lunes, 30 de abril de 2007

El malware se duplica en el primer trimestre de 2007

Sophos ha publicado un informe con interesantes conclusiones sobre la evolución del malware en los últimos tiempos. Del informe se extrae que el número de nuevas amenazas se han multiplicado por dos en el último año, y que la web se vuelve el primer vector de ataque para intentar infectar a las víctimas. Desde VirusTotal.com y de forma independiente, podemos llegar a conclusiones muy parecidas.

Según Sophos, en el primer trimestre de 2007 se han identificado casi 24.000 nuevas amenazas (malware). La misma compañía encontró casi 10.000 en el mismo periodo de 2006.

La empresa también advierte de que la infección a través de web está facilitando este crecimiento. Los usuarios están cada vez más concienciados con respecto a la seguridad de su correo, y las técnicas de prevención son más eficaces. Sin embargo, a través del navegador se suelen todavía cometer graves negligencias que permiten la infección transparente de las víctimas.

No en vano, desde enero a marzo de 2007 se llegaron a encontrar una media de 5.000 nuevas páginas al día capaces de infectar. Estas webs suelen ser en su mayoría (un 70%) páginas legítimas comprometidas (los delincuentes han tomado el control) y se utilizan para alojar el malware a la espera de que las víctimas lo descarguen y ejecuten o que se carguen de forma silenciosa en el cliente aprovechando alguna vulnerabilidad.

Esto da una idea, además, de lo precario de la seguridad en los servidores web y las aplicaciones que se ejecutan en ellos. Un 40% de estas páginas se encuentran en servidores localizados en China, y casi un 30% en Estados Unidos de América. Esta subida del malware distribuido por web va acompañada de una bajada en el sistema de infección "tradicional": la distribución y presencia de malware por correo electrónico bajó de un 1.3% de todo el correo a un 0.4% en el primer trimestre de 2007.

Desde VirusTotal.com podemos apoyar estas cifras. Salvando las distancias con el estudio que haya podido realizar Sophos, en nuestro servicio gratuito hemos acusado una subida exponencial del número de muestras recibidas, mientras el ratio de archivos infectados se mantiene.

En concreto, a principios de 2006 se recibía en VirusTotal.com una media de 20.000 muestras a la semana. Un año después, la cifra se dispara: estamos recibiendo 15.000 muestras al día con picos de 20.000 diarias puntualmente. Lo preocupante es que aunque esta cifra haya aumentado significativamente, el 30% de toda esa cantidad de muestras recibidas siguen siendo desde hace mucho tiempo, troyanos destinados a tener el control del sistema o robar información sensible (bancaria, contraseñas...).


Sergio de los Santos
ssantos@hispasec.com


Más información:

Malware doubles as hackers turn to web: report
http://www.cbc.ca/technology/story/2007/04/25/tech-malware.html

domingo, 29 de abril de 2007

Denegación remota de servicio a través de Ipv6 en el kernel 2.6.x de Linux

Se ha encontrado una vulnerabilidad en el kernel de linux que puede ser aprovechada por atacantes remotos para provocar una denegación de servicio.

El fallo se debe a un error de diseño en el protocolo Ipv6 a la hora de manejar cabeceras de ruta de tipo 0. Esto podría ser aprovechado por atacantes remotos para provocar una denegación de servicio si se envían paquetes especialmente manipulados.

El problema ha sido solucionado en la versión 2.6.20.9 disponible
desde:
http://www.kernel.org


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux Kernel IPv6 Protocol Type 0 Route Header Remote Denial of Service Vulnerability
http://www.frsirt.com/english/advisories/2007/1563

sábado, 28 de abril de 2007

Tres vulnerabilidades en Routers Nortel VPN

Se han descubierto tres vulnerabilidades en Routers Nortel VPN (modelos 1000, 2000, 4000 y 5000.) que podrían ser aprovechadas por un atacante para eludir restricciones de seguridad y obtener acceso a información importante.

La primera vulnerabilidad se debe a la existencia de dos usuarios configurados por defecto, FIPSecryptedtest1219 y FIPSunecrypted1219 en la plantilla LDAP. Un atacante que tuviera esa información podría utilizarla para obtener acceso no autorizado a la red privada.

La segunda vulnerabilidad se debe a que en dos plantillas de la consola de administración web no existe comprobación de autenticación. Un atacante podría manipular ciertas configuraciones en un aparato afectado por esta vulnerabilidad.

La tercera vulnerabilidad está causada por un error en el diseño. Todos los routers VPN utilizan la misma clave DES para cifrar las contraseñas. Un atacante podría aprovechar esto para intentar un ataque por fuerza bruta.

Nortel ha publicado parches de seguridad para solucionar estas vulnerabilidad. Se recomienda actualizar a la versión 6_05.140, 5_05.304 o 5_05.149:
http://www130.nortelnetworks.com/go/main.jsp?cscat=SUPPORT


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

VPN Router Security Issue - Unauthorized Remote Access
http://www116.nortelnetworks.com/pub/repository/CLARIFY/DOCUMENT/2007/16/022181-01.pdf

viernes, 27 de abril de 2007

Ejecución de código a través de productos Zone Alarm

Se han detectado varias vulnerabilidades en productos Check Point Zone Alarm que podrían ser aprovechadas por atacantes, para comprometer un sistema vulnerable.

El fallo está localizado en los IOCTL handlers 0x22208F y 0x2220CF dentro del driver srescan.sys. Los parámetros Irp no son correctamente verificados, por lo que un atacante podría utilizar estos IOCTL para realizar una escritura en memoria. Para IOCTL 0x2220CF, el atacante podría introducir el valor constante 0x30000, mientras que para IOCTL 0x22208F podría escribir el contenido del buffer devuelto por ZwQuerySystemInformation.

Esta vulnerabilidad podría provocar:

* La ejecución de código dentro del contexto del kernel.
* Gracias a que los mecanismos de control de acceso configurados por defecto permiten que cuentas restringidas puedan acceder a los drivers del dispositivo afectado, un atacante podría conseguir una escalada de privilegios al nivel de SYSTEM.

Se ha confirmado la existencia de estas vulnerabilidades para la versión 5.0.63.0 de srescan.sys instalado con la versión Zone Alarm Free, pero no se descarta que otras versiones puedan estar también afectadas.

Se recomienda cambiar la configuración de los mecanismos de control de acceso así como actualizar a la versión 5.0.156.0 o superior de ZoneAlarm Spyware Removal Engine desde
http://www.zonealarm.com/store/content/catalog/download_buy.jsp?dc=12bms&ctry=US&lang=en


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

iDefense Labs:
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=517

Reversemode:
http://www.reversemode.com/index.php?option=com_remository&Itemid=2&func=fileinfo&id=48

jueves, 26 de abril de 2007

Credenciales por defecto en Cisco NetFlow Collection Engine

Cisco acaba de notificar la existencia de un problema de seguridad en el NetFlow Collection Engine (NFC) de los Cisco Network Services (CNS)
con versiones anteriores a la 6.0 que permitiría a un atacante realizar cambios de configuración o, en algunos casos, acceder al
sistema operativo que hospeda dicho software.

El problema se debe a que las versiones afectadas tienen usuarios y claves por defecto que, si son conocidas por un atacante, pueden ser
utilizadas para acceder a dicho NetFlow Collection Engine.

Se recomienda cambiar la clave del usuario nfc-user por una con suficiente robustez.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Default Passwords in NetFlow Collection Engine
http://www.cisco.com/warp/public/707/cisco-sa-20070425-nfc.shtml

miércoles, 25 de abril de 2007

Varias vulnerabilidades en Asterisk 1.x

Se han descubierto varias vulnerabilidades en Asterisk que podrían ser aprovechadas por un atacante para causar una denegación de servicios o comprometer un sistema vulnerable.

Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

La primera vulnerabilidad se debe a dos errores de límite en el parser T.38 SDP del canal SIP cuando procesa los parámetros SDP T38FaxRateManagement o T38FaxUdpEC en la función process_sdp() en Chan_sip.c. Para que un atacante pudiera aprovechar esta vulnerabilidad, la configuración de t38_udptl debería estar en Yes. Esta vulnerabilidad afecta a la versión 1.4.x anteriores a 1.4.3

Otra vulnerabilidad se debe a un error en la deferencia de un puntero NULL en la autenticación de Asterisk Remote Management Interface. Un atacante podría aprovechar esto para provocar que el servicio dejase de funcionar. Para que un atacante pudiera aprovechar esta vulnerabilidad es necesario que la interfaz de administración esté habilitada y que exista un usuario sin contraseña configurado en manager.conf. Esta vulnerabilidad afecta a la versión 1.2.x anterior a la 1.2.18 y a la 1.4.x anterior a la 1.4.3.

