jueves, 30 de noviembre de 2006

España a la cabeza de Europa en cuestión de spam

La Comisión Europea ha publicado un comunicado "Lucha contra el spam,
los programas espía y los programas maliciosos: la Comisión considera
que los Estados miembros deben mejorar sus resultados", en el que se
hace un austero estudio de la situación del correo basura en Europa.
España es el quinto productor de correo basura en el mundo, aunque si
se relativiza en función de sus habitantes, la situación es todavía
peor.

La Comisión Europea es una institución políticamente independiente que
representa y defiende los intereses de la Unión en su conjunto, propone
la legislación, políticas y programas de acción. Esta semana ha hecho
un llamamiento a las autoridades y partes interesadas para que
intensifiquen su lucha contra el spam, los programas espía y los
programas maliciosos.

Y es que, pese a que la legislación vigente prohibe el spam en la unión
Europea, Europa es uno de sus grandes productores, con cinco países en
el "top ten" de creadores de basura. No es nada nuevo. En el informe
reflejan que el volumen de correos electrónicos no solicitados enviados
continúa siendo muy elevado. Symantec y MessageLabs han estimado que el
correo basura representa entre el 54% y el 85% del correo electrónico
total. En 2005, Ferris Research calculó el coste del spam a escala
mundial en 39 mil millones de euros, mientras que Compueters Economics
evaluó el coste de los programas maliciosos en 11 mil millones de euros,
también a escala mundial. Cifras más recientes publicadas por Sophos
muestran que el 32% del spam procede de Europa, aunque Asia sigue a la
cabeza con un 34%.

Al margen de estos cálculos (que nunca tienen en cuenta los beneficios
de quien vende soluciones al problema) en el informe se muestra a
continuación la tabla publicada a principios de noviembre por Sophos y
titulada "Origen del spam, los doce países más contaminantes" o los
"dirty dozen" como los llama Sophos y que se corresponde con el
porcentaje de spam mundial que produce cada país:

1º Estados Unidos de América, con un 21,6%
2º China (incluido Hong Kong), con un 13,4%
3º Francia, con un 6,3%
3º Corea del Sur, también con un 6,3%
5º España, con un 5,8%
6º Polonia, con un 4,8%
7º Brasil, con un 4,7%
8º Italia, con un 4,3%
9º Alemania, con un3,0%
10º Taiwán, con un 2,0%
11º Israel, con un 1,8%
12º Japón, con un 1,7%
Otros, 24,3%

Y hasta aquí el informe de la Comisión. Pero estas cifras no son lo
peor. Si tenemos en cuenta el número de habitantes, los porcentajes
dejan a España mucho peor de lo que pueda parecer. La lista quedaría
como sigue:

1º Corea del Sur, con unos 44 millones de habitantes, envía un 0,1431%
de spam por millón de habitantes.
2º España, también con unos 44 millones, envía un 0,1318% de spam por
millón de habitantes.
3º Polonia con 38,5 millones de habitantes, envía un 0,1246% de spam
por millón.
4º Francia, con unos 63 millones, envía un 0,1000% por millón.
...

Si además, tenemos en cuenta que el envío de spam masivo está
íntimamente relacionado con el secuestro de sistemas "zombie" (esclavos
que se dedican al envío de basura a través de programas instalados sin
el consentimiento del usuario) las conclusiones están claras. En España
el índice de máquinas troyanizadas dedicadas al envío de correo basura
es de los más elevados del mundo. Aunque evidentemente no se tienen en
cuenta las posibles diferencias tecnológicas entre los países, como
puede ser el acceso al ancho de banda, número de sistemas
informatizados, o la infraestructura propia de cada país, esta cifra
puede dar una idea bastante precisa de la situación.

Unas conclusiones parecidas se sacaban ya de un boletín publicado en
enero, en el que se estimaba que se habían detectado 330.000 máquinas
"zombie" en España en diciembre de 2005. En esa noticia se hablaba de
que existen más máquinas "zombie" pertenecientes a botnets (red de
máquinas secuestradas) que sistemas colaborando activa y conscientemente
en redes legítimas distribuidas con fines altruistas. La situación, por
desgracia, no parece mejorar.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Lucha contra el spam, los programas espía y los programas maliciosos: la
Comisión considera que los Estados miembros deben mejorar sus resultados:
http://www.europa.eu/rapid/pressReleasesAction.do?reference=IP/06/1629&type=HTML&aged=0&language=Es

Comisión Europea
http://es.wikipedia.org/wiki/Comisión_Europea

(22/01/2006) 250.000 máquinas "zombies" al día en diciembre
http://www.hispasec.com/unaaldia/2647

miércoles, 29 de noviembre de 2006

Vulnerabilidad en GnuPG calificada de "obvia"

Se ha encontrado una vulnerabilidad en GnuPG que puede ser aprovechada
por atacantes para ejecutar código arbitrario en el sistema afectado. El
descubridor califica el problema de "obvio", por lo que no se explica
que lleve ahí desde hace casi 8 años.

El fallo está en la función make_printable_string del fichero
openfile.c. Si un atacante crea un mensaje especialmente manipulado y
la víctima lo abre en modo interactivo (circunstancia que limita su
peligrosidad), se provocará un desbordamiento de memoria intermedia
y es posible que permita la ejecución de código arbitrario en el
sistema.

El fallo se da tanto en la versión estable 1.4.x como en la de
desarrollo 2.x. El descubridor ha creado un parche, para quien quiera
recompilar la herramienta. Por ahora, no existe nueva versión ejecutable
que solucione el problema.

El propio descubridor confiesa que es posible que el fallo pueda ser
aprovechado para ejecutar código, lo que convierte el problema en una
amenaza a tener en cuenta. Otro de los comentarios que llama la atención
en la alerta, es que el investigador habla de un fallo "bastante obvio"
puesto que:

"La función make_printable_string debe reemplazar caracteres
potencialmente peligrosos de una entrada por línea de comandos y
devolver memoria reservada para una cadena. Puesto que esta cadena puede
ser más larga que la original y el búfer para la entrada ha reservado
sólo el tamaño de la cadena original... oops".

Realmente sencillo. Y el fallo parece todavía más escandaloso cuando
esta función ha estado ahí, en el código abierto desde julio de 1999.
Casi ocho años. Este incidente recuerda (a menor escala) al que
recientemente sufrió Microsoft con la función SetAbortProc. En ella se
descubrió un fallo en enero de 2006 que estaba presente en el código de
Windows desde 1990. Esto dio origen a la devastadora vulnerabilidad
Windows MetaFile (WMF).

Y es que, código abierto o cerrado, ya lo dijo Alan Cox: "Lo que aparece
en los medios de comunicación como que el código abierto es seguro y más
fiable y que tiene menos fallos son afirmaciones muy peligrosas [...] La
alta calidad sólo se aplica a algunos proyectos, los que tienen buenos
autores y buenas revisiones de código". En resumen, la calidad no está
tanto en el tipo de código, ni en el "código comparado con"... como en
el código en sí, mejorado a través de buenas revisiones.


Sergio de los Santos
ssantos@hispasec.com


Más información:

(18/01/2006) WMF, conspiraciones y Windows Vista
http://www.hispasec.com/unaaldia/2643

(27/10/2006) Alan Cox: "Se invierte mucho dinero en seguridad, pero
también en intentar romperla"
http://www.hispasec.com/unaaldia/2925

GnuPG 1.4 and 2.0 buffer overflow
http://lists.gnupg.org/pipermail/gnupg-announce/2006q4/000241.html

martes, 28 de noviembre de 2006

Las barras antiphishing no aprueban

Las barras antiphishng se han convertido en una funcionalidad muy
popular en los navegadores. Los dos más utilizados, Firefox y la nueva
versión de Internet Explorer, incluyen de serie sistemas para detectar
las páginas fraudulentas. Existen otras barras que pueden ser acopladas
a casi todos los navegadores, pero un estudio de la universidad Carnegie
Mellon concluye que su efectividad en general deja mucho que desear.

"Finding Phish: An Evaluation of Anti-Phishing Toolbars" es un estudio
independiente realizado por la universidad Carnegie Mellon en
Pittsburgh, que pone a prueba diez barras antiphishing distintas.
Microsoft Explorer 7, eBay, Google, Netcraft, Netscape, Cloudmark,
Earthlink, TrustWatch de Geotrust, Spoofguard de Stanford University,
y SiteAdvisor de McAfee.

Se han realizado varios tipos de pruebas que observaban el
comportamiento de la barra en el tiempo, y su capacidad de reaccionar
ante nuevas amenazas. También se ha intentado engañar a las barras con
técnicas de ofuscación de la URL. A pesar de lo sencillo de la solución
de este tipo de engaños, y de que todas las barras usan distintas
técnicas de detección, la mayoría (Cloudmark, Google, McAfee,
TrustWatch, Netcraft, y Netscape) caían en la trampa.

El estudio concluye que incluso de entre las que se podrían considerar
más efectivas, (Earthlink, Netcraft, Google, Coudmark, e Internet
Explorer 7) sólo detectaban el 85% de páginas fraudulentas. El resto no
llegaban al 50% de detección, y los buenos resultados hay que matizarlos
también con un alto porcentaje de falsos positivos.

