sábado, 30 de junio de 2007

Ejecución de código arbitrario a través de dtsession en Sun Solaris

Se han descubierto varias vulnerabilidades en dtsession para Sun Solaris 8, 9 y 10.

Esta vulnerabilidad se debe a un fallo de desbordamiento de buffer en dtsession. Un atacante local sin privilegios podría aprovechar esta vulnerabilidad para ejecutar código o comandos arbitrarios con privilegios de root ya que dtsession Common Desktop Environment Session se ejecuta con dichos privilegios.

Se recomienda actualizar a los siguientes paquetes. Según versión y plataforma se encuentran disponibles desde:

Plataforma SPARC:
Solaris 8 parche 109354-26 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109354-26-1
Solaris 9 parche 113240-13 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113240-13-1
Solaris 10 parche 125279-02 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125279-02-1

Plataforma x86:
Solaris 8 parche 109355-25 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109355-25-1
Solaris 9 parche 113241-13 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113241-13-1
Solaris 10 parche 125280-02 o posterior
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-125280-02-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

dtsession(1X) Contains a Buffer Overflow Vulnerability
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102954-1

viernes, 29 de junio de 2007

Denegación de servicio a través de cabeceras IPv6 en Mac OS X 10.4.x

Se ha descubierto una vulnerabilidad en Mac OS X que podría ser aprovechada por un atacante para causar una denegación de servicio.

Esta vulnerabilidad se debe a un error en el protocolo IPv6 a la hora de manejar cabeceras de enrutamiento de tipo 0. Un atacante podría aprovechar esta vulnerabilidad para ralentizar la red hasta el punto de dejarla inoperativa a través de paquetes especialmente manipulados.

Esta vulnerabilidad afecta a las siguientes versiones:

Apple Mac OS X versiones 10.4.x.
Apple Mac OS X Server versiones 10.4.x.

Se recomienda aplicar las siguientes actualizaciones. Según versión y plataforma se encuentran disponibles desde:

Mac OS X 10.4.10 (PPC) :
http://www.apple.com/support/downloads/macosx10410ppc.html

Mac OS X 10.4.10 Combo (PPC) :
http://www.apple.com/support/downloads/macosx10410comboppc.html

Mac OS X 10.4.10 (Intel) :
http://www.apple.com/support/downloads/macosx10410intel.html

Mac OS X 10.4.10 Combo (Intel) :
http://www.apple.com/support/downloads/macosx10410combointel.html

Mac OS X Server 10.4.10 (PPC) :
http://www.apple.com/support/downloads/macosxserver10410ppc.html

Mac OS X Server 10.4.10 Combo (PPC) :
http://www.apple.com/support/downloads/macosxserver10410comboppc.html

Mac OS X Server 10.4.10 Combo (Universal) :
http://www.apple.com/support/downloads/macosxserver10410combouniversal.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

About the security content of the Mac OS X 10.4.10 Update
http://docs.info.apple.com/article.html?artnum=305712

jueves, 28 de junio de 2007

Denegación de servicio a través de libsldap en Sun Solaris 8, 9 y 10

Se ha descubierto una vulnerabilidad en Sun Solaris que podría ser aprovechada por un atacante para causar una denegación de servicio.

Esta vulnerabilidad se debe a un fallo en la librería libsldap. Un atacante local y sin privilegios podría deshabilitar el demonio Name Service Caching lo que provocaría que las búsquedas de nombres fuesen muy lentas.

Se recomienda actualizar a los siguientes paquetes, que según versión y plataforma se encuentran disponibles desde:

Solaris 8 (Sparc):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-126373-02-1
Solaris 8 (x86):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-126374-02-1

Solaris 9 (Sparc):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-112960-40-1
Solaris 9 (x86):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114242-27-1

Solaris 10 (Sparc):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120036-07-1
Solaris 10 (x86):
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-120037-07-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the Solaris libsldap Library May Allow a Denial of Service to nscd(1M)
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102926-1

miércoles, 27 de junio de 2007

Actualización del Kernel para productos Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización del Kernel para la línea de productos Red Hat Enterprise Linux 4 que solventa varias vulnerabilidades.

Entre las vulnerabilidades corregidas, se pueden destacar:

* Un fallo en la ayuda de seguimiento de conexión de sctp que podría ser aprovechado por un atacante para causar una denegación de servicio accediendo a un puntero nulo.

* Un fallo en el manejo de la rutina mount en sistemas de 64 bits que podría ser aprovechada por un atacante para causar una denegación de servicio.

* Un fallo en la implementación PPP sobre ethernet que podría ser aprovechado por un atacante local para causar una denegación de servicio creando un socket, conectándose, y luego desconectándose antes de que PPPIOCGCHAN ioctl sea llamado.

* Un fallo en el manejo de fput ioctl de aplicaciones de 32 bits ejecutándose sobre plataformas de 64 bits que podría ser aprovechada por un atacante para causar una denegación de servicio.

*Un fallo en el demonio de bloqueo nfs que podría ser aprovechado por un atacante para causar una denegación de servicio.

Además de estos fallos de seguridad se han solventado varios bugs.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
Advisory: RHSA-2007:0488-2
http://rhn.redhat.com/errata/RHSA-2007-0488.html

martes, 26 de junio de 2007

Se populariza el spam en formato PDF

Si en su cliente de correo tiene una carpeta donde almacena el spam, haga una búsqueda por archivos adjuntos con extensión .pdf, a buen seguro encontrará unos cuantos ejemplos. Es la penúltima moda para intentar evitar los filtros antispam, si durante los últimos meses la avalancha de mensajes no deseados llegaba con imágenes, ahora le toca el turno al formato PDF.

Las soluciones antispam suelen combinar diferentes técnicas para poder determinar si un mensaje es spam o no. Pueden analizar ciertas cabeceras del mensaje, realizar diversas comprobaciones sobre el servidor que realiza el envío, compararlo con listas negras, utilizar firmas basadas en patrones estáticos y dinámicos, aplicar filtros bayesianos, etc.

Este mismo arsenal de técnicas está a disposición de los spammers, van probando contra ellas diferentes estrategias para buscar eludir este tipo de barreras y conseguir que el mensaje no deseado llegue sí o sí a nuestros buzones.

Por ejemplo, una de las técnicas más explotadas para evitar la detección basándose en el análisis del texto consiste en enviar el mismo mensaje pero "dibujado" en una imagen adjunta. De esta forma, aparte de poder dibujarle la pastillita azul junto con sus propiedades, precios, etc, lo que buscan es que el nombre de la pastillita no aparezca escrito en texto plano en el cuerpo del mensaje y pueda hacer sospechar al filtro antispam.

Como respuesta a las imágenes, los filtros antispam comenzaron a utilizar plugins OCR (software de reconocimiento óptico de caracteres), capaz de interpretar el texto que era dibujado en los gráficos. A continuación les tocó mover ficha a los spammers, y comenzaron a introducir "ruido" en las imágenes para dificultar el reconocimiento automático por este tipo de software.

Esa es la razón por la que en ocasiones las imágenes con texto que nos llegan por spam estén distorsionadas, con caracteres multicolor, parezcan mal enfocadas, o tengan líneas por encima del texto. No es que los spammers sean muy malos diseñadores o tengan muy mal gusto, la explicación es que quieren dificultar la labor a los filtros antispam.

Aprovechando que la inmensa mayoría de los ordenadores de hoy día cuentan con un visualizador de archivos PDF, que se ha convertido en un formato universal y que goza de buena "reputación" (suele utilizarse para compartir documentación), los spammers han decidido que también puede ser una buena vía para sus objetivos.

Como el texto de los archivos PDF es interpretable, puede llegar a ser procesado por motores antispam, ellos también demuestran que saben combinar técnicas y han decido utilizar las imágenes con el mensaje distorsionado incrustadas en el PDF.

He aquí un ejemplo:
http://blog.hispasec.com/laboratorio/images/noticias/spam-pdf.PNG

Que no cunda el pánico, el anterior mensaje lo saqué de mi carpeta de
spam, el filtro funcionó. La guerra continúa.


Bernardo Quintero
bernardo@hispasec.com



lunes, 25 de junio de 2007

Actualización para Mac OS X para evitar dos vulnerabilidades

Apple ha publicado una actualización para Mac OS X que solventa dos vulnerabilidades.

* Una conversión de tipo inválida al renderizar conjuntos frame sets en WebKit que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un sitio web especialmente manipulado.

* Un error de validación de entrada de datos al procesar cabeceras pasadas al objeto xmlhttprequest en WebCore que podría ser aprovechado por un atacante para inyectar peticiones http arbitrarias.

Se recomienda aplicar la actualización 2007-006 disponible para su
descarga desde:
http://www.apple.com/support/downloads/securityupdate20070061039.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

About Security Update 2007-006
http://docs.info.apple.com/article.html?artnum=305759

domingo, 24 de junio de 2007

Revelación de información sensible en Apache HTTP Server 2.x

Se ha encontrado un problema en Apache que podría ser aprovechado por atacantes para obtener información sensible.

Existe un problema en la función recall_headers() (en modules/cache/mod_mem_cache.c) que no copia correctamente los datos de la cabecera. Esto podría ser aprovechado por atacantes para obtener información sensible a través de peticiones especialmente manipuladas.

Sólo se ve afectada la rama 2.2.4.

Existe una solución en el SVC:
http://svn.apache.org/viewvc?view=rev&revision=543515


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

ASF Bugzilla Bug 41551
http://issues.apache.org/bugzilla/show_bug.cgi?id=41551

Apache HTTP Server "mod_mem_cache" Module Information Disclosure Vulnerability
http://www.frsirt.com/english/advisories/2007/2231

sábado, 23 de junio de 2007

Denegación de servicio a través de BIND DNSSEC en Sun Solaris 10

Se ha descubierto una vulnerabilidad en Sun Solaris 10 que podría ser aprovechada por un atacante para causar una denegación de servicio.