Se recomienda la actualización a la versión 1.4.3 disponibles en:
ftp://ftp.digium.com/pub/telephony/asterisk


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Wikipedia: Asterisk
http://es.wikipedia.org/wiki/Asterisk

[asterisk-announce] ASA-2007-010: Two stack buffer overflows in SIP channel's T.38 SDP parsing code
http://lists.digium.com/pipermail/asterisk-announce/2007-April/000058.html

[asterisk-announce] ASA-2007-011: Multiple problems in SIP channel parser handling response codes
http://lists.digium.com/pipermail/asterisk-announce/2007-April/000059.html

[asterisk-announce] ASA-2007-012: Remote Crash Vulnerability in Manager Interface
http://lists.digium.com/pipermail/asterisk-announce/2007-April/000060.html

martes, 24 de abril de 2007

Actualización para Sun Java System Web Server 6.1

Se ha publicado una actualización para Sun Java System Web Server 6.1 que solventa una vulnerabilidad en los certificados de cliente. Esta vulnerabilidad podría permitir a un usuario local o remoto obtener acceso no autorizado a ciertas instancias del servidor web.

Cuando una instancia de un servidor seguro se configura como no root con el administrador del dominio, pero este está configurado para que se ejecute como root, esta vulnerabilidad podría permitir a un usuario con un certificado de cliente revocado acceder esa instancia bajo ciertas circunstancias, incluso si la lista de certificados revocados está presente para esa instancia.

Se recomienda actualizar a los siguientes parches o Service Pack. Según plataforma son:

SPARC
Sun Java System Web Server 6.1 Service Pack 7 o posterior
Sun Java System Web Server parche 6.1 116648-19 o posterior:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116648-19-1

x86
Sun Java System Web Server 6.1 Service Pack 7 o posterior.
Sun Java System Web Server 6.1 parche 116649-19 o posterior:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-116649-19-1

Linux
Sun Java System Web Server 6.1 Service Pack 7 o posterior.
Sun Java System Web Server 6.1 parche 118202-11 o posterior:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-118202-11-1

AIX
Sun Java System Web Server 6.1 Service Pack 7 o posterior.

HP-UX
Sun Java System Web Server 6.1 Service Pack 7 o posterior.

Sun Java System Web Server 6.1 Service Pack 7 está disponible en:
http://www.sun.com/download/products.xml?id=45c90ca9


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Sun Java System Web Server May Allow A User with Revoked Client Certificate to Access Server Instance Under Certain Conditions
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102822-1

lunes, 23 de abril de 2007

Una vulnerabilidad en Safari puede reportar hasta 20.000 dólares

En el contexto de la conferencia CanSecWest 2007, celebrada en Canadá, se realizó el concurso “Hack a Mac”, en el que se premiaba con el propio MacBook a quien fuese capaz de comprometerlo de forma remota con privilegios de root. Tras relajar las reglas para facilitar que alguien consiguiese el premio y aumentar el incentivo, los ganadores han obtenido no sólo el Mac, sino 10.000 dólares. Planean ganar otros 10.000 a través de otras iniciativas privadas.

Shane Macaulay y Dino Dai Zovi consiguieron ejecutar código a través de Safari con privilegios del usuario que lanzase el navegador. En principio las reglas del concurso eran más estrictas: se pretendía que alguien ejecutase código con privilegios de root de forma remota sin necesidad de actividad alguna por parte del "atacado". Nadie fue capaz de conseguirlo en el tiempo estipulado, así que se permitió que el ataque se perpetrara a través de cierta interactuación de la víctima (visitando páginas) y añadieron 10000 dólares de premio al incentivo inicial (que consistía en ganar la propia máquina comprometida, un MacBook con Mac OS X 10.4.9).

Los investigadores descubrieron y prepararon en cuestión de horas un exploit funcional a través de una página web manipulada. Al ser visitada por Safari, se ejecutó código y consiguieron el premio que se elevó a 10.000 dólares y el propio ordenador. Sin embargo quieren sacar más partido a la vulnerabilidad. No han ofrecido ningún detalle sobre el fallo y pretenden apuntarse al carro del pago por vulnerabilidad. En este caso, su intención es ganar otros 10.000 dólares a través de la Zero Day Initiative que premia el descubrimiento de nuevas vulnerabilidades si se ceden en exclusiva a TippingPoint (filial de 3com que lo organiza) los detalles de cómo aprovecharla.

Un trabajo de apenas unas horas (según los descubridores les llevó nueve horas todo el proceso, descubrimiento y programación de exploit incluido) podría reportar a sus descubridores un total de un MacBook y 20.000 dólares (unos 15.000 euros a día de hoy).

Shane Macaulay y Dino Dai Zovi demuestran así que si juegan bien sus cartas y mueven inteligentemente su fichas cuando disponen de un conocimiento exclusivo, una vulnerabilidad puede llegar a ser bastante lucrativa, y no sólo en cuestión de renombre y prestigio.

Y todo esto sin pasearse por el "lado oscuro" (el mercado de las mafias informáticas) donde, con bastante probabilidad, muchas vulnerabilidades alcanzan un precio superior.


Sergio de los Santos
ssantos@hispasec.com


Más información:

MacBook hacked in contest at security event
http://news.com.com/2100-7349_3-6178131.html?tag=2547-1_3-0-5

domingo, 22 de abril de 2007

Ejecución de código a través de WebAccess Agent en GroupWise de Novell

Se ha descubierto una vulnerabilidad para GroupWise de Novell que podría ser aprovechada para ejecutar código arbitrario en un sistema comprometido.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc.

El fallo está localizado en un desbordamiento de búfer producido por el WebAccess Agent. Cuando una solicitud de autenticación HTTP debidamente manipulada es dirigida a los puertos TCP 7205 o 7211, el proceso GWINTER.exe asociado a estos puertos no procesa adecuadamente la petición lo que provoca el desbordamiento.

Un atacante podría modificar los paquetes HTTP enviando solicitudes con una longitud mayor de 336 bytes. De esta forma se produciría un error en la llamada a la función base64_decode() que provocaría el desbordamiento de memoria y la posibilidad de ejecutar código arbitrario sin necesidad de estar autenticado en el sistema.

Novell recomienda actualizar a la versión 7.0 SP2 a través de:
GroupWise 7 SP2 Win/NLM Full US and MULTI 7.0.2:
http://download.novell.com/Download?buildid=8RF83go0nZg~
GroupWise 7 SP2 Linux US and MULTI 7.0.2:
http://download.novell.com/Download?buildid=O9ucpbS1bK0~


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Novell Groupwise WebAccess Base64 Decoding Stack Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-015.html

GroupWise 7 SP2 Win/NLM Full US and MULTI 7.0.2:
http://download.novell.com/Download?buildid=8RF83go0nZg~

GroupWise 7 SP2 Linux US and MULTI 7.0.2:
http://download.novell.com/Download?buildid=O9ucpbS1bK0~

sábado, 21 de abril de 2007

Vulnerabilidades en Sun Java Web Console 2.x y Sun Solaris 10

Se ha descubierto una vulnerabilidad de seguridad que permitiría a un atacante causar una denegación de servicios o la ejecución de código arbitrario en Sun Java Web Console anterior a la versión 2.2.6 y Sun Solaris 10.

La Sun Java Web Console es vulnerable a un formato de cadena concreto, cuya raíz reside en la creación de registros de logins erroneos, por lo que puede ser aprovechada por usuarios remotos no autentificados.

Esta vulnerabilidad se da cuanto se llama a la función libc syslog en /usr/lib/libwebconsole_services.so con dos argumentos, en lugar de tres, lo que permitiría a un atacante influir en el buffer de mensaje.

Como solución se propone actualizar Sun Java Web Console a la versión
2.2.6 o posteriores:
http://www.sun.com/download/products.xml?id=461d58be

Para Sun Solaris 10 se han publicado los siguientes parches:
SPARC:
*http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-121211-02-1
X86
*http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-121212-02-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the Sun Java Web Console May Allow Access to Privileged Data or Lead to Denial of Service
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102854-1

viernes, 20 de abril de 2007

Apple publica un parche de seguridad que soluciona 25 vulnerabilidades

Apple ha publicado una actualización que soluciona múltiples vulnerabilidades en Mac OS X que podrían ser aprovechadas por un atacante local o remoto para comprometer un sistema vulnerable.

Apple ha publicado un parche de seguridad que corrige hasta 25 errores distintos en su sistema operativo Mac OS X. Estas vulnerabilidades podrían ser aprovechadas por un atacante para provocar denegaciones de servicios, ejecutar comandos arbitrarios, acceder a información importante del sistema o para eludir restricciones de seguridad.

