domingo, 30 de septiembre de 2007

Actualización del kernel para Debian Linux 4.x

Debian Linux ha publicado una actualización para el Kernel que solventa varias vulnerabilidades que podrían ser aprovechadas por un atacante para provocar una denegación de servicio o ejecutar código arbitrario.

* Un error en el manejo de ptrace_setregs y ptrace_singlestep que podría ser aprovechada por un atacante para provocar una denegación de servicio.

* Un error en la comprobación de la expansión vma en direcciones reservadas para páginas hugetlb que potencialmente podría ser aprovechado por un atacante para provocar una denegación de servicio en plataformas powerpc.

* Un error en sistemas de ficheros cifs con cap_unix habilitado.

* Un error en la limpieza de high bits durante el registro de emulaciones de llamada a sistemas ia32 que podría ser aprovechado por un atacante local para obtener una escalada de privilegios.

* Un error en modos antiguos de inodos creados con el soporte para posix acl habilitado que podría ser aporvechado por un atacante para obtener una escalada de privilegios.

Se recomienda actualizar a través de las herramientas automáticas
apt-get.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

DSA-1378-2 linux-2.6 -- several vulnerabilities
http://www.debian.org/security/2007/dsa-1378

sábado, 29 de septiembre de 2007

Salto de restricciones en Cisco Catalyst 6500 y Cisco 7600 Series

Se ha encontrado una vulnerabilidad en Cisco Catalyst 6500 y 7600 series que puede permitir a un atacante autenticado eludir restricciones de seguridad.

Cisco Catalyst 6500 y 7600 utilizan el rango 127.0.0.0/8 para comunicación interna. Las direcciones de de este rango son accesibles desde fuera del sistema. El módulo supervisor, Multilayer Switch Feature Card (MSFC) u otros módulos pueden recibir y procesar paquetes destinados a la red 127.0.0.0/8. Un atacante podría aprovechar este comportamiento para eludir listas de control de acceso que no filtran este rango. Esto no permitiría eludir la autenticación o autorización. Es necesario tener credenciales válidas para el módulo en cuestión.

Todas las versiones de software que se ejecutan en los Cisco Catalyst 6500 y Cisco 7600 se ven afectadas.

El problema está solucionado en la versión 12.2(33)SXH. Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_response09186a00808ca009.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Response: Catalyst 6500 and Cisco 7600 Series Devices Accessible via Loopback Address
http://www.cisco.com/en/US/products/products_security_response09186a00808ca009.html

Cisco Applied Intelligence Response: Identifying and Mitigating Exploitation of the Catalyst 6500 and Cisco 7600 Series Devices Accessible via Loopback Address
http://www.cisco.com/warp/public/707/cisco-air-20070926-lb.shtml

viernes, 28 de septiembre de 2007

Elevación local de privilegios en el kernel bajo plataformas de 64 bits

Se ha publicado una nueva versión del kernel que subsana un error que puede llevar a una elevación local de privilegios en el kernel de Linux. Un atacante local podría ejecutar código arbitrario en el contexto del kernel de Linux en la plataforma de 64 bits AMD o Intel. Existe exploit público.

El problema está basado en la llamada de sistema de simulación de 32 bits que proporcionan las plataformas de 64 bits. Los sistemas de 64 bits ofrecen compatibilidad hacia atrás para aplicaciones diseñadas para su predecesora de 32 bits. Esto se hace a través de una emulación del sistema anterior, implementando en este caso el kernel llamadas de sistema propias de 32 bits, entre otros muchos recursos para poder ejecutar programas diseñados para esta (todavía popular) arquitectura.

La emulación de llamada a sistema IA32 no valida adecuadamente un valor que puede almacenarse en el registro %RAX. Esto permite provocar un acceso fuera de los límites de la tabla de llamadas al sistema. Si se eligen los valores adecuadamente, se podría inyectar y saltar a ese código que se ejecutaría en el contexto del kernel con totales privilegios.

La vulnerabilidad se produce en las versiones anteriores a la 2.4.35.3 y anteriores a la 2.6.22.7 para las respectivas ramas. El problema se agrava al existir exploit disponible públicamente capaz de aprovechar la vulnerabilidad.

Wojciech Purczynski ha sido el descubridor de este problema. No es la primera vez que este investigador encuentra fallos de elevación de privilegios en el kernel. Notificó esta vulnerabilidad el pasado 18 de septiembre y se ha hecho público el día 24.

Por otro lado, para la rama 2.6.x bajo todas las arquitecturas, la versión 2.6.22.8 también corrige una vulnerabilidad en el driver de ALSA en el kernel por la que un atacante local podría tener acceso a información sensible.

La mayoría de las distribuciones están ya ofreciendo paquetes precompilados que solucionan estas vulnerabilidades, por lo que se recomienda ejecutar las herramientas de actualización correspondientes o descargar del sitio oficial la última versión desde www.kernel.org.


Laboratorio Hispasec
laboratorio@hispasec.com



jueves, 27 de septiembre de 2007

DISI 2007: El doctor Martin Hellman en la Universidad Politécnica de Madrid

El lunes 3 de diciembre de 2007 en el Campus Sur de la Universidad Politécnica de Madrid se celebrará DISI 2007, segunda edición del Día Internacional de la Seguridad de la Información, simposio al más alto nivel científico y técnico organizado por la Cátedra UPM - Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, adscrita a la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT.

El evento, cuya asistencia es gratuita previa inscripción en la página Web de dicha cátedra www.capsdesi.upm.es y que se activará a partir del 15 de octubre de 2007, cuenta este año con la destacada participación del Dr. Martin Hellman, profesor emérito de la Universidad de Stanford y creador junto a Whitfield Diffie y Ralph Merkle de la criptografía de clave pública.

Junto al Dr. Hellman, estará como conferenciante extranjero invitado el Dr. Hugo Scolnik, matemático e investigador de la Universidad de Buenos Aires y uno de los pioneros de la seguridad informática y la criptografía en Argentina.

Además de estos invitados internacionales, tendrán destacada participación en DISI 2007 D. Artemi Rallo Lombarte, Director de la Agencia Española de Protección de Datos; D. Víctor Domingo de la Asociación de Internautas, D. José Martín Pérez de Asimelec, D. Manuel Arrebola de Zitralia, D. Julián Inza de Albalia, Dña. Gemma Deler de Applus+, D. Sergio de los Santos de Hispasec, D. Fernando Acero de Hispalinux y D. Juan Carlos García Cuartango del Instituto para la Seguridad en Internet.

Como en su primera edición, colaboran en la difusión de DISI 2007 entre otros Red Seguridad, ISSA, ATI, Hispasec y hakin9.

Puede descargar el programa completo en pdf desde la página Web del servidor de la Cátedra.

Para cualquier información adicional, por favor contactar con el director de la cátedra D. Jorge Ramió en la siguiente dirección de correo electrónico: capsdesi@eui.upm.es.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed



miércoles, 26 de septiembre de 2007

Vulnerabilidad en AOL Instant Messenger (AIM) 6.x

Se ha encontrado una vulnerabilidad en AOL Instant Messenger (AIM) que podría permitir a un atacante que enviara un mensaje a su víctima, ejecutar código arbitrario en el sistema afectado.

AOL Instant Messenger (AIM) es un popular cliente de mensajería instantánea con 53 millones de usuarios activos, según la Wikipedia.

Para ofrecer soporte de interpretación de contenido HTML, AIM utilizan el control mshtml.dll, propio de Internet Explorer. El programa no valida correctamente la entrada a este control. El fallo consiste en que un atacante podría enviar un mensaje especialmente manipulado e incluso ejecutar código arbitrario, sin que tenga que ser abierto por la víctima. También se puede ejecutar código JavaScript a través de etiquetas "img" incrustadas en el mensaje. Puesto que lo harían en la zona local, el código JavaScript tendría completo acceso al sistema.