Esta vulnerabilidad se debe a un error en bind dnssec, que podría ser aprovechado por un atacante para provocar que el proceso bind dejase de funcionar.

Se ha publicado una solución para esta vulnerabilidad. Se recomienda actualizar a los siguientes paquetes.

SPARC
Solaris 10 con parche 119783-02 o posterior.

x86
Solaris 10 con parche 119784-02 o posterior.

Esta actualización proporciona BIND 9.3.4 que implementa DNSSEC-bis.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Solaris 10 BIND DNSSEC May Cause a Denial of Service
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102969-1

viernes, 22 de junio de 2007

Página que simula ser una descarga de Adobe Shockwave instala adware

A través del SANS hemos conocido una curiosa página que simula ser la web oficial de descarga de Shockwave de Adobe Macromedia. La página enlaza con un ejecutable que intenta hacerse pasar por el paquete oficial de Adobe. Sólo dos sistemas antivirus consiguen reconocer la muestra como lo que en realidad es, un adware.

La infección no es automática. La ingeniería social que utilizan es la siguiente. Han comprado un dominio (.net) que apunta a una empresa de hosting gratuito, donde finalmente se aloja la página. Se trata de una web de juegos ambientados en la Edad Media. En esta página, se simulan presentaciones en Flash que no funcionan. Todos los enlaces (supuestamente rotos) apuntan a una página con esta URL (ofuscada):

hxxp://XXXXX.XXXXspace.com/runescape/flasherror.html

Esta página muestra un mensaje:

Your version of Macromedia Flash Player needs to be updated. Click Here que lleva a:

hxxp://XXXXX.XXXXspace.com/runescape/shockwave/download.html

Que simula (con bastante acierto) ser la web oficial de descarga de Adobe (Shockwave Player Download Center). Algunos "errores" que han cometido los atacantes a la hora de copiar la original es que muestra una versión anterior, pero solo una comparación con la web original actual puede hacer que el usuario se percate de esta diferencia. Curiosamente, a través de JavaScript, han desactivado el uso del botón derecho en Internet Explorer. Finalmente el malware es descargado (si el usuario lo consiente) desde:

hxxp://xx.xxxxay.com/flashv10/Shockwave_Installer_Slim.exe

Una de las características más llamativas de esta muestra es el nivel de detección. A fecha de 22 de junio, sólo dos antivirus lo reconocen, uno de ellos con firma genérica: ClamAV como Trojan.Pakes-248 y Webwasher-Gateway como Trojan.Bifrose.NU. Curiosa (y escasa) combinación de motores que son capaces de detectarlo.

Un primer análisis esquemático del malware, demuestra que simula incluso con bastante buen hacer el proceso de instalación del Shockwave real. Instala una dll falsa en C:\shockwave y en ese momento, se pone en contacto con adpopup.hopto.org para mostrar insistentemente publicidad no solicitada en el sistema.

Para prevenir el problema, aparte de las advertencias habituales, conviene fijarse bien el la URL de la dirección de descarga de este componente y utilizar servicios como VirusTotal.com. Si bien no ofrece garantías absolutas, puede hacer sospechar sobre el archivo. En este caso además, como dato curioso, advertir que Adobe Macromedia firma digitalmente sus archivos, con lo que se puede comprobar simplemente pulsando con el botón derecho sobre el instalador original, que está firmado y que la firma realmente pertenece a Adobe (lo certifica VeriSign). Esto garantiza su origen y que desde que fue creado, el fichero no ha sido modificado. Si bien no todas las compañías firman sus archivos, es conveniente siempre comprobarlo antes de usarlos en el sistema y aprovechar las garantías que ofrecen las que se toman la molestia de hacerlo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Fake Adobe Shockwave Player download page
http://isc.sans.org/diary.php?storyid=3024

jueves, 21 de junio de 2007

Resaca del ataque masivo a través de webs comprometidas

El pasado día 19 alertábamos de un ataque a gran escala contra webs europeas, que tenía como último objetivo robar las claves de acceso a la banca por Internet de los usuarios que las visitaran. Después del aviso el ataque fue neutralizado en menos de 24 horas, a día de hoy podemos ofrecer nuevos datos sobre el incidente.

Más de 11.000 páginas webs fueron modificadas para redirigir a sus visitantes de forma oculta a un tercer servidor web malicioso. El usuario afectado en ningún momento era consciente de nada anormal, veía con normalidad la web a la que se había dirigido, toda la conexión maliciosa se hacía en un segundo plano.

Si el usuario que visitaba alguna de esas 11.000 webs lo hacía con una versión vulnerable de Windows (si no había instalado algunos de los parches de seguridad distribuidos por Microsoft durante 2006), automáticamente se introducía en su ordenador un troyano que podía robarle las claves de acceso a su banco por Internet.

Resumen cronológico

La herramienta utilizada para realizar las infecciones a través de las webs comprometidas fue MPack 0.86. Esta herramienta ya fue motivo de un detallado análisis por parte de Panda Labs el pasado mes de mayo, y se viene utilizando asiduamente desde el año pasado en ataques similares. También en mayo el blog de Symantec Security Response dedicó una entrada a las funcionalidades de MPack.

Websense alertó el día 18 de este mes sobre un ataque masivo a 10.000 páginas webs basándose en la herramienta MPack 0.86. Hispasec también pudo acceder al servidor MPack utilizado por los atacantes y tener acceso a los datos del incidente ese mismo día. Tras un avance en el blog del Laboratorio de Hispasec la madrugada del 18, alertamos el día 19 a través del boletín una-al-día actualizando y aportando nuevos datos.

Al finalizar la jornada del día 19 se logró mitigar el ataque, al desactivar el servidor web malicioso al que se redirigían los más de 11.000 sitios webs comprometidos.

Los días 19 y 20 la noticia saltó de los círculos de seguridad a los medios de comunicación, y terminó acaparando espacio en prensa, radio y televisión. Lo que más llamó la atención fue el número de webs comprometidas, y el hecho de que los usuarios podían infectarse con tan sólo visitar una web "normal". En medios internacionales el protagonismo se lo llevó la herramienta utilidad en el ataque, MPack.

Hispasec en su blog del Laboratorio apuntó a que las más de 11.000 webs comprometidas se hospedan en un mismo proveedor italiano, Aruba, y que por tanto el ataque tan voluminoso fue posible por un problema de seguridad en la infraestructura del proveedor de hosting. Hoy, día 21, SANS Internet Storm Center publica una nota de Verisign/Idefense que apoya la misma conclusión que Hispasec, y apuntan a que el ataque al proveedor de Internet pudo realizarse a través de una vulnerabilidad en la herramienta cPanel de administración web.

Mientras continúa la resaca informativa de este caso, a buen seguro se están sucediendo otros incidentes similares, incluyendo los que estén utilizando la nueva versión MPack 0.90. Entre las novedades de esta versión destaca el uso de la vulnerabilidad ANI, cuyo parche para Windows fue publicado por Microsoft en abril de 2007, y que dota de un mayor poder de infección a las nuevas webs comprometidas.
También se incluyen el uso de vulnerabilidades de aplicaciones de terceros muy difundidas en Windows, como WinZip y QuickTime, que por norma general los usuarios descuidan más su actualización.

MPack 0.90 también corrige algunos problemas de seguridad de la propia herramienta, que permitía que empresas como Hispasec pudieran acceder a los servidores de los atacantes y tener datos puntuales sobre lo que estaba sucediendo, motivo por el cual hemos podido informar con tanta precisión sobre el alcance de este ataque y ayudar en su mitigación. Estas nuevas mejoras entorpecerán conocer la envergadura real y exacta de los nuevos ataques que se sucedan, si bien la lucha se mantendrá viva entre los atacantes y las empresas de seguridad.


Moraleja

Aunque la mayoría de las informaciones se han centrado en MPack como herramienta de ataque, en Hispasec creemos que la lectura más útil del incidente va encaminada a concienciar a los usuarios finales.

Realizar una navegación responsable no evita la posibilidad de sufrir ataques. Hay cierta tendencia a pensar que los usuarios que se infectan es porque necesariamente han visitado páginas webs "peligrosas" (contenidos eróticos, descarga de programas piratas, cracks, etc). Es cierto que visitando esas páginas puede existir mayor probabilidad de infecciones, especialmente con la instalación de cracks dependiendo de la fuente, pero también sucede en otras páginas webs con contenidos "normales". También hay que desmentir el bulo de que la descarga de MP3 o vídeos en redes P2P es especialmente peligrosa desde el punto de vista de la seguridad e integridad de los sistemas (pero ésta es otra guerra).

Este incidente es un ejemplo más de que el ataque puede suceder en cualquier escenario y que por tanto la solución no es "demonizar" ciertos contenidos, sino que lo primordial es concienciar a los usuarios de que deben seguir unas normas básicas de seguridad para prevenir ser víctimas de este tipo de ataques automáticos.

Unas de esas normas básicas es que deben mantener sus sistemas puntualmente actualizados con los últimos parches de seguridad. Los usuarios de Windows que hubieran seguido esta sencilla regla y visitaron algunas de las 11.000 webs comprometidas, no sufrieron ninguna infección.

