miércoles, 31 de enero de 2007

Ejecución de código en Trend Micro InterScan VirusWall para Linux

Se ha identificado un problem en Trend Micro InterScan VirusWall 3.81 para Linux que puede ser aprovechado por atacantes para provocar una denegación de servicio o ejecutar código arbitrario.

El fallo se debe a un desbordamiento de memoria intermedia en el módulo VSAPI a la hora de pasarle un argumento demasiado largo a la utilidad vscan. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario si un usuario o sistema automatizado analiza un fichero especialmente manipulado.

Se recomienda aplicar el parche disponible desde:
Apply patch :
http://www.trendmicro.com/ftp/products/patches/isux381_lx_securitypatch_vsapi8380.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security advisory: Buffer overflow in VSAPI library of Trend Micro
VirusWall 3.81 for Linux
http://www.devtarget.org/trendmicro-advisory-01-2007.txt

Trend Micro InterScan VirusWall for Linux "vscan" Command Execution
Vulnerability
http://www.frsirt.com/english/advisories/2007/0367

martes, 30 de enero de 2007

Se detecta un phishing basado en la Agencia Tributaria (Hacienda)

Hemos detectado en nuestro laboratorio una muestra de un phishing tradicional cuando menos curioso. Se le califica de tradicional en el sentido en que llega a través de un correo que nos invita a pulsar sobre un enlace (no usa sofisticadas técnicas víricas), pero lo que nos llama la atención es que no ataca directamente a un banco (como viene siendo más que habitual). Lo que pretende es que la víctima introduzca los datos de su tarjeta de crédito para que Hacienda le devuelva cierta cantidad.

El phishing llega a los buzones a través de la dirección Devolucion.Fiscal@aeats.eu. El dominio aeats.eu no es en realidad bajo el que se aloja la Agencia Tributaria, sino que utiliza aeat.es. En cualquier caso, es llamativo que se use un dominio de primer nivel oficial como ".eu", referente a la Unión Europea.

Es este caso, el atacante aprovecha la imagen, o suplanta el sitio web de la Agencia Tributaria para capturar los datos de las tarjetas de crédito. No se trata por tanto de un ataque específico contra la Agencia.

ADVERTENCIA: Aunque desde el laboratorio de Hispasec no hemos detectado que la página pueda intentar infectar al sistema de forma automática con algún tipo de malware, esta situación puede ser modificada en cualquier momento. El autor del phishing puede incluir la inyección de código en la página e infectar el sistema a través de vulnerabilidades u otras técnicas desconocidas. Por tanto, visite la página de phishing bajo su responsabilidad, pues no podemos garantizar que no pueda llegar a ser dañino para el sistema. Hemos colgado un enlace con una imagen aquí:

http://www.hispasec.com/images/unaaldia/phishing-hacienda.png

En el cuerpo del mensaje del phishing, se puede leer:
*********
RESOLUCIÓN de 29 de enero de 2006, de la Dirección General de la Agencia Estatal de Administración Tributaria, por la que se aprueban las directrices generales del Plan General de Control Tributario 2006.(B.O.E. 03-02-2006)
Por favor Nota: Después de los cálculos anuales pasados de su actividad fiscal nos hemos determinado que usted es elegible recibir una devolución fiscal desde 90€
Someta por favor la petición de la devolución fiscal y en un plazo de 6-9 días se la vamos a procesar.
Un reembolso se puede retrasar para una variedad de razones. Por ejemplo sometiendo expedientes invalidos o aplicándose después del plazo.
Para tener acceso a la forma para su devolución fiscal, Pulse aquí El Plan General de Control es el instrumento básico de planificación de la Agencia Tributaria en el que se realiza la previsión cuantitativa y cualitativa de las actuaciones que en el ámbito de control tributario y aduanero se van a realizar durante el año. Con este Plan se da cumplimiento a la obligación que establece la Ley General Tributaria en su artículo 116 de elaborar anualmente un plan de control tributario.
Madrid, 29 de enero de 2006.-El Director General, Luis Pedroche y Rojo.

**********

Donde se percibe que el autor no domina correctamente el español, aunque los datos (el nombre del director) sean ciertos.

Si se pulsa en el enlace, sin ningún tipo de ocultación de la URL, nos lleva a una página que toma de forma dinámica las imágenes e incluso las noticias de la página real y oficial de la Agencia Tributaria, pero que incluye un apartado ficticio de "Devolución Fiscal" donde se piden los datos personales de la tarjeta de crédito. Aquí también se advierte que el autor no está familiarizado los términos españoles, al referirse al "ATM Card PIN" o al "CVV Code".

Por otro lado, la página está bastante conseguida, aunque si bien la potencial víctima decide usar el menú superior derecho para cambiar el idioma, el enlace le llevará a la página real y desaparecerá el formulario con el que se pretende estafar al visitante.

El dominio fue registrado el día 27 de enero de 2007, usando la dirección física de la British Telecommunications PLC en Londres, un servidor alojado en fasthosts.co.uk y el correo proporcionado para el registro es cristinehend@yahoo.com.

Si bien conocíamos casos de phishings que se valían de entidades distintas a los bancos (eBay, PayPal...) no es habitual que los atacantes se fijen en la Agencia Tributaria, y utilicen el cebo de la devolución como gancho para conseguir credenciales. Ingenioso.


Sergio de los Santos
ssantos@hispasec.com



lunes, 29 de enero de 2007

Entrevista con el creador de un troyano bancario

Un periodista de la revista Computer Sweden mantuvo una entrevista con un tal Corpse, delincuente ruso supuesto responsable de la familia de troyanos bancarios Haxdoor. El periodista se hizo pasar por un potencial cliente interesado en un troyano a medida. De su conversación se deduce una importante profesionalidad del medio.

Por su interés, traducimos y resumimos la entrevista, publicada en la página de la revista. "CS" se refiere a Computer Sweden, mientras que Corpse es el delincuente informático.

CS: ¿El troyano que algunos llaman Haxdoor es tuyo? ¿Tiene la misma funcionalidad?

Corpse: Sí, Haxdoor (hay muchas versiones) es mío.

[Corpse vende el troyano bajo el nombre de A311 Death, pero Haxdoor es el nombre que le han dado las casas antivirus]

CS: ¿Has oído hablar sobre los ataques al banco Nordea? Eso lo hizo Haxdoor, ¿verdad? [En las últimas semanas se ha dado a conocer un ataque a este banco sueco a través de un troyano, que le ha hecho perder 1.5 millones de dólares]

Corpse: Haxdoor y Nuclear Grabber (La variante Haxdoor sin puerta trasera)

CS: Impresionante. ¿Es esa la versión que yo podría obtener por 3.000 dólares?

Corpse: Sí, y además esto también es Haxdoor:

[pega una dirección con información pública sobre un ataque al Banco Australiano]

CS: ¿Y obtendré esto por 3.000 dólares?

Corpse: Sí, es la misma versión.

[Corpse añade que esto es sólo la punta del iceberg. Los bancos ocultan la mayoría de las intrusiones, lo que son buenas noticias para los que prefieren trabajar en la oscuridad]

CS: Estupendo. ¿Algún otro ejemplo de ataques que se hayan llevado a cabo con Haxdoor?

Corpse: El personal de seguridad de los bancos prefiere ocultar el 99% de los ataques. No quieren asustar a los usuarios :)

[Tan pronto como se haya realizado el pago, el código se entregará y se preparará un script que se utilizará para recibir la información robada. Esto será realizado por Corpse, el soporte está incluido en el precio. Cualquier pregunta sobre otros clientes que hayan estado detrás del ataque al banco Nordea es eludida por Corpse]

CS: Suena simple. ¿Se necesita mucha gente para sacar esto adelante?

Corpse: Sólo hay un desarrollador. Yo.

CS: Sí, pero me refiero a tus clientes. Toma como ejemplo el ataque al banco Nordea. ¿Fue una sola persona o había un grupo tras esto?