AOL ha confirmado el fallo en AIM 6.1, 6.2 Pro y Lite calificándolo como "crítico". Aunque parece que en la parte de servidores se ha reforzado el filtrado de mensajes para evitar este fallo, algunos investigadores afirman que todavía es posible saltarse estas nuevas medidas de seguridad e introducir JavaScript en los mensajes. Por la parte del cliente, aunque la nueva versión beta decía corregir el problema, de nuevo parece que sigue siendo vulnerable (modificando ligeramente la prueba de concepto) la última versión de AIM, así lo confirman otros investigadores.

La página del descubridor ofrece también contramedidas para mitigar el potencial impacto de la vulnerabilidad.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:
http://aviv.raffon.net/2007/09/25/ReadyAIMFire.aspx

Remote command execution, HTML and JavaScript injection vulnerabilities
in AOL´s Instant Messaging software
http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=1924

martes, 25 de septiembre de 2007

Denegación de servicio a través de ptrace en Linux Kernel 2.6.x

Se ha encontrado una vulnerabilidad en el kernel de Linux que puede ser explotada por un atacante local para causar una denegación de servicio.

El problema reside en un error en ptrace cuando un proceso hijo es depurado paso a paso (single-stepping a debugged child process) que puede hacer que el registro "CS" apunte a "null". Esto puede ser explotado para causar una denegación de servicio en el kernel.

Existe la posibilidad actualizar el parche existente en el repositorio git:
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=29eb51101c02df517ca64ec472d7501127ad1da8


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

NULL pointer dereference triggered by ptrace
http://bugzilla.kernel.org/show_bug.cgi?id=8765

lunes, 24 de septiembre de 2007

Ataques "contra la reputación" a través de PayPal

Cuando los ataques por fuerza bruta (a través de denegaciones de servicio distribuidas llevadas a cabo por una inmensa botnet) no tienen éxito, los operadores de estas redes han acudido a un método mucho más sutil y curioso. Ataques "contra la reputación". CastleCops está siendo víctima de este tipo de ataques destinados a arruinar la imagen (y el sustento) de una comunidad de voluntarios dedicada a la seguridad.

CastleCops es una comunidad de voluntarios que pretenden que Internet sea un sitio más seguro a través de la publicación de herramientas, alertas, divulgación... todas destinadas a atacar en especial el phishing y el malware, teniendo siempre como prioridad la educación de los usuarios. Llevan semanas y semanas sufriendo un intenso ataque de denegación de servicio que intenta saturar su página web de forma que nadie pueda conectarse. Este tipo de embestida la lleva a cabo una red de zombis que realiza constantes e insistentes peticiones al servidor de la comunidad. Afortunadamente después de algunas complicaciones han conseguido que el impacto de estos ataques sea mínimo (con la ayuda de muchos ISP a los que el trabajo de esta organización les es de gran utilidad).

Pero esto no evita que los atacantes se rindan. Están realizando una curiosa campaña de deterioro de la imagen de la comunidad a través de donaciones "involuntarias". CastleCops acepta donaciones de usuarios o simpatizantes a través de PayPal, el servicio de pago online propiedad de eBay. Desde hace también unas semanas CastleCops está recibiendo decenas de donaciones que van desde un dólar a varios cientos. Esto sería una buena noticia para ellos si no fuera porque estos "regalos" no están siendo autorizados por los dueños de las cuentas que proporcionan el dinero. El traspaso se realiza sin permiso del afectado, desde cuentas de PayPal robadas a través de phisihng.

Esto tiene varias consecuencias. La impresión para muchos usuarios de PayPal cuyas credenciales han sido robadas es que CastleCops, sin su permiso, está tomando dinero de su cuenta de PayPal privada. Los fundadores de CastleCops hablan incluso de serias amenazas por parte de usuarios indignados. Además esto implica una importante inversión de recursos por parte de la organización para gestionar estas quejas, y diferenciar quién realmente ha realizado una donación legítima o no. Si el volumen de transacciones fraudulentas fuera muy elevado, podría llegar a invalidar por completo este método de financiación. Por otro lado, la relación de CastleCops con PayPal también puede llegar a deteriorarse.

CastleCops dice que está esforzándose por devolver el dinero donado "a la fuerza" a sus legítimos dueños. No deja de resultar curioso este tipo de ataque contra CastleCops, una organización en el punto de mira de muchas bandas organizadas de atacantes que encuentran en la organización un enemigo natural. Si bien los insistentes y "tradicionales" ataques de denegación de servicio distribuido (DDoS) con los que los han asediado parecen no haber tenido el "éxito" esperado, no tardan en encontrar otros métodos "ingeniosos" de arruinar en algún aspecto a la comunidad.

Aunque quizás sin relación, desde Hispasec hemos detectado un intenso aumento de ataques phishing con el fin de robar las cuentas de PayPal. El número de páginas que simulan ser el portal de pago ha aumentado considerablemente. Sin llegar a los niveles del ataque que sufrió MySpace a mediados de junio, PayPal está sin duda entre las páginas más "imitadas" del momento. Lo que ha venido a llamarse el "ataque contra la reputación" necesita de muchas cuentas robadas para poder llevarse a cabo, y el phishing es el método más efectivo para recolectar víctimas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

14/06/2007 Avalancha de ataques phishing contra MySpace: Algunas teorías
http://www.hispasec.com/unaaldia/3155

The Threat of Reputation-Based Attacks
http://blog.washingtonpost.com/securityfix/2007/09/the_danger_of_reputation_attac.html

domingo, 23 de septiembre de 2007

Varias vulnerabilidades en IBM Tivoli Storage Manager Client 5.x

Se han descubierto dos vulnerabilidades en el IBM Tivoli Storage Manager Client que podrían ser aprovechadas por un atacante para revelar información sensible del sistema y potencialmente comprometer un sistema vulnerable.

* Un error de límite en Client Aceptor Daemon que podría ser aprovechado por un atacante para provocar un desbordamiento de buffer y potencialmente ejecutar código arbitrario.

* Un error no especificado a la hora de usar server-initiated que podría ser aprovechado por un atacante para obtener acceso a los datos del usuario.

Estas vulnerabilidades afectan a las versiones 5.1, 5.2, 5.3 y 5.4 y a los siguientes clientes:
*Web client GUI.
*Backup-Archive client scheduling.
*Backup-Archive server-initiated prompted scheduling.

Se recomienda instalar los siguientes parches publicados por IBM. Según versión se encuentran disponibles desde:

5.4.1.2 (PTF UK27738 y UK27739):
http://www.ibm.com/support/docview.wss?uid=swg24016585

5.3.5.3 (PTF UK29248 y UK29249):
http://www.ibm.com/support/docview.wss?uid=swg24016838

5.2.5.2 y 5.1.8.1:
http://www.ibm.com/support/docview.wss?uid=swg24016985
http://www.ibm.com/support/docview.wss?uid=swg24016586


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Two security vulnerabilities exist in the IBM Tivoli Storage Manager (TSM) client
http://www-1.ibm.com/support/docview.wss?uid=swg21268775

sábado, 22 de septiembre de 2007

PDF de la FIA revela datos sensibles del caso Ferrari vs. McLaren

Una más. Ya ocurrió en 2003, cuando el gobierno británico publicó un
informe sobre Irak, Saddam Hussein y sus armas de destrucción masiva,
sin tener en cuenta los metadatos ocultos que incluía el formato Word,
cuya revelación ponían en entredicho la veracidad de la fuente. En
esta ocasión, si bien con un asunto más banal y menos dramático, la
pifia es de la Federación Internacional de Automovilismo.