Navega por donde quieras, pero navega seguro.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Análisis de la vulnerabilidad en ficheros ANI de Microsoft
http://www.hispasec.com/unaaldia/3090/analisis-vulnerabilidad-ficheros-ani-microsoft

MPack uncovered!
http://blogs.pandasoftware.com/blogs/pandalabs/archive/2007/05/11/MPack-uncovered_2100_.aspx

MPack, Packed Full of Badness
http://www.symantec.com/enterprise/security_response/weblog/2007/05/mpack_packed_full_of_badness.html

Malicious Website / Malicious Code: Large scale European Web Attack
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=782

Ataque vía web a gran escala
http://blog.hispasec.com/laboratorio/223

Marta Torné y el ataque basado en webs
http://blog.hispasec.com/laboratorio/224

¿Cómo comprometer más de 10.000 sitios web?
http://blog.hispasec.com/laboratorio/225

MPack Analysis
http://www.incidents.org/diary.html?storyid=3015

miércoles, 20 de junio de 2007

Varias vulnerabilidades en IBM WebSphere Aplication Server 6.x

IBM ha publicado una actualización para WebSphere Aplication Server que solventa varias vulnerabilidades que podría ser aprovechadas por un atacante para eludir ciertas restricciones de seguridad o causar una denegación de servicio.

* Un error no especificado en Default Messaging Component que podría ser aprovechado para provocar que ciertos hilos dejasen de responder.

* Default Messaging Component realiza una autorización incorrecta en una interfaz remota al repositorio SDO.

* Un error no especificado con un impacto desconocido en el componente PD tools.

Se ha publicado un parche oficial disponible para su descarga desde:
http://www-1.ibm.com/support/docview.wss?uid=swg24015788


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Fix list for IBM WebSphere Application Server version 6.1
http://www-1.ibm.com/support/docview.wss?uid=swg27007951

IBM WebSphere Application Server Security Bypass and Information Disclosure Issues
http://www.frsirt.com/english/advisories/2007/2234

martes, 19 de junio de 2007

Alerta: Ataque a gran escala contra webs europeas afecta a miles de usuarios

La industria del malware ha lanzado una ofensiva a gran escala contra páginas web europeas. No consiste en una simple acumulación de webs atacadas, sino que en ellas, manteniendo su aspecto original, han conseguido encajar código de forma que los usuarios vulnerables que las visiten serán infectados. El malware, una vez instalado en sus sistemas les robará (cómo no) sus credenciales bancarias.

Websense ha alertado de que se está usando MPACK web exploit toolkit como infraestructura para esta ofensiva. Una herramienta PHP alojada en un servidor que genera exploits e infecta a quien lo visite eligiendo el fallo adecuado según el software que use la víctima. ¿Cómo conseguir que las víctimas visiten este servidor y queden infectadas? Lo que se ha observado es que más de 11.000 páginas legítimas (principalmente europeas) han sido atacadas y han alojado en ellas enlaces IFRAME que apuntan al servidor MPACK e infectan así a la víctima. Si ésta es vulnerable (normalmente a vulnerabilidades relativamente antiguas que permiten ejecución de código), se descargará y ejecutará de forma transparente una variante de un troyano bancario de la familia Sinowal (pieza de malware conocida por su sofisticación).

Las páginas afectadas (que se convierten en "cómplices" sin saberlo ni quererlo) son legítimas y con todo tipo de contenidos, desde webs de deportes, hoteles, juegos, medios de comunicación, política, sexo... Habitualmente, los atacantes que consiguen acceso a una web "popular", roban datos y causan un "deface" (cambio de su página índice para que todo el mundo sepa que ha sido atacada). Por el contrario en este caso, han incrustado IFRAMEs "invisibles" en esas 11.000 páginas. Una de las que más visitas está recibiendo (y por tanto a más víctimas está infectando) resulta ser la página oficial de una popular y atractiva presentadora española. Hispasec se está poniendo en contacto con las principales webs españolas comprometidas para eliminar el código malicioso y prevenir nuevos infectados.

MPACK dispone de un completo "backend" con datos y estadísticas sobre sus "progresos". Hemos tenido acceso a esta zona, donde se recogen estadísticas y datos concretos del "éxito de la operación". El país con más infectados es Italia (porque a su vez, son mayoría los dominios .it que están siendo usados para "infectar"), seguido de España y Estados Unidos.

Las vulnerabilidades que están siendo aprovechadas afectan a Windows, pero no sólo a los usuarios de Internet Explorer, como es habitual. También se valen de fallos en los plugins Windows Media y QuickTime de Firefox y Opera. A pesar del uso minoritario de este último, no han querido dejar escapar ni una sola oportunidad de infección.

Otro dato interesante es el porcentaje de eficacia de los exploits utilizados en este ataque. En el caso de España, el 6,04% de los usuarios que visitan alguna de las 11.179 webs comprometidas resulta infectado (porque no mantiene su sistema actualizado). A excepción de Italia con un 13,7%, el resto de países europeos se sitúan por debajo de España.

Aunque este ataque a gran escala pueda ser mitigado en los próximos días, no olvidemos que se trata de un caso más entre un número indefinido de ataques similares todavía no detectados que se están llevando a cabo con este mismo kit. Una vez más, advertimos de que realizar una navegación "responsable" no es suficiente, no previene de los incidentes de seguridad, puesto que los atacantes están introduciendo sus códigos maliciosos en todo tipo de páginas webs. Tampoco el uso de uno u otro navegador (como muchos piensan) solventa por completo el problema. Ninguna acción "aislada" lo hace. Sólo la defensa en profundidad (tanto de servidores como de clientes) puede mantenernos razonablemente a salvo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Large scale European Web Attack
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=782

Ataque vía web a gran escala
http://blog.hispasec.com/laboratorio/223

lunes, 18 de junio de 2007

Malware alojado en dominios .hk: Exprimiendo el correo basura (II)

Una vez más, merece la pena detenerse ante un correo basura que está inundando nuestros buzones (y por extensión, el de algunos millones más de usuarios) durante estos días. Se trata de un spam que intenta infectar al que visita un enlace en su interior. Nada nuevo excepto por la insistencia de variantes del correo (decenas al día) y el método de direcciones dinámicas que utiliza para alojar el malware. Todo un sistema que lo hace imposible de localizar en un punto concreto.

Desde hace unos días estamos recibiendo decenas de correos con esta estructura:

Asunto: "Hello", "Hello, Bud" o "Hello, Pal"
Cuerpo: read it
http://xxxxx.hk

Donde XXXXX oculta dominios cortos, normalmente mezcla de letras sin sentido. Lo primero que llama la atención es el carácter dinámico de los dominios. Cuando son resueltos responden cada vez con una dirección IP distinta, lo que significa que el dominio apunta a un lugar diferente en cada petición. Esto lo convierte en algo extraordinariamente complicado de rastrear. Las IP son en su mayoría estadounidenses (muy probablemente sistemas de usuarios comprometidos) pero se pueden observar de muchos otros países. El sistema está montado sobre decenas de servidores DNS cambiantes, y los registros tienen un tiempo de vida (timeout) de cero, para que nunca queden en caché de quien los consulte y resulte así en una nueva resolución cada vez que se realiza una petición.

Cuando el usuario visita esta página en el dominio .hk, (aparte de ir a parar a un IP distinta en cada ocasión) recibe un insistente ataque que intenta infectarlo por varias vías conocidas. El índice de esta página contiene JavaScript ofuscado que intenta:

* Aprovechar la famosa vulnerabilidad ANI, conocida y parcheada, que permite ejecución de código con solo visitar la página.
* Contiene iframes que también intentan aprovechar distintos fallos en Internet Explorer, todos ya conocidos.
* Independientemente del éxito de las operaciones anteriores, muestra un mensaje con un enlace a una descarga directa que apunta a
http://YYYYY.hk/fun.exe y pide que sea descargado.

Donde YYYYY es otro dominio con las mismas características. Fun.exe resulta ser un "downloader". Descarga un nuevo fichero desde
http://12.34.56.78/aff/dir/alt.exe (IP simulada).

Alt.exe es un "spambot" que, si es ejecutado con permisos de administrador, comienza a enviar correo basura casi inmediatamente. Además es un cliente de DDoS, o sea, está preparado para lanzar peticiones contra servidores cuando el master de la botnet se lo ordene. El sistema víctima se convierte así en un zombie.

Algunos antivirus pueden detectar las páginas con el JavaScript como peligrosas, aun estando ofuscadas. Fun.exe, el encargado de descargar el "payload" del ataque, es reconocido por nueve antivirus en VirusTotal.com, con firma genérica.

Alt.exe sigue a día de hoy perfectamente accesible a través de la web y los resultados proporcionados por VirusTotal.com a fecha de 16 de junio de 2007, a las 15:00 hora española son:

TR/Small.DBY.DB (AntiVir), Suspicious (CAT-QuickHeal), Trojan.Small-267 (ClamAV), Trojan.Packed.139 (DrWeb), Suspicious Trojan/Worm (eSafe), Tibs.gen108 (F-Secure), Tibs.gen108 (Norman), Suspicious file (Panda), Mal/EncPk-E (Sophos), Trojan.Small.DBY.DB (Webwasher-Gateway)

Los dominios .hk (Hong Kong) son relativamente fáciles de comprar sin levantar sospechas. Lo sorprendente de este ataque es la infraestructura empleada. Decenas de dominios .hk, un método de resolución de nombres complejo y dinámico, un sistema de alojamiento múltiple de payloads y downloaders, una insistencia enfermiza a la hora de intentar la infección automática y como última instancia la "manual" (pidiendo abiertamente la descarga)... toda una inversión de recursos con el fin de convertir a la víctima en parte de un botnet. Y lo peor, es que las páginas que intentan aprovechar los fallos parecen estar alojadas en ordenadores de usuarios ya comprometidos en todo el mundo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

(07/06/2007) Nuevas técnicas de spam: Exprimiendo el correo basura
http://www.hispasec.com/unaaldia/3148

domingo, 17 de junio de 2007

Denegación de servicio a través de XNFS en Novell Netware

Se ha encontrado una vulnerabilidad en Novell NetWare que puede ser aprovechada por un atacante local para provocar una denegación de servicio.