Corpse: No lo sé, algunos trabajan en grupos otros por ellos mismos.

[Cuando se muestran dudas sobre ser descubierto, Corpse se muestra confiado. Por 150 dólares al mes proporciona servidores en China, E.E.U.U. o Europa donde se enviaría la información robada. El fraude no podría ser rastreado de esa forma]

Corpse: Puedo comprar un servidor o un "web hotel" por ti.

CS: Ok, ¿no sería eso un problema para mí? Quizás sería mejor usar un servidor anónimo en Rusia.

Corpse: No en Rusia. E.E.U.U. o China o Europa.

CS: Tu seguridad es importante para mí, porque yo podría ser pillado si te pillan a ti. ¿No te asusta la policía?

Corpse: No te preocupes por la policía. Usa una VPN anónima, SOCKS también funcionará :)

CS: ¿Has oído que Norman Antivirus dice que detecta si un sistema está infectado por Haxdoor?

Corpse: Los productos antivirus no pueden encontrar una versión no descubierta.

[Con el troyano se proporciona una interfaz gráfica que facilita su administración, para así poder definir el banco objetivo]

Corpse: La interfaz es estándar y no requiere de ningún conocimiento. Si tienes algún problema te ayudaré.

[Como cualquier vendedor Corpse, habla de las inmejorables características de "su producto"]

Corpse: Sí, usará técnicas de rootkit y de autodefensa para no ser detectado.

CS: ¿Cómo me sería entregado?

Corpse: Como archivo rar o zip.

CS: Por cierto, ¿puede infectar a Vista también? ¿Cómo se comporta con versiones más antiguas?

Corpse: Hay soporte para todas las versiones desde Windows 98, incluido Vista.

No podemos aportar prueba alguna de que esta conversación sea real, debemos creer en la profesionalidad de la revista sueca. Aun así, la profesionalización del medio y sensación de impunidad con la que trabajan, concuerdan perfectamente con lo que venimos advirtiendo (y
analizando en muestras de troyanos) en Hispasec desde hace bastante tiempo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Meeting the Swedish bank hacker
http://computersweden.idg.se/2.139/1.93344

domingo, 28 de enero de 2007

Anunciadas nuevas vulnerabilidades que afectan a Apple OS X

Se han anunciado dos vulnerabilidades en Apple Mac OS X, que pueden ser explotadas por usuarios maliciosos para provocar condiciones de denegación de servicio o incluso llegar a ejecutar comandos arbitrarios en los sistemas afectados.

El primero de los problemas está provocado por un error en Apple QuickDraw y puede explotarse a través de las funciones "GetSrcBits32ARGB()" y "InternalUnpackBits()", para provocar la caída de la aplicación afectada o inluso comprometer el sistema cuando se procesan imágenes PICT específicamente manipuladas. Se recomienda no abrir imágenes PICT procedentes de fuentes desconocidas.

La segunda vulnerabilidad se debe a un error de formato de cadenas en la aplicación Software Update cuando se procesan ficheros con un nombre de archivo especialmente modificado, lo que puede llegar a emplearse para ejecutar comandos arbitrarios si se induce al usuario para que abra el archivo malicioso.

Las vulnerabilidades se presentan en Mac OS X 10.4.8 y anteriores


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

MOAB-24-01-2007: Apple Software Update Catalog Filename Format String Vulnerability
http://projects.info-pull.com/moab/MOAB-24-01-2007.html

MOAB-23-01-2007: Apple QuickDraw GetSrcBits32ARGB() Memory Corruption Vulnerability
http://projects.info-pull.com/moab/MOAB-23-01-2007.html

Apple OS X QuickDraw "InternalUnpackBits" Memory Corruption
http://security-protocols.com/sp-x43-advisory.php

sábado, 27 de enero de 2007

Denegación de servicio en ISC BIND 9.x

Se ha encontrado una vulnerabilidad en ISC BIND que puede ser aprovechada por atacantes para provocar una denegación de servicio.

El fallo se debe a un error en el demonio "named" y el manejo de la memoria que puede ser aprovechado por atacantes remotos para hacer que el sistema deje de responder y provocar una condición de denegación de servicio.

También se ha publicado que BIND es vulnerable a un problema relacionado con la validación de respuestas de tipo ANY.

Se recomienda actualizar a las versiones no vulnerables 9.2.8, 9.3.4 ó 9.4.0rc2 desde www.isc.org/sw/bind/.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

ISC BIND Unspecified Denial of Service and ANY Response Handling Vulnerabilities
http://www.frsirt.com/english/advisories/2007/0349


BIND Memory Deference Bug Lets Remote Users Crash the Name Server
http://www.securitytracker.com/alerts/2007/Jan/1017561.html

viernes, 26 de enero de 2007

Salto de restricciones de seguridad en productos Check Point

Se ha anunciado una vulnerbailidad en productos Check Point, que puede ser empleada por usuarios maliciosos para saltarse la función de exploración.

El problema reside en que /sre/params.php en el componente ICS (Integrity Clientless Security) no valida de forma adecuada los datos que recibe. Un atacante podría explotar esto para recibir una cookie, que permitiría evitar determinadas comprobaciones realizadas antes de acceder a la red, mediante el envío de una petición POST con un informe válido a la página /sre/params.php.

La vulnerabilidad afecta a los siguientes productos y versiones con la característica ICS activada:
* Connectra NGX R62
* Connectra NGX R61
* Connectra NGX R60
* Connectra 2.0
* Chech Point VPN-1

Se recomienda aplicar las actualizaciones publicadas por Check Point:

Connectra:
http://www.checkpoint.com/downloads/latest/hfa/connectra/index.html

VPN-1:
http://www.checkpoint.com/downloads/latest/hfa/vpn1_security/index.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Check Point Connectra End Point security bypass
http://www.securitytracker.com/alerts/2007/Jan/1017560.html

Check Point
http://www.checkpoint.com/downloads/latest/hfa/connectra/index.html
http://secureknowledge.checkpoint.com/SecureKnowledge/viewSolutionDocument.do?lid=sk32472

jueves, 25 de enero de 2007

Se publican tres vulnerabilidades que afectan a Cisco IOS


Cisco ha publicado tres anuncios de vulnerabilidades para su sistema operativo IOS. Estos fallos permiten desde la denegación de servicio (provocar que un dispositivo deje de responder) hasta, potencialmente, ejecutar código arbitrario en el sistema afectado.

Cisco no ha dado excesivos detalles sobre los problemas, pero ha publicado una completa tabla de sistemas afectados y versiones parcheadas (no todas disponibles por el momento). También, en las páginas oficiales, se pueden encontrar las contramedidas necesarias para mitigar o anular el efecto de un posible ataque.

El primer fallo se produce a la hora de procesar una cabecera de enrutamiento IPv6 Type 0 y puede hacer que el dispositivo deje de responder. Para disparar la vulnerabilidad el paquete debe estar destinado a cualquiera de las direcciones IPv6 definidas en el dispositivo. El tipo de paquete exacto no es relevante (TCP, ICMP, UDP...) puesto que la vulnerabilidad se da en la capa IP.

IPv6 no está activado por defecto. Los identificadores Cisco para esta vulnerabilidad son
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsd40334
y http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsd58381

Parte de la gama Cisco IOS 12.x se ve afectada. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a00807cb0fd.shtml

El segundo error se debe a un fallo en la implementación de varios protocolos en Cisco IOS. Un atacante podría enviar tráfico IPv4 especialmente manipulado destinado (no que pase a través de) al dispositivo Cisco IOS y hacer que deje de responder y potencialmente, ejecutar código arbitrario. Paquetes pertenecientes a los protocolos Internet Control Message Protocol (ICMP), Protocol Independent Multicast version 2 (PIMv2), Pragmatic General Multicast (PGM) , o URL Rendezvous Directory (URD) con la opción IP en la cabecera del paquete especialmente manipulada, podrían desencadenar el problema. Este es el problema considerado como más grave.