Suponiendo que a estas alturas no es necesario explicar el culebrón
del verano, Ferrari vs. McLaren, resulta que la FIA publicó en su web
las transcripciones de las reuniones sobre este caso de espionaje.

Antes de su publicación, el borrador del documento fue revisado por
Ferrari y McLaren para que indicaran el contenido confidencial que los
protagonistas revelaron en sus declaraciones, como por ejemplo datos
sensibles o relativos a su tecnología, cuyo conocimiento precisamente
ha desatado la investigación y posterior sanción.

Pues bien, una vez el documento fue revisado y convenientemente
censurado, la FIA lo publicó en su servidor web en formato PDF. La
visualización del documento muestra algunas porciones del texto
ocultas por un rectángulo negro superpuesto. Si bien, el texto
original continúa ahí debajo, al alcance de cualquiera, a golpe de
ratón.

Basta con seleccionar el texto en el PDF (incluyendo las zonas
ocultas), copiar, pegar en el bloc de notas o cualquier otro sitio,
y el texto censurado de las declaraciones de Pedro de la Rosa y
compañía quedan al descubierto.

Como era de esperar, nada más conocerse el error de bulto, la FIA ha
cambiado el PDF de su web con una nueva versión. Si bien ya es
demasiado tarde, la versión original ya circula por Internet.

Si eres aficionado al automovilismo y quieres conocer los detalles del
culebrón, como por ejemplo lo que gana un ingeniero de Ferrari, la
información que manejaban Alonso y Pedro, o simplemente quieres
probar como revelar información "oculta" en un PDF, puedes hacerlo
tú mismo descargando el documento original desde la siguiente
dirección:

http://blog.hispasec.com/laboratorio/238

Técnicamente no deja de ser una anécdota que ocurre a diario, un error
de bulto de quién generó el documento por desconocer las funciones
básicas de protección del formato PDF. Sin embargo llama la atención
que ocurra en un caso de tanta repercusión mediática y donde
precisamente el organismo que comete el error ha impuesto una sanción
de millones de euros por tráfico y conocimiento de este tipo de datos.

Si se hubieran aplicado algunas medidas de seguridad (por ejemplo, es
posible impedir acciones como copiar&pegar en PDF), aun sería posible
acceder al texto oculto. Por ello es importante que a la hora de
generar archivos públicos se elimine explícitamente la información
sensible teniendo en cuenta las características del formato, lo que
puede requerir eliminar datos ocultos (metadatos en Word, thumbnails
que las cámaras de fotos digitales incluyen en los archivos de
fotografías, etc).

Recordemos, los documentos incluyen información que no está visible a
simple vista cuyos datos pueden llegar a ser sensibles (información
borrada, autor y revisores del documento, número de licencia del
programa, datos del ordenador donde fue generado, metadatos
adicionales, etc). Si no se tiene un control sobre el formato, se
tienen dudas sobre lo que puede llegar a contener, o dificultad para
realizar la limpieza de metadatos ocultos, otra opción es optar por
publicar en formatos más transparentes y/o básicos.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Caso espionaje Ferrari vs. McLaren al descubierto, ¿piFIA o FIAsco?
http://blog.hispasec.com/laboratorio/238

Ciertos metadatos en fotografías vuelven a revelar información sensible
http://www.hispasec.com/unaaldia/2795

Detalles sobre los datos ocultos en el informe sobre Irak
http://www.hispasec.com/unaaldia/1758

Un error de la FIA deja al descubierto a Ferrari
http://www.marca.com/edicion/marca/motor/formula1/es/desarrollo/1038669.html

Un error de la FIA desvela los secretos de Ferrari
http://www.elpais.com/articulo/deportes/error/FIA/desvela/secretos/Ferrari/elpepudep/20070921elpepudep_10/Tes

La Fia mette in Rete i segreti della Ferrari
http://www.corriere.it/Primo_Piano/Sport/2007/09_Settembre/21/ferrari_segreti_fia.shtml

viernes, 21 de septiembre de 2007

Posible ejecución de código arbitrario a través de archivos PDF en Adobe Acrobat Reader

Se ha publicado una potencial vulnerabilidad en Adobe Acrobat Reader
que podría permitir a un atacante ejecutar código arbitrario. Su
descubridor no ha dado detalles sobre la vulnerabilidad, pero afirma
que un atacante podría fabricar un archivo PDF especialmente
manipulado y hacer que se ejecute código arbitrario en Windows si es
abierto con Adobe Acrobat Reader.

El mismo investigador (Petkov) que diera a conocer la semana pasada la
vulnerabilidad en QuickTime Player a través de Firefox y el reciente
fallo en el cliente de “Second Life”, ha anunciado un nuevo problema
en Adobe Acrobat Reader, el lector de PDF estándar "de facto" para
Windows.

Aunque no ha publicado detalles sobre el fallo, afirma que puede
permitir la ejecución de código en Windows y que posee una prueba de
concepto funcional. Dada la reputación y credibilidad de su
descubridor (sumada a otros descubrimientos de vulnerabilidades sobre
las que alertó en enero que afectaban Adobe Acrobat Reader) pocos
dudan de que el problema no sea cierto. El fallo parece haber sido
reproducido en un Windows XP Service Pack 2 con Adobe Acrobat Reader
totalmente actualizados, no resultando vulnerable Windows Vista.

Aunque no constituya prueba irrefutable, Petkov ha publicado un vídeo
donde se muestra el efecto de su prueba de concepto (ejecuta la
calculadora con solo abrir un PDF). Dice no haber publicado más
detalles del asunto porque realmente supondría una seria amenaza. Y no
le falta razón. El formato PDF se ha convertido en un sistema de
intercambio muy utilizado entre usuarios, más aún entre organizaciones
y empresas, tanto como los documentos ofimáticos en los que se suele
confiar ciegamente.

Teniendo en cuenta la avalancha de spam en formato PDF que surgió en
junio, ofrecer los detalles de una vulnerabilidad de este tipo podría
ser catastrófico. En principio, no parece que esos correos intenten
aprovechar vulnerabilidades en Adobe Reader. Si así fuese, el hecho de
abrir un adjunto de este tipo con un lector vulnerable (pues los
usuarios no suelen actualizarlo tan a menudo como el sistema
operativo) podría causar un gran problema. Hasta ahora, parece que el
secreto sigue “a salvo”, y que la vulnerabilidad no está siendo
utilizada de forma masiva para infectar sistemas. Su descubridor
quiere revelar los detalles cuando exista un parche eficaz, en el que
se supone que Adobe debe estar ya trabajando.

Por tanto, la recomendación es clara: ignorar archivos PDF no
solicitados o usar alternativas en el caso de que sea posible: Gsview
para Windows, puede resultar una alternativa válida, pues no parece
vulnerable. No así Foxit Reader, que sí que sufre también este fallo
en concreto aunque necesita de interacción por parte del usuario. Con
Adobe la ejecución sería automática.


Sergio de los Santos
ssantos@hispasec.com


Más información:

0day: PDF pwns Windows
http://www.gnucitizen.org/blog/0day-pdf-pwns-windows

jueves, 20 de septiembre de 2007

Actualización de más de 20 vulnerabilidades en productos VMWare

VMWare ha publicado actualizaciones para casi todos sus productos. Estas nuevas versiones corrigen un total de hasta veinte problemas de seguridad que pueden llegar a permitir a atacantes tomar el control de sistemas donde se ejecuten estas aplicaciones.

Uno de los fallos, por ejemplo, se basa en el sistema DHCP de VMWare. Un atacante podría enviar datos especialmente manipulados, provocar un desbordamiento de enteros y ejecutar código arbitrario con los privilegios de SYSTEM (bajo Windows).

