viernes, 30 de noviembre de 2007

Transmisión de DISI 2007 por video streaming: 3 de diciembre de 2007

El Segundo Día Internacional de la Seguridad de la Información DISI 2007, que se celebrará en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT de la Universidad Politécnica de Madrid - España, será transmitido por video streaming y grabado para su posterior difusión.

La dirección de enlace desde la que se transmitirá el evento desde las 09:00 de la mañana (hora de España) del 3 de diciembre de 2007 es:
mms://amon.gate.upm.es/externo

Se recuerda que entre los conferenciantes y ponentes de DISI 2007 se encuentran el Dr. Martin Hellman de la Universidad de Stanford; el Dr. Hugo Scolnik de la Universidad de Buenos Aires; D. Artemi Rallo, Director de la Agencia Española de Protección de Datos; D. Víctor Domingo, Presidente de la Asociación de Internautas; D. Sergio de los Santos de Hispasec; D. Fernando Acero de Hispalinux y D. Juan Carlos García Cuartango del Instituto para la Seguridad en Internet.

Los invitados a la Mesa Redonda "Nuevos desafíos en la e-sociedad" son Dña. Gemma Deler de Applus+; D. Olof Sandstrom en representación de Asimelec; D. Manuel Arrevola de Zitralia; D. Julián Inza de Albalia y D. Rodolfo Lomascolo de IPSCA.

Para mayor información y detalles del programa, por favor acceder al sitio Web de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, organizadora de este evento:
http://www.capsdesi.upm.es/


Jorge Ramió Aguirre
Director de la Cátedra


Más información:

una-al-dia (27/09/2007) DISI 2007: El doctor Martin Hellman en la Universidad Politécnica de Madrid
http://www.hispasec.com/unaaldia/3260/

jueves, 29 de noviembre de 2007

Múltiples vulnerabilidades en libTIFF afectan a Sun Solaris 10, 9 y 8

Sun ha reconocido múltiples vulnerabilidades en la librería libTIFF que podrían permitir a atacantes locales y remotos provocar denegaciones de servicio o ejecutar código arbitrario.

Se contabilizan hasta ocho vulnerabilidades distintas:

* Múltiples desbordamientos de memoria intermedia pueden permitir ejecutar código a través de la función TIFFFetchShortPair.

* Desbordamientos de heap pueden permitir ejecutar código a través de la función TiffScanLineSize.

* Ejecución de código a través del decodificador PixarLog.

* Ejecución de código a través del decodificador NeXT RLE.

* Denegación de servicio a través de la función EstimateStripByteCounts.

* Ejecución de código a través de t2p_write_pdf_string en tiff2pdf.

* Desbordamiento de enteros podrían permitir la ejecución de código al procesar imágenes.

* Error no especificado en alguna etiqueta de libtiff podría permitir ejecutar código arbitrario.

Sun ha publicado actualizaciones parciales para solucionar el problema. Según versión y plataforma:

* Para SPARC:
Solaris 10 instalar 119900-04 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119900-04-1

* Para x86:
Solaris 10 instalar 119901-04 o posterior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-119901-04-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in libtiff(3) May Allow Denial of Service (DoS) or Privilege Elevation
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103160-1

miércoles, 28 de noviembre de 2007

Desbordamiento de búfer en IBM Lotus Notes al visualizar archivos de Lotus 1-2-3

Se ha encontrado una vulnerabilidad en IBM Lotus Notes (versiones 5, 6, 7 y 8) que podría ser explotada por un atacante para ejecutar código arbitrario y comprometer un sistema vulnerable.

La vulnerabilidad está causada por un desbordamiento de búfer en l123sr.dll al visualizar un archivo adjunto de Lotus 1-2-3 (con extensión .123). Esto podría ser explotado por un atacante remoto para comprometer el sistema si un usuario abre un archivo .123 especialmente manipulado y que venga adjunto en un email.

La vulnerabilidad afecta a los sistemas basados en Windows, pero no a los Domino Server.

Para Lotus Notes 7.x y 8.x se recomienda instalar los últimos parches, disponibles desde:
http://www-306.ibm.com/software/lotus/support/upgradecentral/index.html

Para Lotus Notes 5.x y 6.x no existe ningún parche, se recomienda deshabilitar los visores de archivos afectados hasta que se determine una solución final.
(Borrar o renombrar el archivo DLL afectado, que en este caso es l123sr.dll).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Buffer overflow vulnerability in Lotus Notes file viewer for Lotus 1-2-3 attachments
http://www-1.ibm.com/support/docview.wss?uid=swg21285600

Lotus Notes buffer overflow in the Lotus WorkSheet file processor
http://www.coresecurity.com/index.php5?module=ContentMod&action=item&id=2008

martes, 27 de noviembre de 2007

Ejecución de código arbitrario en Apple Quicktime

Se ha encontrado una vulnerabilidad en Apple Quicktime que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario y, si la aplicación es ejecutada con privilegios de administrador, conseguir control total sobre el sistema.

La vulnerabilidad está causada por un fallo de límites al procesar respuestas que usan el protocolo RTSP para streaming de audio y vídeo (Real Time Streaming Protocol). La aplicación comete un error al comprobar los límites de una entrada introducida por el usuario de manera que la copia en un búfer de memoria en pila demasiado pequeño. Esto podría ser aprovechado por un atacante remoto para provocar un desbordamiento de búfer a través de una respuesta RTSP que contengan un encabezado Content-Type demasiado largo. La vulnerabilidad es explotable si la víctima abre un stream especialmente manipulado o visita una página web maliciosa. De realizar un ataque con éxito, el atacante podría ejecutar código arbitrario con los privilegios con los que se ejecuta la aplicación.

La vulnerabilidad, que fue hecha pública el día 23 por Krystian Kloskowski (el mismo que en agosto descubrió un grave fallo en Nessus) podría afectar a todos los usuarios de Apple Quicktime que hagan uso de la versión 7.3 (versión actual) o de cualquiera de las versiones anteriores. Los usuarios de iTunes también se verían afectados por el problema puesto que la última versión de Quicktime está incluida en la instalación de iTunes, el popular software multimedia de Apple.