Se han ayudado de repositorios de lugares sospechosos de phishing como
phishtank.com y otras fuentes propias, aunque parece que el estudio no
ha sido demasiado profundo y que no se han basado en una muestra
suficientemente amplia de ataques. En el mismo documento advierten de
que evaluar algo así resulta excesivamente complejo. Es un campo muy
dinámico como para ofrecer una visión determinante y se debería matizar
mucho cada caso.

Aunque en el informe afirman que ninguna barra se puede considerar como
una firme candidata a defender al usuario y que en general no aprueban,
como primera línea de defensa una barra antiphishing puede ser una gran
ayuda, siempre que se sepa ser crítico con sus "consejos". Sin duda no
habría que fiarse totalmente de su criterio a la hora confiar o no en la
veracidad de una página, pues ocurre exactamente lo mismo que con las
soluciones antivirus: que un antivirus no detecte un archivo como
sospechoso no garantiza nada, lo comprobamos a diario en VirusTotal. Con
las soluciones antiphishing como con los antivirus, sólo un estudio
pormenorizado de cada caso puede ofrecer ciertas garantías.

Además, estas medidas paliativas están a la baja, pues atacan al
"phishing tradicional" (el que se basa en la introducción de
credenciales en páginas falsas). Cada vez más, los robos de contraseñas
se realizan a través de sofisticados troyanos bancarios, capaces de
robar las credenciales incluso al visitar una página legítima. En estos
casos es el propio sistema el que está comprometido y como medida
preventiva (entre muchas otras), encajan mejor los antivirus que
las barras.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Study shows antiphishing toolbars are ineffective
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9005253

Finding Phish: An Evaluation of Anti-Phishing Toolbars
http://www.cylab.cmu.edu/files/cmucylab06018.pdf

lunes, 27 de noviembre de 2006

Múltiples denegaciones locales de servicio en Mac OS X

Se han encontrado varios problemas de seguridad en Mac OS X, que podrían
permitir a un atacante local provocar una denegación de servicio e
incluso potencialmente, ejecutar código arbitrario.

El primer fallo se debe a un error en el manejo de interfaces kqueue
y kevent a la hora de registrar eventos en el núcleo. Si un proceso
registra una cola y un evento a través de la función kevent, crea un
fork e intenta registrar otro evento para la misma cola padre, un
atacante local podría provocar un "system panic".

El segundo fallo se debe a un error en la función fatfile_getarch2, que
provoca un desbordamiento de enteros y potencialmente, permitiría la
ejecución de código arbitrario en modo kernel al llevar a una condición
de corrupción de memoria. Puede ser aprovechada a través de binarios
Mach-O Universal especialmente manipulados. El problema afecta también
a la herramienta otool.

También en los binarios Mach-O existe un problema que provoca una
corrupción de memoria cuando un binario especialmente manipulado tiene
una estructura mach_header válida y estructuras de datos load_command
corruptas. Esto puede provocar una denegación de servicio por parte de
usuarios locales.

Todos los fallos han sido confirmados en las últimas versiones de Mac OS
X totalmente parcheados y han sido descubiertos en la última semana bajo
el programa de "Month of kernel bugs" o mes de los fallos en el núcleo.
Esto quiere decir que no existe parche oficial para ninguno y que se ha
publicado prueba de concepto. Se aconseja limitar el uso del sistema a
usuarios locales confiables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Mac OS X Universal Binary Loading Memory Corruption
http://projects.info-pull.com/mokb/MOKB-26-11-2006.html

Mac OS X kqueue Local Denial of Service
http://projects.info-pull.com/mokb/MOKB-24-11-2006.html

Mac OS X Mach-O Binary Loading Memory Corruption
http://projects.info-pull.com/mokb/MOKB-23-11-2006.html

domingo, 26 de noviembre de 2006

Se descubre adware para Mac que se instala sin necesidad de privilegios

F-Secure habla en su blog de una nueva prueba de concepto de tipo
adware, que permite mostrar molesta publicidad mientras se trabaja en el
sistema. Esto no sería noticia si no fuera por tres importantes razones:
Una es que ha sido realizado para Mac, otra es que no necesita de
permisos de administrador para ser instalado -infectar- el sistema y
otra (la más sorprendente) es que no aprovecha un fallo, sino una
funcionalidad.

En F-Secure no dan demasiados detalles. Hablan de una prueba de concepto
recibida que permite ser instalada de forma silenciosa en el sistema Mac
sin necesidad de ser administrador. El adware se engancharía a las
aplicaciones usadas y lanzaría un navegador de sistema (se entiende que
Safari) cada vez que el usuario ejecutase una aplicación. Lo preocupante
es que no necesita de permisos de administrador para poder instalarse.

No revelan la técnica exacta pero advierten de que no se trata de un
programa que aproveche una vulnerabilidad, sino que es una funcionalidad
lo que permite esta instalación no deseada. "Digamos que no se debería
permitir la instalación de una librería de sistema sin preguntar al
usuario" es todo lo que dejan ver los analistas de F-Secure.

No dan detalles sobre cómo es posible infectarse, ni de la popularidad
del adware. Supuestamente no pase de eso, una simple prueba de concepto
que ha caído en sus manos y han analizado. No se trata precisamente de
una epidemia. Pero iAdware (como lo han bautizado), sí supondría un
peligroso troyano para Mac. El hecho de que no necesite privilegios y
que aproveche una funcionalidad, lo convierte en una muy seria amenaza
para los usuarios de Mac OS X, no acostumbrados a este tipo de riesgos.

F-Secure remata su entrada con una frase provocadora y envenenada,
jugando con la facilidad de uso de los sistemas de Apple: "[Aprovechar
este problema] es mucho más sencillo que en Windows. Después de todo,
es un Mac".

Estaríamos ante una potencial escalada de privilegios muy seria, que
vuelve a demostrar que las sensaciones de seguridad son demasiado
efímeras y dependen en gran medida del momento. Mac es un sistema muy
seguro por diseño, no cabe duda, y hoy por hoy no es objetivo masivo de
mafias y demás morralla informática, lo que ha permitido a sus usuarios
respirar con cierta tranquilidad. Pero esto no garantiza nada sobre el
futuro.

La seguridad se basa tanto en los sistemas como en los usuarios, en su
forma de interactuar con esa tecnología y en el momento concreto en el
que son usados. Sentirse más seguro por usar una u otra solución, o
creer que se mantendrá siempre en un mismo estado de "seguro" o
"inseguro" independientemente de las circunstancias, no es más que
cuestión de gustos y comodidad. Una "sensación" u "opinión" no hace
más seguro un sistema, más bien al contrario.


Sergio de los Santos
ssantos@hispasec.com


Más información:

iAdware
http://www.f-secure.com/weblog/archives/archive-112006.html#00001030

sábado, 25 de noviembre de 2006

Denegación de servicio de snmpd en Sun Solaris 10

Se ha encontrado un problema de seguridad no especificado en el
demonio snmpd de en Sun Solaris 10 que podría permitir a un atacante no autorizado provocar una denegación de servicio en SNMP (Simple Network Management Protocol) y hacer que el servicio dejase de responder.

Net-SNMP es el software vulnerable (por defecto no está integrado en
Solaris 10) y el problema sólo afecta si se tiene instalado SUNWsmagt

No existe parche oficial. Ser recomienda evitar que SNMP escuche en el
puerto TCP 161 (no afecta a UDP) arrancando el servicio con el comando:
/usr/sfw/sbin/snmpd UDP:161


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Malformed Packet Received by snmpd(1) via TCP may Cause a Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102725-1

viernes, 24 de noviembre de 2006

La semana de los fallos en Oracle

Siguiendo la estela del "mes de los fallos en navegadores" y del "mes de
los errores en el núcleo", Cesar Cerrudo emprende una nueva campaña
centrada en un solo producto: La semana de los bugs en Oracle (Week of
Oracle Database Bugs) ha sido anunciada para principios de diciembre.

Como ya hiciera HD Moore en julio con su "mes de los fallos en los
navegadores", y LMH ahora en noviembre con la iniciativa "mes de los
errores en el núcleo" llega "la semana de fallos en Oracle" de la mano
de Cesar Cerrudo, director de Argeniss y experto en seguridad de bases
de datos.

La WoODB se centrará en la publicación de una vulnerabilidad o error
por día durante una semana, caracterizadas por no tener solución oficial
y ser desconocidas hasta el momento. El hecho de que la iniciativa sea
más corta que las anteriores no quiere decir que no existan errores
suficientes. Su creador indica que bien podrían hacer "el año de los
fallos en Oracle" sin ningún problema. Una semana, sin embargo, les ha
parecido suficiente para llamar la atención sobre el problema de
seguridad de Oracle, que no distribuye productos seguros ni sus
actualizaciones a tiempo. Añade que incluso la compañía miente sobre sus
esfuerzos de seguridad. Cerrudo también dice haber elegido Oracle por su
posición en el mercado, aunque aclara que la semana podría haber sido
dedicada a cualquier otro producto, porque asegura tener "0 days" para
otros sistemas de bases de datos. Aunque no lo mencione, parece obvio
que una de sus motivaciones añadidas es dar a conocer su empresa.

El proyecto ha recibido críticas negativas de Alexander Kornbrust,
experto de Red-Database-Security que piensa que no contribuirá a
mejorar la seguridad. Es muy poco probable que Oracle rompa su ciclo
trimestral de actualizaciones y por tanto no habrá nuevos parches hasta
enero o abril de 2007. Kornbrust también piensa que Oracle ha mejorado
la seguridad durante 2006.