El fallo se debe a un error de límites en el dominio de montaje NFS (XNFS.NLM). Puede ser aprovechado para provocar una denegación de servicio a través de una petición con una ruta de montaje especialmente larga, con más de 508 caracteres.

El problema se ha comprobado en NetWare 6.5 SP6, aunque otras versiones podrían verse afectadas.

Se recomienda aplicar el parche xnfs6a.zip desde:
http://download.novell.com/Download?buildid=8XdJVBDYifk~


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

XNFS Abend in rpcWorkerThread if nfs mount is attempted with long path
https://secure-support.novell.com/KanisaPlatform/Publishing/23/3008097_f.SAL_Public.html

sábado, 16 de junio de 2007

Actualización acumulativa de seguridad para Microsoft Internet Explorer

Dentro del conjunto de boletines de junio publicado esta semana por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS06-033) de una actualización acumulativa para Internet Explorer, que además solventa un total de seis nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

Los problemas resueltos son:

* Un problema de ejecución de código en la forma en la que Internet Explorer instancia objetos COM inadecuados. Esto podría permitir a un atacante ejecutar código arbitrario a través de una página web especialmente manipulada si esta es visitada por el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema.

* Un fallo en la forma en la que Internet Explorer maneja las etiquetas CSS. Esto podría permitir a un atacante ejecutar código arbitrario a través de una página web especialmente manipulada si la visita el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema.

* Un error en el tratamiento de la instalación del paquete de idiomas. Esto podría permitir a un atacante ejecutar código arbitrario a través de una página web especialmente manipulada si esta es visitada por el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema.

* Un problema en la forma en la que Internet Explorer trata objetos que no existen o han sido ya borrados. Esto podría permitir a un atacante ejecutar código arbitrario a través de una página web especialmente manipulada si es visitada por la víctima.

* Un fallo que permitiría a un atacante mostrar información falsa en la página de cancelación de navegación. Esto podría permitir a un atacante ejecutar código arbitrario a través de una página web especialmente manipulada si esta es visitada por el sistema víctima.

* Corrupción de memoria en el componente Microsoft Speech API 4. Esto podría permitir a un atacante ejecutar código arbitrario a través de una página web especialmente manipulada si esta es visitada por el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema.

Actualice los sistemas afectados mediante Windows Update o descargando
los parches según versión desde las siguientes direcciones:

Para Internet Explorer 5 sobre Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3B49F1ED-ABE3-4DBD-A91D-973415658F6B&displaylang=es
Para Internet Explorer 6 sobre Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5C958650-28D2-4DD0-96A8-DBFE79CE3F68&displaylang=es
Para Internet Explorer 6 sobre Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=60FB294E-A8E1-405E-A289-2D2723EDF7EE&displaylang=es
Para Internet Explorer 6 sobre Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=086D6D6E-4703-4C6C-A7AF-B6DAFEEEDE5D&displaylang=es
Para Internet Explorer 6 sobre Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=7ED19127-5C2D-48E4-A8D1-090DC69FD68B&displaylang=es
Para Internet Explorer 6 sobre Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=1449EB5D-6E4C-4332-8CB6-AB9EE59C9A95&displaylang=es
Para Internet Explorer 6 sobre Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B628A3CC-A70C-478A-A10C-EEE254EE34AB&displaylang=es
Para Internet Explorer 7 sobre Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=C2191703-8CBD-4959-9F84-E13F21173926&displaylang=es
Para Internet Explorer 7 sobre Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=69C526B8-8B07-42BC-9BED-E18DEAE21C8E&displaylang=es
Para Internet Explorer 7 sobre Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=A074D9C0-1FED-4753-845E-073CFCE99F45&displaylang=es
Para Internet Explorer 7 sobre Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
http://www.microsoft.com/downloads/details.aspx?FamilyId=744ACB43-64DA-48CC-AE69-9386B597EABC&displaylang=es
Para Internet Explorer 7 sobre Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=069C1560-B5E5-4DFE-A18D-E0507D406028&displaylang=es
Para Internet Explorer 7 sobre Windows Vista:
http://www.microsoft.com/downloads/details.aspx?FamilyId=77287386-48EB-4AA9-9537-626A3093AAF7&displaylang=es
Para Internet Explorer 7 sobre Windows Vista x64 Edition
http://www.microsoft.com/downloads/details.aspx?FamilyId=77287386-48EB-4AA9-9537-626A3093AAF7&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS07-033
Actualización de seguridad acumulativa para Internet Explorer
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-033.mspx

viernes, 15 de junio de 2007

Graves vulnerabilidades en OpenOffice.org y Microsoft Office

Se han descubierto en estos días sendas vulnerabilidades para los dos sistemas ofimáticos más utilizados por el mundo occidental: Microsoft Office y OpenOffice.org. Ambos problemas parecen permitir ejecución de código y por ello, se vuelven especialmente graves.

El día 12 de junio Debian publicó una actualización para OpenOffice.org, alegando que solventaba un grave problema de seguridad en la suite. El fallo se debe a un desbordamiento de memoria intermedia en la función SwRTFParser::ReadPrtData()y permitiría la ejecución de código arbitrario con solo abrir un documento RTF (Rich Text Format) especialmente manipulado. Afectaría por igual a cualquier sistema operativo.

Al parecer, la versión 2.2.1 soluciona este problema. StarOffice también ha publicado sus respectivas actualizaciones.

Por otro lado, se ha vuelto a observar la tendencia que observamos desde 2006. Pocas horas después de que Microsoft publique sus actualizaciones los segundos martes de cada mes, aparece una nueva vulnerabilidad sin parche conocido. Esto permite que el tiempo de exposición sea más largo y la “efectividad” de la vulnerabilidad (si con ella se permite la ejecución de código) mayor.

Aunque el fallo se dé en Microsoft Office, lo preocupante es que la librería vulnerable es accesible a través de la web,como ActiveX. En otras palabras, permitiría ejecutar cualquier programa arbitrario en el sistema con solo visitar una web.

El problema se produce cuando se pasan más de 256 bytes al método HelpPopup del método DeleteRecordSourceIfUnused del Control ActiveX MSODataSourceControl. Si un usuario visita con Internet Explorer un sitio web especialmente manipulado que aproveche el fallo, el navegador dejaría de funcionar y potencialmente, ejecutaría código. Existe exploit público del fallo, y aunque no ha sido probado, es muy posible que permita la ejecución código arbitrario.

En el caso de OpenOffice.org, se recomienda actualizar a la última versión desde su página web. Como recomendación general, se aconseja no abrir ningún archivo no solicitado previamente, en ningún formato. Esto también es aplicable a quien trabaje con Microsoft Office.

En el caso de Microsoft Office no existe parche oficial, y parece que ya están investigando la vulnerabilidad. Se recomienda, por tanto, activar el kill-bit para el Control ActiveX con clsid: 0002E55B-0000-0000-C000-000000000046 para evitar el acceso a través deInternet Explorer al control.

Esto se consigue guardando el texto a continuación en un archivo .reg y ejecutándolo como administrador. Se aconseja tener cuidado a la hora de manipular el registro.

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{0002E55B-0000-0000-C000-000000000046}]
"Compatibility Flags"=dword:00000400


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft investigates possible new Office flaw
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1260760,00.htm

High risk vulnerability in OpenOffice RTF parser
http://www.securityfocus.com/archive/1/471274

jueves, 14 de junio de 2007

Avalancha de ataques phishing contra MySpace: Algunas teorías

MySpace se ha convertido desde hace algunas semanas, en el objetivo primordial de ataques phishing perpetrados por la banda bautizada como Rock Phish, una de las más eficaces que utiliza las técnicas más sofisticadas.¿Por qué robar credenciales de MySpace que en principio no aportan beneficio económico directo? Lanzamos algunas teorías.

Desde el Laboratorio Hispasec hemos detectado en los últimos días un súbito y descomunal aumento de ataques phishing perpetrados contra MySpace, la red social de moda que aloja millones de páginas de usuarios. Un usuario de MySpace se da de alta y puede construir su propia página donde alojar su perfil. Otros usuarios lo enlazarán como amigos creando una densa red de contactos. Las avalancha de URL fraudulentas detectadas, donde se alojan las páginas falsas de MySpace, mantienen un estilo inconfundible que las delata como creaciones de la banda Rock Phish. Hablamos de cientos de nuevas páginas falsas de MySpace creadas cada día por estos profesionales del phishing.

Rock Phish, es una de las bandas más peligrosas y efectivas a la hora de crear ataques fraudulentos de robo de credenciales. Han desarrollado metodologías muy avanzadas para evitar que los medios técnicos disponibles impidan su difusión. Tienen la capacidad de crear múltiples y únicas URL para cada ataque, muy complejas (es una de sus señas de identidad) que limitan de forma muy eficaz la labor de las barras antiphishing basadas en listas negras. ¿Qué gana este grupo tomando como objetivo MySpace? ¿Qué beneficio les reporta? Las teorías son varias.

La primera es obvia, muchos usuarios utilizan la misma contraseña para varios servicios. También, el obtener contraseñas de perfiles "privados" les permite acceso a información "sensible" de usuarios (fecha y lugar de nacimiento, por ejemplo) para realizar ataques más específicos y selectivos en el futuro.