Poco después de que se conociera la vulnerabilidad, ya se publicó un exploit para Windows XP y Vista que la aprovecha para ejecutar código. En teoría Microsoft Vista, gracias al ASLR (Address Space Layout Randomization), protegería en cierta medida de la ejecución de código derivada de los desbordamientos de búfer, pero no es el caso. Los archivos de sistema sí son colocados en espacios aleatorios, pero el resto de binarios deben tener un bit activo para aprovechar esta funcionalidad. Los programadores de Apple no lo han activado para QuickTime, así que el exploit es igual de funcional en XP y Vista.

Por ahora, según Symantec, el exploit hecho público tiene diferente comportamiento según el navegador.

En Internet Explorer 6 y 7 y Safari 3 Beta, se carga QuickTime como plugin interno. Esto provocaría el desbordamiento y la aplicación dejaría de responder, pero no permitiría la ejecución de código. En Firefox, la petición es manejada directamente por QuickTime como un proceso separado. Como resultado, el atacante podría ejecutar código arbitrario. En cualquier caso, el exploit podría ser reprogramado y funcionar bajo cualquier navegador.

No existe ningún parche disponible por el momento. Para protegerse, es posible bloquear el protocolo RTSP a través de red, o deshabilitarlo en QuickTime desde el panel de control de la aplicación. En Preferencias y seleccionar Tipos de Archivo / Avanzado / MIME Settings y quitar de la selección la descripción RTSP stream bajo la opción Streaming – Streaming movies.

Con respecto a los navegadores, es posible deshabilitar el control de ActiveX QuickTime en Internet Explorer, para ello hay que activar el kill bit para los CLSID 02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} y {4063BE15-3B08-470D-A0D5-B37161CFFD69}. Esto evitará que el fallo sea aprovechado a través de una web.

En el caso de Firefox, se recomienda deshabilitar la ejecución de JavaScript bajo páginas no confiables.


Pablo Molina
pmolina@hispasec.com
Sergio de los Santos
ssantos@hispasec.com


Más información:

Zero-Day Exploit for Apple QuickTime Vulnerability
http://www.symantec.com/enterprise/security_response/weblog/2007/11/0day_exploit_for_apple_quickti.html

New QuickTime bug opens XP, Vista to attack
http://computerworld.com/action/article.do?command=viewArticleBasic&articleId=9048678&intsrc=hm_list

lunes, 26 de noviembre de 2007

Múltiples vulnerabilidades en RealPlayer 10.x y 11.x

Se han encontrado múltiples vulnerabilidades de desbordamiento de búfer en RealPlayer 10.x y 11.x que podían ser explotadas por un atacante remoto para causar una denegación de servicio en Internet Explorer u otra aplicación que haga uso del control de Active X vulnerable Ierpplug.dll.

Existe una prueba de concepto disponible, si bien no se ha confirmado si es posible la ejecución remota de código arbitrario. Las versiones afectadas son la 11 y la 10.5 aunque otras versiones anteriores también podrían verse afectadas.

No existe parche disponible por el momento. Se recomienda no visitar páginas web ni enlaces no confiables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

RealMedia RealPlayer Ierpplug.DLL ActiveX Control Multiple Buffer Overflow Vulnerabilities
http://www.securityfocus.com/bid/22811

Cómo impedir la ejecución de un control ActiveX en Internet Explorer
http://support.microsoft.com/kb/240797

domingo, 25 de noviembre de 2007

Diversas vulnerabilidades en IBM WebSphere Application Server 6.1

Se han encontrado dos vulnerabilidades en IBM WebSphere Application Server 6.1 una de ellas podría ser explotada por un atacante remoto para provocar una denagación de servicio y otra de ellas es de impacto desconocido.

* La primera vulnerabilidad está causada por un error en el módulo mod_proxy de apache en el servidor HTTP de IBM. Esto podría ser explotado por un atacante remoto para provocar una denegación de servicio.

* La segunda vulnerabilidad es de impacto desconocido y está localizada
en componente Administrative Console.

Se recomienda aplicar el Fix Pack 13, disponible desde:
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg27004980#ver61


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

6.1.0.13: WebSphere Application Server V6.1 Fix Pack 13 for Windows
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg24017334

PK50469: CVE-2007-3847 Proxy buffer over-read vulnerability
http://www-1.ibm.com/support/docview.wss?rs=180&uid=swg1PK50469

sábado, 24 de noviembre de 2007

Desvelados serios problemas en el algoritmo que genera los números pseudoaleatorios en Windows 2000 y XP

El pasado día 4 de noviembre, un equipo de investigadores israelíes encabezados por el Dr. Benny Pinkas, de la Universidad de Haifa y estudiantes de la Universidad de Jerusalén, publicaron un análisis criptográfico sobre el algoritmo usado por Microsoft Windows 2000 y XP para generar números aleatorios, el PRNG (Pseudo-Random Number Generator). Descubrieron que contiene serios problemas en su implementación.

Las conclusiones del estudio revelan (entre otros fallos) que es posible, y relativamente sencillo, predecir los resultados previos y futuros del algoritmo a partir del conocimiento de un estado interno del generador, así como las claves de sesión usadas y las que se usarán en un futuro para cifrar información.

Los sistemas de cifrado basados en criptografía asimétrica necesitan del cálculo de números aleatorios para generar claves de sesión, y de la arbitrariedad en general para un buen funcionamiento. De hecho, su seguridad radica en la aleatoriedad real de esos cálculos: cuanta más entropía, más complicado de predecir y más "calidad" del cifrado. El algoritmo es usado, por ejemplo, en cada conexión SSL (conexiones seguras) que se establece entre el navegador y los servidores HTTP, y también el cifrado local de información. De ser explotada esta vulnerabilidad, un atacante podrían llegar a predecir esos números generados, y desvelar los datos cifrados con este protocolo, obteniendo así una información que suele transmitirse cifrada precisamente por su importancia.