Es cierto que Oracle ha mejorado su sistema de notificación de alertas
de seguridad, pero es más cuestionable que haya mejorado la seguridad en
sí. En su último paquete de actualizaciones, añadió más información a la
descripción de las vulnerabilidades respondiendo a una aclamada demanda
por parte de administradores de sus bases de datos, y reconociendo que
la forma en la que venía describiendo sus problemas de seguridad
resultaba manifiestamente mejorable. Ha rediseñado su sistema de
boletines ayudándose de CVSS (Common Vulnerability Scoring System), un
estándar que gradúa la severidad de manera estricta a través de fórmulas
establecidas.

Pero sin ir más lejos David Litchfield demostraba a través de un informe
hace unos días que Oracle sufre demasiados problemas de seguridad, que
van en aumento, y que tiene otros tantos que les queda por corregir. La
semana de fallos en Oracle será una pequeña muestra.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The Week of Oracle Database Bugs
http://www.argeniss.com/woodb.html

After two 'Hole Months', now a 'Hole Week'
http://www.heise-security.co.uk/news/81412

(22/11/2006) Litchfield: Comparado con Oracle, Microsoft SQL Server es
más seguro
http://www.hispasec.com/unaaldia/2951

Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915

jueves, 23 de noviembre de 2006

Posible ejecución de código arbitrario a través de archivos DMG en Mac OS X

Se ha encontrado una vulnerabilidad en la forma en la que Mac OS X
maneja el formato DMG que podría permitir la ejecución de código
arbitrario. DMG (Disk iMaGe) es un formato muy común de instalación en
entornos Mac.

La función (com.apple.AppleDiskImageController) responsable de abrir las
imágenes de disco no comprueba adecuadamente los datos, lo que pude ser
aprovechado para ejecutar código si el usuario abre una imagen
especialmente manipulada.

El problema se agrava porque en el navegador por defecto del sistema,
Safari, está marcada por omisión la opción que permite abrir lo que
considera ficheros "seguros" automáticamente. Esto permitiría a un
atacante colgar de una página un fichero DMG especialmente manipulado y
con sólo pinchar sobre el enlace, la imagen se descargaría y abriría,
completándose el ataque.

Se ha creado una prueba de concepto que hace que el sistema genere un
"kernel panic", pero según el descubridor es posible modificarlo para
ejecutar código arbitrario en modo kernel por parte de usuarios no
privilegiados. El hecho de trabajar con una cuenta de usuario sin
permisos de administración, por tanto, no mitigaría el problema.

Parece que el fallo afecta al sistema operativo bajo procesadores Intel
y PowerPC y ha sido comprobado en las últimas versiones de Mac OS X
completamente parcheadas.

No existe parche oficial. Se recomienda a los usuarios de Safari que
desactiven la opción de abrir ficheros "seguros" después de ser
descargados y a los usuarios de Mac OS X en general, evitar la ejecución
de archivos DMG sospechosos.

El fallo ha sido descubierto bajo el programa del "Mes de los fallos en
el núcleo" (Month of kernel bugs).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Mac OS X Apple UDIF Disk Image Kernel Memory Corruption
http://kernelfun.blogspot.com/2006/11/mokb-20-11-2006-mac-os-x-apple-udif.html

(02/11/2006) Se inaugura el mes de los fallos en el núcleo
http://www.hispasec.com/unaaldia/2931

miércoles, 22 de noviembre de 2006

Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro

David Litchfield, reputado investigador de seguridad (especializado
en bases de datos) demuestra, aportando su extensa experiencia,
que la base de datos Microsoft SQL Server es mucho más segura que
Oracle. Ha publicado un informe que según él, no deja lugar a dudas.

El documento estudia la seguridad de Microsoft SQL Server y Oracle
basándose en fallos (sólo en su cantidad, no en su gravedad) reportados
por investigadores externos y solucionados por el fabricante. Sólo se
han incluido problemas que afectan a la propia base de datos. Por
ejemplo no se han incluido vulnerabilidades de Application Server o
Intelligent Agent de Oracle ni MDAC (que se considera parte de Windows,
no del servidor) de Microsoft.

El documento ofrece unas gráficas muy claras, que comparan los productos
bandera de Oracle (Database 8, 9 y 10) contra Microsoft SQL Server 7,
2000 y 2005 durante los últimos años. Si bien la versión 7 de Microsoft
sufrió numerosos problemas de seguridad, desde entonces han disminuido
drásticamente hasta la versión 2005, que no sufre ninguno. Mientras, los
problemas de seguridad en Oracle han crecido de forma desproporcionada.

Litchfield achaca estos resultados de forma determinante al "Security
Development Lifecycle" que desarrolla Microsoft para su producto, de
forma que "aprende de sus errores" mientras que Oracle parece no tener
nada de esto, tropezando una y otra vez en la misma piedra, y lo que es
peor, ni siquiera parecen entender los problemas que están intentando
resolver.

El autor, consciente de que a pesar de lo objetivo de los números las
pruebas pueden levantar suspicacias, se adelanta a las posibles
controversias que surgirán a partir de su informe y responde por
adelantado algunas cuestiones.

* No, Oracle no "parece tan malo" por ser multiplataforma. Esto no
distorsiona los datos. Casi todos sus problemas de seguridad afectan
a todas las plataformas.

* Sí, hay varios investigadores intentando encontrar fallos en el
servidor SQL 2005 de Microsoft. Y su código es más seguro. Es tan simple
como que no los encuentran.

Litchfield además, muestra en las gráficas sólo fallos públicos y
solucionados, y adelanta que a Oracle todavía le quedan al menos 49 por
corregir y no están incluidos en las estadísticas del informe. Como
experto y descubridor de la mayoría de los fallos de Oracle que se
muestran, se siente con la autoridad suficiente como para que sus
resultados no sean refutados. Para él, si se busca seguridad, la
elección está clara.

En Microsoft, obviamente, ya notaron su ventaja con respecto a la
seguridad y realizaron su propio estudio. En una entrada en un blog
oficial titulado "1 Year And Not Yet Counting...", comparan las
vulnerabilidades listadas en CVE (Common vulnerabilities and Exposures)
de Oracle, MySql e IBM Database contra SQL Server 2005. Sus resultados
son también esclarecedores. Oracle, seguido de MySql e IBM, sufren todos
más vulnerabilidades que el producto de Microsoft (versión 2005). De
hecho, todavía no se le ha encontrado ninguna desde que fue lanzado hace
más de un año.

Se agradecen este tipo de informes que abordan la seguridad desde un
punto de vista fuera de misticismos y prejuicios. Litchfield no tiene
relación con Microsoft, de hecho ha encontrado muchas vulnerabilidades
en casi todos sus productos (aunque bastantes más en Oracle, donde se
siente especialmente "cómodo"). Por tanto, no es sólo una típica
comparación sobre quién es "menos inseguro" en una discusión basada en
opiniones y gustos, sino que avala la robustez en un producto bien
conseguido (además de una importante deficiencia en Oracle ya apuntada
en otros boletines) que bien merece ser mencionada.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Which database is more secure? Oracle vs. Microsoft
http://www.databasesecurity.com/dbsec/comparison.pdf

SQL Server 2005 - 1 Year And Not Yet Counting...
http://blogs.technet.com/security/archive/2006/11/07/sql-server-2005-1-year-and-not-yet-counting.aspx

David Litchfield
http://en.wikipedia.org/wiki/David_Litchfield

martes, 21 de noviembre de 2006

Ejecución de código en software distribuido con portátiles Acer

Tan Chew Keong ha encontrado una vulnerabilidad en el control ActiveX
LunchApp.APlunch que puede ser aprovechada por atacantes para ejecutar
código. El fallo podría afectar al sistema operativo que por defecto
viene instalado en muchos de los portátiles Acer.

LunchApp.APlunch forma parte del conjunto de aplicaciones propias de
Acer que se distribuyen por defecto en sus portátiles. El problema se
debe a que el control ActiveX incluye un método Run inseguro que ejecuta
cualquier archivo pasado por parámetros. Esto puede ser aprovechado para
ejecutar sin permiso cualquier programa que se encuentre en el sistema a
través de una página especialmente manipulada, si un usuario la visita y
ésta llama al control ActiveX.

Aunque Internet Explorer bloquea por defecto (en su zona de "Internet")
el uso de ActiveX que no estén marcados como seguros, el problema es
que a pesar de su potencial peligrosidad, Acer firma este control como
"seguro para la inicialización" y "seguro para la automatización". Con
esta forma especial de firmar los controles, los fabricantes están
asegurando que sus ActiveX son seguros independientemente de cómo se
inicien y cómo se utilicen sus propiedades. Cuando el control es llamado
desde Internet Explorer 6 (y la página no está restringida a través de
las zonas), el navegador se basa en la firma del fabricante y lo ejecuta
sin pedir confirmación si está marcado de esta forma.

Además de esta firma "descuidada", el archivo OCX parece que data de
noviembre de 1998 y no ha sido actualizado desde entonces. Contiene
métodos como Run, Cmdline, FileName y Drive, que permiten crear un
sencillo ataque que ejecutaría cualquier programa (con parámetros)
alojado en el sistema. El descubridor adjunta (en su página) una prueba
de concepto bastante explícita que ejecuta la calculadora de Windows
con sólo visitar una web.