Esta es la cuarta gran actualización del año (con el código 2007-004). Los componentes y software afectados son muchos: AFP Client, CoreServices, sistema de ficheros UFS, Visor de ayuda, Libinfo, librería RPC, ftpd, fetchmail, la ventana de login (que podría ser eludida), sistema de ficheros en WebDAV, WebFoundation... entre muchos otros sobre los que apenas se han proporcionado detalles técnicos.

De las más graves resulta el fallo en AirPortDriver, que permite la ejecución de código con privilegios administrativos en eMac, iBook, iMac, PowerBook G3, PowerBook G4, o Power Mac G4 que vengan con una tarjeta AirPort.

La anterior actualización para Apple se publicó el día 13 de marzo y supuso el parcheo de 45 errores de seguridad en sus sistemas, muchos de ellos (al igual que en esta ocasión) dados a conocer durante el "mes de los fallos en Apple" que tuvo lugar el pasado mes de enero.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Security Update 2007-004 (10.3.9 Server) :
http://www.apple.com/support/downloads/securityupdate20070041039server.html

Security Update 2007-004 (10.3.9 Client) :
http://www.apple.com/support/downloads/securityupdate20070041039client.html

Security Update 2007-004 (PPC) :
http://www.apple.com/support/downloads/securityupdate2007004ppc.html

Security Update 2007-004 (Universal) :
http://www.apple.com/support/downloads/securityupdate2007004universal.html


Sergio de los Santos
ssantos@hispasec.com


Más información:

14/03/2007 Apple publica un parche de seguridad que soluciona 45
vulnerabilidades
http://www.hispasec.com/unaaldia/3063

About Security Update 2007-004
http://docs.info.apple.com/article.html?artnum=305391

jueves, 19 de abril de 2007

Múltiples vulnerabilidades en varios servicios de IBM Tivoli Monitoring

Se han identificado diversas vulnerabilidades en IBM Tivoli Monitoring que podrían permitir a un atacante la ejecución de código arbitrario en sistemas afectados.

Estas vulnerabilidades son causadas por un desbordamiento de buffer ocasionado al procesar cádenas con una longitud demasiado grande. Son varios los servicios que se ven afectados por este fallo: el Tivoli Universal Agent Primary (con puerto TCP de escucha 10110), el Monitoring Agent for Windows OS - Primary (con puerto TCP 6014)y el Tivoli Enterprise Portal Server (este con puerto TCP 14206).

Si un atacante enviara solicitudes muy extensas a cualquiera de estos servicios, se produciría un desbordamiento de pila durante la llamada a una función incluida en kde.dll, lo que posibilitaría la ejecución de código en el sistema sin necesidad de ser un usuario autentificado.

IBM recomienda actualizar a IBM Tivoli Monitoring versión 6.1.0 Fix
Pack 2 (6.1.0-TIV-ITM-FP0002)
ftp://ftp.software.ibm.com/software/tivoli_support/patches/patches_6.1.0/6.1.0-TIV-ITM-FP0002/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IBM Tivoli Monitoring Express Universal Agent Heap Overflow Vunlerability
http://www.zerodayinitiative.com/advisories/ZDI-07-018.html

IBM Tivoli Monitoring Version 6.1.0 Fix Pack 2 (6.1.0-TIV-ITM-FP0002)
http://www-1.ibm.com/support/docview.wss?uid=swg24012341

miércoles, 18 de abril de 2007

Grupo de parches de abril para diversos productos Oracle

Tal y como anunciamos recientemente Oracle ha publicado un conjunto de 36 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

La lista de productos afectados es la siguiente:
* Oracle Database 10g Release 1, versiones 10.1.0.4, 10.1.0.5
* Oracle9i Database Release 2, versiones 9.2.0.7, 9.2.0.8
* Oracle Secure Enterprise Search 10g Release 1, versión 10.1.6
* Oracle Application Server 10g Release 3 (10.1.3), versiones
10.1.3.0.0, 10.1.3.1.0, 10.1.3.2.0
* Oracle Application Server 10g Release 2 (10.1.2), versiones
10.1.2.0.1 - 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
* Oracle Application Server 10g (9.0.4), versión 9.0.4.3
* Oracle10g Collaboration Suite Release 1, versión 10.1.2
* Oracle E-Business Suite Release 11i, versiones 11.5.7 - 11.5.10 CU2
* Oracle E-Business Suite Release 12, versión 12.0.0
* Oracle Enterprise Manager 9i Release 2, versiones 9.2.0.7, 9.2.0.8
* Oracle Enterprise Manager 9i, versión 9.0.1.5
* Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.47, 8.48
* Oracle PeopleSoft Enterprise Human Capital Management versión 8.9
* JD Edwards EnterpriseOne Tools versión 8.96
* JD Edwards OneWorld Tools SP23
* Oracle9i Database Release 1, versiones 9.0.1.5, 9.0.1.5 FIPS
* Oracle9i Database Release 2, versiones 9.2.0.5
* Oracle Database 10g Release 2, versión 10.2.0.1

De las 36 correcciones:

* 13 afectan a Oracle Database. Además se publica una actualización para Oracle Enterprise Manager, otra para Oracle Workflow Cartridge, y otra para Ultra Search component. Dos de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Dos de ellas son aplicables a instalaciones de Oracle Database client.

* Una corrección para Oracle Enterprise Manager.

* Cinco vulnerabilidades de Oracle Application Server. Una de Oracle Workflow Cartridge y una de Oracle Secure Enterprise Search también afectan a Oracle Application Server. Dos de las cuales son aprovechables de forma remota sin necesidad de autenticación.

* Un parache para Oracle Collaboration Suite que no puede ser aprovechado de forma remota sin autenticación.

* 11 parches en Oracle E-Business Suite y Applications. Dos de ellas son aprovechables de forma remota sin autenticación.

* Un nuevo parche para Oracle Enterprise Manager, que podría ser aprovechable de forma remota sin autenticación.

* Dos nuevos parches para Oracle PeopleSoft Enterprise. Un nuevo parche para PeopleSoft Enterprise Human Capital Management, y un nuevo parche para JD Edwards EnterpriseOne y JD Edwards OneWorld Tools.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update - April 2007:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Critical Patch Update - April 2007 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=420060.1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Critical Patch Update - April 2007:
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Critical Patch Update - April 2007 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=420060.1

martes, 17 de abril de 2007

Detalles y evolución de la vulnerabilidad RPC/DNS de Microsoft Windows

La vulnerabilidad RPC/DNS en Microsoft Windows está dando que hablar por su gravedad y rápida evolución. El pasado día 13 de abril emitíamos un boletín con carácter de urgencia previendo el potencial alcance del problema. Las sospechas se han confirmado y hoy esta vulnerabilidad supone una seria amenaza en muchos entornos.

Microsoft confirmaba a través de una notificación oficial el día 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes "de forma muy limitada" según la propia compañía. El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Esto afectaría a un sistema sólo si mantiene un DNS (típicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos específicos. El ataque no sería posible exclusivamente a través de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administración remota de DNS (a través de RPC) para explotar la vulnerabilidad y ejecutar código. Microsoft proporcionó un método para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.

Aun así, varios factores se han añadido a la ecuación para convertir esta vulnerabilidad en un verdadero peligro. Típicamente un controlador de dominio en red interna es también el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar más relajadas. En ese caso, aunque no expuesto al exterior, el servidor podría quedar fácilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habría llegado al corazón de una red interna controlada por el directorio activo.

El día 15, metasploit descubrió un exploit público capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la función extractQuotedChar. Los ataques dejan de ser "limitados".

Además, aparece al poco tiempo un nuevo exploit (programado por Andrés Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitiría ejecutar código a través del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez más, este puerto no suele estar expuesto al exterior, pero mantiene e incluso agrava el problema en redes internas, donde estará abierto con casi toda seguridad. Este código también afecta a Windows 2003 con SP2.

Para colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar código, se conecta al dominio x.rofflewaffles.us y convierte a su víctima en zombie (parte de una botnet). La detección específica por parte de los antivirus es escasa todavía. Según el SANS, que ha usado VirusTotal para el análisis:

AhnLab-V3 2007.4.14.0 04.16.2007 Win32/IRCBot.worm.199680.I
AntiVir 7.3.1.52 04.16.2007 HEUR/Crypted
AVG 7.5.0.447 04.16.2007 Win32/CryptExe
DrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299
eSafe 7.0.15.0 04.16.2007 Suspicious Trojan/Worm
Fortinet 2.85.0.0 04.16.2007 suspicious
Kaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
Prevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen
Symantec 10 04.16.2007 W32.Rinbot.A
Webwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted

Sospechamos que esta vulnerabilidad provocará un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habría solución oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:

"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"

se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Monday update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/16/monday-update-on-microsoft-security-advisory-935964.aspx

Situation update on Microsoft Security Advisory 935964
http://blogs.technet.com/msrc/archive/2007/04/15/situation-update-on-microsoft-security-advisory.aspx

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code
Execution.
http://www.microsoft.com/technet/security/advisory/935964.mspx

New Rinbot scanning for port 1025 DNS/RPC
http://isc.sans.org/diary.php?storyid=2643&rss

DNS Vulnerability being Exploited in the Wild
http://www.symantec.com/enterprise/security_response/weblog/2007/04/dns_exploit_time_is_upon_us.html

lunes, 16 de abril de 2007

Escalada de privilegios a través de ficheros no especificados en Adobe ColdFusion MX 7.x

Se ha anunciado la existencia de una vulnerabilidad en Adobe ColdFusion MX 7, que podría ser empleada por atacantes locales para conseguir elevar sus privilegios en el sistema.