Otra vulnerabilidad permite a un atacante local con privilegios de administrador en el sistema huésped, provocar una corrupción en memoria en el proceso del host y ejecutar código arbitrario en el sistema principal.

Además, existen otras vulnerabilidades que permitirían a un atacante causar una denegación de servicio o sobrescribir ficheros arbitrarios del sistema, elevar privilegios....

Aparte de estos problemas específicos, se corrigen otras vulnerabilidades de terceros conocidas, de componentes que incluyen los productos VMware (ESX) y que ahora son actualizados. Entre otros, se corrigen fallos en BIND, krb5, vixie-cron, shadow-utils, samba...

Se recomienda a todo el que administre sistemas con entornos virtuales actualice de inmediato todos los productos VMWare, para evitar que el sistema que los aloja quede comprometido. Se ven afectados ESX versiones 2.x y 3.x. VMware workstation versiones 5.x y 6.x, VMware Server versiones 1.x, VMware ACE versiones 1.x y 2.x y VMware Player 1.x y 2.x.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Critical security updates for all supported versions of VMware ESX
Server, VMware Server, VMware Workstation, VMware ACE, and VMware Player
http://archives.neohapsis.com/archives/fulldisclosure/2007-09/0356.html

miércoles, 19 de septiembre de 2007

Ejecución de código a través de mfc42.dll y mfc42u.dll en Windows XP

Se han publicado los detalles de una vulnerabilidad en librerías de Microsoft Windows XP que podría permitir a un atacante ejecutar código arbitrario. El fallo, en principio, puede ser aprovechado a través de otros programas (todavía desconocidos) que tengan acceso a las librerías.

Investigadores de GoodFellas Security Research Team han hecho públicos los detalles de una vulnerabilidad en dos librerías del sistema, mfc42.dll y mfc42u.dll. En concreto, en ellas se puede encontrar la función FindFile de la clase CFileFind que sufre de un desbordamiento de memoria intermedia que podría permitir a un atacante inyectar y ejecutar código arbitrario si es capaz de aprovechar el fallo pasándole un argumento muy largo a la función.

Para poder aprovechar la vulnerabilidad, el atacante debería utilizar programas que hagan uso de esas funciones y le envíen parámetros, es decir, se conviertan en vectores de ataque. Hasta ahora, se conoce que HP All-in-One Series Web Release versión 2.1.0 y HP Photo & Imaging Gallery versión 1.1 pueden permitir aprovechar el fallo. En realidad cualquier aplicación que use esa API y permita manipular el primer parámetro puede causar el desbordamiento y explotar el fallo.

Según su descubridor, advirtió a Microsoft del problema el pasado 21 de junio. Sin respuesta satisfactoria, ha decidido hacer público su descubrimiento. Por ahora se sabe que las versiones de MFC42.dll 6.2.4131.0 y MFC42u.dll 6.2.8071.0 que se encuentra en un XP SP2 actualizado son vulnerables.

Tratándose de librerías que son usadas habitualmente por aplicaciones, el impacto es cuando menos difuso debido a que aún no está claro cuántos programas “en el mercado” hacen uso de estas librerías y en concreto de esas funciones. En cualquier caso sería posible crear software específico que aprovechara el fallo. Los programadores que hagan uso de estas funciones en su código deben asegurarse de que se comprueba la longitud del parámetro afectado, puesto que la librería en sí no lo hace y es esta la causa del problema.

El control ActiveX hpqutil.dll versión 2.0.0.138 resulta por ahora vector de ataque seguro. Para ellos se puede activar el kill bit, que evita que Internet Explorer tenga acceso a la librería. Su ClassID es F3F381A3-4795-41FF-8190-7AA2A8102F85. O mejor aún, usar las zonas de Internet para que cualquier página no confiable no sea capaz de hace uso de ActiveX.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Researchers warn of new Microsoft Windows security flaw
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci1272760,00.html

Security vulnerability in HP ActiveX control
http://www.heise-security.co.uk/news/96081

FileFind class from MFC Library cause heap overflow.
http://goodfellas.shellcode.com.ar/own/VULWKU200706142

martes, 18 de septiembre de 2007

Ejecución de código a través de archivos TIFF en OpenOffice.org

OpenOffice.org ha publicado la versión 2.3 de su suite ofimática que soluciona varios fallos de estabilidad y uno importante de seguridad que podría ser aprovechado por atacantes para ejecutar código arbitrario en el sistema víctima.

OpenOffice.org es una suite de oficina similar a Microsoft Office, de software libre y gratuito. Incluye aplicaciones como procesador de textos, hoja de cálculo, gráficos vectoriales, edición HTML, presentaciones... Viene incluida de serie en la mayoría de las distribuciones Linux actuales, y puede utilizarse además en decenas de sistemas y arquitecturas. IBM ha anunciado recientemente su apoyo al proyecto.

La vulnerabilidad descubierta se debe a un fallo en el análisis de archivos de imagen TIFF. El intérprete utiliza valores no confiables del fichero TIFF para asignar un espacio en memoria. En concreto, se producen desbordamientos de enteros a la hora de procesar ciertas etiquetas en un archivo de este tipo. Un atacante podría aprovechar esto para provocar un desbordamiento de memoria a través de un fichero especialmente manipulado y potencialmente ejecutar código arbitrario.

Esta vulnerabilidad ha sido descubierta a través del "iDefense Vulnerability Contributor Program" y notificada al fabricante por primera vez en mayo de 2007.

OpenOffice.org sufrió un problema parecido con el formato RTF a mediados de junio de este mismo año.

La versión 2.3 de OpenOffice.org soluciona estos problemas, aunque no está disponible en todos los idiomas. Para la rama 1.x no se ha publicado nueva versión o parche. La mayoría de las distribuciones están ya ofreciendo paquetes precompilados que solucionan la vulnerabilidad, por lo que se recomienda ejecutar las herramientas de actualización correspondientes o descargar del sitio oficial la nueva versión.
http://download.openoffice.org/index.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Manipulated TIFF files can lead to heap overflows and arbitrary code
execution
http://www.openoffice.org/security/cves/CVE-2007-2834.html

lunes, 17 de septiembre de 2007

Revelación de información en Adobe Connect Enterprise Server 6

Se ha descubierto una vulnerabilidad en Adobe Connect Enterprise Server que podría ser aprovechada por un atacante para revelar información del sistema.

Adobe Connect Enterprise Server 6 está asociado a una serie de aplicaciones para alojar y gestionar reuniones, seminarios, presentaciones, formación y eventos en línea.

Esta vulnerabilidad se debe a una comprobación insuficiente de ciertas entradas no especificadas. Un atacante podría aprovechar esto para ver ciertas páginas reservadas al administrador.

El problema afecta a la versión 6 de Adobe Connect Enterprise Server. Se recomienda actualizar a Adobe Connect Enterprise Server 6 SP3 cuya descarga está disponible desde:
http://www.adobe.com/support/connect/updates.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Patch available for Adobe Connect Enterprise Server information disclosure issue
http://www.adobe.com/support/security/bulletins/apsb07-14.html

domingo, 16 de septiembre de 2007

Actualización del Kernel para Red Hat Enterprise Linux 5

Red Hat ha publicado una actualización para el Kernel que solventa varias vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio o revelar información sensible del sistema.

Los errores corregidos son:

* Un error en el controlador DRM para tarjetas gráficas Intel que podría ser aprovechado por un atacante local para obtener acceso a cualquier sección de la memoria principal.

* Un error en el manejo del ioctl vfat compat en sistemas de 64 bits que podría ser aprovechado por un atacante local para corromper la estructura kernel_dirent y provocar una denegación de servicio.

* Un error en el seguimiento de conexiones de sctp que podría ser aprovechado por un atacante remoto para provocar una denegación de servicio.