El identificador de bug Cisco es:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCec71950
y
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCeh52410
para Cisco IOS XR

Toda la gama Cisco IOS 9.x, 10.x, 11.x y 12.x se ve afectada, así como la gama 2.x y 3.x de IOS XR. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a00807cb157.shtml

El tercer fallo se debe también a un fallo en la implementación TCP de Cisco IOS. Un atacante podría enviar tráfico IPv4 especialmente manipulado destinado (no que pase a través de) al dispositivo Cisco IOS y hacer que el dispositivo filtre una pequeña cantidad de memoria. Si se repite la acción de forma continuada, la memoria se agotaría y el dispositivo dejaría de responder por agotamiento de recursos. Paquetes TCP con una dirección fuente falsificada podrían provocar la filtración.

El identificador de bug Cisco es:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCek37177

Toda la gama Cisco IOS 9.x, 10.x, 11.x y 12.x se ve afectada. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-tcp.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IPv6 Routing Header Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20070124-IOS-IPv6.shtml

Crafted TCP Packet Can Cause Denial of Service
http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-tcp.shtml

Crafted IP Option Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20070124-crafted-ip-option.shtml

miércoles, 24 de enero de 2007

Elevación de privilegios afecta a servidores X11 de Sun Solaris

Existe una vulnerabilidad de desbordamiento a la hora de realizar una multiplicación de enteros dentro de la librería libXfot, utilizada por los servidores X11 que pude provocar un desbordamiento de heap a la hora de cargar las fuentes.

Esto puede ser aprovechado por un usuario local no privilegiado para ejecutar comandos arbitrarios con privilegios elevados, o provocar una denegación de servicio a los administradores de visualización.

El problema ha sido resuelto con los siguientes parches:

Para la plataforma SPARC:
Solaris 8, aplicar 119067-04 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119067-04-1
Solaris 9, aplicar 112785-57 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119067-04-1
Solaris 10, aplicar 119059-19 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119059-19-1

Para la plataforma x86:
Solaris 8, aplicar 119068-04 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119068-04-1
Solaris 9, aplicar 112786-46 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112786-46-1
Solaris 10, aplicar 119060-18 o posterior desde
http://sunsolve9.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119060-18-1

Solaris 10 con X.Org, aplicar 119060-18 o o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119060-18-1
y 119062-02 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119062-02-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability With Integer Multiplication Within libXfont Affects Solaris X11 Servers
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102714-1

martes, 23 de enero de 2007

Se hacen públicas varias vulnerabilidades en Microsoft Visual Studio

En los últimos días, un investigador ha publicado varias vulnerabilidades en productos Microsoft Visual Studio que pueden permitir la ejecución de código arbitrario.

Se han publicado dos problemas de corrupción de memoria basados en pila en Microsoft Help Workshop a la hora de procesar archivos con extensión .HPJ (Help project files) y .CNT (Help Contents Files).

Los fallos se deben a una falta de comprobación en los límites de los datos introducidos, y permite el control del flujo del programa y por tanto, ejecutar código arbitrario si la víctima ejecuta un archivo con extensión .HPJ o .CNT especialmente manipulados.

El software afectado por estos problemas es:
* Microsoft Help Workshop v4.03.0002 (y posiblemente otras versiones)
* Microsoft Visual Studio 6
* Microsoft Visual Studio 2003

Existen pruebas de concepto públicas.

Por otro lado, se ha encontrado un problema de seguridad en Microsoft Visual Studio 6 que puede permitir a un atacante ejecutar código arbitrario.

Existe un desbordamiento de memoria intermedia basado en pila en el proceso MSDEV.EXE de Microsoft Visual C++ en el módulo compilador de recursos RCDLL.DLL. El problema se debe a un procesado erróneo de los campos de nombre de fichero. Un atacante podría ejecutar código
arbitrario si la víctima abre un archivo .RC especialmente manipulado.

Para que se pueda llevar a cabo el ataque, la víctima debe hacer pulsar en el botón de "Aceptar" cuando aparece el mensaje de "fichero no encontrado".

El software afectado es:

* Microsoft Visual Studio 6

No existe parche oficial. Se recomienda no abrir ficheros no solicitados
con las extensiones afectadas .


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Help Workshop .CNT contents files buffer overflow vulnerability
http://archives.neohapsis.com/archives/bugtraq/2007-01/0426.html

Help project files (.HPJ) buffer overflow vulnerability in Microsoft
Help Workshop
http://archives.neohapsis.com/archives/bugtraq/2007-01/0459.html

Microsoft Visual C++ (.RC) resource files buffer overflow vulnerability
http://archives.neohapsis.com/archives/bugtraq/2007-01/0486.html

lunes, 22 de enero de 2007

El mediático troyano de la tormenta y las lecciones no aprendidas

"Storm Worm" o "Storm Virus" se ha popularizado en las últimas horas como malware de rápida distribución que ha llegado a miles de sistemas. Lo oportuno del asunto original con el que aparecía en los buzones (haciendo referencia a la tormenta que ha azotado Europa), ha provocado que muchos usuarios lo ejecuten y queden infectados. Resulta llamativa su capacidad de infección teniendo en cuenta que "Storm" es un malware con un método de infección "de manual", tradicional y sin ninguna capacidad técnica que llame la atención.

El viernes F-Secure alertaba de una rápida propagación de un troyano llamado por algunas casas Small.DAM (más conocido como "Storm"), que llegaba a través del correo electrónico. En la noticia publicada (acompañada de un mapa del mundo muy vistoso) se podían seguir a través de luces parpadeantes la velocidad de infección del malware en cuestión.

Técnicamente hablando Small.DAM no aporta nada nuevo, ni en su técnica de expansión ni en su daño potencial: Es una variante de Small, es un "downloader" para sistemas Windows, instala un nuevo servicio y tiene propiedades de puerta trasera con lo que el sistema quedaría a disposición de, probablemente, un operador de botnet. Nada que destacar hasta el momento.

La versión original detectada el viernes 19 de enero se propagaba a través del correo, en un archivo adjunto ejecutable para sistemas Microsoft (.exe) y con asuntos como:

* 230 dead as storm batters Europe (230 muertos en una tormenta que arrasa Europa)
* Saddam Hussein alive! (¡Saddam Hussein vivo!)

Y adjuntos con la carga maliciosa con nombres como:

* Full Clip.exe
* Full Story.exe
* Read More.exe
* Video.exe

Un ejemplo "de libro" sobre ingeniería social sencilla a la hora de intentar engañar a los usuarios. Este virus no ha necesitado aprovechar ningún tipo de vulnerabilidad, esconderse bajo extensiones aparentemente inofensivas, ni partir de una familia previamente no detectada de malware. Simplemente, ha usado una noticia actual y suficientemente morbosa (la promesa de un vídeo sobre los que han sufrido mortalmente el temporal o la hipótesis de un dictador vivo cuando medio mundo ha presenciado su ejecución) para conseguir cierto éxito y propagarse sin dificultad. Una muestra más del eslabón más débil de cualquier cadena de seguridad: el usuario.

Ante el éxito, la pista se pierde. En las últimas horas han aparecido decenas de variantes, con nuevos asuntos, adjuntos y carga vírica. En sus últimos análisis, se observan inclusos comportamientos de rootkit para ocultarse en el sistema.

Las últimas actualizaciones de la mayoría de los antivirus están añadiendo a marchas forzadas firmas para detectar las muchas variantes producidas. Se recomienda en cualquier caso, aplicar el sentido común y no ejecutar archivos ejecutables no solicitados. Si los administradores todavía no lo han hecho, se deberían descartar los archivos ejecutables a nivel de pasarela de correo.