Se ha comprobado el problema en Acer TravelMate 4150, pero es bastante
probable que exista en muchos otros modelos. Por ejemplo, según el
descubridor, en el más actual Acer Aspire 5600 también está presente
el archivo, pero en este caso el sistema operativo por defecto en el
portátil ha sido actualizado con Internet Explorer 7 y éste no ejecuta
de forma "silenciosa" controles ActiveX firmados, pidiendo confirmación.

El fallo se ha encontrado en la versión 1.0.0.0 del archivo
lunchapp.ocx, aunque otras versiones podrían verse afectadas. Se
recomienda renombrar el archivo, borrar las ramas del registro que
marcan a este control como seguro o establecer el kill bit del control
para evitar que sea utilizado, a través de este archivo .reg, por
ejemplo:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{D9998BCF-7957-11D2-8FED-00606730D3AA}]
"Compatibility Flags"=dword:00000400

Se advierte de que el cambio podría acarrear problemas de funcionalidad
en aplicaciones distribuidas por Acer.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

About Acer Notebook LunchApp.APlunch ActiveX Control
http://vuln.sg/acerlunchapp-en.html

lunes, 20 de noviembre de 2006

Salto de restricciones de seguridad en Sun Java JDK y JRE

Se ha encontrado una vulnerabilidad en Sun Java JRE que puede ser
aprovechada por atacantes para eludir ciertas restricciones de
seguridad.

El fallo está causado por un error no especificado en la librería
Swing de Java Runtime Environment y podría permitir a un applet
especialmente manipulado, acceder a datos en otros applets.

Sun ha confirmado el problema en JDK y JRE 5.0 (y 1.5.x) Update 7 y
anterior, excepto la rama 1.3.1_xx y 1.4.2_xx.

Se recomienda actualizar a JDK y JRE 5.0 Update 8 o posterior desde
www.java.com/en/download/manual.jsp


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in the Java Runtime Environment Swing Library may Allow an Untrusted Applet to Access Data in Other Applets
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102622-1

domingo, 19 de noviembre de 2006

Elevación de privilegios en servidores X11 de Sun Solaris

Existe una vulnerabilidad de desbordamiento a la hora de realizar una
multiplicación de enteros dentro de la librería libXfot, utilizada por
los servidores X11 que pude provocar un desbordamiento de heap a la
hora de cargar las fuentes.

Esto puede ser aprovechado por un usuario local no privilegiado para
ejecutar comandos arbitrarios con privilegios elevados, o provocar una
denegación de servicio a los administradores de visualización.

El problema ha sido resuelto con los siguientes parches:

Para la plataforma SPARC:
Solaris 8, aplicar 119067-04 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119067-04-1
Solaris 9, aplicar 112785-57 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119067-04-1
Solaris 10, aplicar 119059-19 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119059-19-1

Para la plataforma x86:
Solaris 8, aplicar 119068-04 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119068-04-1
Solaris 9, aplicar 112786-46 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112786-46-1
Solaris 10, aplicar 119060-18 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119060-18-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability With Integer Multiplication Within libXfont Affects Solaris X11 Servers
http://sunsolve9.sun.com/search/document.do?assetkey=1-26-102714-1&searchclause=

sábado, 18 de noviembre de 2006

Nuevos contenidos en CriptoRed (octubre de 2006)

Breve resumen de las novedades producidas durante el mes de octubre
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA EN OCTUBRE

* Actualización Cuaderno de Soluciones de Exámenes Seguridad Informática
EUI-UPM (España)
http://www.criptored.upm.es/examen/e_eui_upm.htm

Otros Servidores:

* Special Issue Finite Fields: Applications and Implementations (Acta
Applicandae Mathematicae)
http://www.springerlink.com/content/n02m122jg0u7/?p=bd30db9a6dd846a793fefbafefd9882e&pi=0

* Documentos Gobernabilidad de las Tecnologías de Información Revista
Sistemas ACIS (Colombia)
http://www.acis.org.co/index.php?id=837

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Noviembre 14 de 2006: Tercer Congreso CONSECRI y Segundo Congreso
Hispano-Luso CONSETIC (Buenos Aires - Argentina)
http://www.consetic.com.ar/

* Noviembre 14 al 17 de 2006: Primer Congreso Mexicano de Seguridad
Informática MCIS/COMSI 2006 (México D.F. - México)
http://lssd.esimecu.ipn.mx/comsi/

* Noviembre 15, 16 y 17 de 2006: Celebración de InfoSecurity 2006
Quito - Ecuador
http://www.infosecurityonline.org/infosecurity/eventos/ecuador/quito2006.php

* Noviembre 21 de 2006: Celebración de InfoSecurity 2006
Bogotá - Colombia
http://www.infosecurityonline.org/infosecurity/eventos/colombia/bogota2006.php

* Noviembre 28 a diciembre 1 de 2006: IV Congreso Internacional de
Telemática y Telecomunicaciones CITTEL �2006 (La Habana - Cuba)
http://www.cujae.edu.cu/eventos/cittel/default.aspx

* Diciembre 6, 7 y 8 de 2006: Celebración de InfoSecurity 2006
San Juan - Puerto Rico
http://www.infosecurityonline.org/infosecurity/eventos/prico/sanjuan2006.php

* Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad
en Tecnologías de Información y Comunicaciones (La Habana - Cuba)
http://www.segurmatica.com/descargas12_1/informatica2007.doc

* Abril 18 al 20 de 2007: 3rd International Conference on Global
E-Security ICGeS �07 (Londres - Inglaterra)
http://www.uel.ac.uk/icges

* Mayo 7 al 11 de 2007: First Symposium on Algebraic Geometry and its
Applications en (Tahiti - Polinesia Francesa)
http://iml.univ-mrs.fr/ati/saga2007/welcome.html

* Mayo 14 al 17 de 2007: Euro American Conference on Telematics and
Information Systems (Faro - Portugal)
http://www.deei.fct.ualg.pt/eatis/

* Mayo 20 al 24 de 2007: EUROCRYPT 2007 (Barcelona - España)
http://www.iacr.org/conferences/eurocrypt2007/

* Junio 17 al 22 de 2007: 19th Annual FIRST Conference (Sevilla - España)
http://www.first.org/conference/2007/

CONGRESOS EN IACR:
International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE SEPTIEMBRE DE 2006

* CFP Euro American Conference on Telematics and Information Systems
(Portugal)
http://www.deei.fct.ualg.pt/eatis/

* CFP 19th Annual FIRST Conference en Sevilla (España)
http://www.first.org/conference/2007/

* CFP International Conference on Systems for Automation of Engineering
and Research (Bulgaria)
http://www.criptored.upm.es/descarga/Call_for_Paper-IT-2007.zip

* CFP First Symposium on Algebraic Geometry and its Applications en
Tahiti (Polinesia Francesa)
http://iml.univ-mrs.fr/ati/saga2007/welcome.html

* Ultimo CFP (13 de noviembre) para IADIS International Conference
Applied Computing 2007 en Salamanca (España)
http://www.computing-conf.org/

* Cuarta Edición del Posgrado en Seguridad en Redes IP de la Fundación
UPC (España)
http://www.fundacio.upc.edu/presentacio.php?id=30615800&idiomaNou=esp&origen=criptored

* Quinta Edición del Máster en Tecnologías de Seguridad Informática
esCERT (España)
http://escert.upc.edu/index.php/web/es/for_master.html

* Segunda Jornada de Seguridad, Tecnología y Sociedad en Universidad
Europea Madrid (España)
http://www.esp.uem.es/jmgomez/eventos/jornada.seguridad.061113

* Curso del SANS Online sobre Google Hacking & Defense para España y
Latinoamérica
http://www.sans.org/athome/details.php?nid=1714

* Alta en la Red de la Universidade de São Paulo (Brasil)
http://www.criptored.upm.es/paginas/instituciones.htm#brasil

5. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 601
(172 universidades; 213 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 40.181 visitas, 93.092 páginas solicitadas y 36,17
GigaBytes servidos en octubre de 2006.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

octubre de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#oct06

viernes, 17 de noviembre de 2006

Análisis y situación de los últimos parches de Microsoft

Habitualmente (y no sólo con Microsoft) junto con la aparición de
los parches, los investigadores que han descubierto los problemas
de seguridad hacen públicos los detalles sobre sus pesquisas, tras
haber esperado pacientemente a la existencia de un parche oficial.
Inevitablemente esto conlleva la aparición de nuevos exploits. Tras
unos días "ahí fuera", hacemos un repaso a la situación de los
últimos parches de seguridad de Microsoft.

MS06-066:
Ejecución de código remoto en servicios de cliente NetWare.
Probablemente el usuario medio no tenga instalado ese protocolo. Existe
prueba de concepto pero no es pública. La vulnerabilidad es calificada
como de criticidad importante.

MS06-067:
Actualización acumulativa para Microsoft Internet Explorer que además
soluciona tres nuevas vulnerabilidades no públicas hasta la fecha. Dos
en el control ActiveX DirectAnimation y una en la propia interpretación
de HTML (que también podría ser aprovechada a través de correo). Son
graves y permiten la ejecución de código. Se debería parchear cuanto
antes. Según Websense, uno de los problemas en el control ActiveX
DirectAnimation era conocido ya desde septiembre y existen numerosas
páginas que estaban aprovechando el problema para instalar malware. No
afecta a Internet Explorer 7.