* Un error en el sistema de ficheros cifs que podría ser aprovechado por un atacante para revelar información sensible.

* Un error en la expansión stack al utilizar el kernel hugetlb en sistemas PowerPC que podría ser aprovechada por un atacante local para provocar una denegación de servicio.

* Un error en el subsistema isdn capi que podría ser aprovechado por un atacante remoto para provocar una denegación de servicio y potencialmente obtener acceso al sistema. Para que se pudiera llevar a cabo el ataque, el atacante debería poder enviar frames a través de la red isdn a la víctima.

* Un error en el soporte de cpuset que podría ser aprovechado por un atacante local para revelar información sensible de la memoria del kernel. Para que un atacante pudiera llevar a cabo un ataque el sistema de ficheros cpuset debería estar montado.

* Un error en el manejo de la opción de montado "sec=" de CIFS que no habilita la comprobación de integridad del sistema ni produce un error por ello.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
http://rhn.redhat.com/errata/RHSA-2007-0705.html

sábado, 15 de septiembre de 2007

Vulnerabilidad en Quicktime Player permite ejecución de código a través de Firefox

Se ha encontrado una vulnerabilidad en QuickTime Player que puede permitir a un atacante ejecutar código arbitrario en el sistema víctima si abre un fichero multimedia especialmente manipulado. El fallo se agrava cuando Firefox se convierte en el vector de ataque.

QuickTime player es un popular reproductor multimedia de Apple que forma parte de la arquitectura multimedia estándar del mismo nombre. Puede encontrarse como reproductor individual o como "plugin" para navegadores como Firefox, Internet Explorer y Opera.

El fallo se debe a un error de diseño a la hora de procesar el parámetro qtnext dentro de ficheros QuickTime link (.qtl). Esto podría permitir a un atacante ejecutar código si la víctima abre con un reproductor vulnerable un fichero especialmente manipulado o visita una web también especialmente manipulada para aprovechar la vulnerabilidad. En concreto, un fallo a la hora de depurar contenido XML permite a un atacante ejecutar JavaScript incrustado, comprometiendo el navegador y probablemente el sistema operativo.

El descubridor ya publicó un problema muy parecido de Quicktime en septiembre de 2006, que según dice fue ignorado por Apple. Ahora el fallo ha sido estudiado con mayor profundidad y se considera de riesgo muy alto. Ha colgado en su web una prueba de concepto que permite ejecución de código directa si se visita el enlace con Firefox. Según su descubridor Internet Explorer también es vulnerable, pero el impacto es menor gracias a la política interna de zonas del navegador. También parece igualmente que sólo bajo Windows se es vulnerable y posiblemente bajo Mac OS X.

No existe parche oficial. Se recomienda no visitar páginas que contentan enlaces Quicktime no solicitados. eEye recomienda en cualquier caso, deshabilitar los plugins en los navegadores, renombrado los ficheros npqt*.dll o nppqt*.dll en el directorio correspondiente o (para Internet Explorer) activar el kill bit de QuickTime con los CLSID 02BF25D5-8C17-4B23-BC80-D3488ABDDC6B y 4063BE15-3B08-470D-A0D5-B37161CFFD69. Firefox dice estar trabajando ya en una nueva versión que impida que el navegador se convierta en el desencadenante de la vulnerabilidad.

En todos los casos, y como medida básica de seguridad, se recomienda hacer uso de NoScript (plugin para Firefox) o las zonas de Internet Explorer (funcionalidad integrada para deshabilitar la ejecución de JavaScript en páginas no confiables).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Quicktime pwns firefox
http://www.gnucitizen.org/blog/0day-quicktime-pwns-firefox

Year-old QuickTime bug gives hackers new drive-by attack
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9036418

QTL Arbitrary JavaScript Execution
http://research.eeye.com/html/alerts/zeroday/20060920.html

viernes, 14 de septiembre de 2007

Se publica prueba de concepto para la vulnerabilidad descrita en el boletín MS07-051

Se ha publicado una prueba de concepto para una de las vulnerabilidades parcheadas este último martes, en el ciclo habitual de actualizaciones de Microsoft. En menos de 24 horas tras hacer público el parche correspondiente, ha aparecido este exploit que permite la ejecución de código con solo visitar una página web con Internet Explorer bajo Windows 2000.

Solo han necesitado 24 horas para analizar el parche (sin detalles conocidos hasta el día de su publicación) y crear una prueba de concepto funcional que permite la ejecución de código. El boletín es el MS07-051, que resuelve un fallo en la forma en que Microsoft Agent maneja ciertas URLs especialmente manipuladas. Si se aprovecha mientras se navega con privilegios de administrador, el atacante podría tomar completo control del sistema. Sólo afecta a Windows 2000. Este boletín reemplaza al MS07-020 que apareció en abril.

Microsoft Agent, curiosamente, es un componente que se encarga de controlar los caracteres animados interactivos de ayuda que presenta el sistema operativo. En una palabra, es el componente responsable del (generalmente odiado) "Clippy", ese molesto y enervante clip animado que acompañó algunos años a la suite Microsoft Office, para finalmente ser "enterrado" en la versión de 2007.

La prueba de concepto ha sido publicada por alguien que posee un correo brasileño. Este fallo ha sido el único clasificado como crítico por Microsoft en esta tanda correspondiente a la actualización de septiembre. Este mes destaca por un bajo número de parches publicados por Microsoft (cuatro, cuando en principio se anunciaron cinco) y sólo uno crítico para una versión concreta de su sistema operativo.

Lo verdaderamente peligroso de esta vulnerabilidad es que se encuentra en un ActiveX accesible desde Internet Explorer. Con sólo visitar una web que haga referencia a este control (una librería DLL) se permite ejecutar código arbitrario en el sistema.

Es posible que se observe algún intento de aprovechar este fallo para la instalación de malware, pero sospechamos que no se hará de forma masiva. Windows 2000 es usado por una minoría de usuarios "caseros" (objetivo preferente de la industria del malware) que siguen utilizando XP. En entornos corporativos, sin embargo, la versión de 2000 sigue muy presente. En estos ambientes empresariales, es de suponer que la seguridad se encuentre mucho más controlada (aunque todos conozcamos deshonrosas excepciones) y que el impacto de esta publicación del exploit sea mínimo.

En cualquier caso, se recomienda aplicar el parche correspondiente, y si no es posible, usar las zonas de Internet Explorer para controlar el nivel de confianza en las webs visitadas y evitar así la ejecución de JavaScript y ActiveX. También, como siempre, activar el "kill bit" para que la librería deje de ser accesible a través del navegador.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Exploit code appears for Microsoft Agent bug
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9036218

Boletín de seguridad de Microsoft MS07-051 - Crítico
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-051.mspx

jueves, 13 de septiembre de 2007

Boletines de seguridad de Microsoft en septiembre

Tal y como adelantamos, este semana Microsoft ha publicado cuatro (en principio se anunciaron cinco) boletines de seguridad (MS07-051 al MS07-054) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft uno de los boletines presenta un nivel de gravedad "crítico", mientras que los tres restantes se catalogan como "importantes".

Los catalogadas por Microsoft como críticos:

* MS07-051: Resuelve un fallo en la forma en que Microsoft Agent maneja ciertas URLs especialmente manipuladas que puede permitir a un atacante ejecutar código en el sistema si construye una página web especialmente manipulada y esta es visitada por el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema. Sólo afecta a Windows 2000.

Los catalogadas por Microsoft como importantes:

* MS07-052: Existe un fallo en la forma en la que Crystal Reports para Visual Studio maneja archivos RPT especialmente manipulados que podrían provocar una corrupción de memoria. Una atacante podría aprovechar esta vulnerabilidad construyendo un sitio web donde alojar estos archivos RPT manipulados, o mediante el envío de este tipo de archivos como adjuntos en un correo electrónico. Si este fallo es aprovechado, el atacante podría conseguir ejecutar código en el sistema con los permisos del usuario víctima. Afecta a Visual .NET 2003, 2002 y Visual Studio 2005.