Otro problema descubierto además de una aleatoriedad débil, es la forma en la que es aplicada. Después de analizar el algoritmo mediante ingeniería inversa, los investigadores descubrieron que el estado del generador se actualiza cada 128KB de salida. Teniendo en cuenta que una conversación SSL del navegador por ejemplo consume entre 100 y 200 bytes, obteniendo un solo estado se pueden desvelar hasta de 600 a 1.200 conexiones futuras que utilizan la misma clave. Cualquier información cifrada anterior o posteriormente desde esa misma máquina quedaría comprometida si se tiene acceso a ella. Lo que mitiga el problema es que para poder llegar a tener acceso a esa información inicial de la que se deducirían el resto de "estados del algoritmo", un atacante necesita poder tener acceso como administrador en el sistema. Digamos que para poder aprovechar el problema del algoritmo y poder descifrar la información, necesitaría tener el total control de la máquina para llegar a conocer un estado, con lo que el sistema ya estaría comprometido en sí.

En un principio, se creyó que el fallo sólo afectaba a los equipos con el sistema operativo Windows 2000. Pero días más tarde Microsoft ha reconocido que Windows XP también utiliza el mismo algoritmo. Aunque no así los sistemas equipados con Windows Vista, Server 2003 o Server 2008.

Microsoft no cataloga el fallo en su algoritmo como problema de seguridad y lo ha etiquetado como acceso local a información sensible. Alega que dicha información sólo estaría accesible para el propio usuario que la use o para un administrador con acceso al sistema, que por definición tiene control total de la máquina. Por su parte, los investigadores alegan que el peligro radica en el hecho en que el usuario podría tener acceso a información que no debería ser accesible de ningún modo por nadie, ni siquiera él mismo. En general, para que la vulnerabilidad pueda ser explotada, es necesario combinarla con un ataque previo.

Pinkas y su equipo pusieron sus investigaciones en conocimiento de Microsoft en marzo, y tras hacer público su hallazgo, y a pesar de que sólo ha sido catalogado como bug por parte del fabricante, Microsoft ha reconocido que introducirá una modificación en su generador de números aleatorios en Service Pack 3 para Windows XP, cuyo lanzamiento está previsto para la primera mitad de 2008. Por el contrario, no se ha dado ninguna información sobre si el problema será subsanado próximamente para Windows 2000.

No es la primera vez que se encuentran fallos en algoritmos para generar números pseudoaleatorios. Históricamente la arbitrariedad real ha sido perseguida por los programadores, de ahí que se utilice la palabra "pseudo" y no se hable de aleatoriedad real. Por otro lado, cabe recordar que los propios empleados de Microsoft ya recomendaron en agosto de 2007 una revisión del algoritmo en uno de sus documentos técnicos, titulado "On the Possibility of a Back Door in the NIST
SP800-90 Dual Ec Prng".


Sergio de los Santos
ssantos@hispasec.com

Pablo Molina
pmolina @ hispasec.com


Más información:

On the Possibility of a Back Door in the NIST SP800-90 Dual Ec Prng
http://rump2007.cr.yp.to/15-shumow.pdf

Cryptanalysis of the Random Number Generator of the Windows Operating System
http://eprint.iacr.org/2007/419.pdf

Microsoft confirms that XP contains random number generator bug
http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9048438

viernes, 23 de noviembre de 2007

Ataque phishing a gran escala contra entidades bancarias españolas que además intenta troyanizar el sistema

En los últimos días se están produciendo varios ataques phishing específicos contra entidades españolas especialmente agresivos a través de un kit que comprende a muchos bancos españoles. No sólo simulan ser la página del banco, sino que además intentan infectar al sistema que lo visita de una manera nada trivial.

La pasada semana detectamos en Hispasec un kit de phishing que afectaba a 35 entidades españolas, todos en un mismo servidor. Hasta ahí, el hecho es relativamente normal. Hace sólo algunas horas, hemos detectado el mismo kit alojado en varios servidores distintos, lo que ya indica cierta insistencia de los atacantes. Lo importante en este caso es que además se está intentando infectar a quien lo visita, de forma que no sólo es víctima quien introduce los datos en la página falsa. A través de un JavaScript y según el navegador, la página intenta ejecutar código y hacerse con el sistema. En algunos casos, lo único que intentan es desestabilizar el navegador realizando ataques de JavaScritp, con el único propósito de que sea necesario reiniciar la máquina.

Los phishing suelen estar alojados en páginas legítimas comprometidas, normalmente en algún directorio interno de la web. La estructura suele ser:

http://www.XXXXX.ZZ/XXXX/s/(banco)

Habiendo encontrado dominios de Rusia, Brasil y .ORG. Donde "banco" representa el código de la entidad afectada. Hasta 35 por dirección. Todas españolas.

Las entidades a las que pretende simular son:

Bancaja, Banca March, Bankinter, Bankoanet, BBK, BBVANet, Banco Guipuzcoano, Caixa Catalunya, Caixanova, Caja España, CajaMadrid, CajaMurcia, CajaSur, Caja Mediterraneo, Caja Canarias, Caja Castilla La Mancha, Caja Navarra, Deutsche Bank, Caixa Geral, Banco Herrero, IberCaja, ING Direct, Kutxa, Caixa d'Estalvis Laietana, Caixa Ontinyent, OpenBank, Caja Rural, Banco Sabadell, Solbank, Caixa Tarragona, Unicaja, Banco Urquijo, VitalNet.

En estos momentos al menos un servidor sigue activo y casi toda su infraestructura (donde se aloja el malware) también. Se recomienda no seguir ningún enlace, ni aunque se conozca que se trata de un phishing y se pretenda simplemente reportar el incidente, además de actualizar el sistema y el antivirus.

El ataque está fuertemente ofuscado, con JavaScripts cifrados que intentan descargar y ejecutar diferentes binarios en una especie de laberinto de redirecciones. Hemos encontrado hasta 6 ejecutables distintos, todo malware bancario destinado a Windows, y con muy diferentes niveles de detección en VirusTotal según el archivo. De una forma bastante agresiva, el ataque parece intentar aprovechar vulnerabilidades del navegador para la ejecución de código.