Sorprende (y decepciona) que acudir a técnicas de propagación tradicionales y carentes de imaginación como este malware (que confía sólo en el poder de un asunto llamativo para su propagación), resulte exitoso a estas alturas. Es una lección que, por repetición desde hace ya muchos años, creíamos aprendida.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Small.DAM spammed around
http://www.f-secure.com/weblog/archives/archive-012007.html#00001086

Storm-Worm Small.DAM Spread Quickly
http://www.f-secure.com/weblog/archives/archive-012007.html#00001087

Another trojan run by the Storm Worm gang
http://www.f-secure.com/weblog/archives/archive-012007.html#00001088

Storm Worm starts to use Rootkit
techniqueshttp://www.f-secure.com/weblog/archives/archive-012007.html#00001089

domingo, 21 de enero de 2007

Denegación de servicio en Cisco IP Contact Center y Unified Contact Center

Cisco Unified Contact Center Enterprise, Cisco Unified Contact Center
Hosted, Cisco IP Contact Center Enterprise, y Cisco IP Contact Center
Hosted editions se ven afectados por una vulnerabilidad que podría
resultar en el reinicio del proceso JTapi Gateway.

Para aprovechar el problema, un atacante tendría que establecer una
conexión TCP de tres bandas especialmente manipulada al puerto del
servidor Jtapi. El proceso se reiniciaría y no aceptaría más
conexiones.

Los parches pueden ser descargados desde:

ICM5.0(0)_SR13_ES18:
http://www.cisco.com/pcgi-bin/tablebuild.pl/d4b330d7b9c07d33f2833e1be69c6145
6.0.00_SR08_ES3 :
http://www.cisco.com/pcgi-bin/tablebuild.pl/48b796a9ba353f2d02897ae3e6bb1140
7.0.00_SR04_ES43:
http://www.cisco.com/pcgi-bin/tablebuild.pl/47564eac9ea7b12357226a5f20bbbd66
7.1.03_ES5:
http://www.cisco.com/pcgi-bin/tablebuild.pl/9df0152592e9779b3f9e8701a94e4422


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Unified Contact Center and IP Contact
Center JTapi Gateway Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20070110-jtapi.shtml

sábado, 20 de enero de 2007

Denegación de servicio a través de kpdf en KDE 3.x

Se ha encontrado una vulnerabilidad en kpdf de KDE. Un atacante remoto podría ejecutar código arbitrario en el sistema víctima.

Un atacante podría crear un fichero PDF con un diccionario de catálogo especialmente manipulado o un atributo Pages también manipulado que, al ser cargado, haría que el visor entrase en un bucle infinito.

El fallo reside en el código xpdf (que es compartido por kpdf)

Se ha publicado la versión 3.5.6 que corrige el problema, también se han publicado las siguientes actualizaciones

Para KOffice 1.2.1:
ftp://ftp.kde.org/pub/kde/security_patches/koffce-xpdf-CVE-2007-0104.diff

Parche para KDE 3.3.2:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.5.5-kdegraphics-CVE-2007-0104.diff

Para KDE 3.2.3:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.2.3-kdegraphics-CVE-2007-0104.diff


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

KDE kpdf Bug Lets Remote Users Deny Service
http://securitytracker.com/alerts/2007/Jan/1017514.html

KDE Security Advisory: kpdf/kword/xpdf denial of service vulnerability
http://www.kde.org/info/security/advisory-20070115-1.txt

viernes, 19 de enero de 2007

Ejecución de código a través de imágenes GIF en Sun Java Runtime Environment

Se ha encontrado una vulnerabilidad en Sun Java Runtime Environment (JRE) que puede ser aprovechada por atacantes para ejecutar código arbitrario.

El fallo se debe a un error a la hora de procesar imágenes GIF y puede ser aprovechado para provocar un desbordamiento de memoria intermedia basado en heap a través de una imagen GIF especialmente manipulada con un ancho de imagen de 0.

El problema está solucionado en (para Windows, Solaris, y Linux)
JDK y JRE 5.0 Update 10 o posterior.
SDK y JRE 1.4.2_13 o posterior.
SDK y JRE 1.3.1_19o posterior.

J2SE 5.0 está disponible desde:
http://java.sun.com/javase/downloads/index_jdk5.jsp

J2SE 5.0 Update 10 para Solaris está disponible en los siguientes parches:
J2SE 5.0: update 10 (proporcionado con el parche 118666-10
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118666-10-1)
J2SE 5.0: update 10 ( proporcionado con el parche 118667-10 (64bit)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118667-10-1)
J2SE 5.0_x86: update 10 (proporcionado con el parche 118668-10
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118668-10-1)
J2SE 5.0_x86: update 10 ( proporcionado con el parche 118669-10
(64bit)
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118669-10-1)

J2SE 1.4.2 está disponible desde:
http://java.sun.com/j2se/1.4.2/download.html

J2SE 1.3.1 está disponible desde:
http://java.sun.com/j2se/1.3/download.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Processing GIF Images in the Java Runtime Environment May Allow an Untrusted Applet to Elevate Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102760-1

Sun Microsystems Java GIF File Parsing Memory Corruption Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-005.html

jueves, 18 de enero de 2007

Grupo de parches de enero para diversos productos Oracle

Oracle ha publicado un conjunto de cincuenta parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos.

Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 2, versiones 10.2.0.1, 10.2.0.2, 10.2.0.3
* Oracle Database 10g Release 1, versiones 10.1.0.3, 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.5, 9.2.0.6, 9.2.0.7,
9.2.0.8
* Oracle9i Database Release 1, versiones 9.0.1.4, 9.0.1.5, 9.0.1.5 FIPS
* Oracle8i Database Release 3, versión 8.1.7.4
* Oracle Identity Management 10g, versión 10.1.4.0.1
* Oracle Application Server 10g Release 3, versiones 10.1.3.0.0,
10.1.3.1.0
* Oracle Application Server 10g Release 2, versiones 10.1.2.0.0 -
10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
* Oracle Application Server 10g, versiones 9.0.4.1, 9.0.4.2, 9.0.4.3
* Oracle9i Application Server Release 2, versión 9.0.2.3
* Oracle9i Application Server Release 1, versión 1.0.2.2
* Oracle Enterprise Manager 10g Grid Control Release 2, versión
10.2.0.1
* Oracle Enterprise Manager 10g Grid Control Release 1, versiones
10.1.0.3, 10.1.0.4, 10.1.0.5
* Oracle E-Business Suite Release 11i, versiones 11.5.7 - 11.5.10 CU2
* Oracle E-Business Suite Release 11.0
* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48
* Oracle Developer Suite, versiones 6i, 9.0.4.3, 10.1.2.0.2

De las más de 50 correcciones:

* 17 afectan a Oracle Database y 1 de ellas no requiere un usuario y contraseña válidos para poder ser aprovechadas.

* 9 afectan a Oracle HTTP Server, 8 de las cuales son aprovechables de forma remota sin necesidad de autenticación.

* 12 afectan a Oracle HTTP Server, y 8 son aprovechables remotamente sin necesidad de autenticación.

* 14 vulnerabilidades de Oracle Application Server están incluidas en componentes de Oracle Collaboration Suite, once de ellas son aprovechables de forma remota sin necesidad de autenticación.

* 7 parches en Oracle E-Business Suite y Applications. Ninguna de ellas es aprovechable de forma remota sin autenticación.

* 6 nuevos parches para Oracle Enterprise Manager, 5 son aprovechables de forma remota sin autenticación.

* 3 nuevos parchces para Oracle PeopleSoft Enterprise. 1 es aprovechable de forma remota sin autenticación.