El problema reside en la aplicación de permisos inseguros a determinados archivos y directorios. Un atacante local podría emplearlo para elevar sus privilegios en el siguiente reinicio de ColdFusion al reemplazar o editar los archivos afectados.

Se recomienda la consulta del boletín de seguridad de Adobe, disponible en:
http://www.adobe.com/support/security/bulletins/apsb07-08.html
Donde se indica la actualización que se ha publicado para corregir el problema así como la lista de archivos y directorios sobre los que debe aplicarse un cambio de los permisos de forma manual.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Workaround available for Linux and Solaris ColdFusion MX 7 file permissions vulnerability
http://www.adobe.com/support/security/bulletins/apsb07-08.html

domingo, 15 de abril de 2007

Hispasec participará en la gira de seguridad "Protección de Infraestructuras"

Durante el mes de abril y mayo de 2007 se desarrollará la Gira de Seguridad 2007. Desde hace ya varios años esta gira de seguridad viene siendo realizada al amparo del programa de difusión de tecnología de Microsoft conocido como Technet.

Este programa fomenta la divulgación tecnológica desde diferentes formatos como son los Webcasts que se realizan a través de Internet, los Virtual Labs, (entornos de prueba accesibles para todos los que deseen probar un laboratorio desde su lugar de trabajo), la documentación escrita o los Hands On Lab. En estos últimos se cuenta con un instructor que acompaña a la sesión o los eventos presenciales, como es el caso de esta gira.

Este año contará con la presencia de cuatro empresas que aportarán conocimientos y tecnologías en materia de seguridad: GFI Hispana, Informática64, Microsoft Technet y la propia Hispasec Sistemas. En los eventos participarán ponentes como José Parada (Microsoft IT Evangelist), Victor M. de Diego (Consultor de Seguridad de la empresa GFI), Sergio de los Santos de Hispasec Sistemas y Chema Alonso, (Microsoft MVP Windows Security) de Informática64.

El calendario de los eventos será el siguiente:

* 25 de abril de 2007 en Valladolid
* 26 de abril de 2007 en Bilbao
* 7 de mayo de 2007 en Zaragoza
* 8 de mayo de 2007 en Pamplona
* 10 de mayo de 2007 en Valencia
* 11 de mayo de 2007 en Murcia
* 17 de mayo de 2007 en León

Para asistir es necesario registrarse en el siguiente enlace:
http://www.informatica64.com/Proteccioninfraestructuras/inicio.html

La gira tendrá una continuación en el "Microsoft Security & Management Day", el evento más importante a nivel nacional de Seguridad por parte de Microsoft. Este año participarán Hispasec e Informática64 y tendrá lugar el día 22 y 24 de mayo en Barcelona y Madrid respectivamente.

Toda la gira va a ser cubierta por PCWorld, publicación técnica en la que escriben mensualmente profesionales como Ricardo Varela (Ingeniero de Software de Google en el área de movilidad), Daniel Matey, Microsoft MVP Managment o Gonzalo Álvarez Marañón. Se regalará a cada asistente a las conferencias la revista correspondiente al mes en curso y una suscripción con el 40 % de descuento a los asistentes a algún evento. Para los que además estén suscritos a los boletines de noticias Microsoft Technet Flash, Hispasec "una-al-día" e Informática64 Technews, este descuento será de un 50 %.

Chema Alonso
chema@informatica64.com




Más información:

Technet Flash:
http://www.microsoft.com/spain/technet/boletines/default.mspx

Virtual Labs:
http://www.microsoft.com/spain/technet/formacion/virtuallab/default.mspx

Hands On Lab:
http://www.microsoft.es/HOLSistemas

Webcasts:
http://www.microsoft.com/spain/technet/jornadas/webcasts/default.mspx

PCWorld Profesional:
http://www.pcworld.es

GFI Hispana:
http://www.gfihispana.es

Informática64 Technews:
http://www.informatica64.com/boletines.html

sábado, 14 de abril de 2007

Múltiples vulnerabilidades en Cisco Wireless LAN Controller y Cisco Lightweight Access Points

Se han encontrado múltiples vulnerabilidades en Cisco Wireless LAN Controller y Cisco Lightweight Access Points.

* WLC utiliza cadenas de comunidad SNMP por defecto conocidas.

* WLC puede dejar de responder ante tráfico Ethernet especialmente manipulado.

* Múltiples vulnerabilidades en Network Processing Unit (NPU) permiten a atacantes no autenticados provocar denegaciones de servicio a través de paquetes SNAP y tráfico 802.11 especialmente manipulado.

* Contraseña por defecto en Cisco Aironet 1000 Series y 1500 Series permite a un atacante acceder al sistema si tiene acceso físico al dispositivo.

* Existe un problema en la comprobación de checksum que hace que las ACL no se mantengan tras un reinicio.

Hardware Vulnerable:
*Wireless LAN Controllers
*Cisco 4400 Series Wireless LAN Controllers
*Cisco 2100 Series Wireless LAN Controllers
*Cisco Wireless LAN Controller Module
*Wireless Integrated Switches and Routers
*Cisco Catalyst 6500 Series Wireless Services Module (WiSM)
*Cisco Catalyst 3750 Series Integrated Wireless LAN Controllers
*Cisco Wireless LAN Controller Module
*Cisco Aironet Access Points
*Cisco Aironet 1000 Series
*Cisco Aironet 1500 Series

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Dada la diversidad de dispositivos y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a008081e189.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in the Cisco
Wireless LAN Controller and Cisco Lightweight Access Points
http://www.cisco.com/warp/public/707/cisco-sa-20070412-wlc.shtml

viernes, 13 de abril de 2007

Ejecución de código arbitrario a través de RPC en servidor DNS de Microsoft Windows

Este es un boletín con carácter de urgencia debido a la gravedad del fallo. Se ha encontrado una vulnerabilidad en el sistema DNS de Microsoft Windows que puede ser aprovechada por atacantes remotos para ejecutar código en el sistema.

El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas enviadas a un puerto entre el 1024 y 5000. Esto puede ser aprovechado por usuarios no autenticados para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Sólo se ven afectados los sistemas que ejecuten este servicio (DNS), que suele ser la gama "server" de Microsoft. Desde algunas fuentes afirman que ya se están produciendo ataques intentando aprovechar el fallo.

Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters"
se debe añadir un valor DWORD llamado "RpcProtocol" con el valor 4.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Advisory (935964)
http://www.microsoft.com/technet/security/advisory/935964.mspx

jueves, 12 de abril de 2007

Oracle publicará parches para 37 problemas de seguridad el próximo 17 de abril

Oracle ha anunciado que en su ciclo habitual trimestral de publicación de parches, el próximo 17 de abril se corregirán 37 problemas de seguridad en sus productos.

Para la próxima CPU (Critical Patch Update) de Oracle, se solucionarán 37 problemas de seguridad en total. 13 de estos parches estarán destinados a corregir fallos en Oracle Database, producto "estrella" de la compañía. Dos para Oracle Enterprise Manager. Uno para Oracle Workflow Cartridge y otro para el componente Ultra Search (incrustado en Oracle Database).

De estos fallos mencionados, tres de ellos son especialmente graves, pues no necesitarán autenticación para ser aprovechados. Dos estarán destinados a instalaciones cliente de Oracle Database. Además, 11 serán para Oracle E-Business Suite, 5 para Oracle Application Server y el resto para PeopleSoft y las herramientas JD Edwards Enterprise.

A pesar de ser un número abultado, 37 parches de seguridad en Oracle suponen una drástica reducción en el número de problemas a los que se enfrenta Oracle habitualmente de forma trimestral. Por ejemplo, en su ciclo anterior de enero se anunciaron algo más de 50 parches. En octubre, publicaron más de 100 fallos.