Informaremos en profundidad sobre el ataque cuando tengamos más detalles al respecto.


Sergio de los Santos
ssantos@hispasec.com



jueves, 22 de noviembre de 2007

El malware en forma de supuesto codec parece "consolidadarse" contra usuarios de Mac

Sigue la "moda" de introducir malware en los sistemas usando como reclamo la necesidad del uso de codecs específicos para poder reproducir un vídeo. Estos codecs suelen ser ejecutables para Windows, pero últimamente (y no parece ser ya algo pasajero o experimental) también los sistemas Mac se ven afectados. Los resultados de los distintos motores antivirus según la versión del troyano, también sorprenden.

Descargables desde decenas de direcciones web alojadas a menudo en la Russian Business Network, se encuentran a día de hoy numerosas versiones del troyano Zlob o "simples" DNSChangers que modifican los servidores DNS para que apunten a sistemas bajo el dominio de los atacantes. Varias semanas después de que se detectara un primer ataque real y funcional dirigido específicamente contra usuarios Windows y Mac, continúa la presencia de servidores que alojan este tipo de troyanos.

El troyano en concreto, activo a día de hoy, se descarga desde la URL (ofuscada)

http://???solution.com/download.php?id=WXYZ

Ese PHP determina si quien lo visita lo hace con el sistema Windows o Mac. Dependiendo de su conclusión, se descarga realmente:

http://???solution.com/playcodec1123.exe
o
http://???solution.com/playcodec.dmg

Los usuarios de Mac tendrían que introducir la contraseña de administrador para que la instalación del troyano se lleve a cabo. Sólo los más precavidos usando Windows (los que lo utilicen con usuario sin privilegios) tendrían que hacer lo mismo.

Los motores antivirus parecen haber reaccionado y, al menos con la muestra que hemos tratado, el espécimen es incluso más detectado en su versión para Mac.

El ejecutable para Windows, el día 20 era reconocido por 7 de 31 motores, lo que significa un 22.59% de detección.
http://www.virustotal.com/es/resultado.html?31c88ab20f75b7aa9bc434856fed2548

El ejecutable para Mac, es reconocido por 11 de 32 motores, lo que significa un 34.38% de detección.
http://www.virustotal.com/es/resultado.html?5fd34c06e5b0a30d13722a9d72fce2b1

El ataque, teniendo en cuenta su duración, persistencia y "profesionalidad", quizás les esté siendo rentable a las mafias informáticas y por ello no está resultando flor de un día. Lleva tres semanas activo y adaptándose con nuevas versiones de malware para ambas plataformas.

Aunque dependerá mucho del tipo de muestra, no deja de ser llamativo que el espécimen concreto sea detectado por más motores en su versión Mac, e incluso que antivirus que no comercializan solución específica para los entornos Apple, lo reconozcan.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Ataque con troyano para usuarios de Mac
http://www.hispasec.com/unaaldia/3296

Troyano para Mac
http://blog.hispasec.com/laboratorio/250

miércoles, 21 de noviembre de 2007

"¿Por qué no te callas?" reclamo para troyano bancario

Era de esperar. Hace unas horas se ha realizado un envío masivo de un mensaje que invita a visualizar un supuesto vídeo en Youtube. El reclamo en esta ocasión es reproducir el célebre incidente entre el Rey de España y el Presidente de Venezuela.

Con el remitente "youtube@you-tube.com.mx" y el asunto "Esto causa sensacion", nos llega un mensaje de correo en HTML donde anuncia que YouTube Mexico presenta "El ¿Por qué no te callas? Del Rey, toda una revolución... ¡No te pierdas el vídeo!", incluyendo una imagen del momento del incidente y varios enlaces al supuesto vídeo.

Una captura de pantalla del mensaje puede observarse en:
http://blog.hispasec.com/laboratorio/257

Una vez el usuario pincha en alguno de sus enlaces, en vez del vídeo, comienza la descarga del ejecutable "ultimovideo.exe". En el momento inicial de la distribución, este malware era detectado por 10 motores antivirus tal y como se puede apreciar en el siguiente informe de VirusTotal:
http://www.virustotal.com/es/analisis/e755c2e0709e9b90aa7f01043a7bf559

Las detecciones de los antivirus son genéricas o por heurísticas, no se han publicado aun firmas de detección específicas, de ahí que el nombre dado por los antivirus no ofrezca muchas pistas sobre la funcionalidad del troyano.

Un análisis rápido en el laboratorio de Hispasec revela que el troyano va dirigido a capturar las credenciales de acceso de los clientes del servicio BancaNet de la entidad Banamex.

El método que utiliza el troyano no está basado en keyloggers ni en la captura de los datos transmitidos a través del navegador, sino que crea un formulario/aplicación de autenticación con una pequeña ventana que se superpone justo encima del navegador, tapando el formulario legítimo. De esta forma el troyano recoge directamente los datos introducidos por el usuario y se los envía al atacante por e-mail.

Cómo suele ser costumbre, recomendar a los usuarios que no visualicen los mensajes de spam y, mucho menos, visitar los enlaces que incluyen, por muy sugerentes que puedan ser los reclamos.


Bernardo Quintero
bernardo@hispasec.com



martes, 20 de noviembre de 2007

Denegaciones de servicio en el kernel 2.6.x de Linux

Se han encontrado dos problemas de seguridad en el kernel de linux que podrían ser aprovechados por atacantes para provocar una denegación de servicio.

* El primer fallo se da en la función wait_task_stopped, que podría provocar una denegación de servicio si se manipula el estado del proceso hijo mientras el padre espera el cambio de estado.

* Un error de referencia a puntero nulo en la función tcp_sacktag_write_queue a la hora de procesar paquetes ACK. Esto puede ser aprovechado por un atacante remoto para causar una denegación de servicio si envía paquetes ACK especialmente manipulados.