Para comprobar las matrices de productos afectados, gravedad y la
disponibilidad de parches, es necesario comprobar la notificación
oficial:

* Oracle Critical Patch Update - January 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html

* Critical Patch Update - January 2007 Documentation Map

http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=405814.1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Critical Patch Update - January 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html

Critical Patch Update - January 2007 Documentation Map
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=405814.1

miércoles, 17 de enero de 2007

Dos vulnerabilidades de denegación de servicio en Squid 2.x

Se han encontrado dos vulnerabilidades en Squid que pueden ser aprovechadas por atacantes para provocar una denegación de servicio.
* Un error en el manejo de ciertas peticiones FTP a través de URL pueden ser aprovechadas para hacer que Squid deje de responder si se visita una URL especialmente manipulada a través del proxy.

* Un error en la cola external_acl puede hacer que Squid deje de responder si se encuentra bajo una gran carga de trabajo.

Las vulnerabilidades se han confirmado en la versión 2.6 aunque otras podrían verse afectadas.

Se recomienda actualizar a la versión 2.6.STABLE7 desde
www.squid-cache.org/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Squid FTP URI Handling and "external_acl" Remote Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2007/0199

martes, 16 de enero de 2007

Denegación de servicio en Snort

Se ha encontrado una vulnerabilidad en Snort 1.x y 2.x que puede ser aprovechada por atacantes para provocar una denegación de servicio en el detector de intrusos.

El problema se basa en que el algoritmo de reconocimiento de patrones en Snort puede ser abusado para que consuma todos los recursos y provocar que el ratio de detección baje hasta ser nulo a través de paquetes especialmente manipulados.

La vulnerabilidad se ha confirmado en la versión 2.4.3 pero otras podrían verse afectadas. Se recomienda actualizar a las últimas versiones desde http://www.snort.org.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Backtracking Algorithmic Complexity Attacks Against a NIDS
http://www.cs.wisc.edu/~smithr/pubs/acsac2006.pdf

Update on The Rule Matching Vulnerability published today
http://www.snort.org/pub-bin/snortnews.cgi#591

lunes, 15 de enero de 2007

Ejecución de código arbitrario en MIT Kerberos V5 1.x

Se han identificado dos vulnerabilidades en MIT Kerberos, que podrían ser explotadas por atacantes remotos para tomar el control total de los sistemas afectados o provocar una condición de denegación de servicio.
El primer problema se debe a un error de manejo de memoria en la función svc_do_xprt() en el demonio de administración kadmind. Esto puede ser aprovechado por atacantes remotos para ejecutar código arbitrario o hacer que la aplicación deje de responder.

Por otra parte, el segundo problema se debe a un error de manejo de memoria en la interfaz de abstracción mechglue de la implementación GSS-API y el demonio de administración kadmind, donde la función log_badverf() llama a gss_display_name() sin comprobar el valor que devuelve y sin inicializar las estructuras gss_buffer_desc pasadas a gss_display_name(). Esto podría ser aprovechado por atacantes remotos para ejecutar código arbitrario o hacer que la aplicación deje de responder.

Se recomienda actualizar a MIT Kerberos V5 versión 1.6 :
http://web.mit.edu/kerberos/krb5-1.6/

O aplicar los parches:
http://web.mit.edu/kerberos/advisories/2006-003-patch.txt
http://web.mit.edu/kerberos/advisories/2006-002-patch.txt


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

kadmind (via RPC library) calls uninitialized function pointer
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2006-003-mechglue.txt

kadmind (via GSS-API mechglue) frees uninitialized pointers
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2006-002-rpc.txt

domingo, 14 de enero de 2007

Vulnerabilidad en DLSw permite recargar dispositivo en Cisco IOS

Se ha identificado una vulnerabilidad en la funcionalidad Data-link Switching (DLSw) en Cisco IOS que puede ser aprovechada por atacantes para recargar el dispositivo.

El fallo se da cuando un atacante establece una conexión DLSw con el dispositivo y envía una opción inválida durante la negociación.

El problema afecta a todos los productos Cisco que ejecuten Cisco IOS con versiones de la 11.0 a la 12.4 configuradas para DLSw. Se recomienda deshabilitar DLSw si no es imprescindible.

Cisco ha puesto a disposición de los usuarios actualizaciones a través de los canales de distribución habituales. Las versiones no vulnerables son:

IOS 12.1(26)E8, 12.3(21) y 12.2(43). Algunas de ellas todavía no están disponibles.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: DLSw Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20070110-dlsw.shtml

sábado, 13 de enero de 2007

Desbordamiento de búfer en Eudora WordMail Server 3

Se ha anunciado una vulnerabilidad en Eudora WorldMail Server, que
podría ser empleada por atacantes para comprometer los sistemas
afectados.

Eudora Qualcomm WorldMail es un servidor de mensajería y correo
para entornos corporativos, con soporte para POP3, IMAP, SMTP,
características webmail y herramientas para detener spam y virus.

La vulnerabilidad está provocada por un error en el servicio Mail
Management (MAILMA.exe) cuando trata delimitadores sucesivos. Esto
puede emplearse para provocar un desbordamiento de búfer basado en
heap a través de una petición específicamente construida.

Si un atacante logra explotar con éxito este problema podrá llegar
a ejecutar código arbitrario. La vulnerabilidad se ha anunciado en
la versión 3.1.x, aunque otras versiones podrían verse afectadas.

Se recomienda restringir el acceso al servicio (en el puerto 106/tcp).
Según se ha anunciado el vendedor no planea publicar una actualización
que soluciones el problema.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

QUALCOMM Eudora WorldMail Remote Management Heap Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-001.html

viernes, 12 de enero de 2007

Oracle sigue el modelo Microsoft y notifica con antelación sus parches

Oracle ha anunciado por primera vez con antelación, lo que será su
publicación trimestral de parches de seguridad. Un resumen previo al
estilo Microsoft que adelanta el número y la criticidad de las
actualizaciones previstas para el próximo día 16 de enero.

Oracle publicará un total de 52 parches de seguridad (menos de los que
vienen siendo habituales) para Oracle Database, Application Server,
Enterprise Manager, Identity Management, E-Business Suite, Developer
Suite y PeopleSoft Enterprise People Tools. Diez de los 27 dedicados a
su base de datos, podrán ser aprovechados por atacantes a través de la
red sin necesidad de usuario ni contraseña válidos.

Con esta nueva estrategia de anuncio previo de boletín de seguridad,
Oracle pretende facilitar a los administradores de sus productos la
planificación de aplicación de parches. A nadie se le escapa la analogía
con la estrategia de Microsoft. Ya en agosto de 2004 (sólo 10 meses
después de que lo hiciera Microsoft) reorganizó su publicación de
parches de forma mensual, para modificarla poco después a una
planificación trimestral, tal y como se mantiene hoy día.

En octubre de 2004, Microsoft decidió además advertir algunos días antes
de la publicación del número de parches planeados, gravedad y productos
afectados. Poco más de dos años después Oracle le copia, por segunda
vez, la estrategia, aunque ha ido un poco más lejos y en su avance.
Oracle ofrecerá además "cualquier información relevante que ayude a las
organizaciones a planificar la aplicación del CPU (Critical Patch
Update) en su entorno".

Este nuevo cambio en la estrategia de seguridad de Oracle viene a
confirmar una clara tendencia de la compañía por mejorar su imagen en
este sentido. En octubre de 2006 anunció que mejoraría su sistema de
notificación de alertas de seguridad, añadiendo desde entonces un rango
de criticidad a sus boletines, un sumario más detallado sobre las
vulnerabilidades corregidas y una sección destacada de los fallos
críticos y prioritarios.... Además, se ayuda de CVSS (Common
Vulnerability Scoring System), un estándar que gradúa la severidad de
manera estricta a través de fórmulas establecidas.

Estos movimientos se han producido tras un largo periodo en el que
Oracle ha sido criticada hasta la saciedad por su estrategia general de
seguridad desde aquel fallido lema de "unbreakable" (irrompible). En los
últimos meses, publicaciones como la de David Litchfield que afirmaba
que MS SQL era mucho más seguro, unido a los continuos problemas de
seguridad, con largos periodos (mínimo trimestral y con un récord de 800
días) en los que no se ha proporcionado un parche para algún error, el
anuncio frustrado de la creación de la semana de los fallos en Oracle...
han ido deteriorando la imagen de la compañía de las bases de datos.