Otras teorías son más interesantes. En la página del perfil del usuario al que se le ha robado la contraseña, es trivial introducir código CSS en algunos campos. Al ser interpretado en el navegador, cuando alguien que visite la página haga click en un campo, será redirigido a alguna web donde intentará ser infectado por malware o engañado de alguna forma. Este problema se ha vuelto tan común, que MySpace ha desarrollado un script para limpiar este tipo de enlaces fraudulentos. Pero parece que se han olvidado de limpiar ciertos campos, y todavía es posible
inyectarlos en algunos otros.

Otra teoría que revaloriza las credenciales de MySpace, es el uso de las páginas de perfiles robados para de alguna forma, hacer aparecer ventanas emergentes a quien las visite. Se han observado en los últimos días en muchos perfiles un popup muy conseguido que simula ser la ventana de administración de actualizaciones de Windows. Si el usuario acepta la supuesta "actualización", se descargará un programa. Una vez ejecutado en el equipo, simulará un icono en la barra de tareas e intentará descargar ficheros que un falso escaneo antispyware de la máquina intentará solucionar. Una forma rebuscada (descargando ficheros supuestamente infectados) de que el usuario instale el spyware.

MySpace, se convierte así en un vector de ataque muy utilizado como objetivo de phishers para realizar posteriormente estafas más sofisticadas o directas. A medida que la banca actúe, contratando servicios antiphishing o antitroyanos y se dificulte la labor de los que intentan robar sus credenciales, es “natural” que la industria del malware migre hacia otras páginas en principio menos “protegidas”, que todavía no han implementado medidas suficientes para paliar de forma eficaz el robo de contraseñas.


Sergio de los Santos
ssantos@hispasec.com



miércoles, 13 de junio de 2007

Seis boletines de seguridad de Microsoft en junio

Tal y como adelantamos, este martes Microsoft ha publicado seis boletines de seguridad (MS07-030 al MS07-035) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cuatro de los boletines presentan un nivel de gravedad "crítico", mientras que uno es "importante" y otro "moderado".

* MS07-030: Evita dos vulnerabilidades en Microsoft Visio que pueden ser explotadas por atacantes remotos para comprometer los sistemas afectados. Tiene una clasificación de "importante" y afecta a Visio 2002 y 2003.

* MS07-031: Se trata de una actualización para corregir una vulnerabilidad en la forma en que Windows Schannel en un equipo cliente valida las firmas digitales enviadas por el servidor. Afecta a Windows 2000, Windows Server 2003 y Windows XP, está considerado como "critico".

* MS07-032: Esta actualización resuelve una vulnerabilidad local en Windows Vista que podría permitir que usuarios sin privilegios tuvieran acceso a almacenes de datos de información de usuario locales, incluidas las contraseñas administrativas del Registro y el sistema de archivos local. Está calificado de gravedad "moderada".

* MS07-033: Actualización acumulativa considerada "crítica" para Microsoft Internet Explorer, que además soluciona seis nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS07-034: Se trata de una actualización acumulativa de nivel "crítico" para Outlook Express y Windows Mail, que además resuelve cuatro vulnerabilidades que pueden permitir a un atacante remoto la ejecución remota de código arbitrario o obtener información sensible.

* MS07-035: En este boletín, de carácter crítico, se ofrece la resolución para una vulnerabilidad en la API Win32 que podría permitir la ejecución remota de código. Afecta a Windows 2000, XP y Windows Server 2003 y está considerado como "critico".

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de junio de 2007
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-jun.mspx

Boletín de seguridad de Microsoft MS07-030
Vulnerabilidades en Microsoft Visio podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-030.mspx

Boletín de seguridad de Microsoft MS07-031
Una vulnerabilidad en el paquete de seguridad de Windows Schannel podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-031.mspx

Boletín de seguridad de Microsoft MS07-032
Una vulnerabilidad en Windows Vista podría permitir la divulgación de información
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-032.mspx

Boletín de seguridad de Microsoft MS07-033
Actualización de seguridad acumulativa para Internet Explorer
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-033.mspx

Boletín de seguridad de Microsoft MS07-034
Actualización de seguridad acumulativa para Outlook Express y Windows Mail

Boletín de seguridad de Microsoft MS07-035
Una vulnerabilidad en la API Win 32 podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-035.mspx

martes, 12 de junio de 2007

Vulnerabilidad de Cisco Trust Agent sobre MAC OS X permite acceso total al sistema

Se ha detectado una vulnerabilidad en Cisco Trust Agent (CTA) que podría permitir a un atacante modificar claves de usuarios del sistema y obtener un completo acceso.

Cisco Trust Agent es un componente de la solución NAC de Cisco. Es el agente instalado en los clientes cuya política debe ser validada antes de permitirle acceso a la red. Con esta técnica se previene que sistemas que no cumplan una política de “salud” determinada tengan acceso a la red.

El fallo se debe a un mal funcionamiento de los mensajes de notificación al usuario de la aplicación. Estos mensajes son enviados desde el Servidor de Control de Acceso (ACS) hacia el CTA instalado en un MacOS X. Son mostrados al usuario como ventanas emergentes por encima de la pantalla de login o la ventana de desbloqueo del protector de pantalla.

Al mostrar este mensaje, un atacante local con acceso físico al sistema podría aprovechar ese momento para acceder a la ventana de preferencias del sistema con privilegios de root y, por ejemplo, modificar desde ahí las contraseñas de los usuarios de administración y tomar completo control del MacOS X.

Esta vulnerabilidad no afecta a las instalaciones de Cisco Trust Agent sobre Windows o Linux. El fallo se da en la versión v2.1.103.0 ejecutándose sobre Mac OS X.

Se recomienda actualizar a las versiones 2.1.104.0 o posteriores accesibles desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cta


Sergio de los Santos
ssantos@hispasec.com


Más información:

Cisco Trust Agent Vulnerability
http://archives.neohapsis.com/archives/bugtraq/2007-06/0126.html

lunes, 11 de junio de 2007

Grave vulnerabilidad en Yahoo! Messenger (y prueba de concepto)

El día 7 de junio, se descubría una grave vulnerabilidad en unos ActiveX de Yahoo! Messenger que permitía la ejecución de código arbitrairo a través de la web. El código necesario para aprovechar el problema se hizo público, y obligó a Yahoo! a publicar, apenas unas horas después, una nueva versión de su producto. Ofrecemos una prueba de concepto para que cualquiera pueda comprobar a qué se está expuesto con esta vulnerabilidad.

Las dos vulnerabilidades se encontraban en las utilidades Webcam Image Upload y View de Yahoo! Estos Controles Active X son instalados por defecto como parte de Yahoo! Messenger y son accesibles a través de Internet Explorer. Esto permite crear páginas especialmente manipuladas que ejecuten código en el sistema con los privilegios del usuario que lance la aplicación. El problema concreto reside en Yahoo! Webcam Upload (ywcupl.dll) y Yahoo! Webcam Viewer (ywcvwr.dll) y en sus respectivas propiedades "server". Se puede provocar un desbordamiento de pila que conllevaría una ejecución de código. Las versiones vulnerables de estas librerías son la 2.0.1.4 (y anteriores) para ambas.

Lo que hace realmente peligrosa esta vulnerabilidad, es que el problema es aprovechable a través de Internet Explorer, capaz de acceder a esas DLL a través de ActiveX. Yahoo! actuó rápidamente y pocas horas después de hacerse público el anuncio lanzó su versión 8.1.0.401, que solucionaba el problema sustituyendo a la 8.1.0.249.

En Hispasec hemos preparado una prueba de concepto que aprovecha la vulnerabilidad y permite la descarga y ejecución de código con sólo visitar una página web. El archivo de prueba que hemos preparado se descarga al directorio raíz (C:) del usuario con nombres aleatorios compuestos por una sola letra (con el formato X.exe). El programa descargado es una aplicación inofensiva alojada en nuestros servidores, que simula que la pantalla se derrite. Cuando se cierra esta aplicación, el proceso explorer.exe puede ser reiniciado, sin causar perjuicio alguno en el sistema. Después de realizar la prueba, si se es vulnerable, se recomienda borrar el archivo descargado. la mayoría de antivirus detectarán la página que aprovecha la vulnerabilidad como exploit, y el programa como "joke", o broma, pero insistimos en lo inocuo de la prueba de concepto y el programa.

La prueba de concepto está alojada en: (ATENCIÓN: Si se visita con Yahoo! Messenger sin parchear e Internet Explorer, descargará y ejecutará una aplicación que simula que la pantalla se derrite. Es posible que después de esto el proceso explorer.exe se reinicie):

http://blog.hispasec.com/laboratorio/recursos/yahooi/exploit.html

Si se es vulnerable y el programa llega a ejecutarse, se recomienda encarecidamente actualizar Yahoo! Messenger desde
http://messenger.yahoo.com/download.php

Con esta prueba de concepto, se pretende demostrar lo grave de la vulnerabilidad. En lugar de una aplicación inofensiva, que insistimos algunos antivirus pueden detectar como "joke" (broma), un atacante podría utilizar una página web, o un mensaje con formato HTML, para distribuir virus, gusanos o troyanos que infectarían de forma automática y transparente al usuario. La vulnerabilidad a día de hoy sigue siendo aprovechada y no todos los antivirus son capaces de detectar la página del exploit como potencialmente peligrosa. En muchas ocasiones, los usuarios no actualizan el software que no forme parte del sistema operativo. Esta es una excelente excusa para que se siga la misma política con el sistema operativo que con los programas que se ejecutan en él.