Los problemas han sido solucionados en la versión 2.6.23.8 disponible desde www.kernel.org.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux 2.6.23.8
http://kernel.org/pub/linux/kernel/v2.6/ChangeLog-2.6.23.8

lunes, 19 de noviembre de 2007

Pharming y phishing aprovecha vulnerabilidad de routers ADSL

Durante el fin de semana se ha detectado un nuevo ataque de phishing que, como novedad, modifica la configuración DNS de algunos modelos de routers ADSL. El resultado es un ataque transparente, no es detectado por ningún antivirus, y perenne, llevará a los usuarios a una web falsa cada vez que introduzcan en su navegador la dirección correcta de la entidad bancaria.

El ataque, como muchos otros de phishing tradicional, ha sido lanzado a través de spam. Los usuarios reciben un mensaje de correo electrónico que invita a pinchar en un enlace para visitar una postal virtual. Si el usuario visita la página podrá observar una animación flash inofensiva, si bien esa misma página estará intentando al mismo tiempo modificar la configuración de su router de conexión a Internet.

En concreto, la página web incluye en su código HTML llamadas a direcciones internas, relativas a direcciones IP con las que suelen estar configurados por defecto el interfaz LAN de los routers. Ese rango de direcciones, por ejemplo 192.168.x.x ó 172.16.x.x, son direcciones privadas que no están accesibles desde Internet, y que suelen utilizarse para conectar el ordenador con el router ADSL. Pero el código de la página web, al ejecutarse en el navegador del usuario, puede hacer referencias a esas IPs privadas.

Las URLs que el ataque esconde en la página web están construidas para inyectar nuevas entradas en el DNS de determinados dispositivos, en concreto en los routers/gateways de 2wire modelos 1701HG, 1800HW y 2701. Estos modelos, instalados por operadores de telefonía en México, permitirían este tipo de inyecciones DNS desde el interfaz LAN sin necesidad de autenticación previa. El ataque detectado se dirige a la entidad Banamex.

A efectos prácticos, una vez llevado a cabo el ataque, cada vez que el usuario intente visitar la web de Banamex el router resolverá a una IP diferente, y en el navegador aparecerá una web falsa de phishing que le solicitará el usuario, password de accceso y la clave dinámica Netkey del token. Todo ello pese a que en todo momento el usuario visualizará en su navegador el dominio correcto de Banamex, si bien no el https de servidor seguro. Una vez la información es capturada, los atacantes podrán hacerse pasar por la víctima y realizar transacciones en su nombre.

La novedad de este ataque de pharming (adultera la resolución DNS) y phishing (una web falsa pide las credenciales), es que el dispositivo atacado es el router ADSL y el sistema del usuario sólo hace de puente para llevar a cabo el ataque. Por tanto es un ataque multiplataforma en lo que respecta al sistema operativo del usuario (ya sea Windows, Linux, Mac, etc), y todo depende de si el modelo de router ADSL es vulnerable.

La responsabilidad en la prevención del ataque, teniendo en cuenta que no podemos luchar contra la candidez de los usuarios, se podría establecer en primer lugar en el router ADSL, que debería requerir siempre autenticación para realizar cambios en su configuración.

En un segundo término tendríamos a los antivirus y navegadores. En el caso de los antivirus la detección de este tipo de ataque sería un valor añadido más que una responsabilidad, ya que no se trata de un malware que afecte directamente al sistema. No obstante, algunos antivirus suelen ampliar su cobertura más allá del malware tradicional, ofreciendo protección ante determinados exploits. La detección de este tipo de ataque sería una de esas ocasiones donde poder marcar la diferencia con la competencia ofreciendo una protección superior.

En cuanto a los navegadores, no sería descabellado pedir que las páginas webs visualizadas desde Internet no pudieran referenciar direcciones privadas, si bien por defecto Internet Explorer, Firefox u Opera lo permiten de forma transparente.

Todos los detalles del ataque, incluyendo capturas de pantalla del correo electrónico donde se distribuye, la web de la postal virtual, detalles de las URLs de ataque y páginas de phishing, pueden ser consultadas en el blog del laboratorio de Hispasec:

http://blog.hispasec.com/laboratorio/255

La recomendación a los usuarios es que eviten visualizar mensajes de spam y, sobre todo, no pinchar ninguno de sus enlaces. También deben interesarse por la seguridad de sus routers ADSL, exigiendo a las operadoras o instaladores que los dispositivos instalados estén libres de vulnerabilidades conocidas y que permitan establecer una password de autenticación personalizada (no dejar la que traen por defecto). Instalar una solución de seguridad efectiva (no todos los antivirus son iguales) y mantener sus sistemas y navegadores puntualmente actualizados.

También es importante estar al día de los fraudes online más comunes (saber que es un phishing, comprobar el https antes de introducir nuestras credenciales de acceso, no abrir ejecutables de fuentes no confiables, etc). En definitiva, sentido común y responsabilidad a la hora de utilizar nuestro sistema, navegar por Internet, y emplear servicios sensibles como la banca electrónica.


Bernardo Quintero
bernardo@hispasec.com



domingo, 18 de noviembre de 2007

Cross-site Scripting en IBM WebSphere Application Server 5.x

Se ha encontrado una vulnerabilidad en IBM WebSphere Application Server 5.x que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

La vulnerabilidad está causada porque la entrada pasada a WebContainer a través de la cabecera "Expect" no se limpia de forma adecuada antes de ser devuelta a un usuario. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador de un usuario que visita un sitio afectado.

La vulnerabilidad está confirmada para la versión 5.1.1.4 y posteriores.

Se recomienda instalar el parche disponible desde:
http://www-1.ibm.com/support/docview.wss?uid=swg24017314


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PK51068; 5.1.1.16: WebContainer response to unrecognized Expect Header
http://www-1.ibm.com/support/docview.wss?uid=swg24017314

sábado, 17 de noviembre de 2007

Ejecución remota de código arbitrario en Apple Quicktime 7.2

Se ha encontrado una vulnerabilidad en Apple Quicktime 7.2 que podría ser explotada por un atacante remoto para ejecutar código arbitrario.