Está claro que esta nueva estrategia de Oracle está orientada a
restaurar la confianza de posibles clientes y ayudará a los
administradores. Lo que no estará tan claro para muchos es que se tome
como modelo parte de la política de Microsoft. La imagen de la
referencia que han decidido adoptar se encuentra también deteriorada en
cuestión de seguridad.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Critical Patch Update Pre-Release Announcement
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2007.html

Litchfield: Comparado con Oracle, Microsoft SQL Server es más seguro
http://www.hispasec.com/unaaldia/2951

Oracle ofrecerá más y mejor información en sus boletines de seguridad
http://www.hispasec.com/unaaldia/2915

jueves, 11 de enero de 2007

Actualizaciones por vulnerabilidad en StarOffice

Sun han publicado paquetes de actualización para StarOffice, debido
a que se ha descubierto una vulnerabilidad que puede permitir la
ejecución de código arbitrario en las máquinas víctima del ataque.

El problema se debe a la presencia de varios problemas de
desbordamiento de enteros en el código que se encarga de procesar
archivos de tipo WMF y EMF. Esto puede ser explotado por un atacante
si crea un archivo malicioso de este tipo que, si es procesado por
el programa vulnerable, provocaría un desbordamiento de búfer basado
en heap que a su vez podría ser usado para la ejecución de código
arbitrario.

Este problema afecta a StarOffice 6, 7 y 8 y según versión y plataforma,
las actualizaciones, están disponibles desde:
http://sunsolve.sun.com/pub-cgi/show.pl?target=patches/xprod-StarOffice


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability With StarOffice/StarSuite Versions 6, 7 and 8
Related to the '.wmf' File Format
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102735-1

High Risk Vulnerabilities in the StarOffice Suite
http://www.ngssoftware.com/advisories/high-risk-vulnerabilities-in-the-staroffice-suite/

miércoles, 10 de enero de 2007

Los parches de Microsoft saben a poco

Después de anunciar ocho boletines de seguridad, el número real se ha
reducido a la mitad. Los parches de Microsoft de este mes han dejado sin
solución (entre otras) tres vulnerabilidades graves en Microsoft Word,
presumiblemente incluidos entre los ocho originales que se anunciaron
pero que no fueron publicados finalmente.

Los parches publicados el pasado martes solventan, como fue anunciado a
última hora, diez vulnerabilidades agrupadas en cuatro boletines. Los
que salen peor parados son los componentes de Office, Outlook y Excel,
con nueve vulnerabilidades, casi todas críticas. Ninguno de los fallos
corregidos se conocía de forma pública antes de la aparición de estos
boletines (aunque algunos sí que estaban siendo aprovechados).

Sin embargo, tres vulnerabilidades en Word para las que existe exploit
público que permite ejecución de código (y está siendo aprovechado),
no han sido contempladas en esta ocasión. Tampoco dos problemas en el
servicio CSRSS (Client Server Runtime SubSystem) que permiten elevar
privilegios en local o revelar información sensible han encontrado
solución. Todas se han dado a conocer durante el mes de diciembre.
Existen otras vulnerabilidades "pendientes" que permiten provocar
denegaciones de servicio (que la aplicación deje de responder)
igualmente en espera.

No existe aclaración oficial sobre la causa de este lote de
actualizaciones mensual descafeinado, donde se han echado en falta
soluciones a problemas acuciantes en la suite ofimática de Microsoft
o su sistema operativo. Se puede presuponer que los parches estaban
prácticamente listos en un primer momento, hasta el punto de ser
anunciados, pero a última hora no los consideraron suficientemente
maduros. Es más que probable que desde Microsoft se haya decidido
comprobar una vez más la calidad de esos parches anunciados en primera
instancia para ahorrarse disgustos y no comprometer la estabilidad de
sus clientes.

Es comprensible esta actitud reservada y conservadora a la hora de
publicar parches. Situaciones como la vivida en agosto de 2006 con el
boletín MS06-042 hacen necesario una reflexión sobre la liberación de
parches. En él se recomendaba la aplicación de un parche acumulativo
para Internet Explorer que solucionaba ocho problemas de seguridad.
Dos semanas después se hizo público que, inadvertidamente, este parche
había introducido una nueva vulnerabilidad crítica.

Si se cumple el ciclo (muy probablemente) y no se publican nuevos
parches extraordinarios hasta febrero, dejarían sin solucionar varios
problemas graves durante más de dos meses. Aunque una política de
comprobación de calidad y análisis de impacto es tan importante como
cualquier otro proceso de la administración de actualizaciones, los
retrasos pueden resultar tan peligrosos (para sus clientes y para su
imagen) como arriesgarse a publicar un parche que cause algún
estropicio. Es un equilibrio que no debe romperse.

En cualquier caso, es decisión de los usuarios utilizar alternativas
cuando sea posible (como OpenOffice.org) o aplicar las contramedidas
que recomendadas en los correspondientes boletines y ayudan a mitigar
los efectos de un posible ataque.


Sergio de los Santos
ssantos@hispasec.com


Más información:

(23/08/2006) El último parche acumulativo para Internet Explorer
introduce una nueva vulnerabilidad
http://www.hispasec.com/unaaldia/2860

(08/01/2007) Microsoft publicará mañana cuatro parches de seguridad
http://www.hispasec.com/unaaldia/2998

martes, 9 de enero de 2007

Cuatro boletines de seguridad de Microsoft en enero

Tal y como ya habíamos adelantado ayer, Microsoft comienza el año
con la publicación de cuatro boletines de seguridad (numerados del
MS07-001 al MS07-004).

Según la propia clasificación de Microsoft tres de los nuevos boletines
presentan un nivel de gravedad "crítico", mientras que el restante
recibe la calificación de "importante".

* MS07-001: El primer boletín del año ofrece una actualización para
Microsoft Office por un problema en el corrector de gramática de
Brasileño-Portugués que podría permitir la ejecución de código
arbitrario. Según la calificación de Microsoft está calificado
como "importante". Afecta a Office 2003.

* MS07-002: Soluciona cinco vulnerabilidades en Microsoft Excel que
pueden permitir a un atacante remoto lograr la ejecución de código
arbitrario. Está calificado como "crítico". Afecta a Microsoft Excel
y Office en sus versiones 2000, 2002 y 2003.

* MS07-003: Destinado a solucionar tres vulnerabilidades en Microsoft
Office que pueden permitir a un atacante remoto ejecutar código
arbitrario. Según la calificación de Microsoft está valorado como
"crítico". Afecta a Office 2000, 2002 y 2003.

* MS07-004: Se trata de una actualización para Microsoft Windows debido
a que se ha detectado una vulnerabilidad en Vector Markup Language (VML)
que puede permitir la ejecución de código arbitrario. También recibe
una calificación de "crítico". Afecta a Windows 2000, XP y Windows
Server 2003 y a Internet Explorer 5.x, 6 y 7.

Las actualizaciones publicadas pueden descargarse a través de Windows
Update o consultando los boletines de Microsoft donde se incluyen las
direcciones de descarga directa de cada parche.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for January, 2007
http://www.microsoft.com/technet/security/bulletin/ms07-jan.mspx

Microsoft Security Bulletin MS07-001
Vulnerability in Microsoft Office 2003 Brazilian Portuguese Grammar Checker Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS07-001.mspx

Microsoft Security Bulletin MS07-002
Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS07-002.mspx

Microsoft Security Bulletin MS07-003
Vulnerabilities in Microsoft Outlook Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS07-003.mspx

Microsoft Security Bulletin MS07-004
Vulnerability in Vector Markup Language Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS07-004.mspx

lunes, 8 de enero de 2007

Microsoft publicará mañana cuatro parches de seguridad

En su ciclo habitual de actualizaciones los segundos martes de cada mes,
Microsoft ha anunciado que en esta ocasión se esperan cuatro boletines
de seguridad, uno destinado a su sistema operativo Windows, y tres a la
suite ofimática Office.