Para aquellos lectores que ya hayan actualizado su sistema y no sean vulnerables, pueden visualizar un vídeo en el que se muestra el efecto del exploit en:
http://www.hispasec.com/laboratorio/video_yahoo.htm

Desde Hispasec, como siempre, recomendamos desactivar los ActiveX en la zona de Internet del navegador Internet Explorer, y ejecutar éste con los mínimos privilegios.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Yahoo! Webcam ActiveX Controls
http://messenger.yahoo.com/security_update.php?id=060707

domingo, 10 de junio de 2007

Escalada de privilegios en Lotus Domino 7.x

Se ha descubierto una vulnerabilidad en IBM Lotus Domino que podría ser aprovechada por un atacante para elevar sus privilegios en el sistema.

Esta vulnerabilidad se debe a un error en el agente de verificación de firmas que permite la reutilización de ciertas banderas una vez que un gente ha sido modificado. Un atacante podría aprovechar esto para obtener una escalada de privilegios alterando el diseño de la base de datos con una plantilla especialmente manipulada.

Para que un ataque tuviera éxito, el atacante debería tener acceso a una base de datos en el servidor Domino.

Esta vulnerabilidad ha sido solventada con la actualización 7.0.2 Fix Pack 2 (FP2).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Vulnerability in agent signature verification which may result in elevation of user's rights to Full Access Administrador
http://www-1.ibm.com/support/docview.wss?uid=swg21258784

sábado, 9 de junio de 2007

Varias vulnerabilidades en el Kernel de Linux

Se han descubierto varias vulnerabilidades en el Kernel de Linux que podrían ser aprovechadas por un atacante para causar una denegación de servicio, revelar datos sensibles y para eludir ciertas restricciones de seguridad.

* Una deferencia a un puntero nulo en netfilter al manejar conexiones que podría ser aprovechada por un atacante para causar una denegación de servicio enviando paquetes especialmente manipulados.

* Un error de búfer underflow en la función cpuset_task_read en /kernel/cpuset.c que podría ser aprovechada por un atacante para leer memoria del kernel y revelar datos sensibles.

* Un error del kernel en el manejo de las fuentes del generador de números aleatorios que podría ser aprovechado por un atacante para eludir ciertas restricciones de seguridad.

Estos problemas han sido solventados en las versiones 2.6.21.4 y 2.6.20.13, disponibles en http://www.kernel.org


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux Kernel Multiple Remote Denial of Service and Information Disclosure Vulnerabilities
http://www.frsirt.com/english/advisories/2007/2105

Linux 2.6.21.4
http://www.kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.21.4

viernes, 8 de junio de 2007

Microsoft publicará seis boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad, cinco dedicados a su sistema operativo Windows y uno a Office.

Si en mayo fueron siete boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar seis actualizaciones el día 12 de junio. Todos menos uno para Windows alcanzan la categoría de crítico. Para Office, la calificación de gravedad es de “importante”.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán varias actualizaciones de alta prioridad no relacionadas con la seguridad.

Microsoft ha lavado la cara de su página de actualizaciones, publicando ahora más detalles sobre lo que se dará a conocer el próximo martes. Agrupa los boletines por criticidad y detalla qué componente del sistema operativo se ve afectado. También han añadido una extensa tabla que incluye distintas versiones de los módulos afectados y el impacto de la vulnerabilidad en ellos según incluso versión y plataforma.

Por ejemplo sabemos ahora con esta información que una de las vulnerabilidades críticas que serán parcheadas afecta a Internet Explorer y otra a Outlook Express y Windows Mail (cliente de correo de Windows Vista).

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for June 2007
http://www.microsoft.com/technet/security/bulletin/ms07-jun.mspx

jueves, 7 de junio de 2007

Nuevas técnicas de spam: Exprimiendo el correo basura

Ya hemos advertido que el spam es, en la mayoría de las ocasiones, el comienzo del ciclo del malware, y que desde hace tiempo ya no es solo un fin sino además un medio de realimentar la cadena. Estamos hartos de ver correos que llegan con adjuntos y por ese preciso motivo su efectividad a la hora de infectar ha caído. La industria del malware busca nuevas vías, aprovechando al máximo el spam. Analizamos una muestra.

"Rebuscando en la basura", hemos descubierto en el Laboratorio que últimamente se estila más de lo habitual el correo basura en los que se agrupan varios vectores de ataque. Por un lado, intenta estafar con productos "típicos" (como píldoras, hierbas y créditos) y por otro, si no interesa comprar, procura que la víctima descargue un ejecutable. No viene adjunto, sino que indica una URL desde donde obtenerlo. Esta nueva estrategia está destinada a eludir las fuertes restricciones de seguridad que ya casi todos los administradores implementan en su correo. Las heurísticas paranoicas que impiden cualquier proliferación de ejecutables y otras extensiones peligrosas adjuntas en los correos, han hecho que la industria del malware se mueva hacia la descarga voluntaria a través de la web. Por supuesto, convenciendo al usuario a través de una "sofisticada" ingeniería social.

El correo comienza con el "anuncio" en sí que invita a la descarga. Para evitar que este mismo texto que escribo sea interceptado por los procesos antispam, traduciré brevemente el correo:

* ¿Has visto el programa que permite localizar al dueño de cualquier móvil a través del satélite? ¡Es un programa fantástico! Puedes probarlo, es fácil. Ejecútalo, introduces el número del teléfono de la persona a localizar y ya está. Copia este enlace en tu navegador y descarga el programa http://XXXXXXXX.info/locator.exe

La URL está ofuscada, no así el dominio de primer nivel ni el nombre del programa. A continuación en el correo, bien incrustado en imagen o en texto claro, se intenta vender el crédito o la píldora milagrosa de turno, como de costumbre. El texto reproducido permanece invariable en la mayoría del spam recibido.

Aquí se puede encontrar una imagen:
http://www.hispasec.com/images/unaaldia/ecbasura.png

En Hispasec hemos descargado y analizado el malware (sigue a día de hoy perfectamente accesible a través de la web) y los resultados proporcionados por VirusTotal.com a fecha de 5 de junio de 2007, a las 15:00 hora española son:

Spambot.BXN.1 (AntiVir), GenPack:Trojan.Spambot.BXN (BitDefender), Suspicious – DNA (QuickHeal), Trojan.Spambot (DrWeb), Suspicious Trojan/Worm (eSafe), suspicious (Fortinet), Trojan-Downloader.Win32.Small.cyn (Ikarus), probably a variant of Win32/TrojanProxy.Cimuz.NAF (NOD32v2), Mal/AvPak (Sophos), Trojan.DR.Cimuz.Gen.1 (VirusBuster), Trojan.Spambot.BXN.1 (Webwasher-Gateway).

En total, 11 motores lo detectan (poco más de un tercio), la mayoría por heurística. Una vez infectado, el malware se dedica a controlar la máquina para que envíe más spam, recibiendo instrucciones de un servidor ruso y ayudándose de conocidos servicios de correo online. También intenta crear hilos con más basura en foros phpBB. Se instala como DLL incrustada, lo que dificulta su detección, no hay proceso ni servicio visible y además se autoborra una vez ejecutado.

Este troyano no está especialmente difundido ni se trata de un caso excepcional. Es sólo un ejemplo de las nuevas técnicas (desde el adjunto a la web) de eludir protecciones de seguridad y de exprimir al máximo el spam con un doble mensaje con el que cazar a más perfiles de víctimas:
"Si no eres potencial cliente para comprar píldoras o pedir un crédito, seguro que quieres localizar a alguien a través de su móvil", además de eludir así los filtros de correo. Ingenioso.


Sergio de los Santos
ssantos@hispasec.com



miércoles, 6 de junio de 2007

Nuevos contenidos en CriptoRed (mayo de 2007)

Breve resumen de las novedades producidas durante el mes de mayo de
2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. DOCUMENTOS NUEVOS PARA DESCARGA EN CRIPTORED (por orden alfabético)

* Experiencias en Análisis Forense Informático
http://www.criptored.upm.es/guiateoria/gt_m241c.htm

* Fundamentos y Normativas de un SGSI (Ciclo GANLESI UPM)
http://www.criptored.upm.es/descarga/FundamentosyNormativasSGSI.zip

* IS2ME: Seguridad de la Información a la Mediana Empresa
http://www.criptored.upm.es/guiateoria/gt_m612a.htm

* Necesidad y Urgencia de un Nuevo Estándar en Funciones Hash
http://www.criptored.upm.es/guiateoria/gt_m001n.htm

2. DOCUMENTOS NUEVOS PARA DESCARGA DESDE OTROS SERVIDORES

* Informe RESCATA de Alerta Virus de Abril 2007 (INTECO - España)
http://alerta-antivirus.red.es/documentos/rescata/Informe_mensual_200704.pdf

* Volume 2 del Journal of Theoretical and Applied Electronic Commerce Research (Chile)
http://www.jtaer.com

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Junio 12 al 13 de 2007: 5th International Workshop on Security in Information Systems WOSIS 07 (Funchal - Portugal)
http://www.iceis.org/workshops/wosis/wosis2007-cfp.html

* Junio 17 al 22 de 2007: 19th Annual FIRST Conference (Sevilla - España)
http://www.first.org/conference/2007/

* Junio 18 al 20 de 2007: 8th IBIMA Conference on Information Management in the Networked Economy (Dublin - Irlanda)
http://www.ibima.org/Dublin2007

* Junio 20 al 22 de 2007: VII Jornadas Nacionales de Seguridad Informática ACIS 2007 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=840

* Junio 21 al 22 de 2007: Workshop on the Arithmetic of Finite Fields WAIFI 2007 (Madrid - España)
http://www.waifi.org/

* Junio 28 al 30 de 2007: Fourth European PKI Workshop: Theory and Practice EuroPKI 07 (Palma de Mallorca - España)
http://dmi.uib.es/europki07