La vulnerabilidad está causada por un error al analizar sintácticamente los átomos de vídeo malformados, que podían resultar en un desbordamiento de pila al analizar uno de tamaño excesivamente grande. Ésto podría ser explotado por un atacante remoto para ejecutar código arbitrario con los credenciales de un usuario autenticado si el usuario visita una página web maliciosa.

La vulnerabilidad está confirmada para la versión 7.2 y puede afectar a otras versiones.

Se recomienda actualizar a la versión 7.3. Según plataforma, disponible desde:
http://www.apple.com/support/downloads/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Apple Quicktime Movie Stack Overflow Vulnerability
http://dvlabs.tippingpoint.com/advisory/TPTI-07-20

viernes, 16 de noviembre de 2007

Múltiples vulnerabilidades en PHP 5.2.x

Se han encontrado múltiples vulnerabilidades en PHP 5.2.x, algunas de ellas son de impacto desconocido y otras podrían ser explotadas por un atacante remoto para saltarse ciertas restricciones de seguridad.

* Una vulnerabilidad está causada por un error en el manejo de variables y podría ser explotada por un atacante remoto para sobrescribir valores en httpd.conf por medio de la función ini_set().

* La segunda vulnerabilidad está causada por un error al procesar archivos .htaccess y podría ser explotada por un atacante remoto para saltarse la directiva disable_functions si modifica la directiva php.ini mail.force_extra_parameters por medio de un archivo .htaccess.

* Otra vulnerabilidad está causada por varios errores de límite en las funciones fnmatch(), setlocale(), y glob() que podrían ser explotados por un atacante remoto para provocar desbordamientos de búfer.

* La última vulnerabilidad está causada por varios errores en las funciones htmlentities y htmlspecialchars que no aceptan secuencias multibyte parciales.

Se recomienda a actualizar a la versión 5.2.5 disponible desde:
http://www.php.net/downloads.php


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PHP 5.2.5 Release Announcement
http://www.php.net/releases/5_2_5.php

jueves, 15 de noviembre de 2007

Múltiples vulnerabilidades en IBM DB2 9

Se han encontrado múltiples vulnerabilidades en IBM DB2, algunas de ellas tienen impacto desconocido, y otras podrían ser explotadas por un atacante local para escalar privilegios.

* Hay errores no especificados en el componente OPERATING SYSTEM SERVICES (por ejemplo, permisos incorrectos en ACLs para DB2NODES.CFG).

* Existe un error en la herramienta DB2DART que ejecuta el comando TPUT y que permitiría a un usuario ejecutar comandos como propietario de DB2.

* Existen errores no especificados en DB2WATCH, DB2FREEZE y en varios binarios setuid. No se ha publicado más información sobre la vulnerabilidad.

Se recomienda instalar el Fixpak 4, disponible desde:
http://www-1.ibm.com/support/docview.wss?rs=71&uid=swg21255572


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

DB2 Version 9.1 for Linux, UNIX and Windows APARs by fix pack
http://www-1.ibm.com/support/docview.wss?uid=swg21255607

miércoles, 14 de noviembre de 2007

Escalada de privilegios en Oracle Database 11g

Se ha encontrado una vulnerabilidad en Oracle Database 11g que podría ser explotada por un atacante para escalar privilegios.

Un usuario con privilegios BECOME USER y privilegios de ejecución en KUPP$PROC.CHANGE_USER y CREATE SESSION podría escalar hasta alcanzar privilegios SYS; entonces por medio de un evento de depurado inmediato, podría conseguir que el depurador le concediera permisos SYSBA (permisos totales).

Existe un exploit para la versión 11g de Oracle Database y otras versiones se podrían ver afectadas. No se ha publicado ninguna actualización, el próximo paquete de parches está programado para el 15 de enero de 2008.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle 0-day to get SYSDBA access
http://www.securityfocus.com/archive/1/483573

martes, 13 de noviembre de 2007

Boletines de seguridad de Microsoft en noviembre

Tal y como adelantamos, esta semana Microsoft ha publicado dos boletines de seguridad (MS07-061 y MS07-062) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft el primero de ellos presenta un nivel de gravedad "crítico", mientras que el segundo se clasifica como "importante".

* MS07-061: Catalogado como "crítico" resuelve una vulnerabilidad en la shell de Windows al manejar uris especialmente manipulados. Un atacante podría aprovechar esto para ejecutar código arbitrario. Microsoft sólo ha identificado formas de explotar la vulnerabilidad en sistemas que usen Internet Explorer 7, sin embargo el problema está presente en el Shell32.dll, incluido en todas las versiones soportadas de Windows XP y Windows Server 2003.

* MS07-062: Se trata de una actualización "importante" que soluciona una vulnerabilidad en el servidor DNS de Windows. Afecta a Windows 2000 Server SP4 y Windows Server 2003 SP2.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS07-061 – Critical
Vulnerability in Windows URI Handling Could Allow Remote Code Execution (943460)
http://www.microsoft.com/technet/security/bulletin/MS07-061.mspx

Microsoft Security Bulletin MS07-062 – Important
Vulnerability in DNS Could Allow Spoofing (941672)
http://www.microsoft.com/technet/security/bulletin/MS07-062.mspx

lunes, 12 de noviembre de 2007

Acceso a routers vulnerables de uso doméstico

Hace aproximadamente un mes, se dieron a conocer múltiples vulnerabilidades en los routers y hubs de Thomson, más concretamente en los modelos: Thomson SpeedTouch 780 6.x,Thomson SpeedTouch 716 5.x, BT Home Hub y Thomson/Alcatel SpeedTouch 7G 6.x.

Dichas vulnerabilidades podrían ser aprovechadas por un atacante remoto para ganar control total sobre los routers, requiriéndose únicamente que el usuario visite una página web maliciosa. Una vez tomado el control sobre los dichos routers, un atacante remoto podría aprovecharlo para causar una denegación de servicio o para perpetrar ataques de distinta naturaleza.