Si en diciembre fueron siete los boletines de seguridad, este mes son
cuatro las actualizaciones que prevé publicar Microsoft mañana 9 de
enero. El boletín para el sistema operativo alcanza el estado de
crítico, también alguno de los tres para Office. Como es habitual, las
actualizaciones requerirán reiniciar el sistema, y algunos boletines
podrán reparar más de un error.

Estos son los datos que se tienen a día de hoy, si bien previamente se
habían anunciado para este mismo día hasta ocho boletines de seguridad,
cuatro destinados a Office, uno a Visual Studio y el resto a Windows.
Parece que poco después del anuncio el número se ha reducido
considerablemente. Microsoft siempre advierte que el número de boletines
anunciado obedece a una simple estimación y que es susceptible de ser
modificado en cualquier momento.

Si se confirman estas cifras, esta sería una de las primeras ocasiones
en las que el número de parches para la suite ofimática Office superase
a los destinados al sistema operativo Windows, lo que confirma que el
paquete se ha convertido en uno de los objetivos favoritos de atacantes,
y un método difusor de malware muy utilizado.

Hispasec Sistemas publicará puntualmente a través de este boletín
información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com



domingo, 7 de enero de 2007

Nuevos contenidos en CriptoRed (diciembre de 2006)

Breve resumen de las novedades producidas durante el mes de diciembre
de 2006 en CriptoRed, la Red Temática Iberoamericana de Criptografía
y Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA SU DESCARGA EN DICIEMBRE

* Evolución de las Estrategias de Gestión de Seguridad: Introducción a
las Relaciones Simbióticas entre un SGSI y los Procesos ITIL de Gestión
de TI
http://www.criptored.upm.es/paginas/docencia.htm#gtletraE

* Installing NewPKI 2.0 on Windows XP
http://www.criptored.upm.es/paginas/docencia.htm#gtletraI

* ISO 27001: Los Controles (Parte II)
http://www.criptored.upm.es/paginas/docencia.htm#gtletraI

* Libro Electrónico: Una Introducción a la Criptografía
http://www.criptored.upm.es/paginas/docencia.htm#librose

* Tesis de Grado: Técnicas de Detección de Intrusiones en Redes 802.11.
Implementación de Técnicas de Detección en Snort-Wireless
http://www.criptored.upm.es/paginas/investigacion.htm#tesis

OTROS SERVIDORES: Cátedra UPM Applus+
Presentaciones del Día Internacional de la Seguridad de la Información
DISI '06 (España)
* Fraude: Phising, Scam, Pharming, Keyloggers, Trojan Bankers, Timos
Varios, ...
* Honeynets
* Nuevos Ataques en Redes
* La Mente de un Hacker: Consideraciones Técnicas y Psicológicas
* Protección EM/EMC: un Acercamiento a los Niveles de Seguridad TEMPEST
* Blind SQL Injection
http://www.capsdesi.upm.es/

2. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Febrero 12 al 16 de 2007: VIII Seminario Iberoamericano de Seguridad
en Tecnologías de Información y Comunicaciones (La Habana - Cuba)
http://www.segurmatica.com/descargas12_1/informatica2007.doc

* Abril 18 al 20 de 2007: 3rd International Conference on Global
E-Security ICGeS ?07 (Londres - Inglaterra)
http://www.uel.ac.uk/icges

* Mayo 7 al 11 de 2007: First Symposium on Algebraic Geometry and its
Applications en (Tahiti - Polinesia Francesa)
http://iml.univ-mrs.fr/ati/saga2007/welcome.html

* Mayo 14 al 17 de 2007: Euro American Conference on Telematics and
Information Systems (Faro - Portugal)
http://www.deei.fct.ualg.pt/eatis/

* Mayo 20 al 24 de 2007: EUROCRYPT 2007 (Barcelona - España)
http://www.iacr.org/conferences/eurocrypt2007/

* Junio 12 al 13 de 2007: 5th International Workshop on Security in
Information Systems WOSIS 07 (Funchal - Portugal)
http://www.iceis.org/workshops/wosis/wosis2007-cfp.html

* Junio 17 al 22 de 2007: 19th Annual FIRST Conference
(Sevilla - España)
http://www.first.org/conference/2007/

* Junio 21 al 22 de 2007: Workshop on the Arithmetic of Finite Fields
WAIFI 2007 (Madrid - España)
http://www.waifi.org/

* Octubre 9 al 12 de 2007: 10th Information Security Conference ISC 2007
(Valparaíso - Chile)
http://www.isc07.cl/

CONGRESOS EN IACR:
International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

3. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

4. NOTICIAS SELECCIONADAS DEL MES DE DICIEMBRE DE 2006
Ampliar la noticia:
http://www.criptored.upm.es/paginas/historico2006.htm#dic06

* Web del Proyecto Infraestructura de Administración de Privilegios PMI
(España)
http://openpmi.sourceforge.net/

* CFP 5th International Workshop on Security in Information Systems
WOSIS 07 (Portugal)
http://www.iceis.org/workshops/wosis/wosis2007-cfp.html

* CFP para Workshop on the Arithmetic of Finite Fields WAIFI 2007
(España)
http://www.waifi.org/

* CFP para 10th Information Security Conference ISC 2007 (Chile)
http://www.isc07.cl/

* CFP para Special Issue on Model Base Development for Secure
Information Systems
http://elib.cs.sfu.ca/Collections/CMPT/cs-journals/P-Elsevier/J-Elsevier-IST.html

* Creación de una Red de Matemáticas para la Seguridad de la Información
(España)
Contacto: mariaisabel.vascoATurjc.es

* Convocatoria Becas de Introducción a la Investigación en el CSIC
(España)
Contacto: gonzaloATiec.csic.es

* Libro Enciclopedia de la Seguridad Informática de Editorial Ra-Ma
http://www.ra-ma.com/libros/0001821.htm

* Programa de Especialización en Seguridad Informática en la UPB
(Colombia)
http://www.upbbga.edu.co/programas/espseginfo/seginfo.html

* Alta en la Red de la Universidad de Cádiz (España)
http://www.criptored.upm.es/paginas/instituciones.htm#espanya

* Alta en la Red del Universitario Autónomo del Sur - Montevideo
(Uruguay)
http://www.criptored.upm.es/paginas/instituciones.htm#uruguay

* CriptoRed Celebra 7 Años Alcanzando el Primer Lugar en Google por
Redes Temáticas
http://www.google.es/search?hl=es&q=red+tem%C3%A1tica&meta=

5. OTROS DATOS DE INTERES EN LA RED
* Número actual de miembros en la red: 611
(177 universidades; 217 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas (valores estimados al 29/12/2006): 38.000 visitas,
86.000 páginas solicitadas y 27,00 GigaBytes servidos en diciembre
de 2006.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

diciembre de 2006
http://www.criptored.upm.es/paginas/historico2006.htm#dic06

sábado, 6 de enero de 2007

Vulnerabilidad en OpenOffice por problemas con archivos WMF

Se ha descubierto una vulnerabilidad en OpenOffice que potencialmente
puede ser explotada por usuarios maliciosos para provocar la ejecución
de código arbitrario en las máquinas víctima del ataque.

El error se debe a la presencia de varios problemas de desbordamiento
de enteros en el código que se encarga de procesar archivos de tipo
WMF y EMF. Esto puede ser explotado por un atacante creando un archivo
malicioso de este tipo que, si es procesado por el programa vulnerable,
provocaría un desbordamiento de búfer basado en heap que a su vez
podría ser usado para la ejecución de código arbitrario.