Esta es la segunda vez que Oracle anuncia con antelación algunos detalles de lo que publicarán el día de parcheo. Decidió tomar esta estrategia (en clara analogía con la que sigue Microsoft) en enero de 2007. Esto supuso un paso más en su nueva apuesta por mejorar la estrategia de seguridad de la empresa. Un primer acercamiento fue el unificar los parches de forma mensual, luego trimestral, más tarde incluir más y mejor información en sus boletines y por último anunciar con cierta antelación detalles sobre lo que será publicado el día que se liberen las actualizaciones. Aun así, Oracle necesitará de mucho tiempo para limpiar una imagen muy deteriorada con respecto a la seguridad.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Oracle Critical Patch Update Pre-Release Announcement - April 2007
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Oracle Update to Fix 37 Security Flaws
http://www.eweek.com/article2/0,1759,2113043,00.asp

miércoles, 11 de abril de 2007

Cinco boletines de seguridad de Microsoft en abril

Tal y como adelantamos, este martes Microsoft ha publicado cinco boletines de seguridad (MS07-018 al MS07-022) dentro de su ciclo habitual de actualizaciones. Esta ha sido la segunda actualización del mes, después de que el día 3 de abril se publicara el parche de emergencia para la vulnerabilidad en ficheros ANI dentro del boletín MS07-017.

Según la propia clasificación de Microsoft cuatro de los nuevos boletines presentan un nivel de gravedad "crítico", mientras que un último recibe la calificación de "importante".

* MS07-018: Evita dos vulnerabilidades en Microsoft Content Management Server que podrían permitir la ejecución remota de código.Está calificado como "crítico".

* MS07-019: Se trata de una actualización para evitar una vulnerabilidad en el servicio Universal Plug and Play de Microsoft que podría permitir a un atacante ejecutar código arbitrario. Afecta a Windows XP y está calificado como "crítico".

* MS07-020: Esta actualización resuelve vulnerabilidad en Microsoft Agent que podría permitir la ejecución remota de código y obtener completo control del sistema. Según la calificación de Microsoft está calificado como "crítico". Afecta a Windows 2000, Windows XP y Windows Server 2003. El problema reside en la forma en la que Microsoft Agent trata URLs especialmente manipuladas.

* MS07-021: Esta actualización resuelve tres vulnerabilidades en el CSRSS (Client/Server Run-time Subsystem) que pueden permitir a un atacante ejecutar código arbitrario. Recibe una calificación de "crítico". Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS07-022: Se trata de una actualización para una vulnerabilidad en el kernel de Microsoft Windows que podría permitir a un atacante local elevar sus privilegios en el sistema. Afecta a Windows 2000, Windows XP y Windows Server 2003 y recibe el nivel de "importante".

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades, incluida la previamente publicada de los cursores animados (y su alta propagación de código malicioso para explotarla), se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de abril de 2007
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-apr.mspx

Boletín de Seguridad de Microsoft MS07-018
Vulnerabilidades en Microsoft Content Management Server podrían permitir la ejecución remota de código (925939)
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-018.mspx

Boletín de Seguridad de Microsoft MS07-019
Una vulnerabilidad de Plug and Play universal podría permitir la ejecución remota de código (931261)
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-019.mspx

Boletín de Seguridad de Microsoft MS07-020
Una vulnerabilidad en Microsoft Agent podría permitir la ejecución remota de código (932168)
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-020.mspx

Boletín de Seguridad de Microsoft MS07-021
Vulnerabilidades en CSRSS podrían permitir la ejecución remota de código (930178)
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-021.mspx

Boletín de Seguridad de Microsoft MS07-022
Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (931784)
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-022.mspx

martes, 10 de abril de 2007

Análisis de la vulnerabilidad en ficheros ANI de Microsoft

Hispasec publica un documento técnico que analiza la vulnerabilidad en ficheros ANI. El error en la carga de punteros animados ha provocado una oleada de malware que aprovecha la vulnerabilidad, y Microsoft se ha visto obligada a publicar un parche fuera de su ciclo habitual de los segundos martes de cada mes.

En Hispasec, hemos analizado en un documento técnico (white paper) las causas de la vulnerabilidad de punteros animados y cómo la aprovecha el malware para conseguir la ejecución de código. Además, en el documento que hemos creado, se puede observar el número de muestras víricas recibidas en VirusTotal que intentan aprovechar la vulnerabilidad. En 14 días, se han recibido más de mil muestras únicas (según hash MD5). Esto implica una media de tres nuevas muestras (o variantes) creadas cada hora durante las últimas dos semanas. Esta cifra solo incluye lo recibido en VirusTotal, sin duda el número real que circula en Internet es mucho mayor.

Además, hemos preparado una prueba de concepto que aprovecha la vulnerabilidad y permite la descarga y ejecución de código con sólo visitar una página web. El archivo de prueba que hemos preparado se descarga en el "documents and settings" del usuario, con nombres aleatorios compuestos por una sola letra (con el formato X.exe). El programa descargado es una aplicación inofensiva alojada en nuestros servidores, que simula que la pantalla se derrite. Cuando se cierra esta aplicación, el proceso explorer.exe puede ser reiniciado, sin causar perjuicio alguno en el sistema. Después de realizar la prueba, si se es vulnerable, se recomienda borrar el archivo descargado (situado habitualmente en c:\documents and settings\usuario). Algunos antivirus detectarán la página que aprovecha la vulnerabilidad como troyano, y el programa como "joke", o broma, pero insistimos en lo inocuo de la prueba de concepto y el programa.

Si se es vulnerable y el programa llega a ejecutarse, se recomienda encarecidamente actualizar el sistema con el boletín MS07-017 desde Windows Update o directamente desde la URL

http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

Con esta prueba de concepto, se pretende demostrar lo grave de la vulnerabilidad. En lugar de una aplicación inofensiva, que insistimos algunos antivirus pueden detectar como "joke" (broma), un atacante podría utilizar una página web, o un mensaje con formato HTML, para distribuir virus, gusanos o troyanos que infectarían de forma automática y transparente al usuario. Teniendo en cuenta los datos recibidos en VirusTotal, la vulnerabilidad a día de hoy sigue siendo aprovechada por una gran cantidad de malware que circula por la red y no todos los antivirus son capaces de detectar todas las muestras creadas. La solución más práctica pasa por actualizar el sistema con los últimos parches.

Los enlaces directos a la descarga de los documentos (en castellano e inglés) son:

http://www.hispasec.com/laboratorio/vulnerabilidad_ani.pdf
http://www.hispasec.com/laboratorio/vulnerabilidad_ani_en.pdf

La prueba de concepto está alojada en: (ATENCIÓN: Si se visita con Microsoft Windows e Internet Explorer sin el parche MS07-017, descargará y ejecutará una aplicación que simula que la pantalla se derrite. Es posible que después de esto el proceso explorer.exe se reinicie):
http://blog.hispasec.com/laboratorio/recursos/ani/exploit.html

Para aquellos lectores que ya hayan actualizado su sistema y no sean vulnerables, pueden visualizar un vídeo en el que se muestra el efecto del exploit en:
http://www.hispasec.com/laboratorio/video_ani.htm


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin MS07-017
Vulnerabilities in GDI Could Allow Remote Code Execution (925902)
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

lunes, 9 de abril de 2007

Diversas vulnerabilidades en Kerberos

Se han descubierto diversas vulnerabilidades en krb5 que pueden permitir a un atacante remoto

Se ha encontrado un fallo en la forma en la que se manejan los nombres de usuario en el demonio telnet de MIT krb5. Un atacante remoto podría tener acceso de root sin necesidad de contraseña.

También existen encontrado desbordamientos de memoria intermedia en KDC y kadmin server daemon.

Y por último se ha encontrado un fallo de "double-free" en la librería GSSAPI, que puede permitir la ejecución de código arbitrario.

Se han publicado parches (en código fuente) para la corrección de estos problemas, disponibles desde las direcciones:
http://web.mit.edu/kerberos/advisories/2007-003-patch.txt
http://web.mit.edu/kerberos/advisories/2007-002-patch.txt
http://web.mit.edu/kerberos/advisories/2007-001-patch.txt
Las distribuciones Linux más populares ya han publicado paquetes que incluyen estas actualizaciones.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

MITKRB5-SA-2007-003
double-free vulnerability in kadmind (via GSS-API library)
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-003.txt

MITKRB5-SA-2007-002
KDC, kadmind stack overflow in krb5_klog_syslog
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-002-syslog.txt

MITKRB5-SA-2007-001
telnetd allows login as arbitrary user
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-001-telnetd.txt

Critical: krb5 security update
http://rhn.redhat.com/errata/RHSA-2007-0095.html

[ MDKSA-2007:077 ] - Updated krb5 packages fix vulnerabilities
http://archives.mandrivalinux.com/security-announce/2007-04/msg00005.php

Ubuntu Security Notice USN-449-1. krb5 vulnerabilities
http://www.ubuntu.com/usn/usn-449-1

[SECURITY] [DSA 1276-1] New krb5 packages fix several vulnerabilities
http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00032.html

MIT Kerberos 5: Arbitrary remote code execution
http://www.gentoo.org/security/en/glsa/glsa-200704-02.xml

domingo, 8 de abril de 2007

Microsoft publicará cinco boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cinco boletines de seguridad, cuatro dedicados a su sistema operativo Windows, y uno a Microsoft Content Management Server.