Según los distintos modelos afectados y de acuerdo con la información aportada por Adrian Pastor y las comprobaciones realizadas por consultores independientes, las vulnerabilidades son las siguientes:

* Para el modelo Thomson SpeedTouch 780 se han encontrado dos vulnerabilidades que podrían ser explotadas por un atacante remoto para conducir falsificaciones de peticiones y ataques de cross-site scripting. Éstas han sido comprobadas para los sistemas que usan la versión 6.1.4.3 del firmware, aunque también podría afectar a los aparatos que lleven instaladas otras versiones.

1- La primera permitiría a usuarios realizar ciertas acciones por medio de peticiones HTTP que no son validadas por parte del router. Por ejemplo, cambiar la contraseña de administrador si éste visita una web maliciosa, tomando el control del sistema vulnerable.

2- La segunda vulnerabilidad está provocada por un fallo al validar de forma adecuada el parámetro de entrada 'url' en cgi/b/ic/connect/ antes de ser devuelto al usuario. Esto podría ser explotado por un atacante remoto para conducir ataques de cross-site scripting ejecutando código HTML y JavaScript arbitrario en el contexto de seguridad del navegador.

* Se ha comprobado que la segunda vulnerabilidad introducida anteriormente también afecta a los modelos Thomson SpeedTouch 716 con la versión 5.4.0.14 del firmware, pudiendo ser vulnerables también aquellos que tengan una versión de firmware distinta.

* Se ha comprobado que la primera vulnerabilidad citada anteriormente afecta también a los modelos de hub distribuidos en el Reino Unido por British Telecom y al modelo SpeedTouch 7G de Thomson con la versión 6.2.2.6 del firmware; También podría afectar a los modelos provistos con otra versión distinta de firmware. Además los citados productos también se ven afectados por otras dos vulnerabilidades descritas a continuación.

3- Existe un error de validación de entrada al procesar URLs que podría ser aprovechado por un atacante remoto para acceder a recursos protegidos por contraseña, como la configuración del router, con la posibilidad de realizar modificaciones de arbitrarias de dicha configuración.

4- Se ha encontrado que la entrada 'name' tampoco se valida de forma adecuada, tal y cómo sucedía anteriormente con la entrada 'url', lo que podría ser aprovechado por un atacante remoto para conducir ataques de cross-site scripting.

En la página web de Adrian Pastor se incluyen más detalles sobre las vulnerabilidades y una serie de exploits para aprovecharlas. Entre otras cosas se explica como robar la clave WEP o WPA, como provocar ataques de cross-site scripting o como establecer una puerta trasera para ganar control total sobre el sistema afectado.

Adrian Pastor y su equipo se pusieron en contacto con British Telecom y Thomson después de que incluso la BBC se hiciera eco de una denegación de servicio múltiple que tuvo lugar el día 13 del pasado mes de Octubre. La respuesta se ha dado a conocer hoy, casi un mes después de que muchos británicos se quedaran momentáneamente sin acceso a Internet, al verse publicada una actualización para el firmware de los routers (versión 6.2.6.B) que solventa la vulnerabilidad que tenía un mayor nivel de riesgo, la cual hacía posible crear una puerta trasera para para acceder y obtener el control sobre el router. Además se ha deshabilitado el acceso a telnet y los contenidos del archivo de configuración están ahora cifrados. Aunque, trascurrido un mes, todavía no se han parcheado el resto de vulnerabilidades.


Pablo Molina
pmolina@hispasec.com



domingo, 11 de noviembre de 2007

Denegación de servicio a través de OpenSSL en Sun Solaris 9 y 10

Sun ha publicado una actualización para evitar dos vulnerabilidades en OpenSSL que podrían ser aprovechadas por un atacante local o remoto para causar una denegación de servicio en la aplicación en uso o incluso provocar que el sistema deje de responder al provocar un consumo excesivo de recursos.

OpenSSL viene incluida en Sun Solaris 10 pero no en Solaris 9 aunque algunas aplicaciones para Solaris 9 podrían hacer uso de OpenSSL y por lo tanto verse afectadas por la vulnerabilidad.

Se recomienda actualizar a las siguientes versiones según plataforma:

Para plataforma SPARC:

Solaris 9 SSH instalar 113273-14 y 114356-11 o superior disponibles
desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-113273-14-1
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114356-11-1

Solaris 9 con paquete de utilidades instalar 114568-23 o superior
disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114568-23-1

Solaris 10 instalar 121229-02 o superior disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-121229-02-1

Para plataforma x86:

Solaris 9 SSH instalar 114357-10 y 114858-11 o superior disponible
desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114357-10-1
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114858-11-1

Solaris 9 con paquete de utilidades instalar 114568-23 o superior
disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114568-23-1

Solaris 10 instalar 121230-02 o superior disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-121230-02-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in OpenSSL May Lead to a Denial of Service (DoS) to Applications
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102747-1

sábado, 10 de noviembre de 2007

Actualización del Kernel para openSuSE 10

SuSE ha publicado una actualización para el kernel de openSUSE 10.3 que solventa dos vulnerabilidades que podrían ser aprovechadas por un atacante para provocar una denegación de servicio.

* Un error al montar sistemas de ficheros minix que podría ser aprovechado por un atacante para provocar una denegación de servicio.

* Un desbordamiento de buffer en la pila ieee80211 que podría ser aprovechado por un atacante local para provocar una denegación de servicio.

Adicionalmente se han corregido múltiples bugs.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2007:059)
http://lists.opensuse.org/opensuse-security-announce/2007-11/msg00000.html

viernes, 9 de noviembre de 2007

Microsoft publicará dos boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad, ambos dedicados a su sistema operativo Windows

Si en octubre fueron seis boletines de seguridad que salieron a la luz (aunque en un principio se anunciaron siete), este mes Microsoft prevé publicar dos actualizaciones el día 13 de noviembre. Uno de los dedicados a Windows (que parecen afectar a toda la gama de versiones) alcanzan la categoría de "crítico" (ejecución remota de código) y el otro de "importante", al parecer relacionado con la falsificación.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán tres actualización de alta prioridad no relacionadas con la seguridad.