MS06-068:
Corrige una vulnerabilidad en Microsoft Agent (agente de Microsoft que
gestiona cuestiones de ayuda al usuario en el sistema) y permite
ejecución remota de código. Es más peligrosa porque puede ser invocada a
través de ActiveX en el navegador, por tanto, es aprovechable de forma
remota. Además del parche, en la página del boletín viene cómo
desactivar "el uso" del control por parte de Internet Explorer para
prevenir futuros problemas. No se conocen exploits públicos.

MS06-069:
Resuelve cinco vulnerabilidades en Macromedia Flash Player de Adobe.
Afecta sólo al plugin para el navegador en Windows XP. Está calificado
como crítico y no se conocen exploits públicos. Se trata de los mismos
problemas de los que ya advirtió Adobe a principios de septiembre y para
los que existen parches desde entonces. Si se actualizó desde la página
Adobe en su día, no hay problema.

MS06-070:
Solventa una vulnerabilidad en el servicio "estación de trabajo", que
podría permitir la ejecución remota de código arbitrario. Afecta a
Windows 2000 y Windows XP. Existen numerosos exploits públicos.
Especialmente preocupante si el servicio es accesible a través de
internet, y no se tiene cortafuegos instalado. En red interna (aunque
se suponga un entorno confiable) supone un verdadero problema, pues el
servicio suele estar disponible y accesible para compartir o acceder
a recursos, etc. Importantísimo parchear cuanto antes sobre todo en
Windows 2000, donde es más fácilmente aprovechable. Parece que no
afecta a Windows 2003.

MS06-071:
Corrige una conocida vulnerabilidad que está siendo aprovechada
masivamente (al visitar con IE páginas manipuladas) desde hace semanas,
el problema con XML Core Services. Se ven afectadas las versiones 4.0 y
6.0. Reemplaza al boletín MS06-061.

No se tiene constancia de que ningún parche esté causando problemas en
el sistema. Este mes no se han emitido parches para Windows XP Service
Pack 1, pues ha terminado su ciclo de vida. Los usuarios y
administradores que no lo hayan hecho ya (recomendable, pues supone
considerables mejoras de seguridad) deberían actualizarse con el Service
Pack 2. Por otro lado, Microsoft también ha anunciado que alarga la vida
de SUS hasta julio de 2007. SUS es un sistema de actualización para
redes internas (sustituido ya por WUS), muy útil para administradores,
que permite desplegar cómodamente parches a decenas de máquinas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Malicious Website / Malicious Code: MS06-067
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=698

Multiple vulnerabilities in Adobe Flash Player 8.0.24.0 and earlier
versions
http://www.adobe.com/support/security/bulletins/apsb06-11.html

Microsoft Security Bulletin Summary for November, 2006
http://www.microsoft.com/technet/security/bulletin/ms06-nov.mspx

Vulnerabilities in Client Service for NetWare Could Allow Remote
Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-066.mspx

Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/ms06-067.mspx

Vulnerability in Microsoft Agent Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-068.mspx

Vulnerabilities in Macromedia Flash Player from Adobe Could Allow
Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-069.mspx

Vulnerability in Workstation Service Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-070.mspx

Vulnerability in Microsoft XML Core Services Could Allow Remote Code
Execution
http://www.microsoft.com/technet/security/bulletin/ms06-071.mspx

jueves, 16 de noviembre de 2006

Varios problemas de seguridad en WinZip 10.x

Se han encontrado dos problemas de seguridad en WinZip que pueden
permitir la ejecución de código arbitrario si se visita una página
especialmente manipulada. Los detalles para aprovechar la
vulnerabilidad son públicos.

El primero de los problemas reside en varios métodos no seguros en el
control ActiveX FileView(WZFILEVIEW.FileViewCtrl.61) que permitirían
la ejecución de código por desbordamiento de memoria intermedia basada
en pila.

El segundo fallo se debe a un error de límites en el mismo control
ActiveX y un manejo no adecuado de la propiedad "filepattern", lo que
podría llevar también a un desbordamiento de memoria intermedia y
potencialmente permitir la ejecución de código.

Los problemas se han confirmado en las versiones previas a WinZip
10.0 Build 7245.

La solución consiste en actualizarse a esta versión, pero el creador
del exploit anuncia con la notación "WinZip <= 10.0.7245" que el fallo
afectaría también (por el símbolo "=") a la última actualización hasta
la fecha. Aunque podría tratarse de un simple error del creador del
código, es posible que esta versión todavía tenga problemas.

En cualquier caso, a falta de confirmación, se recomienda deshabilitar
la ejecución de ActiveX para la zona de Internet en Internet Explorer y,
por supuesto, actualizar Winzip 10.0. La versión 9.x no se ve afectada.

El primero de los problemas fue notificado a Winzip a través de ZDI
(Zero Day Iniciative) a finales de agosto de 2006.


Laboratorio Hispasec
laboratorio@hispasec.com



miércoles, 15 de noviembre de 2006

Vulnerabilidades en dispositivos Citrix Access Gateway

Se ha encontrado varias vulnerabilidades en los dispositivos Citrix
Access Gateway que pueden ser aprovechadas por atacantes para obtener
información sensible.

Citrix Access Gateway son soluciones para redes privadas virtuales (VPN)
que cifran el tráfico (con SSL) y permiten acceso remoto seguro a
recursos de red.

El primer problema se debe a un fallo no especificado a la hora de usar
Advanced Access Control como funcionalidad de Access Gateway. Los datos
del dispositivo podrían ser obtenidos por un atacante sin privilegios
para ello.

Los productos afectados son:
Access Gateway appliance 4.2
Access Gateway appliance 4.2.1
Access Gateway appliance 4.2.2
Access Gateway 4.5 Advanced Edition
Access Gateway 4.2 con Advanced Access Control 4.2 (Access Gateway 4.2
Advanced Edition)

Según versión, se recomienda actualizar a las versiones no vulnerables:
4.2.3 descargable desde http://support.citrix.com/article/CTX108902 ó
4.5 descargable desde https://secureportal.citrix.com/

Por otro lado, se han encontrado dos vulnerabilidades en Citrix Advanced
Access Control que pueden ser aprovechadas por atacantes para eludir
ciertas restricciones de seguridad.

Un fallo en la funcionalidad de acceso "Browser only" podría permitir
a usuarios acceder a recursos protegidos. Otro error en el proceso de
login podría permitir a a usuarios tener acceso a esos recursos.

Las vulnerabilidades se han confirmado en Citrix Access Gateway
distribuido con Advanced Access Control 4.0 y 4.2. Las versiones Access
Gateway Standard Edition y Access Gateway Enterprise Edition no se ven
afectadas.

Se recomienda aplicar el hotfix AACE400W004 disponible desde:
http://support.citrix.com/article/CTX110293


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Citrix Advisories:
http://support.citrix.com/article/CTX111614
http://support.citrix.com/article/CTX111615
http://support.citrix.com/article/CTX111695

martes, 14 de noviembre de 2006

Seis boletines de seguridad de Microsoft en noviembre

Como es habitual, fiel a la cita de los segundos martes de mes,
Microsoft ha publicado sus boletines de seguridad. Tal y como
adelantamos, en esta ocasión se han publicado seis boletines
(MS06-066 al MS06-071).

Según la propia clasificación de Microsoft cinco de los nuevos
boletines presentan un nivel de gravedad "crítico", mientras que
el restante recibe la calificación de "importante".

Es por tanto, importante conocer la existencia de estas
actualizaciones, evaluar el impacto de los problemas y aplicar
las actualizaciones en la mayor brevedad posible. Este es un boletín
de urgencia en el que describimos superficialmente cada uno de los
nuevos boletines de seguridad de Microsoft. En los próximos días
publicaremos otros boletines donde analizaremos más detalladamente
las actualizaciones más importantes.

* MS06-066: Informa sobre una actualización para Windows 2000,
Windows XP y Windows Server 2003 debido a dos vulnerabilidades en
Client Service for NetWare (servicio cliente para NetWare) que
permiten a un atacante ejecutar código o crear una condición de
denegación de servicio. Según la calificación de Microsoft recibe
un nivel de "importante".

* MS06-067: Actualización acumulativa para Microsoft Internet Explorer
que además soluciona tres nuevas vulnerabilidades que podrían permitir
la ejecución remota de código arbitrario. Según la calificación de
Microsoft está calificado como "crítico". Afecta a Internet Explorer
5.01 e Internet Explorer 6.

* MS06-068: Destinado a evitar una vulnerabilidad en Microsoft Agent
que permite ejecución remota de código. Afecta a Windows 2000, Windows
XP y Windows Server 2003. Está calificado como "crítico".

* MS06-69: Resuelve cinco vulnerabilidades en Macromedia Flash Player
de Adobe versión 6.0.84.0 y anteriores, que pueden permitir a un
atacante remoto ejecutar código arbitrario. Afecta a Windows XP y
está calificado como "crítico".

* MS06-070: En este boletín se anuncian los parches de actualización
necesarios para solventar una vulnerabilidad en el servicio "estación
de trabajo", que podría permitir la ejecución remota de código
arbitrario. Afecta a Windows 2000 y Windows XP. Está calificado
como "crítico".

* MS06-071: Se trata de una actualización para Microsoft XML Core
Services debido a que se ha detectado una vulnerabilidad que puede
permitir a un atacante remoto ejecutar código arbitrario. Recibe el
nivel de "crítico".