* MS07-053: Una vulnerabilidad en Windows Services para UNIX 3.0, 3.5 y Subsystem para aplicaciones basadas en UNIX que podría ser aprovechada por un atacante para obtener una escalada de privilegios. Esta vulnerabilidad podría ser aprovechada por un atacante para comprometer un sistema vulnerable a través de ciertos ficheros binarios setuid.

* MS07-054: Una vulnerabilidad en MSN Messenger y Windows Live Messenger que podría ser aprovechada por un atacante para ejecutar código arbitrario. Esta vulnerabilidad se debe a un error en la funcionalidad de cámara web. Un atacante podría aprovechar esto para ejecutar código arbitrario con los privilegios del usuario a través de peticiones especialmente manipuladas. Afecta a todas las versiones anteriores a la 8.1.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS07-051 - Crítico
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-051.mspx

Boletín de seguridad de Microsoft MS07-052 - Importante
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-052.mspx

Boletín de seguridad de Microsoft MS07-053 - Importante
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-053.mspx

Boletín de seguridad de Microsoft MS07-054 - Importante
http://www.microsoft.com/spain/technet/security/Bulletin/MS07-054.mspx

miércoles, 12 de septiembre de 2007

Elevación local de privilegios a través de pixmaps en X.org X11

Se ha descubierto una vulnerabilidad en X.org X11 que podría ser aprovechada por un atacante local para provocar una denegación de servicio o ejecutar código arbitrario con privilegios elevados.

X.org es el sistema X Window de referencia usado en Unix, Linux y BSD. Oficialmente se le conoce como “X.Org Foundation Open Source Public Implementation of X11”. Es software libre, gratuito y abierto. Nació como "fork" de Xfree86, por desacuerdos con la licencia que éste había adoptado.

La vulnerabilidad se debe a un error de límite en la extensión Composite al copiar datos de pixmaps con diferentes profundidades de bit. Un atacante local podría aprovechar esto para provocar un desbordamiento de memoria intermedia a través de pixmaps especialmente manipulados y hacer que el sistema dejase de responder e incluso ejecutar código con los privilegios elevados del servidor X.org

Esta vulnerabilidad ha sido solventada en la versión 1.4 de xorg-server. X11R7.3 incorpora esta versión.
http://lists.freedesktop.org/archives/xorg-announce/2007-September/000378.html

La mayoría de las distribuciones están ya ofreciendo paquetes precompilados que solucionan el problema, por lo que se recomienda ejecutar las herramientas de actualización correspondientes.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

New xorg-server packages fix privilege escalation
http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00134.html

martes, 11 de septiembre de 2007

Contraseñas de embajadores a través de la red TOR

A finales de agosto, alguien apodado Egerstad desde Suecia, publicó en su blog las contraseñas de cien cuentas de correo pertenecientes a instituciones gubernamentales de todo el mundo. No explicó cómo había conseguido toda esa cantidad de información confidencial hasta hace unos días. Gracias al uso de TOR, con el que sus "víctimas" se sentían seguras, Egerstad consiguió esta información confidencial que puso a disposición de cualquiera en Internet.

Egerstad, en una entrada en su blog pública y accesible (que ya no permanece activa), escribió nada menos que el nombre de 100 usuarios y contraseñas de correos de importantes instituciones de varios países, entre ellos, muchos embajadores. Decía disponer de mucha más información confidencial de grandes empresas que no publicó. No había motivo, no tenía un fin concreto: las consiguió (de algún modo) y permitió que todos la vieran simplemente (según él) porque quería concienciar del problema.

Hoy sabemos que fueron, paradójicamente, obtenidas a través del popular TOR, una red para hacer anónimo el tráfico en Internet. TOR (The Onion Router) es un software gratuito que implementa un sistema de enrutado y anonimato avanzado. Permite comunicación anónima en Internet enrevesando el tráfico y haciéndolo pasar por distintos enrutadores para perder la pista del origen de las peticiones. Los usuarios que busquen anonimato instalan un proxy local y éste establece un circuito virtual a través de una red TOR que les permite comunicarse con su destino sin que nadie pueda ser 'reconocido'. La comunicación entre distintos enrutadores (y esto es importante) se produce de forma cifrada. A grandes rasgos así funciona.

El incidente despierta numerosas cuestiones. ¿Cómo es posible que se consiguieran las contraseñas a través de una red anónima y cifrada? Porque el tráfico no permanece cifrado en todo su camino, sino 'solo entre enrutadores'. Existen unos nodos de salida (exit nodes) en los que el tráfico se transmite en texto claro desde el último enrutador de TOR hacia su destino final. Este es el punto débil que aprovechó Egerstad para trazar su plan: instalar un nodo de salida, un analizador de tráfico y simplemente esperar. Cualquiera puede montar un nodo de TOR. Egerstad instaló cinco.

La documentación de TOR indica explícitamente que el sistema ofrece anonimato pero no cifrado en última instancia, y que si no se utiliza cifrado punto a punto entre el origen y el destino (SSL, por ejemplo) el tráfico queda accesible para los nodos de salida y por tanto, para quien tenga el control sobre ellos. Un correo, por ejemplo, sin cifrar y sin comunicación SSL con el servidor, sería tan 'visible' a través de TOR como de cualquier otra red. La red TOR no es insegura por esto. Cumple perfectamente el trabajo para el que está diseñada.

Son los usuarios los que parecen incapaces de comprender que el anonimato y el cifrado son dos cualidades distintas que hay que aplicar por separado a los datos, y que no siempre van unidas. El uso de TOR no garantiza la confidencialidad, sólo el anonimato.

Egerstad no es el único que ha tenido una idea parecida. Se están abriendo una gran cantidad de nodos TOR en distintos países. De 2006 a hoy, han pasado de menos de una decena a 77 nodos alojados en China. Los fines no están muy claros, pero parece que tiene alguna relación con ataques phishing.

Son muchas las moralejas de este incidente. El uso indiscriminado de tecnología que no se termina de comprender, la confianza ciega en sistemas públicos... Puede llegar a entenderse que ciertos embajadores usasen TOR para navegar de forma anónima, pero olvidaron que siempre, bajo cualquier circunstancia, sólo el cifrado de datos puede llegar a garantizar la confidencialidad de la información. Y si la información que se transmite es sensible, ocultar los datos es posiblemente más importante que 'ocultar' a quien los envía.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Phishing attacks on TOR anonymisation network
http://www.heise-security.co.uk/news/95778

Passwords to government mail accounts publicised
http://www.heise-security.co.uk/news/95282

lunes, 10 de septiembre de 2007

Nuevas versiones de Apache HTTP Server 2.x

La Fundación Apache ha publicado las versiones 2.0.61 y 2.2.6 de HTTP Server que solventa cinco vulnerabilidades.

Apache es un servidor HTTP de código abierto, seguro, eficiente y extensible, para sistemas operativos UNIX y derivados, así como plataformas Microsoft Windows, que goza de gran popularidad.

Las vulnerabilidades corregidas podían ser aprovechadas por atacantes para comprometer un sistema vulnerable, realizar ataques por cross site scripting, causar denegaciones de servicio o para revelar información del sistema a través de mod_proxy, mod_cache, mod_mem_cache y mod_status.

