha retirado de su lista de
programas dañinos sino el programa el que ha "mutado".

El propio programador de Messenger Plus! advierte de que algunos
analizadores pueden reconocer a su "patrocinador" como adware, pero que
eso es porque no distinguen entre una solución adware "limpia" y puro
spyware. En cualquier caso Microsoft ha reaccionado. Parece que el
reconocimiento a una persona que desarrolla y es responsable de un
programa que ofrece la posibilidad de instalar tal tipo de malware,
devalúa en cierta forma el valor del premio. Así, al parecer, lo ha
comprendido finalmente la compañía y poco tiempo después le ha negado
el reconocimiento otorgado días atrás.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft give MVP award to adware Pusher
http://www.vitalsecurity.org/2006/10/microsoft-give-mvp-award-to-adware.html

Is this freshly minted Microsoft MVP actually an adware pusher?
http://sunbeltblog.blogspot.com/2006/10/is-this-freshly-minted-microsoft-mvp.html

Microsoft Gives 'Adware' Distributor MVP Status
http://www.cio.com/blog_view.html?CID=25578

Microsoft Revokes 'Adware' Distributor's MVP Status
http://www.cio.com/blog_view.html?CID=25601

FAQ MVP
http://inetexplorer.mvps.org/answers/43.html

miércoles, 11 de octubre de 2006

Varias vulnerabilidades en productos Adobe

Adobe ha publicado varios boletines de seguridad y contramedidas
relativas a sus productos. Los problemas encontrados permiten la
escalada de privilegios, el acceso o información sensible y afectan
a tres de sus aplicaciones.

Se ha detectado un problema de seguridad en Adobe Breeze Licensed Server
que permite a usuarios ver ficheros en el sistema víctima. El problema
se basa en que el software no valida correctamente la entrada URL
proporcionada por el usuario. A través de una petición especialmente
formada un atacante podría visualizar ficheros arbitrarios. Sólo la
rama 5.x del producto se ve afectada.

Se ha detectado otro problema de seguridad en Adobe Contribute
Publishing Server que permite a un atacante local obtener la contraseña
de administrador.

El fallo se debe a que los logs generados durante la instalación del
producto, escriben la contraseña en texto claro. Un atacante local
podría tener acceso a estos datos y obtener la contraseña de
administrador establecida durante la instalación del producto. Para
solventar el problema, Adobe recomienda modificar la contraseña de
administrador establecida durante la instalación, o bien borrar los
archivos de registro generados durante la instalación. Los parches
están disponibles desde la página del boletín.

Por último, se ha encontrado una vulnerabilidad en Adobe ColdFusion. Un
atacante local podría obtener privilegios de Local System en el sistema
afectado.

El fallo se debe a un problema en una librería de terceros (Verity
Library) que permite ejecutar código arbitrario con privilegios de Local
System. Las versiones afectadas son ColdFusion MX 7, ColdFusion MX
7.0.1, y ColdFusion MX 7.0.2.

Según plataforma, los parches están disponibles desde:
http://download.macromedia.com/pub/coldfusion/updater/verity_security_update_windows.zip
http://download.macromedia.com/pub/coldfusion/updater/verity_security_update_solaris.tar.gz
http://download.macromedia.com/pub/coldfusion/updater/verity_security_update_linux.tar.gz

También es posible deshabilitar la librería afectada.

En todos los casos, se recomienda seguir las instrucciones del fabricante.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Patch available for Breeze 5 Licensed Server Information Disclosure:
http://www.adobe.com/support/security/bulletins/apsb06-16.html

Patch available for ColdFusion MX 7 local privilege escalation:
http://www.adobe.com/support/security/bulletins/apsb06-17.html

Workaround available for Contribute Publishing Server local information
disclosure:
http://www.adobe.com/support/security/bulletins/apsb06-15.html

martes, 10 de octubre de 2006

Diez boletines de seguridad de Microsoft en octubre

Como cada segundo martes de mes, Microsoft ha publicado sus ya
habituales boletines de seguridad. En contra de lo que había avisado
el pasado viernes, cuando anunció la publicación de once boletines,
el número final se ha visto reducido a diez nuevos boletines (MS06-056
al MS06-065).