Las actualizaciones publicadas pueden descargarse a través de Windows
Update y Office Update o consultando los boletines de Microsoft donde
se incluyen las direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for November, 2006
http://www.microsoft.com/technet/security/bulletin/ms06-nov.mspx

Microsoft Security Bulletin MS06-066
Vulnerabilities in Client Service for NetWare Could Allow Remote
Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-066.mspx

Microsoft Security Bulletin MS06-067
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/bulletin/ms06-067.mspx

Microsoft Security Bulletin MS06-068
Vulnerability in Microsoft Agent Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-068.mspx

Microsoft Security Bulletin MS06-069
Vulnerabilities in Macromedia Flash Player from Adobe Could Allow
Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-069.mspx

Microsoft Security Bulletin MS06-070
Vulnerability in Workstation Service Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms06-070.mspx

Microsoft Security Bulletin MS06-071
Vulnerability in Microsoft XML Core Services Could Allow Remote Code
Execution
http://www.microsoft.com/technet/security/bulletin/ms06-071.mspx

lunes, 13 de noviembre de 2006

Ejecución de código en múltiples dispositivos inalámbricos a través del controlador Broadcom NIDS

El controlador de dispositivo inalámbrico Broadcom, BCMWL5.SYS, es
vulnerable a un desbordamiento de memoria intermedia basado en pila que
permite la ejecución de código arbitrario en modo núcleo. El fallo se
debe a manejo inseguro de respuestas sonda 802.11 que contengan un campo
SSID muy largo.

El problema se considera bastante grave por varias razones. La primera
es que el controlador BCMWL5.SYS se proporciona unido a los sistemas de
muchos fabricantes. Broadcom tiene acuerdos con diferentes compañías que
incorporan sus chipsets en los controladores inalámbricos. Viene
integrado por ejemplo en ordenadores Dell, HP o tarjetas Linksys y todos
comparten básicamente el mismo controlador.

La segunda razón es que puede ser aprovechado sin interacción por parte
del usuario. Se está en riesgo si la tarjeta inalámbrica con
controladores vulnerables permanece activa en cualquier lugar público y
alguien emite información. Este sería recogido por la tarjeta y podría
permitir el aprovechamiento de la vulnerabilidad. Por ejemplo, en
Windows, el escáner integrado que permite descubrir nuevas redes lo
volvería vulnerable si posee una tarjeta funcionando con estos
controladores.

La tercera razón por la que puede considerarse especialmente peligroso
es que ya existe un exploit público en la versión de desarrollo de
Metasploit Framework.

La cuarta razón es que es complicado delimitar la responsabilidad de
publicar un parche. No está totalmente definida. Ni siquiera
organizaciones ajenas pueden acudir en su ayuda. El grupo ZERT, (Zero
Day Emergency Response Team) cuyo objetivo es el de programar parches
para solventar problemas de seguridad de tipo "0 day" siempre que su
gravedad lo requiera, ha publicado una nota donde explica las razones
por las que no puede crear una actualización extraoficial en este caso.
Sería impráctico crear un parche para cada controlador de cada
fabricante y tampoco sería posible programar uno genérico efectivo. Para
dispositivos Linksys, como excepción por ahora, ya se ha programado una
solución disponible en su página web.

La versión comprobada vulnerable es la 3.50.21.10 del controlador
BCMWL5.SYS en Windows. Usuarios de Linux y FreeBSD deberían asegurarse
de que no están usando el controlador vulnerable a través de la
herramienta ndiswrapper. En general, se recomienda que todos los
usuarios se pongan en contacto con los fabricantes de sus dispositivos
inalámbricos, comprobar si sus controladores son vulnerables y aplicar
soluciones específicas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

ZERT-01-111106
http://isotf.org/advisories/zert-01-111106.htm

Broadcom Wireless Driver Probe Response SSID Overflow
http://projects.info-pull.com/mokb/MOKB-11-11-2006.html

domingo, 12 de noviembre de 2006

Ejecución de código arbitrario en HP OpenView Client Configuration Manager


Se ha encontrado un problema de seguridad en HP OpenView Client
Configuration Manager que puede ser aprovechado por atacantes para
provocar una denegación de servicio o incluso ejecutar código arbitrario.

HP OpenView Client Configuration Manager es una solución (presentada
hace apenas un año) basada en tecnología Radia que permite
administración avanzada de hardware y software HP, tales como
inventario, distribución de parches, control remoto, actualización...

La vulnerabilidad está provocada por una manejo no adecuado de datos en
el Radia Notify Daemon (representado por el archivo radexecd.exe). Un
fallo en el diseño hace que no se requiera nombre de usuario y
contraseña para ejecutar comandos en el directorio donde se instala
radexecd.exe. Si se envía un paquete especialmente manipulado, se
permiten ciertas acciones sin necesidad de autenticación, como reiniciar
el sistema con radbootw.exe o, a través de radcrecv.exe, descargar
nuevos programas en el directorio y ejecutarlos.

Esta vulnerabilidad ha sido descubierta por miembros de TippingPoint y
fue notificada a HP a principios de Octubre.

El problema se ha confirmado en la versión 1.0, aunque otras podrían
verse afectadas. Se recomienda actualizar a la versión 2.0 desde
http://www2.itrc.hp.com/service/sum/home.do


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

HP Security Bulletin Document ID #c00795552
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c00795552

HP OpenView Client Configuration Manager Device Code Execution
Vulnerability
http://www.tippingpoint.com/security/advisories/TSRT-06-13.html

sábado, 11 de noviembre de 2006

Vulnerabilidades en el servicio IMA de Citrix Presentation Server

Se han identificado dos vulnerabilidades en Citrix Presentation Server,
que podrían ser aprovechados por atacantes remotos para provocar que la
aplicación dejase de responder o incluso ejecutar código arbitrario.

Citrix Presentation Server es una solución muy popular de virtualización
de aplicaciones (o servidor de distribución de aplicaciones) que
permite, de forma segura, implementación y administración centralizada
de aplicaciones.

El primer fallo se debe a un desbordamiento de heap en la función
IMA_SECURE_DecryptData1 de la librería ImaSystem.dll, que no valida
adecuadamente datos de autenticación (cifrados) especialmente
manipulados recibidos a través del servicio Independant Management
Architecture (IMA) que escucha en el puerto 2512 ó 2513. Esto puede ser
aprovechado para ejecutar código arbitrario.

El segundo problema se debe a un error de validación de entrada también
en el servicio Independant Management Architecture (IMA) que no maneja
adecuadamente ciertos tipos de paquetes. Esto pude ser aprovechado por
atacantes remotos para hacer que el proceso IMA se detenga de forma
abrupta, creando una condición de denegación de servicio.

Ambas vulnerabilidades han sido desveladas por miembros de TippingPoint
e iDefense respectivamente, compañías que encabezan iniciativas que
incentivan económicamente el descubrimiento de problemas de seguridad.
La primera fue notificada a Citrix en junio de 2006 y la segunda en
julio del mismo año.

Las versiones vulnerables, junto con su solución (hotfix) para lenguajes
inglés y español son:

MetaFrame XP 1.0 para Windows 2000 Server:
EN - http://support.citrix.com/article/CTX111115
ES - http://support.citrix.com/article/CTX111119

MetaFrame XP 1.0 para Windows Server 2003:

EN - http://support.citrix.com/article/CTX111134
ES - http://support.citrix.com/article/CTX111135

MetaFrame Presentation Server 3.0 para Windows 2000 Server:

EN - http://support.citrix.com/article/CTX111124
ES - http://support.citrix.com/article/CTX111127

MetaFrame Presentation Server 3.0 para Windows Server 2003:

EN - http://support.citrix.com/article/CTX111142
ES - http://support.citrix.com/article/CTX111139

Citrix Presentation Server 4.0 para Windows 2000 Server:

EN - http://support.citrix.com/article/CTX110938
ES - http://support.citrix.com/article/CTX111452

Citrix Presentation Server 4.0 para Windows Server 2003:

EN - http://support.citrix.com/article/CTX110939
ES - http://support.citrix.com/article/CTX111470

Citrix Presentation Server 4.0 para Windows Server 2003 x64 Editions:

EN - http://support.citrix.com/article/CTX111145
ES - http://support.citrix.com/article/CTX111148


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Vulnerabilities in Presentation Server's IMA Service could result in a
Denial of Service or arbitrary code execution
http://support.citrix.com/article/CTX111186

Citrix MetaFrame IMA Management Module Remote Heap Overflow:
http://www.zerodayinitiative.com/advisories/ZDI-06-038.html

Citrix Presentation Server 4.0 IMA Service Invalid Name Length DoS
Vulnerability:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=441

viernes, 10 de noviembre de 2006

Microsoft publicará seis boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan seis boletines de
seguridad, cinco destinados a su sistema operativo Windows, y uno
destinado al control ActiveX vulnerable de XML Core Services.

Si en octubre fueron diez los boletines de seguridad (aunque previamente
se anunciaron once), este mes son seis las actualizaciones que prevé
publicar Microsoft el día 14 de noviembre. De los cinco para el sistema
operativo, alguno alcanza el estado de crítico. El boletín para XML
Core Services también alcanza ese rango. Como es habitual, las
actualizaciones requerirán reiniciar el sistema, y algunos boletines
podrán reparar más de un error.