* Julio 11 al 13 de 2007: Conference on RFID Security 07 en Universidad de Málaga (Málaga - España)
http://rfidsec07.etsit.uma.es/

* Agosto 31 de 2007: 2007 International Workshop on Computational Forensics (Manchester - Gran Bretaña)
http://www.nislab.no/events/iwcf_2007

* Septiembre 11 al 14 de 2007: II Simposio sobre Seguridad Informática en CEDI 2007 (Zaragoza - España)
http://www.congresocedi.es/2007/si_descripcion.html

* Septiembre 17 al 19 de 2007: 2nd International Conference on Ambient Intelligence Developments AmI.d 2007 (Sophia-Antipolis - Francia)
http://www.amidconference.org/

* Septiembre 21 al 23 de 2007: 21st International Conference on Systems for Automation of Engineering and Research (Varna - Bulgaria)
http://www.criptored.upm.es/descarga/Call_for_Paper-IT-2007.zip

* Octubre 9 al 12 de 2007: 10th Information Security Conference ISC 2007 (Valparaíso - Chile)
http://www.isc07.cl/

* Octubre 16 al 19 de 2007: IEEE CASS 7th International Symposium on Communications and Information Technologies ISCIT 2007 (Sydney - Australia)
http://www.elec.uow.edu.au/ISCIT2007/

* Octubre 24 al 26 de 2007: I Congreso Internacional de Informática y Telecomunicaciones CIIT '07 (San Juan de Pasto - Colombia)
http://www.umariana.edu.co/ciit07/

* Noviembre 5 al 9 de 2007: 18th International Workshop on Combinatorial Algorithms IWOCA2007 (Newcastle - Australia)
http://www.eng.newcastle.edu.au/~iwoca2007

* Noviembre 6 al 9 de 2007: V Collaborative Electronic Commerce Technology and Research CollECTeR 2007 (Córdoba - Argentina)
http://www.collecter.org.ar/

* Noviembre 26 al 28 de 2007: IV Congreso Iberoamericano de Seguridad Informática CIBSI 2007 (Mar del Plata - Argentina)
http://www.cibsi2007.org/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Commerce Technology and Research (Madrid - España)
http://www.collecter.euitt.upm.es/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE MAYO DE 2007 (ordenado por fecha)
Ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2007.htm#may07

* Edición Mayo de 2007 de las Conferencias FIST en la EUITT de la UPM (España)
http://www.fistconference.org/madrid.php

* Curso The Mathematics Of Secure Computation de Ronald Cramer en la UCM (España)
http://www.criptored.upm.es/descarga/curso-cramer2007.pdf

* Programa Académico de la VII Jornada Nacional de Seguridad Informática en Bogotá (Colombia)
http://www.acis.org.co/index.php?id=917

* Seminario Seguridad del Puesto de Trabajo en Movilidad de Red Seguridad en Madrid (España)
http://www.borrmart.es/evento.php?id=427

* Segundo Llamado a Trabajos para el 7th IEEE ISCIT 2007 (Australia)
http://www.elec.uow.edu.au/ISCIT2007/

* Deadline Contribuciones al Handbook of Research on Digital Anti-forensics and In-security Governance.
Contacto editor Dr. Jeimy Cano: jjcano@yahoo.com

* Martin Hellman y Hugo Scolnik, Primeros Invitados al DISI 2007 de la Cátedra UPM - Applus+ (España)
http://ee.stanford.edu/~hellman/
http://www.criptored.upm.es/miembros/miembro_238.htm
http://www.capsdesi.upm.es/

* Segundo Call For Papers para el IV Congreso Iberoamericano de Seguridad Informática, Mar del Plata, Argentina, del 26 al 28 de noviembre de 2007.
http://www.cibsi2007.org/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 645
(183 universidades; 233 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 48.392 visitas, 95.592 páginas solicitadas y 40,73 GigaBytes servidos en mayo de 2007
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador de CriptoRed


Más información:

mayo de 2007
http://www.criptored.upm.es/paginas/historico2007.htm#may07

martes, 5 de junio de 2007

Graves vulnerabilidades en Internet Explorer y Mozilla Firefox

Michal Zalewski vuelve a hacer de las suyas. Ha descubierto y publicado cuatro vulnerabilidades que se reparten por igual entre los dos navegadores más usados del momento: Internet Explorer y Mozilla Firefox.

* El primer fallo se debe a un problema con los IFRAMES en Firefox. El navegador permite por error que páginas arbitrarias reemplacen los IFRAME de webs a través del método document.write(). El problema parecía resuelto hace un año, pero se ha descubierto un nuevo vector de ataque a través de about:blank que permite su explotación. La consecuencia directa es que, por ejemplo, se podría modificar el contenido de una página legítima (un ataque muy "apropiado" para el phishing) o incluso (y esto se demuestra en la prueba de concepto programada por Zalewski) interceptar las pulsaciones de teclas cuando la víctima visita una página legítima.

* La mayoría de los navegadores modernos deshabilitan los botones de "aceptar" de los cuadros de diálogo durante unos segundos cuando se va a descargar algo, para que el usuario no actúe por instinto y ejecute demasiado rápido lo que no debe. Firefox comete un error a la hora de trabajar con el temporizador que inhabilita el botón de "Aceptar", de forma que es posible saltarse esta medida e incluso ejecutar lo descargado sin intervención del usuario. Además, este fallo permite visualizar ficheros locales e incluso se podrían enviar a través de la red.

* Zalewski también ha encontrado errores en Internet Explorer. Existe una condición de carrera cuando, a través de código JavaScript, se navega hacia otra página. Se trata de un intervalo de tiempo (cuya duración depende de muchos factores) durante el cual, el código JavaScript podría realizar cualquier acción que se le permitiese sobre la página que se abandona, pero actuando sobre el contenido de la nueva página. Esto da pie una serie de ataques que, según la imaginación del atacante, podrían permitir desde el robo de credenciales hasta la ejecución de código arbitrario. Para Zalewski, esta condición de carrera echa por tierra todo el sistema de seguridad del navegador.

* En Internet Explorer 6 (y sólo en esta versión) se puede falsificar la URL a través de un error similar en cierta manera al problema encontrado hace unos meses con el método onUnload. Esto también resulta un ataque muy "apropiado" para el phishing.

Por si fuese poco, se acaba de conocer que Firefox tampoco ha reparado en su última versión (2.0.0.4) un fallo que permitía a un atacante tener cierto acceso a ficheros locales. En Linux y Mac OS el problema sigue ahí tal cual. En Windows, con la nueva versión, se limitó el ataque al directorio de instalación del navegador, pero se han abierto nuevos vectores de ataque que lo siguen manteniendo vulnerable.

Zalewski ha publicado todas las pruebas de concepto en su página, explicando el problema y demostrando las vulnerabilidades. Una vez más, vuelve a publicar los detalles de los fallos en listas especializadas sin tapujos. Desde hace tiempo, este polaco se ha convertido en el azote de la seguridad en los navegadores, demostrando en especial que Firefox sufre problemas de seguridad que en muchas ocasiones no son reparados o parcheados por completo. También se centra en Internet Explorer, aunque parece que en menor medida hasta ahora. En una de las páginas de su web, deja entrever que Opera, Safari o Konqueror no le interesan lo más mínimo, pues ni siquiera se ha molestado en comprobar que puedan llegar a ser vulnerables o no a estos errores.

Los dos navegadores más usados, siguen siendo así vulnerables a problemas serios con graves consecuencias. Si se utilizan conviene aprovechar las zonas de Internet Explorer para navegar sin ejecución de JavaScript por defecto, o la extensiones de Firefox para conseguir el mismo efecto. Por supuesto, también es imprescindible evitar las cuentas de administrador o root para ejecutar el navegador. Estas medidas son además aplicables a los usuarios de otros navegadores, pues el hecho de no estar en el punto de mira no impide que sean más o menos vulnerables.

Lo curioso es que, hace justo un año, publicábamos en Hispasec: "26/04/2006 - Graves fallos de seguridad en Mozilla Firefox e Internet Explorer". ¿Ha cambiado realmente la situación?


Sergio de los Santos
ssantos@hispasec.com


Más información:

26/04/2006 Graves fallos de seguridad en Mozilla Firefox e Internet Explorer
http://www.hispasec.com/unaaldia/2741

MSIE bait & switch vulnerability demo
http://lcamtuf.coredump.cx/ierace/

MSIE webpage spoofing bug
http://lcamtuf.coredump.cx/ietrap2/

Firefox promiscuous IFRAME about:blank access bug
http://lcamtuf.coredump.cx/ifsnatch/

Firefox dialog refocus bug
http://lcamtuf.coredump.cx/ffclick2/

lunes, 4 de junio de 2007

Un elaborado intento de infección por email engaña a 1.400 directivos

La compañía antivirus SunBelt dio la voz de alarma a finales de marzo. Se utilizó contra ella un tipo de ataque personalizado que rompía las reglas habituales del spam masivo, impersonal y poco sofisticado. Una supuesta carta de la BBB (Better Business Bureau), perfectamente personalizada y redactada, instaba a la ejecución de un programa. Al parecer este malware ya ha infectado a más de 1.400 directivos.

En el correo se explica que alguien ha interpuesto una queja contra la compañía y se pide la descarga de una supuesta imagen que resulta en realidad un ejecutable. BBB es una organización americana que arbitra entre usuarios y consumidores, una especie de oficina del consumidor. En el correo electrónico, con una cuidada ortografía, se menciona con nombres y apellidos a personas reales pertenecientes a la empresa (habitualmente directivos), de forma que la primera impresión es que la acusación interpuesta puede ser real y que verdaderamente alguien se ha quejado de los servicios de la compañía. En otras versiones todavía más sofisticadas de la estafa, se usa un documento RTF adjunto en el que se incrusta un objeto OLE que no es más que un archivo ejecutable.