Según la propia clasificación de Microsoft seis de los nuevos boletines
presentan un nivel de gravedad "crítico", otro recibe la calificación
de "importante", dos son "Moderados" y un último como "bajo".

Es por tanto, importante conocer la existencia de estas
actualizaciones, evaluar el impacto de los problemas y aplicar
las actualizaciones en la mayor brevedad posible. Este es un boletín
de urgencia en el que describimos superficialmente cada uno de los
nuevos boletines de seguridad de Microsoft. En los próximos días
publicaremos otros boletines donde analizaremos más detalladamente
las actualizaciones más importantes.

* MS06-056: Evita una vulnerabilidad de cross site scripting en
servidores que ejecuten una versión vulnerable de .Net Framework 2.0
que podría permitir inyectar código script en el navegador del
usuario. Afecta a Microsoft .NET Framework 2.0.

* MS06-057: Se trata de una actualización para evitar una vulnerabilidad
en Windows Shell que permite ejecución remota de código. Afecta a
Windows 2000, Windows XP y Windows Server 2003. Está calificado
como "moderado".

* MS06-58: Se han encontrado cuatro vulnerabilidades en Microsoft
PowerPoint que pueden permitir a un atacante remoto ejecutar código
arbitrario. Según la calificación de Microsoft está calificado como
"crítico". Afecta a Office, PowerPoint.

* MS06-059: Se han encontrado cuatro vulnerabilidades en Microsoft
Excel que pueden permitir a un atacante remoto ejecutar código
arbitrario. También recibe una calificación de "crítico". Afecta
a Office, Excel.

* MS06-060: Se trata de una actualización para Microsoft Excel debido
a que se han detectado cuatro vulnerabilidades que pueden permitir a
un atacante remoto ejecutar código arbitrario. Recibe el nivel de
"Crítico".

* MS06-061: En este boletín se anuncian los parches de actualización
necesarios para solventar dos vulnerabilidades en Microsoft XLM Core
Services que podrían permitir la ejecución remota de código arbitrario.
Afecta a Windows 2000, Windows XP y Windows Server 2003. Está
calificado como "crítico".

* MS06-062: Destinado a solucionar cuatro vulnerabilidades en Microsoft
Office que pueden permitir a un atacante la ejecución de código
arbitrario de forma remota. Afecta a Microsoft Office, Project, Visio.
Está considerado por Microsoft como "crítico".

* MS06-063: Soluciona dos vulnerabilidades en el servicio Servidor de
Windows que pueden permitir a un atacante provocar una denegación de
servicio. Está calificado como "importante". Se ven afectados Windows
2000, Windows Server 2003 y Windows XP.

* MS06-064: Corrige tres vulnerabilidades de denegación de servicio en
la implementación IPv6 de TCP/IP en Microsoft Windows XP y Microsoft
Windows Server 2003. Microsoft lo califica como de importancia "baja".

* MS06-065: Informa sobre una actualización para Windows XP y Windows
Server 2002 debido a una vulnerabilidad en Windows Object Packager
que permite la ejecución remota de código. Según la calificación de
Microsoft recibe un nivel de "moderado".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for October, 2006
http://www.microsoft.com/technet/security/bulletin/ms06-oct.mspx

Microsoft Security Bulletin MS06-056
Vulnerability in ASP.NET Could Allow Information Disclosure (922770)
http://www.microsoft.com/technet/security/bulletin/ms06-056.mspx

Microsoft Security Bulletin MS06-057
Vulnerability in Windows Explorer Could Allow Remote Execution
http://www.microsoft.com/technet/security/bulletin/ms06-057.mspx

Microsoft Security Bulletin MS06-058
Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (924163)
http://www.microsoft.com/technet/security/bulletin/ms06-058.mspx