Llama la atención que se especifique claramente que se va a corregir
la vulnerabilidad en XML Core Services descubierta el 4 de noviembre
y de la que circulan ya numerosos exploits públicos. Normalmente no
se ofrecen demasiados detalles sobre lo que se va a corregir y lo que
no. En octubre, por ejemplo, se corrigió una vulnerabilidad (según el
boletín MS06-061) también en XML Core Services (versión 3.0, en este
caso) y no fue diferenciada en su nota de avance, sino que se incluyó
como una corrección más para el sistema operativo. Quizás sea una forma
de "tranquilizar" a los afectados, para que no queden dudas sobre si la
grave vulnerabilidad será corregida o no.

Se trata de un fallo en el control ActiveX de XMLHTTP 4.0 (librería
msxml4.dll) concretamente en la función setRequestHeader. Microsoft XML
Core Services (MSXML) permite comunicación XML estándar a JScript,
VBScript (lenguajes propietarios de Microsoft que utiliza Internet
Explorer, principal vector de ataque para esta vulnerabilidad) y a
Visual Studio 6.0.

También se espera que corrija otra grave vulnerabilidad encontrada en
Visual Studio 2005 y que afecta a la librería WmiScriptUtils.dll (sólo
se podría ser vulnerable si se tiene esta librería instalada). Aunque
la forma de aprovechar esta vulnerabilidad no es tan "popular" como la
anterior, de este problema también se han detectado ataques que intentan
aprovecharla.

Es de esperar que por primera vez, se distribuyan parches oficiales
para Internet Explorer 7.

Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Microsoft XML Core Services Could Allow Remote Code
Execution:
http://www.microsoft.com/technet/security/advisory/927892.mspx

Vulnerability in Visual Studio 2005 Could Allow Remote Code Execution:
http://www.microsoft.com/technet/security/advisory/927709.mspx

Advance bulletin:
http://www.microsoft.com/technet/security/bulletin/advance.mspx

jueves, 9 de noviembre de 2006

Revelación de información sensible en Lotus Domino 5.x, 6.x y 7.x

Se ha descubierto un problema de seguridad en Lotus Domino que permite
a atacantes obtener información sensible.

El protocolo NRPC puede utilizar una transacción no autenticada
durante el primer registro de un usuario para obtener el fichero ID.
Un atacante (a través del puerto 1352) podría construir una lista de
posibles nombres de usuario e intentar validarlos usando la
transacción de búsqueda de nombres no autenticada. Si el nombre de
usuario existe y el registro contiene un fichero ID, sería posible
descarga el fichero ID del usuario. El atacante tendría que ejecutar
un ataque de fuerza bruta para poder usar el fichero ID.

El problema ha sido solucionado en Domino 7.0.2 y Domino 6.5.5 Fix
Pack 2 (FP2). Para que funcione, hay que establecer la variable
BLOCK_LOOKUPID en el fichero notes.ini del servidor con los valores
1 ó 2. El valor 2 evita todo tipo de ataques pero evita también que
nuevos clientes se configuren usando ficheros ID en el directorio.

Los administradores deberían asegurarse de que los ficheros ID no
permanecen en el Domino Directory durante largos periodos de tiempo,
o utilizar otro método de distribución de ficheros ID para nuevos
usuarios.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IBM Lotus Notes information leakage on port 1352
http://www-1.ibm.com/support/docview.wss?rs=475&uid=swg21248026

miércoles, 8 de noviembre de 2006

Nueva versión de Firefox, Thunderbird y SeaMonkey corrige graves vulnerabilidades

Mozilla ha publicado una nueva actualización para la rama 1.x de su
navegador, que solventa hasta cinco fallos de seguridad agrupados en
tres "boletines", todos calificados como críticos. Varias de estas
vulnerabilidades son aprovechables para ejecutar código arbitrario.

La nueva versión de la rama 1.x de los productos Mozilla (Firefox,
SeaMonkey y Thunderbird) corrige cinco fallos de seguridad que permiten
eludir restricciones e incluso ejecutar código. Los tres "boletines"
publicados (del número 65 al 67 de 2006) especifican las vulnerabilidades:

El primer fallo se debe a un problema de corrupción de memoria en el
motor de diseño que puede ser aprovechado por atacantes para hacer que
la aplicación deje de responder (causar una denegación de servicio) y
potencialmente ejecutar código arbitrario.

El segundo fallo se debe a un problema de corrupción de memoria en
XML.prototype.hasOwnProperty. Este error se suponía en principio un
fallo que permitía hacer que la aplicación dejase de funcionar, pero
se ha demostrado que puede ser aprovechado por atacantes remotos para
ejecutar código.

El tercer fallo se debe también a un problema de corrupción de memoria
en el motor JavaScript a la hora de procesar datos mal formados. Esto
puede permitir a atacantes hacer que el sistema deje de responder o,
potencialmente, ejecutar código arbitrario.

El cuarto fallo se debe un error a la hora de validar firmas digitales
RSA con exponente 3. Este problema, encontrado por primera vez en
OpenSSL en septiembre y heredado a innumerables productos, no fue
completamente corregido en la librería NSS que incorpora la rama 1.x
de los productos Mozilla y ha sido de nuevo parcheado para proteger de
una variante del ataque original.

El quinto fallo se debe a un error por el que ciertos objetos Script
podrían ser modificados durante la ejecución. Esto podría ser
aprovechado por atacantes para ejecutar bytecode JavaScript arbitrario.

Los productos afectados son:
Mozilla Firefox 1.5.0.7 y anteriores.
Mozilla Thunderbird 1.5.0.7 y anteriores.
Mozilla SeaMonkey 1.0.5 y anteriores.

Se recomienda actualizar a Firefox 1.5.0.8, Thunderbird 1.5.0.8 o
SeaMonkey 1.0.6 descargables desde http://www.mozilla.org/products/

y deshabilitar JavaScript, fuente de muchos de los problemas de los
productos Mozilla.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Crashes with evidence of memory corruption
http://www.mozilla.org/security/announce/2006/mfsa2006-65.html

RSA Signature Forgery (variant)
http://www.mozilla.org/security/announce/2006/mfsa2006-66.html

Running Script can be recompiled
http://www.mozilla.org/security/announce/2006/mfsa2006-67.html

martes, 7 de noviembre de 2006

Desbordamiento de memoria intermedia en Red Hat Package Manager 4

Se ha encontrado una vulnerabilidad en el Red Hat Package Manager por
la que un atacante podría ejecutar código arbitrario en el sistema
víctima.

Un atacante podría crear un paquete RPM especialmente manipulado que,
al ser consultado por un usuario con ciertas locales especificadas
(ru_RU.UTF-8, por ejemplo), provocaría un desbordamiento de memoria
intermedia y permitirtía la ejecución de código con los privilegios
del usuario que ejecutara la consulta.

Existe un parche a través de CVS
https://bugzilla.redhat.com/bugzilla/attachment.cgi?id=139715


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

RPM Lets Remote Users Cause Arbitrary Code to Be Executed When Queried in Certain Locales
http://securitytracker.com/alerts/2006/Nov/1017160.html

lunes, 6 de noviembre de 2006

Un artículo de la Wikipedia alemana utilizado para distribuir malware

Los creadores de malware aprovechan de nuevo la credibilidad de una
página consolidada para intentar infectar a usuarios de sistemas
Windows. En la Wikipedia alemana se insertó un artículo fraudulento
sobre el famoso gusano Blaster que enlazaba a la descarga de un malware
que pretendía ser una solución para una ficticia nueva variante.

Durante la semana pasada, al visitar el artículo sobre el virus Blaster
en la Wikipedia alemana, se podía observar un texto completamente falso
sobre la aparición de una nueva variante. El mismo artículo contenía un
enlace a la descarga de una solución, que no era más que un nuevo
malware que intentaría infectar al que lo ejecutase en Windows.

No se trata de una información sesgada o errónea la que se publicó en la
enciclopedia libre (un problema que sufren con ciertos artículos
sensibles), sino directamente falsa y destinada a la infección y
propagación de malware. Tampoco es que se alojase el malware en los
servidores de la Wikipedia, sino que contenía un enlace a un ejecutable
en el exterior. Para "promocionar" la descarga del malware, se envió
correo basura. En él se hablaba de esta falsa nueva versión de Blaster y
se apuntaba a la Wikipedia como medio fiable de ampliar información
sobre el caso. Los responsables de la enciclopedia pronto eliminaron el
artículo, aunque tardaron un poco más en darse cuenta de que permanecía
en ediciones anteriores todavía almacenadas y que, aunque no
directamente, el artículo fraudulento era accesible incluso después de
eliminar la última versión.

De nuevo, y como ya ha ocurrido en varias ocasiones, se aprovecha la
credibilidad de una página consolidada para intentar infectar a
usuarios. Una técnica que debe gozar seguro de cierto "éxito", teniendo
en cuenta que todavía muchos usuarios toman como válido incluso el
contenido de un correo reenviado que les llega con información sobre "el
último virus que destroza el ordenador". Si las cadenas de correo
reenviadas con bulos y fantasías víricas perduran desde hace años (los
usuarios todavía las reenvían porque se las creen, no hay más motivo) es
de esperar que no duden ni un segundo en descargar y ejecutar un archivo
enlazado desde una página en la que confían habitualmente. Este método
no es más que una evolución (en cierta manera lógica) que intenta
infectar al segmento de incautos que no cree ya en el contenido de
correos pero todavía se fía de todo lo que provenga de una página "de
confianza" que lo confirme. Y nada mejor que la Wikipedia, cuyo carácter
libre (ventaja y desventaja a la vez) puede facilitar la modificación
temporal de los artículos.