Las versiones 2.0.61 y 2.2.6 están disponibles para su descarga desde:
http://httpd.apache.org/download.cgi


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Apache HTTP Server 2.2.6 Released
http://www.apache.org/dist/httpd/Announcement2.2.html

Apache HTTP Server 2.0.61 Released
http://www.apache.org/dist/httpd/Announcement2.0.html

domingo, 9 de septiembre de 2007

Denegación de servicio a través de proxy_util.c en IBM HTTP Server

Se ha descubierto una vulnerabilidad en IBM HTTP Server que podría ser aprovechada por un atacante para causar una denegación de servicio.

Esta vulnerabilidad se debe a un manejo incorrecto de cabeceras de fecha en la función proxy_util.c. Un atacante podría aprovechar este error mediante el envío de cabeceras especialmente manipuladas y provocar que el servidor deje de responder.

Se recomienda aplicar el parche PK50469 disponible para su descarga desde:
http://www-1.ibm.com/support/docview.wss?uid=swg1PK50469


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PK50469: CVE-2007-3847 PROXY BUFFER OVER-READ VULNERABILITY
http://www-1.ibm.com/support/docview.wss?uid=swg1PK50469

sábado, 8 de septiembre de 2007

Denegación de servicio en Apple AirPort Extreme Base Station

Se ha descubierto una vulnerabilidad en Apple AirPort Extreme Base Station que podría ser aprovechado por un atacante para causar una denegación de servicio.

Esta vulnerabilidad se debe a un error al procesar paquetes con cabeceras tipo ruta 0 IPv6. Un atacante podría provocar una denegación de servicio enviando paquetes especialmente manipulados.

Esta vulnerabilidad afecta a las versiones anteriores a la 7.2.1.

Se recomienda actualizar a la versión 7.2.1 cuya descarga se encuentra disponible desde:
http://www.apple.com/support/downloads/airportextremebasestationwith80211nfirmware721.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

About the security content of AirPort Extreme Base Station with 802.11n Firmware 7.2.1
http://docs.info.apple.com/article.html?artnum=306375

viernes, 7 de septiembre de 2007

Microsoft publicará cinco boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cinco boletines de seguridad, uno dedicado a su sistema operativo Windows, uno para Visual Studio, uno para Microsoft Windows Services para UNIX , uno para su MSN (Live) Messenger y uno compartido entre Microsoft Windows y Microsoft SharePoint Server.

Si en agosto fueron nueve boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar cinco actualizaciones el día 11 de septiembre. Parece que el dedicado a Windows (y que en principio se anuncia sólo para Windows 2000) alcanza la categoría de crítico. El resto han sido calificados con categoría de "importante".

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicará una actualización de alta prioridad no relacionada con la seguridad.

El fallo en el ActiveX de Office descubierto a mediados de junio, del que existe exploit público y no actualización oficial, no parece estar siendo explotado de forma masiva. No fue corregido en agosto y parece que tampoco será corregido en esta ocasión.

Parece interesante la vulnerabilidad en Visual Studio, que quizás corresponda con el exploit hecho público hace unos días. Se trata de una posible ejecución de código a través de ficheros VBP (Visual Basic Project) especialmente manipulados.

Igualmente parece que se va a corregir el grave fallo descubierto en Microsoft MSN Messenger y (como se llama ahora) Live Messegner. El fallo que se publicó 'por sorpresa' a finales de agosto se debe a un error en el manejo de conversaciones de vídeo. Si se envían datos especialmente manipulados, un atacante podrá provocar un desbordamiento de heap y ejecutar código arbitrario si la víctima acepta una invitación de cámara web. Este fallo es muy similar al que se detectó a mediados de agosto en Yahoo! Messenger, competencia directa de Microsoft en mensajería instantánea.

El fallo se ha encontrado en versiones 7.x y anteriores. La versión 8.1 parecía no verse afectada por este problema, lo que mitiga en parte el potencial impacto de la vulnerabilidad al ser la versión mayoritariamente usada. Microsoft, hasta ahora, no se había pronunciado al respecto.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for September 2007
http://www.microsoft.com/technet/security/bulletin/ms07-sep.mspx

jueves, 6 de septiembre de 2007

Vulnerabilidades en Cisco Video Surveillance IP Gateway y en el Content Switch Module para los Catalyst 6500

Cisco ha publicado dos alertas de seguridad relativas a su sistemas de vigilancia en vídeo y módulos de balanceadores de carga. Estos fallos podrían permitir que un atacante obtuviese acceso al "gateway" de Video Surveillance IP con privilegios de administrador o causar una denegación de servicio en el Load Balancer Content Switching Module (CSM) en el caso de Catalyst 6500 switches.

El problema se basa en el servidor Telnet del Video Surveillance IP Gateway, que no requiere de ninguna autenticación para permitir el acceso. Además, la Services Platform y la Integrated Services Platform (SP/ISP) se suministran con contraseñas conocidas y estándar para usuarios como sypixx y root. Esto permitiría el acceso a un atacante con privilegios administrativos. Se ven afectadas la versión 1.1 1.8 y previas de Video Surveillance Decoder SP/ISP, y todas las de Video Surveillance SP/ISP hasta 1.23.7.

El Content Switch module para los Catalyst 6500 no maneja adecuadamente paquetes de red especialmente manipulados (fuera de orden, según Cisco). Esto puede hacer que el dispositivo ponga su CPU al 100% y reiniciarse, lo que se consideraría una denegación de servicio. El CSM-S con SSL también sufre un problema de seguridad no especificado. Se ven afectadas hasta la versión 4.2.3a (no incluida) de CSM y hasta la 2.1.2a de CSM-S.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar los problemas.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:

http://www.cisco.com/warp/public/707/cisco-sa-20070905-csm.shtml
http://www.cisco.com/warp/public/707/cisco-sa-20070905-video.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Denial of Service Vulnerabilities in Content Switching Module
http://www.cisco.com/warp/public/707/cisco-sa-20070905-csm.shtml

Cisco Security Advisory: Cisco Video Surveillance IP Gateway and Services Platform Authentication Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20070905-video.shtml

miércoles, 5 de septiembre de 2007

Actualización del Kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización para el Kernel que solventa varias vulnerabilidades y bugs que podrían ser aprovechadas por un atacante para provocar una denegación de servicio u obtener acceso al sistema.

Las principales vulnerabilidades corregidas son:

* Un fallo en el subsistema isdn capi que podría ser aprovechado por un atacante para provocar una denegación de servicio.

* Un fallo en el subsistema perfmon en plataformas ia64 que podría ser aprovechado por un atacante local para causar una denegación de
servicio.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

kernel security and bugfix update
http://rhn.redhat.com/errata/RHSA-2007-0774.html

martes, 4 de septiembre de 2007

El phishing amplía horizontes: Campaña contra MoviStar

Bancos, cajas de ahorro, sitios de subastas, de pago online, empresas de traspaso de dinero, páginas de comunidades, oficinas de correos, agencias tributarias... todo este tipo de organizaciones (y más) han sido víctimas de ataques phishing. Ahora es el turno de los operadores telefónicos. Se ha detectado un caso de phishing a MoviStar que ha permanecido activo todo el fin de semana.

El ataque ha sido detectado desde al menos el sábado día 1 de septiembre. Una URL que simulaba pertenecer al 'Canal Cliente' de MoviStar, pero que en realidad estaba alojada en un servidor comprometido, pretendía ser la compañía de Telefonica y robar los datos de la tarjeta de crédito de las potenciales víctimas.

El sitio, bastante conseguido, pretendía simular una recarga de tarjetas prepago de MoviStar. El usuario debía introducir el número de tarjeta de crédito, fecha de caducidad, código CVV y por supuesto, número de teléfono móvil y cantidad que deseaba recargar.

Probablemente se trate de una campaña potenciada a través de un correo basura que animaba a usuarios a recargar su móvil de forma cómoda a través de la página web oficial de MoviStar.