Microsoft Security Bulletin MS06-059
Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-059.mspx

Microsoft Security Bulletin MS06-060
Vulnerabilities in Microsoft Word Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-060.mspx

Microsoft Security Bulletin MS06-061
Vulnerabilities in Microsoft XML Core Services Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-061.mspx

Microsoft Security Bulletin MS06-062
Vulnerabilities in Microsoft Office Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-062.mspx

Microsoft Security Bulletin MS06-063
Vulnerability in Server Service Could Allow Denial of Service
http://www.microsoft.com/technet/security/bulletin/ms06-063.mspx

Microsoft Security Bulletin MS06-064
Vulnerabilities in TCP/IP Could Allow Denial of Service
http://www.microsoft.com/technet/security/bulletin/ms06-064.mspx

Microsoft Security Bulletin MS06-065
Vulnerability In Windows Object Packager Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-065.mspx

lunes, 9 de octubre de 2006

Desbordamiento de enteros a través de systrace en OpenBSD 3.x

Se ha encontrado una vulnerabilidad en el systrace de OpenBSD. Esto
puede ser aprovechado por atacantes locales para obtener información
sensible, provocar una denegación de servicio o potencialmente, elevar
privilegios.

El fallo se debe a un desbordamiento de enteros en la función
systrace_preprepl. Si se envía valores enteros muy largos a la
llamada de sistema ioctl, se puede conseguir leer ciertas partes de la
memoria del kernel, provocar una denegación de servicio o elevar
privilegios.

Se recomienda aplicar los parches correspondientes, disponibles en:
OpenBSD 3.8:
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.8/common/019_systrace.patch
OpenBSD 3.9:
ftp://ftp.openbsd.org/pub/OpenBSD/patches/3.9/common/014_systrace.patch

Se ha encontrado el mismo fallo en NetBSD 3.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

SECURITY FIX: October 7, 2006
http://openbsd.org/errata.html#systrace

OpenBSD / NetBSD systrace kernel integer overflow
http://scary.beasts.org/security/CESA-2006-003.html

domingo, 8 de octubre de 2006

Nuevos contenidos en CriptoRed (septiembre de 2006)

Breve resumen de las novedades producidas durante el mes de septiembre
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA EN AGOSTO

* La Delincuencia Informática Transnacional y la UDIMP
http://www.criptored.upm.es/paginas/docencia.htm#gtletraL

* ROSI, Retorno Sobre la Inversión de Seguridad (Abstract)
http://www.criptored.upm.es/paginas/docencia.htm#gtletraR

* Otros sitios:
Ponencias de Journal of Theoretical and Applied Electronic Commerce
Research
http://www.jtaer.com

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Octubre 26 y 27 de 2006: Storage y Security Forum 2006
(Barcelona - España)
http://www.itieurope.net/barcelona_visitante_carrefour_sp.php

* Noviembre 14 y 15 de 2006: Tercer Congreso CONSECRI y Segundo
Congreso Hispano-Luso CONSETIC (Buenos Aires - Argentina)
http://www.consetic.com.ar/

* Noviembre 14 al 17 de 2006: Primer Congreso Mexicano de Seguridad
Informática MCIS/COMSI 2006 (Oaxaca - México)
http://lssd.esimecu.ipn.mx/comsi/

* Noviembre 28 a diciembre 1 de 2006: IV Congreso Internacional de
Telemática y Telecomunicaciones CITTEL ‘2006 (La Habana - Cuba)
http://www.cujae.edu.cu/eventos/cittel/default.aspx

* Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad
en Tecnologías de Información y Comunicaciones (La Habana - Cuba)
http://www.informaticahabana.com/

* Abril 18 al 20 de 2007: 3rd International Conference on Global
E-Security ICGeS ’07 (Londres - Inglaterra)
http://www.uel.ac.uk/icges

* Mayo 20 al 24 de 2007: EUROCRYPT 2007 (Barcelona - España)
http://www.iacr.org/conferences/eurocrypt2007/