Si en marzo no se publicaron boletines de seguridad (quizás por la proximidad con el cambio horario, y para evitar una posible interacción con el parche correspondiente), este mes Microsoft prevé publicar cinco actualizaciones el día 10 de abril. Esta sería la segunda actualización del mes, después de que el día 3 de abril se publicara el parche de emergencia para la vulnerabilidad en ficheros ANI dentro del boletín MS07-017.

Del grupo de cuatro boletines para el sistema operativo, alguno alcanza el rango de crítico en su gravedad. También el dedicado al Microsoft Content Management Server. Adicionalmente se publicarán varias actualizaciones de alta prioridad no relacionadas con la seguridad, distribuidas a través de Microsoft Update, SUS, WSUS y Windows Update.

Parece finalmente que la carencia de boletines en marzo no ha "engordado" tanto como se esperaba el número de boletines de seguridad de abril. Cinco boletines (más el MS07-017, que aunque publicado antes de tiempo estaba destinado a hacerse público junto con el resto el día 10) no son demasiados según la media de los últimos tiempos. Recordemos, sin embargo, que cinco boletines no suponen necesariamente la existencia de cinco vulnerabilidades, sino que un boletín suele agrupar una misma solución para varios errores de seguridad.

Extraña, además, que no se hayan notificado actualizaciones de seguridad para Office, pues todavía queda pendiente una solución para un grave problema de seguridad descubierto el 15 de febrero en Office y que permitía la ejecución de código a través de ficheros Word. Este no es el único problema en Office que queda por resolver, pero sí de los más graves, pues está siendo aprovechado por atacantes activamente.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.



Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/bulletin/advance.mspx

sábado, 7 de abril de 2007

Ejecución de código arbitrario en Yahoo Messenger 8

Se ha identificado un fallo en en Yahoo Messenger que puede ser aprovechado por atacantes para ejecutar código arbitrario en el sistema de la víctima.

El fallo se debe a un desbordamiento de memoria intermedia en el control ActiveX AudioConf en la librería yacsom.dll a la hora de procesar argumentos muy largos que se le pasen el método createAndJoinConference. Esto puede ser aprovechado por atacantes remotos para ejecutar código arbitrario si una víctima visita una página especialmente manipulada.

Se recomienda actualizar a la última versión desde:
http://messenger.yahoo.com


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Yahoo! Messenger AudioConf ActiveX Control Buffer Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-012.html

viernes, 6 de abril de 2007

Denegación de servicio en Windows Vista por problema en driver ATI Radeon

Se ha descubierto un problema en Microsoft Windows Vista que puede ser explotado por usuarios locales maliciosos para provocar denegaciones de servicio.

El problema se debe a un error no especificado en el driver de modo kernel de ATI Radeon (atikmdag.sys) en ciertas configuraciones de sistema. Esto puede ser utilizado por un atacante para provocar el cese de la ejecución del sistema al realizar acciones como permitir la funcionalidad slideshow en ciertos directorios o al cargar o salir de ciertos juegos.

A falta de parche oficial, se recomienda no utilizar la funcionalidad slideshow o simplemente utilizar un driver diferente.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Windows Vista ATI Radeon Kernel Mode Driver Denial of Service Vulnerability
http://www.frsirt.com/english/advisories/2007/1160

jueves, 5 de abril de 2007

El boletín MS07-017 de Microsoft soluciona varios problemas de seguridad

El boletín de actualización MS07-017 de Microsoft, publicado fuera del ciclo habitual, soluciona hasta siete problemas de seguridad en motor GDI (Graphics Device Interface) de Windows. Además, y como impulsor de la publicación temprana, corrige el grave fallo en el tratamiento de cursores animados.

Microsoft ha aprovechado para corregir en este boletín varios fallos en su sistema gráfico. El parche correspondiente al boletín MS07-017 corrige estas vulnerabilidades:

* Un fallo que se debe a un manejo incorrecto de la memoria reservada para el kernel de Windows por el Windows Graphics Rendering Engine a la hora de procesar ficheros WMF y EMF. Esto podría ser aprovechado para ejecutar código con privilegios elevados.

* Un fallo debido a un error de desbordamiento de memoria en pila a la hora de manejar cursores mal formados. Esto podría ser aprovechado para ejecutar código arbitrario.

* Un fallo a la hora de procesar datos en imágenes WMF puede permitir a atacantes realizar una denegación de servicio.

* Existe un desbordamiento de memoria intermedia en GDI a la hora de interpretar imágenes en formato EMF. Esto podría ser aprovechado por atacantes para ejecutar código arbitrario con privilegios elevados.

* Un fallo en GDI (Graphics Device Interface) a la hora de procesar tamaños de ventanas puede ser aprovechado por atacantes locales para elevar privilegios.

* Un fallo de desbordamiento de memoria intermedia en GDI (Graphics Device Interface) a la hora de manejar parámetros relacionados con el color leídos por ciertos tipos de imágenes, podría ser aprovechado por atacantes para ejecutar código arbitrario con privilegios elevados.

* Un fallo en TrueType Font Rasterizer cuando llama a un puntero a una función no inicializada a la hora de procesar fuentes modificadas, puede ser aprovechado por atacantes para elevar privilegios.

Es posible que a partir de la publicación del parche para otros fallos hasta ahora no públicos, aparezcan nuevas amenazas en forma de exploits que aprovechen estas vulnerabilidades. Se recomienda aplicar el parche de inmediato para los sistemas afectados.

Las actualizaciones están disponibles en las siguientes direcciones o a través de Windows Update:

Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=92F20599-3E7B-4217-91E6-FDCFB4C56856&displaylang=es

Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F82EA184-945F-4B78-9463-10AC20A75020&displaylang=es

Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EA5E1B87-4DB5-4B1A-891E-29C6BD6C0184&displaylang=es

Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EA5E1B87-4DB5-4B1A-891E-29C6BD6C0184&displaylang=es

Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9F73A782-DEAF-46E0-B3E0-79042FF39979&displaylang=es

Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9F73A782-DEAF-46E0-B3E0-79042FF39979&displaylang=es

Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9F73A782-DEAF-46E0-B3E0-79042FF39979&displaylang=es

Windows Server 2003 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7BA63879-4FC7-4A5C-B9B5-F98C5CDC6840&displaylang=es

Windows Server 2003 con SP1 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7BA63879-4FC7-4A5C-B9B5-F98C5CDC6840&displaylang=es

Windows Server 2003 con SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7BA63879-4FC7-4A5C-B9B5-F98C5CDC6840&displaylang=es

Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3276DD11-4E2F-4183-A542-82AC3C6D9754&displaylang=es

Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3276DD11-4E2F-4183-A542-82AC3C6D9754&displaylang=es

Windows Vista:
http://www.microsoft.com/downloads/details.aspx?FamilyId=D8B0E65C-5B41-46EB-92DF-0B062CFCDEEC&displaylang=es

Windows Vista x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=FB0FF2B5-05FE-4158-B4B7-DA0D7F82C04B&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Advisory (935423)
Vulnerability in Windows Animated Cursor Handling
http://www.microsoft.com/technet/security/advisory/935423.mspx

Vulnerabilities in GDI Could Allow Remote Code Execution (925902)
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

miércoles, 4 de abril de 2007

Nuevos contenidos en CriptoRed (marzo de 2007)

Breve resumen de las novedades producidas durante el mes de marzo de 2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.
1. DOCUMENTOS NUEVOS PARA SU DESCARGA EN MARZO (por orden alfabético)

* Administrando la confidencialidad de la información: algunas consideraciones sobre el saneamiento de medios de almacenamiento
http://www.criptored.upm.es/guiateoria/gt_m142z.htm

* CobiT y Val IT (Conferencia)
http://www.criptored.upm.es/guiateoria/gt_m629a.htm

* Criptografia 30 Años Después
http://www.criptored.upm.es/guiateoria/gt_m001m.htm

* ISG Information Security Governance (Conferencia)
http://www.criptored.upm.es/guiateoria/gt_m404a.htm

* ISO 27001 e ISO 27004
http://www.criptored.upm.es/guiateoria/gt_m292j.htm

* Riesgos EM en los Entornos de Trabajo (Conferencia)
http://www.criptored.upm.es/guiateoria/gt_m630a.htm