Aunque el hecho de descargar un ejecutable pueda hacer sospechar a muchos usuarios, si el atacado se fiase ciegamente de su antivirus, los resultados podrían ser desastrosos. En el momento en que SunBelt recibió el correo, utilizó VirusTotal.com para comprobar que el malware era detectado sólo por seis (de 32) antivirus y ninguno con firma específica, lo que delataba su "frescura".

El malware en cuestión se basa en una de las técnicas preferidas de los troyanos bancarios hoy día. Se incrusta en el navegador Internet Explorer en forma de BHO (Browser Helper Object) y es capaz de añadir campos a formularios de cualquier página o modificar el comportamiento de formularios existentes para que la información viaje hacia el atacante en vez de ir al servidor al que está destinada. De nada sirve el cifrado y la autenticación SSL pues el "ataque" se lleva a cabo a un nivel incluso inferior. SecureWorks trazó la actividad del malware hasta llegar al servidor (comprometido) donde se alojaban los datos robados. Estimaron que existían 1.400 víctimas por el momento, y que acumulaban hasta 70 megas de datos robados por día. Sin duda un ataque poco difundido pero con un porcentaje de "éxito" mucho mayor que los habituales que se envían de forma indiscriminada.

Los nombres de usuarios y sus compañías habían sido cuidadosamente recopilados por los atacantes antes del envío del spam y la posterior infección. Esta experiencia viene a demostrar que, si realmente se lo proponen, el nivel de especialización del spam y distribución de malware puede llegar a ser sumamente sofisticado y efectivo si se segmenta correctamente y dedican algo de tiempo a investigar los potenciales objetivos. Si todavía se usa una traducción penosa y un spam masivo para distribuir malware, es porque incluso así es efectivo. A medida que esta técnica deje de dar resultados, la industria del malware mejorará sus ataques, y ya están demostrando que son capaces de hacerlo.

Por otro lado, después de este incidente, en Hispasec decidimos investigar cómo influía en los sistemas de detección el uso de archivos RTF como "contenedores" de ejecutables. Según un pequeño estudio realizado por Bernardo Quintero, descubrimos que el hecho de que el ejecutable viniese incrustado en un documento RTF impedía que muchos antivirus lo reconociesen como tal. De esta forma, el archivo RTF pasaría inadvertido para un primer nivel de defensa perimetral hasta que el ejecutable fuese "desenganchado" del documento y ejecutado aparte. En concreto el malware en bruto era reconocido por 18 antivirus, mientras que incrustado en el RTF era solo detectado por 12 compañías (siempre usando VirusTotal.com y sobre 32 motores).


Sergio de los Santos
ssantos@hispasec.com


Más información:

BBB Phishing Trojan
http://www.secureworks.com/research/threats/bbbphish

Phony BBB email dupes more than 1,400 execs
http://go.theregister.com/feed/http://www.theregister.com/2007/05/30/bbb_spear_phishing/

Seen in the wild: Extremely dangerous Better Business Bureau spam with
malware
http://sunbeltblog.blogspot.com/2007/05/seen-in-wild-extremely-dangerous-better.html

6.308 mensajes en el buzón... alguno con RTF
http://blog.hispasec.com/laboratorio/219

BBB issues second alert for email trageting consumers and businesses
http://orwwa.bbb.org/release.html?value=61

domingo, 3 de junio de 2007

Revelación de credenciales de usuario en Novell GroupWise

Se ha descubierto una vulnerabilidad en GroupWise que podría ser aprovechada por un atacante para obtener credenciales de usuario.

Un atacante podría interceptar el tráfico de autenticación a través de un mecanismo tipo "man in the middle", obteniendo así las credenciales válidas de cualquier usuario, lo que le permitiría perpetrar futuros ataques con los permisos del usuario interceptado.

Esta vulnerabilidad afecta a las siguientes versiones:

Servidor: NetWare, Linux y Windows.
Cliente: Windows, Linux y Macintosh.

Se recomienda instalar los siguientes parches. Según versión se
encuentran disponibles desde:
Para GroupWise 7.x
http://download.novell.com/index.jsp?search=Search&build_type=SDBuildBean&families=2650&version=14919
Para GroupWise 6.5
http://download.novell.com/index.jsp?search=Search&build_type=SDBuildBean&families=2650&version=12121


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

GroupWise 7.0.2 / 6.5 post SP6 Security Vulnerability
https://secure-support.novell.com/KanisaPlatform/Publishing/300/3382383_f.SAL_Public.html

sábado, 2 de junio de 2007

Tres vulnerabilidades en PHP 5.x

Se han descubierto tres vulnerabilidades en php que podrían ser aprovechadas por un atacante para eludir restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario.

* Un desbordamiento de entero en la función chunk_split que podría ser aprovechado por un atacante para comprometer un sistema vulnerable.

* Un bucle infinito en la función imagecreatefrompng que podría ser aprovechado por un atacante para causar una denegación de servicio.

*Un error en la función realpath que podría ser aprovechado por un atacante para eludir las restricciones open_basedir y safe_mode.

Estas vulnerabilidades afectan a la versión 5.2.2 y anteriores.

Se recomienda actualizar a la versión 5.2.3 disponible para su
descarga desde:
http://www.php.net/downloads.php


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PHP Multiple Function Remote Integer Overflow and Security Bypass Vulnerabilities
http://www.frsirt.com/english/advisories/2007/2016

PHP 5.2.3 Release Announcement
http://www.php.net/releases/5_2_3.php

viernes, 1 de junio de 2007

Un spammer a la cárcel y la misma basura en el buzón

Robert Alan Soloway, un importante spammer de 27 años responsable de una buena parte del correo basura mundial, ha sido sentenciado por un juzgado de Seattle y se enfrenta a una pena de hasta 65 años de cárcel por fraude, robo de credenciales y blanqueo de dinero. Aunque se supone una buena noticia, ni experiencias previas ni el estado actual de la industria del malware hacen pensar que la situación para los que sufren el spam vaya a cambiar demasiado.

Soloway parece que va a recibir por fin su merecido. Lleva varios años siendo responsable del correo basura que llega a los buzones. Ha sido perseguido durante mucho tiempo por distintas empresas y organizaciones, y no es la primera vez que es citado ante un juez. Hasta ahora, había conseguido escapar de (o incluso ignorar) la justicia.

El método de Soloway es el habitual de un spammer de hoy en día. Trabaja codo con codo con creadores de malware para que sean las máquinas "zombie" infectadas las que envían el correo basura. Una vez conseguida una masa crítica de máquinas infectadas a través de varios métodos, éstas son las que prestan su ancho de banda y recursos para enviar la basura, además de nuevas réplicas de estos virus que permiten reclutar más máquinas y mantener (o comenzar así de nuevo) el ciclo. De esta forma, aunque el responsable lógico en primera instancia sea Robert Soloway, muchos sistemas inseguros se convierten en cierta manera en cómplices de este delincuente.

Aunque la sentencia sea aleccionadora y pretenda, más que nada, un efecto disuasorio en el resto de spammers "importantes", la situación no cambiará demasiado. Seguiremos recibiendo la misma cantidad de basura en el buzón. Las razones son varias.

Ya se han detenido en el pasado a varios cabecillas responsables del spam, sin el más mínimo efecto. Jeremy Jaynes a finales de 2004, calificado como el octavo spammer más prolífico. "Buffalo Spammer" a mediados de ese mismo año... Los responsables de las detenciones y sanciones se enorgullecieron en su momento de conseguir cazarlos, pero el tiempo ha demostrado que ni su detención directa ni la advertencia implícita difundida con su encierro han disuadido a otros responsables.

Sin ir más lejos, en febrero de 2007 conocimos un informe de Marshal's Threat Research, en el que se indicaba que el correo basura alcanzaba el 85% del total, con un incremento del 280% desde octubre de 2006. Un aumento sin precedentes.

El problema de base está en la infección masiva de máquinas zombies, que consiguen integrar botnets cada vez más numerosos y son responsables en su mayoría del correo basura recibido. El hecho de detener al que contrata al creador del troyano que envía spam o al controlador del botnet que lo distribuye, no detiene a este tipo de mafias. Sólo una concienciación masiva sobre la necesidad de asegurar bien una máquina para que no se convierta en esclava de un botnet puede ser efectiva y atacar el problema de raíz.

El spam es todavía uno de los pilares de la industria del malware. Además de su objetivo primario como spam en sí (ventas y estafas) que todavía lo hace rentable, gracias a él se distribuye una buena parte de virus y troyanos, además de servir para reclutar muleros para las estafas bancarias. Es uno de los métodos favoritos del crimen organizado, y el hecho de que uno de sus múltiples responsables vaya a la cárcel no hará que se reduzca el nivel de basura en los buzones ni (y esto es lo peor) amedrentará al resto de organizaciones dedicadas a la industria del malware. Más bien les animará a ocupar su “vacante”. Porque como en la Naturaleza, en cuanto un nicho queda vacío, alguien al acecho no tarda en ocuparlo. Ley de la jungla en Internet.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Spam reaches an all-time high
http://www.networkworld.com/news/2007/022207-spam-reaches-an-all-time.html

US spam king faces up to 65 years in clink
http://uk.theinquirer.net/?article=39975

Spammer Sentenced to Nine Years in Jail
http://www.pcworld.com/article/id,118493-page,1/article.html

'Buffalo Spammer' Sent to Slammer
http://www.wired.com/science/discoveries/news/2004/05/63640