CONGRESOS EN IACR:
International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE SEPTIEMBRE DE 2006

* Blog de Seguridad Informática RaDaJo (España)
http://radajo.blogspot.com

* Tercer Congreso CONSECRI y Segundo Congreso CONSETIC en Buenos Aires
(Argentina)
http://www.consetic.com.ar/

* Celebración de Storage y Security Forum 2006 en Barcelona (España)
http://www.itieurope.net/barcelona_visitante_carrefour_sp.php

* Beca Predoctoral en Criptología y Seguridad de la Información en el
CSIC (España)
http://www.iec.csic.es/

* Clausurada IX RECSI en Barcelona e Invitación a la X Edición en
Salamanca (España)
https://www.recsi2006.org/

* Call For Papers para EUROCRYPT 2007 a celebrarse en Barcelona
(España)
http://www.iacr.org/conferences/eurocrypt2007/

* First International Conference on Ambient Intelligence Developments
AmI.d'06 (Francia)
http://www.amidconference.org/

* CFP 3rd International Conference on Global E-Security ICGeS ’07
(Inglaterra)
http://www.uel.ac.uk/icges

* Seminario UPM Puntoes Seguridad en Wireless en el Parador de Salamanca
(España)
http://www.puntoes.es/master_seminarios/index.asp

* Primer Congreso Cátedra CAPSDESI y Computer Security Day en Madrid
(España)
http://www.capsdesi.upm.es/

* Presentada CriptoRed en la Universidad Técnica Particular de Loja
(Ecuador)
http://www.utpl.edu.ec/

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 593
(168 universidades; 209 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 36.547 visitas, 87.356 páginas solicitadas y 33,28
GigaBytes servidos en septiembre de 2006. Datos estimados el 28/09/06.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

septiembre de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#sep06

sábado, 7 de octubre de 2006

Actualización del kernel para Red Hat Enterprise Linux 4.x

Red Hat ha publicado una actualización para el kernel debido a que se
han encontrado varios problemas de seguridad, además de arreglar otros
fallos.

Un fallo en el soporte SCTP permite a atacantes locales provocar una
denegación de servicio con un valor SO_LINGER específico.

Un fallo en el soporte para tablas hugepage permite a un atacante
local causar una denegación de servicio.

Un fallo en la llamada de sistema mprotect permite establecer permisos
de escritura para un adjunto de sólo lectura de la memoria compartida.

Un fallo en el manejo del registro HID0[31] (en_attn) en sistemas
PowerPC 970 permite a un atacante local provocar una denegación de
servicio.

Un fallo en el soporte de perfmon en sistemas Itanium permite a un
atacante local provocar una denegación de servicio por consumición de
todos los descriptores de ficheros.

Un fallo en el subsistema ATM permite a sistemas con el hardware ATM
instalado provocar una denegación de servicio a usuarios remotos a
través del acceso a sockets.

Un fallo en el subsistema DVB permite a sistemas con el hardware DVB
instalado provocar una denegación de servicio a usuarios remotos a
través de paquetes ULE SNDU especialmente manipulados.

Un filtro de información en el subsistema de red que puede permitir a
un usuario local leer información sensible de la memoria del kernel.

Se recomienda actualizar a través de las herramientas automáticas
up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2006-0689.html

viernes, 6 de octubre de 2006

Microsoft publicará once boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan once boletines de
seguridad, seis destinados a su sistema operativo Windows, cuatro para
su suite ofimática Office y uno más que afecta a Microsoft .NET Framework.

Si en septiembre fueron tres los boletines de seguridad, este mes son
once las actualizaciones que prevé publicar Microsoft el día 10 de
octubre. De los seis para el sistema operativo, alguno alcanza el estado
de crítico. De los cuatro boletines para Microsoft Office, también al
menos uno alcanza ese rango. La vulnerabilidad en .NET Framework está
considerada como de criticidad moderada. Como es habitual, las
actualizaciones requerirán reiniciar el sistema, y algunos boletines
podrán reparar más de un error.