* Test de Intrusión (Conferencia)
http://www.criptored.upm.es/guiateoria/gt_m638a.htm

* Una Introducción a los Indicadores y Cuadros de Mando de Seguridad para el Apoyo a la Dirección Estratégica de TI
http://www.criptored.upm.es/guiateoria/gt_m531b.htm

2. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES (por orden alfabético)

* Glosario y Abreviaturas de Seguridad en las TIC del CERT Centro Criptológico Nacional (España)
https://www.ccn-cert.cni.es/guia_401/

* Trabajos Publicados en Revista 2 del Grupo de Estudios en Comercio Electrónico GECTI (Colombia)
http://gecti.uniandes.edu.co/revista2.htm

3. SOFTWARE NUEVO PARA SU DESCARGA EN MARZO

* Versión 4.0.0 del Asistente de Prácticas de Seguridad Informática (software)
http://www.criptored.upm.es/software/sw_m001k.htm

4. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Marzo 30 al 31 de 2007: Primer Congreso Internacional de Seguridad de la Información (Cartagena de Indias - Colombia)
http://www.tecnoeventos.com.co/

* Abril 18 al 20 de 2007: 3rd International Conference on Global E-Security ICGeS '07 (Londres - Inglaterra)
http://www.uel.ac.uk/icges

* Abril 25 al 27 de 2007: Workshop on Practical Aspects of Cryptography en la Universidad de Oviedo (Oviedo - España)
http://orion.ciencias.uniovi.es/cripto/

* Mayo 7 al 11 de 2007: First Symposium on Algebraic Geometry and its Applications en (Tahiti - Polinesia Francesa)
http://iml.univ-mrs.fr/ati/saga2007/welcome.html

* Mayo 8 al 10 de 2007: International Conference on Security of Information and Networks SIN 2007 (Gazimagusa TRNC - North Cyprus)
http://www.sinconf.org/

* Mayo 14 al 17 de 2007: Euro American Conference on Telematics and Information Systems (Faro - Portugal)
http://www.deei.fct.ualg.pt/eatis/

* Mayo 17 al 20 de 2007: Seminario Interamericano de Investigación de Delitos Financieros (Punta Cana - República Dominicana)
http://www.alifc.org//seminario_sididdf2007.html

* Mayo 20 al 24 de 2007: EUROCRYPT 2007 (Barcelona - España)
http://www.iacr.org/conferences/eurocrypt2007/

* Mayo 21 al 25 de 2007: Segundo Evento Seguridad de Redes para América Latina y el Caribe en LACNIC X (Isla Margarita - Venezuela)
http://lacnic.net/sp/eventos/lacnicx/seguridad_en_redes.html

* Mayo 25 al 29 de 2007: International Conference on Information Theoretic Security ICITS (Madrid - España)
http://www.escet.urjc.es/~matemati/maribel/ICITS/ITS07.htm

* Junio 12 al 13 de 2007: 5th International Workshop on Security in Information Systems WOSIS 07 (Funchal - Portugal)
http://www.iceis.org/workshops/wosis/wosis2007-cfp.html

* Junio 17 al 22 de 2007: 19th Annual FIRST Conference (Sevilla - España)
http://www.first.org/conference/2007/

* Junio 18 al 20 de 2007: 8th IBIMA Conference on Information Management in the Networked Economy (Dublin - Irlanda)
http://www.ibima.org/Dublin2007

* Junio 20 al 22 de 2007: VII Jornadas Nacionales de Seguridad Informática ACIS 2007 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=840

* Junio 21 al 22 de 2007: Workshop on the Arithmetic of Finite Fields WAIFI 2007 (Madrid - España)
http://www.waifi.org/

* Junio 28 al 30 de 2007: Fourth European PKI Workshop: Theory and Practice EuroPKI 07 (Palma de Mallorca - España)
http://dmi.uib.es/europki07

* Julio 11 al 13 de 2007: Conference on RFID Security 07 en Universidad de Málaga (Málaga - España)
http://rfidsec07.etsit.uma.es/

* Agosto 31 de 2007: 2007 International Workshop on Computational Forensics (Manchester - Gran Bretaña)
http://www.nislab.no/events/iwcf_2007

* Septiembre 11 al 14 de 2007: II Simposio sobre Seguridad Informática en CEDI 2007 (Zaragoza - España)
http://www.congresocedi.es/2007/si_descripcion.html

* Septiembre 21 al 23 de 2007: 21st International Conference on Systems for Automation of Engineering and Research (Varna - Bulgaria)
http://www.criptored.upm.es/descarga/Call_for_Paper-IT-2007.zip

* Octubre 9 al 12 de 2007: 10th Information Security Conference ISC 2007 (Valparaíso - Chile)
http://www.isc07.cl/

* Noviembre 5 al 9 de 2007: 18th International Workshop on Combinatorial Algorithms IWOCA2007 (Newcastle - Australia)
http://www.eng.newcastle.edu.au/~iwoca2007

* Noviembre 6 al 9 de 2007: V Collaborative Electronic Commerce Technology and Research CollECTeR 2007 (Córdoba - Argentina)
http://www.collecter.org.ar/

* Noviembre 26 al 28 de 2007: IV Congreso Iberoamericano de Seguridad Informática CIBSI 2007 (Mar del Plata - Argentina)
http://www.cibsi2007.org/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

5. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

6. NOTICIAS SELECCIONADAS DEL MES DE MARZO DE 2007 (ordenado por fecha)

Ampliar la noticia:
http://www.criptored.upm.es/paginas/historico2007.htm#mar07

* Dr. Paulo Barreto y Dr. Alejandro Hevia Conferenciantes Invitados a CIBSI 2007
http://www.larc.usp.br/~pbarreto/
http://www.dcc.uchile.cl/~ahevia/

* Seminario Distribution of Elliptic Curves for Pairing-based Cryptography en la URJC (España)
http://www.escet.urjc.es/~matemati/aplicada.html

* Conferencias de Seguridad FIST en el CSIC (España)
http://www.fistconference.org/madrid.php

* Conference on Crytography and Digital Content Security CDCSEC en la UAB (España)
http://www.crm.cat/Cryptology/

* Seminario Interamericano de Investigación de Delitos Financieros SIIDF 2007 (República Dominicana)
http://www.alifc.org//seminario_sididdf2007.html

* Máster Internacional Buen Gobierno de las TIC en Universidad de Deusto (España)
http://www.itdeusto.com/itdeusto/modules/idealportal/upload/index.htm

* CFP 18th International Workshop on Combinatorial Algorithms IWOCA2007 (Australia)
http://www.eng.newcastle.edu.au/~iwoca2007

* Alta en la Red de la Pontificia Universidad Católica Madre y Maestra (República Dominicana)
http://www.criptored.upm.es/paginas/instituciones.htm#dominicana

* Glosario y Abreviaturas de Seguridad en las TIC del CERT Centro Criptológico Nacional (España)
https://www.ccn-cert.cni.es/guia_401/

* Curso y Workshop on Practical Aspects of Cryptography en la Universidad de Oviedo (España)
http://orion.ciencias.uniovi.es/cripto/

* CFP para II Simposio sobre Seguridad Informática en CEDI 2007 Zaragoza (España)
http://www.congresocedi.es/2007/si_descripcion.html

* Diplomado en Seguridad Informática del ITESM (México)
http://webdia.cem.itesm.mx/ac/rogomez/DiploSeg/

* Diplomado en Seguridad Móvil en la Universidad El Bosque de Bogotá (Colombia)
http://www.unbosque.edu.co/programas/educontinuada/diplomados/seguridadmovil.htm

* Segundo Evento Seguridad de Redes para América Latina y el Caribe en LACNIC X (Venezuela)
http://lacnic.net/sp/eventos/lacnicx/seguridad_en_redes.html

* CFP para III Jornadas Software Libre en Escuela Politécnica Superior de Albacete (España)
http://www.linuxalbacete.org/web/

7. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 640
(182 universidades; 231 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 52.098 visitas, 119.661 páginas solicitadas
y 65,63 GigaBytes servidos en febrero de 2007.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


CriptoRed te invita a participar en el IV Congreso Iberoamericano de Seguridad Informática CIBSI 2007 a celebrarse en Mar del Plata, Argentina, del 26 al 28 de noviembre de 2007, enviando trabajos técnicos o asistiendo
al evento.
http://www.cibsi2007.org/


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

marzo de 2007
http://www.criptored.upm.es/paginas/historico2007.htm#mar07

martes, 3 de abril de 2007

La semana de los fallos en Vista, un bulo

A rebufo de los periodos temáticos de vulnerabilidades, se anunció en varias listas que el día dos de abril comenzaría la semana de los fallos en Windows Vista. Incluso se publicó una primera vulnerabilidad. Los autores han destapado el engaño y han confesado que todo se trataba de una broma, urdida alrededor del "día de los inocentes" anglosajón y perfectamente orquestada con alevosía y premeditación.