Este tipo de estafa destinada a robar los datos de tarjeta de crédito, se ha solapado en el tiempo con un nuevo ataque a la Agencia Tributaria. En enero ya alertamos sobre este caso en el que se animaba a la víctima a introducir los datos de su tarjeta de crédito en una página fraudulenta con la excusa de que Hacienda le devolvería cierta cantidad. Hace algunos días, se ha vuelto a repetir la campaña. De nuevo una página simulaba ser la aeat.es y pedía datos sensibles.

En el pasado habíamos tenido constancia de empresas fantasma que prometían recargar la tarjeta del teléfono móvil de cualquier compañía a través de Internet. Ahora se pretende lo mismo, pero simulando ser la operadora original.

Se puede observar una captura de pantalla en:
http://www.hispasec.com/images/unaaldia/MOVSTAR.png

La URL ha quedado desactivada durante la mañana del lunes. Dependiendo del 'éxito' de la operación quizás se repita.

Intentos como este merman la confianza de los usuarios en la compra online. Ya no solo son los bancos, parece que cualquier organización, empresa o compañía es susceptible de sufrir este tipo de ataques, incluso si la obtención de las contraseñas no redunda en un beneficio económico directo (como ocurrió con el salvaje ataque a MySpace en junio). Los phishers amplían horizontes... imaginación y recursos no les faltan.


Sergio de los Santos
ssantos@hispasec.com


Más información:

14/06/2007 Avalancha de ataques phishing contra MySpace: Algunas teorías
http://www.hispasec.com/unaaldia/3155

30/01/2007 Se detecta un phishing basado en la Agencia Tributaria (Hacienda)
http://www.hispasec.com/unaaldia/3020

lunes, 3 de septiembre de 2007

Denegación local de servicio a través de SPECFS en Sun Solaris 8, 9 y 10

Sun ha publicado una actualización para SPECFS que solventa un fallo que podría permitir a un atacante local provocar una denegación de servicio.

El fallo se debe a un problema en la función strfreectty de Special File System (SPECFS) que podría permitir a un atacante provocar una denegación de servicio a través de un system panic.

Según versión y plataforma, se recomienda aplicar los parches correspondientes:

Para SPARC:
* Solaris 8 aplicar 109025-07 o posterior y 117350-49 o posterior
desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109025-07-1
y
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-117350-49-1
* Solaris 9 aplicar 122300-11 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122300-11-1
* Solaris 10 aplicar 118822-24 o posterior.

Para x86:
* Solaris 8 aplicar 109026-08 or later and 117351-49 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-109026-08-1
y
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-117351-49-1
* Solaris 9 aplicar 122301-11 o posterior desde
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122301-11-1
* Solaris 10 aplicar 118844-24 o posterior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability With the Special File System (SPECFS) strfreectty() Function May Allow a Local Unprivileged User to Panic a System
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103009-1

domingo, 2 de septiembre de 2007

Ataque DoS a Blizzard StarCraft Brood War 1.15.1

StarCraft es un fuego de estrategia en tiempo real de Blizzard
Entertainment. Se ha detectado que es posible enviar un mapa
especialmente diseñado para causar una denegación de servicio en los
jugadores que intenten procesarlo.

Si un usuaro entra en una partida multijugador y no tiene un mapa
del juego que se está disputando, StarCraft descarga el mapa de
otro de los jugadores. Cuando recibe el mapa, StarCraft genera una
previsualización del mismo. Si el mapa fue malformado, provoca en
StarCraft una excepción que degenera en una denegación de servicio.
La víctima no podrá jugar, el sistema se bloquea.

Dado que StarCraft es una aplicación DirectX que se ejecuta a pantalla
completa, el ataque DoS puede causar la necesidad de que el jugador
víctima deba reiniciar Windows para volver a tener operativo el
sistema.

El vendedor ha sido informado de la vulnerabilidad pero aun no ha
facilitado el parche, por lo que los jugadores deberían ser precavidos
a la hora de entrar en partidas con mapas de terceros desconocidos.


Laboratorio Hispasec
laboratorio@hispasec.com



Más información:

Blizzard StarCraft Brood War 1.15.1 Remote DoS
http://blog.hispasec.com/lab/232

sábado, 1 de septiembre de 2007

El Banco de la India, foco (involuntario) de infección

La página web del banco de la India ha sido atacada de alguna forma y
dese hace varias horas se ha convertido en un foco (involuntario) de
infección para usuarios de Windows que no tengan su sistema
actualizado. Visitando la página web legítima y real del banco, el
usuario quedaba (irónicamente) infectado por varios troyanos bancarios
destinados a robar sus contraseñas de acceso a la banca online.

SunBelt destapaba el problema. La página web del Banco de la India
mostraba en su código varios IFRAME inyectados, de forma que quien la
visitaba acudía (de forma automática y transparente) también a otras
webs sin "quererlo". Desde esos "marcos" (IFRAMES) "ocultos" en la
web, al ser cargados con el navegador, se intentaban aprovechar varias
vulnerabilidades de sistema conocidas para descargar y ejecutar
troyanos bancarios.

Es un tipo de ataque muy similar al que describimos aquí en junio de
este mismo año y que afectó a más de 11.000 páginas europeas. En esa
ocasión, Mpack estaba detrás de este ataque, y consiguieron tal
volumen de webs comprometidas porque se tuvo acceso a un servidor
italiano que las alojaba a todas.

En esta ocasión, parece que han tenido acceso de alguna forma al
servidor del Banco de la India y los Windows no actualizados que la
visiten quedaban infectados por hasta 22 tipos de malware distintos
(la mayoría destinados a robar contraseñas o enviar correo basura). El
ataque consiste en una primera descarga y ejecución de un "loader.exe"
y es este (una vez con el control de la víctima) quien se encarga de
descargar otro tipo de malware e infectar al sistema. Son varios los
IFRAME incrustados, y por tanto varias las webs que intentan de
alguna forma infectar al sistema a través de código JavaScript
ofuscado.

Algunas URL de los atacantes han sido ya desactivadas, pero otras
permanecen todavía online. El Banco de la India ha "limpiado" ya su
página web, pero el ataque y los IFRAME han permanecido entre 5 y 10
horas en su código web (en horario comercial de la India), accesible
a todo visitante.

Los datos robados van a parar a un FTP en Rusia. Como curiosidad, uno
de los troyanos que infecta a las víctimas busca archivos catalogados
como "en cuarentena" por el motor antivirus de turno en los sistemas
de los infectados y los sube al servidor FTP del atacante.

Siempre hemos hablado de la posibilidad de que páginas de confianza
sufran ataques y se conviertan en foco de infección. En esta ocasión
llama la atención que sea precisamente la página de un importante
banco la que haya visto eludida toda su seguridad y convertido en un
irónico foco de infección de troyanos bancarios.

Aunque queramos pensar que la importancia (y presupuesto) de una web
está indiscutible y directamente relacionada con su nivel de
protección, desgraciadamente no siempre es así. La seguridad se
fundamenta en muchos factores, y no siempre el dinero podrá
protegerlos todos eliminando cualquier riesgo. Este no es el primer
ejemplo ni será el último, desde luego.

En cualquier caso, el Banco de la India se enfrenta ahora, una vez que
(tras un tiempo quizás excesivamente largo) ha eliminado el foco, a un
serio problema de confianza ante sus clientes y a una profunda
revisión de sus sistemas de seguridad (e incluso, de su plantilla).


Sergio de los Santos
ssantos@hispasec.com


Más información:

19/06/2007 Alerta: Ataque a gran escala contra webs europeas afecta a miles de usuarios
http://www.hispasec.com/unaaldia/3160

Breaking: Bank of India seriously compromised
http://sunbeltblog.blogspot.com/2007/08/breaking-bank-of-india-seriously.html