Se espera que entre los seis boletines previstos para su sistema
operativo, se publique una corrección para el grave fallo en el
componente daxctle.ocx descubierto el 14 de septiembre. También para la
vulnerabilidad descubierta el día 17 de julio, relacionada en principio
con el método setSlice() del control ActiveX WebViewFolderIcon, pero que
finalmente se ha descubierto que afectaba a la shell del sistema
operativo y que era mucho más grave de lo que se pensaba. Esta última
está siendo aprovechada activamente para la instalación de malware.

Entre las cuatro de Office, debería publicarse igualmente un boletín que
corrigiese la vulnerabilidad en Word descubierta el 5 de septiembre, y
otro para solventar el reciente problema en PowerPoint descubierto el
día 28 de septiembre. Existen otras vulnerabilidades más antiguas que
siguen sin solución, pero al menos no se tiene constancia de que estén
siendo aprovechadas para ejecutar código de forma inadvertida.

Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:
http://www.microsoft.com/technet/security/bulletin/advance.mspx

jueves, 5 de octubre de 2006

Call for papers para la 19th Annual FIRST Conference

FIRST solicita contribuciones originales para su 19º Conferencia Anual,
que estén principalmente basadas en el marco de la intimidad digital. El
evento tendrá lugar del 17 al 22 de junio de 2007 en el Hotel Meliá
Sevilla, en Sevilla, bajo el título genérico "Private Lives and
Corporate Risk:Digital Privacy - Hazards and Responsibilities."

Todas las solicitudes deben suponer un trabajo original, y deben
documentar adecuadamente cualquier coincidencia con cualquier otro
documento publicado anteriormente o presentado por otros ponentes. Si
los ponentes tienen dudas sobre si existe o no esa coincidencia en los
documentos, deben contactar con los responsables antes de presentarlos.

Los documentos serán programados como parte de la conferencia principal.

Los tiempos para conferencias disponibles son:
50 minutos, con 10 minutos para preguntas.
40 minutos, con 10 minutos para preguntas.
20 minutos, con 5 minutos para preguntas.

También se buscan contribuciones a la "Geek zone", donde las
presentaciones duran tres horas y están destinadas a un público menor
(de hasta 30 personas) y más técnico. Estas presentaciones pretenden ser
más participativas con el público e incluir demostraciones en vivo.

Los temas en los que se centra la 19º Conferencia FIRST son:

Riesgos de intimidad
Robo de identidad y fraude basado en internet
Fraude corporativo
Casos de estudio
Responsabilidades gubernamentales y corporativas
Políticas y prevención.
Conformidad legal
Procedimientos forenses y herramientas
Administración legal / Aplicación de la ley
Líneas de respuesta a incidentes por parte de equipos
Nuevos desarrollos en la protección de la intimidad
Investigación de vulnerabilidades
Nuevas vulnerabilidades contra el robo de identidad.
...
Las conferencias, como mínimo, deberán cumplir tres de estos requisitos
Interesante
Profunda
Emocionante
Animada
Entretenida
Práctica
Interactiva

No se debe pretender obtener el interés comercial del público en un
producto o aplicación. En otras palabras, no se admitirán documentos
publicitarios. Las propuestas deben presentarse en inglés, en formato MS
Office, OpenOffice o PDF.

Todas las presentaciones serán manejadas electrónicamente a través de:
https://www.softconf.com/starts/FIRST2007

El comité responsable evaluará todas las propuestas basándose en su
calidad y relevancia. Se respetará la confidencialidad de todas las
propuestas hasta su publicación.