Los autores de la broma confiesan en su página lo que llaman "la verdad". Pensaron en una broma para celebrar el día de los inocentes ("April's Fools Day"). Aprovechando el tirón mediático de las periodos temáticos, tomaron a Vista como objetivo, para hacer la broma más atractiva hacia quienes consideraban su objetivo principal: Los medios. "Les encanta todo lo sensacionalista". Inventaron nombres pseudoanónimos ("Jerome A", "Brett M"...) inspirándose en investigadores reales como "HD Moore", creador de esta moda. Los personajes ficticios participaron activamente durante los días previos al engaño en foros especializados en seguridad para darse a conocer.

Comenzaron con la broma (anunciando el evento) el 30 de marzo, 48 horas antes del día en cuestión, para evitar sospechas. Prepararon una página ya conocida, securityinfos.info con autenticación SSL del servidor para "dar mayor credibilidad a los medios". Con sólo anunciar su idea en Bugtraq consiguieron posicionar la página bien alto en Google.

Finalmente el día dos, ya fuera del momento oficial para las bromas, lanzaron lo que sería el primer bug de la semana: "Bypassing Vista Firewall: Flying Over Obstructive Line". Un título con mensaje, pues se puede formar "Fool" con la primera letra de cada palabra, que significa "tonto", "inocente". Prometieron una segunda vulnerabilidad "Bypassing UAC: For fun and profiterole" jugando con el mítico título creado por Aleph One "Smashing the Stack for Fun and Profit" en el que se explican los desbordamientos de memoria intermedia. Solo que ellos lo llamaron "... profiterole".

La primera y única vulnerabilidad ficticia se explicaba con muchas imágenes (algunas de ellas deliberadamente irrelevantes) y en principio, muy profusamente. Una lectura tranquila demostraba que no tenía demasiado sentido. Cuando menos, el supuesto fallo en el cortafuegos estaba explicado de forma confusa y abstracta. Para muchos, el simple hecho de que la explicación abarcara varias páginas, se adjuntaran imágenes y tuviese como víctima a Vista (un objetivo siempre apetecible), era suficiente para dar crédito al fallo.

Finalmente, como hemos podido observar, muchos medios le han dado incondicionalmente esa credibilidad tan trabajada y buscada por parte de los autores. Han conseguido demostrar lo que querían, engañar a los medios, la importancia del factor humano en la seguridad y la necesidad de confiar en hechos que se puedan demostrar. Como efecto colateral, han obtenido un buen puñado de visitas en su página y la satisfacción de que muchos hablen de ellos en este momento.

Apuntan finalmente que Microsoft no se puso en contacto en ningún momento con ellos, quizás, dicen, porque estaban demasiado ocupados con la vulnerabilidad en ficheros ANI (esta, desafortunadamente muy real) que está intentando ser parcheada estos días.

De nuevo, muchos medios (especializados y no) han picado con este bulo, aplicando la conocida norma que reza: "No dejes que la verdad te estropee un buen titular". Conviene no creer todo lo que se lee en Internet, ya sea el día de los inocentes o cualquier otro momento del año.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The week of Vista Bugs: The Truth
https://www.securinfos.info/english/the-week-of-vista-bugs-the-truth.php

+"Week of Vista Butgs" -hoax
http://www.google.es/search?q=%22week+of+vista+bugs%22+-hoax&hl=es&start=10&sa=N

lunes, 2 de abril de 2007

Avalancha de parches para la vulnerabilidad en ficheros ANI

McAfee dio a conocer el pasado día 28 de marzo una grave vulnerabilidad en Microsoft Windows que permitía a atacantes ejecutar código de forma totalmente silenciosa. Poco después, se hacía público un exploit y los acontecimientos se han precipitado. Hasta tres parches no oficiales se han publicado y el oficial de Microsoft se adelanta para salir el día 3 de abril, rompiendo su ciclo habitual de los segundos martes de cada mes.

Microsoft confirmaba la existencia de la vulnerabilidad el día 31 de marzo. Se trata de un fallo en el tratamiento de archivos ANI que afecta a casi todas las versiones recientes de Windows: 2000 SP4, XP SP2, XP 64 bits, Server 2003, Server 2003 64 bits y Vista. El problema se basaba en una vulnerabilidad ya conocida y solventada (al parecer no del todo), calificada con el boletín MS05-002 por Microsoft y descubierta inicialmente por eEye.

El ataque se llevaría a cabo a través de documentos HTML, imágenes JPG, o ficheros ANI propiamente que referenciasen a un archivo ANI especialmente construido. Al ser cargado por el navegador, ejecutaría de forma silenciosa código arbitrario en el sistema afectado. Los usuarios de Internet Explorer 7 en Windows Vista no se verán afectados debido al modo protegido de IE7. Tampoco prosperarían ataques a través de Microsoft Outlook 2007.

eEye publican el mismo día 28 un parche no oficial. Esta primera aproximación no ataca realmente a la vulnerabilidad. Simplemente evita que los cursores animados se carguen fuera del directorio de sistema. Así, las páginas que intentaran aprovecharse de esto no podrían ejecutar sus cursores, pero un exploit especialmente preparado podría eludir este parche. Poco después, la organización ZERT publica una nueva actualización no oficial que sí ataca de raíz el fallo, evitando que cualquier exploit funcione y finalmente ejecute código arbitrario.

Cuestión de horas después, Microsoft anuncia oficialmente que sacará el día 3 de abril un parche fuera del ciclo habitual de los segundos martes de cada mes. En su propio blog, indica por qué tanta "velocidad" en su actuación, cosa que seguro "se estará preguntando la gente". Explica que los ataques se han incrementado durante el fin de semana, que existe exploit público y que en realidad, estaban investigando el fallo desde finales de diciembre de 2006. De hecho, pensaban sacar el parche para este problema el día 10 de abril, en su ciclo habitual, pero dadas las circunstancias se adelanta una semana.

Por último, en lo que se ha convertido en una verdadera avalancha de soluciones, una tercera entidad privada saca un nuevo parche de emergencia que se engancha a la API vulnerable protegiéndola. Se trata de X-Solve, una compañía de Taipei (Taiwán) que entra por primera vez en escena en el campo de los parches no oficiales.

Los parches no oficiales están de moda, y no es nada nuevo. Simplemente, cabe recordar lo que ya escribíamos en este mismo espacio hace justo un año: "Es posible que nos hallemos ante una nueva tendencia en la que compañías y empresas de seguridad se adelantan a la propia Microsoft con la intención de obtener reconocimiento, prestigio, visitas y popularidad. Al margen de la eficacia de estos parches y de la libre decisión de usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft de forma indirecta para la publicación de un parche oficial y provocan una importante presión mediática en la compañía, en cuya política de publicación de seguridad prima la calidad (dedican mucho más tiempo a pruebas que al desarrollo) antes que la velocidad de publicación."


Sergio de los Santos
ssantos@hispasec.com


Más información:

An Emergent Patch for Windows Vulnerability
http://x-solve.com/blog/?p=125

Latest on security update for Microsoft Security Advisory 935423
http://blogs.technet.com/msrc/archive/2007/04/01/latest-on-security-update-for-microsoft-security-advisory-935423.aspx

ZERT Patches ANI 0day
http://blogs.securiteam.com/index.php/archives/863

Windows .ANI Processing
http://research.eeye.com/html/alerts/zeroday/20070328.html

(29/03/2006) La parte no oficial de Microsoft
http://www.hispasec.com/unaaldia/2713

domingo, 1 de abril de 2007

Vulnerabilidades en NSS de Sun Solaris y Java Enterprise System

Sun ha reconocido dos vulnerabilidades en Sun Solaris y Sun Java Enterprise System que podrían ser explotadas por usuarios maliciosos para comprometer sistemas afectados.

Las dos vulnerabilidades se han localizado en Network Security Services (NSS):

* Un error de desbordamiento de entero a la hora de procesar mensajes de servidor SSLv2 puede ser explotado para provocar desbordamientos de búfer con un certificado con clave pública demasiado pequeña para cifrar el 'Secreto Maestro'.

* Un error de desbordamiento de entero al procesar claves maestras de cliente SSLv2 puede ser explotado para provocar desbordamientos de búfer con parámetros malformados durante la negociación SSLv2.

La explotación con éxito de estas vulnerabilidades permitiría la ejecución de código arbitrario.

Dada la diversidad de versiones y plataformas afectadas se recomienda consultar el aviso de seguridad de Sun donde se detallan los parches publicados:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102856-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in the Network Security Services (NSS) May Affect SSL Clients and SSL Servers
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102856-1