Y es que los consejos "tradicionales" en los que se permitía confiar en
el contenido de páginas legítimas ya no son válidos. Pueden ser
modificados o verse a través de un sistema comprometido. Lo observamos
constantemente con casos recientes de phishing, donde cada vez menos se
recurre a webs montadas especialmente para el robo de datos y se intenta
integrar la estafa para que tenga efecto a través de la propia página
legítima (con la ayuda de troyanos, básicamente), o de banners de
terceros infectados, visibles a través de páginas de confianza (ya
hablamos de los casos de MySpace y Dilbert).

Ante este panorama de desconfianza generalizada, los consejos que "nunca
fallan" (dentro de las limitaciones de la seguridad) siguen siendo los
mismos de siempre: mantener actualizado el sistema y el antivirus, estar
al tanto de las nuevas vulnerabilidades y aplicar las contramedidas
aconsejadas (mientras no exista actualización oficial), cargar los
programas con los mínimos privilegios y utilizar servicios como
Virustotal.com antes de ejecutar archivos, ya provengan de enlaces en la
Wikipedia, de fuentes no confiables o (lo que resulta equivalente) de
cualquier lugar.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Hackers hijack Wikipedia page to spread malware
http://www.sophos.com/pressoffice/news/articles/2006/11/wikipedia-malware.html

domingo, 5 de noviembre de 2006

Ejecución remota de código a través del control ActiveX XMLHTTP en Windows

Se ha encontrado una vulnerabilidad en Microsoft XML Core Services que
puede ser aprovechada por atacantes remotos para ejecutar código
arbitrario en el sistema afectado.

Una atacante remoto podría crear una página HTML especialmente
manipulada que al ser cargada por el sistema afectado, provocaría una
corrupción de memoria en el control ActiveX XMLHTTP 4.0 (concretamente
en la función setRequestHeader) y permitiría la ejecución de código
arbitrario con los privilegios del usuario ejecutando la aplicación
vulnerable.

La vulnerabilidad ha sido confirmada por Microsoft y está siendo
aprovechada por atacantes activamente.

No existe parche oficial. Se recomienda evitar que el control ActiveX
XMLHTTP 4.0 se ejecute en Internet Explorer, activando el kill bit.
Para ello se debe guardar este archivo con extensión .reg y ejecutarlo
como administrador:

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{88d969c5-f192-11d4-a65f-0040963251e5}]
"Compatibility Flags"=dword:00000400

O deshabilitar la ejecución automática de ActiveX en el navegador.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Advisory (927892)
Vulnerability in Microsoft XML Core Services Could Allow Remote
Code Execution
http://www.microsoft.com/technet/security/advisory/927892.mspx

sábado, 4 de noviembre de 2006

Denegación de servicio a través de NMAS en Novell eDirectory 8

Se ha anunciado una vulnerbailidad en Novell eDirectory, que puede
ser explotada por usuarios maliciosos para provocar denegaciones de
servicio.

Novell eDirectory es un servidor LDAP (Lightweight Directory Access
Protocol) multiplataforma. De forma adicional eDirectory implementa
el sistema de autenticación NMAS (Novell Modular Authentication
System).

La vulnerabilidad se debe a un error en el tratamiento de punteros
en la función "BerDecodeLoginDataRequest()"del módulo libnmasldap.so.
Un atacante podría explotar este problema para provocar la caída del
proceso a través de una petición de login especialmente creada.

La vulnerabilidad se presenta en las versiones Novell eDirectory
8.7.3 (y anteriores) y 8.8.1 (y anteriores). Se recomienda la
actualización a la versión 2.0.3 de Security Services:
http://download.novell.com/index.jsp


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Novell eDirectory NMAS BerDecodeLoginDataRequeset DoS Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=437

Novell eDirectory "BerDecodeLoginDataRequest()" Denial Of Service Vulnerability
http://www.frsirt.com/english/advisories/2006/4293

viernes, 3 de noviembre de 2006

Nueva versión de PHP resuelve numerosas vulnerabilidades

Se ha publicado una actualización de PHP que resuelve un grave problema
de seguridad. PHP es vulnerable a un fallo por el que un atacante remoto
podría ejecutar código arbitrario en el sistema afectado.

El código de las funciones htmlspecialchars y htmlentities contienen
un desbordamiento de memoria intermedia. Un usuario remoto podría
proporcionar datos especialmente manipulados a una aplicación que use
las funciones afectadas y, potencialmente, ejecutar código arbitrario.
Para realizar un ataque con éxito el conjunto de caracteres UTF-8 debe
estar activado.

La nueva versión 5.2.0, además, resuelve otros potenciales problemas
de seguridad en la extensión cURL, que podrían servir para eludir las
restricciones de safe_mode y open_basedir. También, y sólo para sistemas
de 64 bits, pueden existir problemas en las funciones str_repeat y
wordwrap que permitan la ejecución de código arbitrario. Por último,
un fallo en la función tempnam permitiría crear ficheros temporales
arbitrarios en cualquier directorio saltándose las restricciones de
open_basedir.

La actualización rompe con la rama 5.1.0 y según php.net, debe ser
aplicada por todos los usuarios tan pronto como sea posible, pues mejora
además problemas de estabilidad y seguridad en general. Tanto la rama
4.x como la 5.x se ven afectadas.

Existe prueba de concepto para la primera y más importante
vulnerabilidad. Debido a que potencialmente este problema podría
suscitar la aparición de gusanos PHP (de los que desafortunadamente
ya existen varios), se recomienda descargar e instalar la versión 5.2.0
desde http://www.php.net/releases/5_2_0.php


Laboratorio Hispasec
labortorio@hispasec.com


Más información:

PHP 5.2.0 Release Announcement
http://www.php.net/releases/5_2_0.php

jueves, 2 de noviembre de 2006

Se inaugura el mes de los fallos en el núcleo

Como ya hiciera HD Moore en julio con su "mes de los fallos en los
navegadores", otro investigador relacionado con el proyecto Metasploit
ha desarrollado la iniciativa "month of the kernel bugs" que ha
decidido encuadrar en noviembre. La idea será publicar un nuevo
error en el kernel de cualquier sistema operativo durante todos
los días de noviembre.

El proyecto está encabezada por LMH, un investigador de Mestasploit
que según parece posee (y también espera recibir) una colección
suficiente de fallos en los núcleos de los sistemas operativos
como para publicar uno por día durante los 30 días de noviembre.
Podrían ser denegaciones de servicio, escaladas de privilegios o
simplemente fallos. El objetivo es además, mostrar herramientas
y procedimientos que ayuden a mejorar la calidad de los núcleos
de cualquier sistema operativo.

Una de las herramientas usadas para detectar estos errores ha
sido fsfuzzer, un programa capaz de encontrar fallos en una gran
cantidad de sistemas de ficheros, además de sysfuzz, isic... y
otras herramientas destinadas a tantear los límites del software
y que se desarrollan dentro del proyecto Metasploit.

HD Moore ya puso en práctica una iniciativa parecida en julio con
los navegadores. El resultado fue una buena colección de experimentos
que sirvieron para que diferentes navegadores dejasen de responder
o acaparasen todos los recursos de la máquina. Pero sin duda se
recordará por un fallo en concreto, publicado el día 17 de julio
y relacionado con el método setSlice() de Internet Explorer. El
fallo, como tantos otros ese mes, fue calificado en un principio
como denegación de servicio. Sin embargo, el día 27 de septiembre
apareció públicamente una forma de aprovecharlo para ejecutar código
y además se concluyó que el problema residía en el explorador del
sistema operativo, pero era aprovechable a través del navegador.
Ante la gravedad del problema Microsoft publicó un parche el día
10 de octubre.

Según la página oficial, no quieren hacer dinero con el experimento,
sólo comprobar cuántos problemas pueden existir ahí fuera aún sin
conocimiento de la mayoría. De momento, y para empezar, ya han
publicado un fallo en el controlador Apple Airport que provoca
una corrupción de memoria y posiblemente permita la ejecución
de código arbitrario.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Windows Explorer Could Allow Remote Execution
http://www.microsoft.com/technet/security/Bulletin/MS06-057.mspx

the Month of Kernel Bugs (MoKB) archive
http://projects.info-pull.com/mokb/

MoBB, Month of Browser Bugs
http://kernelfun.blogspot.com
http://browserfun.blogspot.com/

miércoles, 1 de noviembre de 2006

Denegación de servicio a través de conexión compartida a Internet en Windows XP

Se ha identificado una vulnerabilidad en Microsoft Windows XP que puede
ser aprovechada por atacantes para provocar una denegación de
servicio.

El problema se debe a un error de manejo de puntero NULL en NAT Helper
Components de la librería ipnathlp.dll a la hora de procesar
peticiones a través del a función NatCreateRedirect. Esto puede ser
aprovechado por atacantes en una red interna para hacer que que el
servicio deje de responder si se envía una petición DNS especialmente
manipulada a la interfaz compartida de un equipo con la conexión
compartida a Internet habilitada.

No existe parche oficial. Se recomienda utilizar otra forma de
compartir la conexión a Internet.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft NAT Helper 'ipnathlp.dll' Lets Remote Users Deny Service
http://www.securitytracker.com/alerts/2006/Oct/1017133.html