Fechas importantes:
Presentación final, hasta el 15 de noviembre de 2006. La notificación de
documentos aceptados, hasta el 15 de febrero de 2007. La presentación
final para documentos admitidos se permite hasta el 31 de abril de 2007.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

19th Annual FIRST Conference
http://www.first.org/conference/2007/

miércoles, 4 de octubre de 2006

La vulnerabilidad en Firefox pudo ser una broma

La vulnerabilidad anunciada como 0 day para Mozilla Firefox ha podido
ser una broma de mal gusto a la que se ha dado demasiada credibilidad.
Parece que el error no permite la ejecución de código, y (por ahora)
representa un simple fallo que hace que la aplicación se cuelgue.

Desde el primer momento, tal y como anunciamos en un boletín anterior,
no quedaba excesivamente clara la potencial gravedad de la
vulnerabilidad. "En cualquier caso, se debe ser cauto, y todavía desde
algunos foros, se sospecha del verdadero alcance del problema" decíamos
entonces. No se tenían detalles, tan sólo una presentación en directo en
una conferencia, aunque sí fue confirmado por algunos medios importantes
como SecurityFocus. Finalmente, parece que las sospechas se confirman y
la vulnerabilidad ha perdido bastante peso en cuanto a potencial dañino.
Los propios responsables de la difusión del supuesto fallo han confesado
que querían pasárselo bien y sin pruebas, afirmaron que podrían ejecutar
código y que conocían muchas otras vulnerabilidades no reveladas. Pura
fanfarronería.

Snyder, jefa de seguridad de Mozilla, ha confirmado que la denegación de
servicio es reproducible en base a la información aportada por los dos
bromistas, pero que no pueden confirmar la ejecución de código. A pesar
de la desagradable broma, en Mozilla se lo toman en serio y lo están
estudiando. Harán saber si en realidad es posible la ejecución de
código. No en vano, es cierto que JavaScript es un problema real para
todo navegador y ha sido fuente de graves vulnerabilidades anteriores.

Esperemos que no ocurra como con la reciente vulnerabilidad en el
control ActiveX WebViewFolderIcon de Internet Explorer. El día 17 de
julio HD Moore la descubrió y publicó que se trataba de una simple forma
de hacer morder el polvo al navegador. Hubo que esperar al 27 de
septiembre para que alguien hiciese pública una forma de aprovecharlo
para ejecutar código y se convirtiese en una de las vulnerabilidades más
explotadas del momento. Nunca se sabe.

La experiencia debe convencernos que no siempre todo lo que se dice o
hace en una demostración en directo es cierto. Sin ir más lejos, una
historia sospechosamente parecida ocurrió a principios de agosto, cuando
Jon "Johnny Cache" Ellch y David Maynor quisieron demostrar en una
presentación Black Hat cómo colarse en un Apple Macbook en 60 segundos a
través de sus controladores "wireless". Finalmente todo fue una gran
exageración y la demostración, aunque vistosa, no era del todo real. En
resumen, usaron otros controladores vulnerables que no pertenecían a
Apple.

Todo esto ha servido, como también escribíamos anteriormente, para
avivar la estéril polémica entre navegadores. A la espera de que se
confirme si realmente existe un problema grave (posible, pero poco
probable), lo que sigue siendo cierto es que, cada vez más, la seguridad
del navegador depende en gran medida del usuario. Se deben tomar las
medidas de seguridad adecuadas para usar de forma responsable cualquier
programa. Las discusiones partidistas están de más, y sobre todo, las
bromas de mal gusto con las que se busca una rápida notoriedad a costa
de alarmar a los usuarios.


Sergio de los Santos
ssantos@hispasec.com


Más información:

02/10/2006- 0 day en Mozilla Firefox
http://www.hispasec.com/unaaldia/2900

RETIRED: Mozilla Firefox Multiple Unspecified Javascript
Vulnerabilitieshttp://www.securityfocus.com/bid/20294/discuss

Update: Possible Vulnerability Reported at Toorcon
http://developer.mozilla.org/devnews/index.php/2006/10/02/update-possible-vulnerability-reported-at-toorcon/

Hijacking a Macbook in 60 Seconds orLess
http://blog.washingtonpost.com/securityfix/2006/08/hijacking_a_macbook_in_60_seco.html