Se recomienda actualizar a la versión 2.1, disponible en
http://download.openoffice.org/2.1.0/index.html
o aplicar el siguiente parche:
http://www.openoffice.org/nonav/issues/showattachment.cgi/39509/alloc.overflows.wmf.patch


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Issue 70042
http://www.openoffice.org/issues/show_bug.cgi?id=70042

High Risk Vulnerabilities in the OpenOffice Suite
http://www.ngssoftware.com/advisories/high-risk-vulnerabilities-in-the-openoffice-suite/

viernes, 5 de enero de 2007

Diversos problemas en Cisco Clean Access 3

Cisco ha publicado una notificación sobre varios problemas de seguridad
en sus Clean Access versión 3 que puede ser explotados por usuarios
maliciosos para acceder a información sensible o saltarse ciertas
restricciones de seguridad.

El primero de los problemas se debe a que la plataforma usa un método
predecible para dar nombres a las copias de respaldo manuales de la
base de datos, lo que puede ser explotado para acceder al contenido
de éstas.

Esta vulnerabilidad se ha confirmado en las versiones 3.5.x (hasta
la 3.5.9) y en las 3.6.x (hasta la 3.6.1.1), aunque no se descarta
que pueda afectar también a otras. Se recomienda actualizar a las
versiones 3.5.10 o 3.6.2 según sea el caso.

Un segundo problema se debe a que el secreto compartido no puede ser
cambiado tras la configuración inicial y que es el mismo en todos los
dispositivos afectados. La explotación con éxito permitiría acceso
con niveles administrativo a Cisco Access Server, pero requiere que el
atacante pueda realizar conexiones TCP con el dispositivo vulnerable.

El problema ha sido confirmado en las versiones 3.6.x (hasta la
3.6.4.2) y en las 4.0.x hasta la 4.0.3.2. Se recomienda actualizar a
la versión 3.6.5.3, 4.0.5 o 4.1.0 (según corresponda). También puede
aplicarse el parche Patch-CSCsg24153.tar.gz, disponible en la
siguiente URL: http://www.cisco.com/pcgi-bin/tablebuild.pl/cca-patches


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco Clean Access
http://www.cisco.com/warp/public/707/cisco-sa-20070103-CleanAccess.shtml

jueves, 4 de enero de 2007

Vulnerabilidades en plugin de Adobe Reader 7 para navegadores bajo Windows

Se ha descubierto una vulnerabilidad en el plugin para navegadores de
Adobe Reader que puede ser explotada por usuarios maliciosos para
realizar ataques de tipo cross site scripting.

Las entradas enviadas a un PDF no son filtradas adecuadamente por el
plug-in del navegador antes de ser enviadas de vuelta al usuario. Esto
puede ser explotado para ejecutar código script arbitrario en la
sesión del navegador, con el contexto del sitio afectado.

Un segundo problema reside en el plugin web al tratar parámetros mal
construidos al pasarse a un documento PDF, lo que podría explotarse
para provocar la caída de navegadores Firefox vulnerables o ejecutar
comandos arbitrarios mediante el uso de una URL específicamente
modificada.

El último de los errores se debe a un fallo al tratar con Internet
Explorer una URL con un PDF seguida de una secuencia de gran tamaño
de caracteres hash, esto podría emplearse por atacantes para consumir
todos los recursos de memoria disponibles y crear una condición de
denegación de servicio.

La vulnerabilidades se han confirmado en la versión 6.0.1 para
Windows usando IE6 y en la 7.0.8 para Windows con Firefox 2.0.0.1, no
se descarta que pueda afectar a otras versiones del software.

Se recomienda actualizar a la versión 8.0.0:
http://www.adobe.com/products/acrobat/readstep2.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Adobe Acrobat Reader Plugin Cross Site Scripting and Command Execution Vulnerabilities
http://www.frsirt.com/english/advisories/2007/0032

Adobe Acrobat Reader Plugin - Multiple Vulnerabilities
http://www.wisec.it/vulns.php?page=9

miércoles, 3 de enero de 2007

Desbordamiento de búfer en VLC media player

Se ha anunciado una vulnerabilidad en el reproductor de archivos
multimedia VideoLAN VLC media player, que puede ser explotada por
usuarios maliciosos para comprometer un sistema con la aplicación
vulnerable.

La vulnerabilidad está provocada por un error de formato de cadenas
cuando se tratan URIs "udp://" y puede explotarse mediante un sitio
web especialmente creado o un archivo M3U con un URI udp://
específicamente manipulado que contenga especificadores de formato
de cadena como nombre de archivo.

La explotación exitosa puede permitir la ejecución de código
arbitrario. El problema afecta a las versiones VideoLAN VLC 0.8.6
y anteriores en plataformas Mac OS X y Windows.

Se encuentra disponible una corrección a través de SVN:
http://trac.videolan.org/vlc/changeset/18481


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

MOAB-02-01-2007: VLC Media Player udp:// Format String Vulnerability
http://projects.info-pull.com/moab/MOAB-02-01-2007.html

Changeset 18481
http://trac.videolan.org/vlc/changeset/18481

VideoLAN VLC "cdio_log_handler()" and "vcd_log_handler()" Format String Vulnerabilities
http://www.frsirt.com/english/advisories/2007/0026

martes, 2 de enero de 2007

Desbordamiento de búffer en Apple QuickTime 7 por problemas con archivos QTL

Se ha descubierto una vulnerabilidad en la versión 7 del QuickTime de
Apple relacionada con el tratamiento de archivos QTL con URLs RTSP. El
problema puede ser explotado por atacantes remotos para comprometer
sistemas afectados.

QuickTime player es un popular reproductor multimedia de Apple que
forma parte de la arquitectura multimedia estándar del mismo nombre.

Los archivos QTL (QuickTime Link) contienen información sobre el
contenido de medios a reproducir, además de información extra como
funcionalidades de accesibilidad, dimensiones recomendadas, etc.

RTSP (Real Time Streaming Protocol) es un protocolo para utilizar medios
en modo stream. Creado por la IETF y publicado en 1998 con la RFC 2326,
puede usarse para hablar con servidores como QuickTime Streaming Server.

La vulnerabilidad, confirmada en la versión 7.1.3.100 para Windows,
también afecta a la versión 7 para Mac OS X, y se debe a un error de
tratamiento de tamaños de variables a la hora de trabajar con URLs de
RTSP. Si se usa un archivo QTL (QuickTime Link) con un parámetro src
especialmente largo (más de 256 bytes), se provoca un desbordamiento
de búffer basado en stack, abriendo con ello la puerta a la ejecución
de código arbitrario en la máquina blanco del ataque.

A falta de parche oficial que solvente este problema, se recomienda
abstenerse de abrir archivos QTL que provengan de fuentes no confiables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

MOAB-01-01-2007: Apple Quicktime rtsp URL Handler Stack-based Buffer
Overflow
http://projects.info-pull.com/moab/MOAB-01-01-2007.html

Apple Quicktime
http://www.apple.com/es/quicktime/download

lunes, 1 de enero de 2007

Cross site scripting a través de get_file_description en WordPress 2.0.5

Se ha anunciado una vulnerabilidad en WordPress, que podría emplearse
para provocar ataques de cross site scripting.

WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP
y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo
licencia GPL. WordPress es uno de los gestores de blogs más extendido
en la blogosfera.

El problema se debe a un error de validación de entradas en la función
"get_file_description()" cuando se llama a través del script
"wp-admin/templates.php", lo que podría ser empleado para ejecutar
código script arbitrario en el navegador del usuario bajo el contexto
de seguridad del sitio web afectado.

El problema será corregido en la versión 2.0.6 de WordPress, pero se ha
publicado una actualización para la versión 2.0.5 disponible por CVS:
http://trac.wordpress.org/changeset/4665


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

WordPress "get_file_description()" Function Client-Side Cross Site Scripting Vulnerability
http://www.frsirt.com/english/advisories/2006/5191

WordPress Persistent XSS
http://michaeldaw.org/md-hacks/wordpress-persistent-xss/