A mediados de octubre se anunció una vulnerabilidad de escalada de privilegios en Microsoft Windows 2003 y XP, de la que apareció exploit público aprovechándola. Se debe a un fallo la hora de comprobar el establecimiento de la memoria intermedia en, al menos, un controlador instalado por defecto, secdrv.sys, de la que es responsable la compañía Macrovision. Un atacante local podría aprovechar esto para ejecutar código arbitrario en el espacio de memoria del kernel y por tanto, conseguir completos privilegios sobre el sistema.

Hace sólo unos días, Macrovisión ha publicado una actualización para su controlador secdrv.sys, disponible para la descarga desde:
http://www.macrovision.com/webdocuments/Downloads/SECDRVSYS.zip
y se supone que Microsoft propondrá además la descarga y actualización desde sus sistemas.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com



jueves, 8 de noviembre de 2007

Cross-site scripting en Cisco Unified MeetingPlace 5.x y 6.x

Se ha encontrado una vulnerabilidad en Cisco Unified MeetingPlace 5.x y 6.x que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

La vulnerabilidad está causada por un fallo en mpweb/scripts/mpx.dll que no limpia de forma adecuada algunos parámetros, como FirstName o LastName, antes de ser devueltos al usuario. Ésto podría ser explotado por un atacante remoto para ejecutar código arbitrario script o HTML en el contexto de la sesión del navegador de un usuario que visita una web maliciosa.

Se recomienda aplicar los parches 5.4.156.2E o 6.0.244.1A según versiones.

Véase la tabla con los distintos parches y versiones disponibles a través del centro de asistencia técnica de Cisco (Cisco TAC):
http://www.cisco.com/warp/public/707/cisco-sr-20071107-mp.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Response: Cisco Unified MeetingPlace XSS Vulnerability
http://www.cisco.com/warp/public/707/cisco-sr-20071107-mp.shtml

miércoles, 7 de noviembre de 2007

Múltiples vulnerabilidades en Apple Quicktime 7.x

Se han encontrado siete vulnerabilidades en Apple Quicktime 7.x que podrían ser explotadas por un atacante remoto para saltarse restricciones de seguridad, acceder a información sensible, ejecutar código arbitrario y comprometer un sistema vulnerable.

* La primera vulnerabilidad está causada por un error de límite en el manejo de átomos STDT (Sample Table Sample Descriptor) y podría ser explotada por un atacante remoto para provocar un desbordamiento de búfer si un usuario abre un archivo de vídeo especialmente manipulado.

* Una segunda vulnerabilidad está causada por un error de límites al procesar algunos átomos pertenecientes a archivos de vídeo en QTVR (QuickTime Virtual Reality). Ésto podría ser explotado por un atacante remoto para provocar un desbordamiento de búfer si el usuario abre un archivo de vídeo especialmente manipulado.

* La tercera vulnerabilidad está causada por errores al analizar sintácticamente los códigos de operación tipo Poly (opcodes 0x0070-74) y el campo PackBitsRgn (opcode 0x0099) al procesar imágenes PICT. Ésto podría ser explotado por un atacante remoto para provocar la corrupción de heap si el usuario abre una imagen PICT especialmente manipulada.

* Una cuarta vulnerabilidad está causada por un error en el manejo de los átomos de descripción de imágenes. Ésto podría ser explotado por un atacante remoto para corromper la memoria si un usuario abre un archivo de vídeo especialmente manipulado.

* La quinta vulnerabilidad está causada por un error de límite al procesar imágenes PICT. Ésto podría ser explotado por un atacante remoto para causar un desbordamiento de búfer si un usuario abre un archivo PICT especialmente manipulado, que contenga una longitud no válida para el código de operación UncompressedQuickTimeData.

* Una sexta vulnerabilidad está causada por múltiples errores en QuickTime para Java. Ésto podría ser explotado por un atacante remoto, por medio de Java applets no confiables, para acceder a información sensible o ejecutar código arbitrario con elevados privilegios cuando un usuario visite una página web que contenga un applet malicioso.

* La séptima y última vulnerabilidad está causada por un error al analizar sintácticamente los átomos CATB. Ésto podría ser explotado por un atacante remoto para causar un desbordamiento de búfer heap si un usuario abre un archivo de vídeo especialmente manipulado que contenga una tabla de colores inválida.

Las vulnerabilidades han sido identificadas en las versiones de QuickTime anteriores a la 7.3.

Se recomienda actualizar a la versión 7.3 de Apple QuickTime disponible para las siguientes plataformas desde:

Para Windows:
http://www.apple.com/support/downloads/quicktime73forwindows.html

Para Leopard:
http://www.apple.com/support/downloads/quicktime73forleopard.html

Para Tiger:
http://www.apple.com/support/downloads/quicktime73fortiger.html

Para Panther:
http://www.apple.com/support/downloads/quicktime73forpanther.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

About the security content of QuickTime 7.3
http://docs.info.apple.com/article.html?artnum=306896

Apple QuickTime Panorama Sample Atom Heap Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=620

ZDI-07-068: Apple QuickTime Uncompressedfile Opcode Stack Overflow
http://www.zerodayinitiative.com/advisories/ZDI-07-068.html

ZDI-07-067: Apple QuickTime PICT File Poly Opcodes Heap Corruption
http://www.zerodayinitiative.com/advisories/ZDI-07-067.html

ZDI-07-066: Apple Quicktime PICT File PackBitsRgn Parsing Heap Corruption
http://www.zerodayinitiative.com/advisories/ZDI-07-066.html

ZDI-07-065: Apple QuickTime Color Table RGB Parsing Heap Corruption
http://www.zerodayinitiative.com/advisories/ZDI-07-065.html

martes, 6 de noviembre de 2007

EKOPARTY Security Conference - Argentina

EKOPARTY es la tercera edición de una conferencia independiente de seguridad informática y novedades tecnológicas que se celebra en Buenos Aires, Argentina, con un enfoque eminentemente técnico y práctico.

Un evento no comercial, surgido del underground informático, en donde se esperan mas de 250 consultores, técnicos, investigadores, coders, sysadmins, geeks, BOFH y entusiastas de la tecnología.

Kernel hacking, OpenBSD remote exploits, contenido práctico en cada charla, wardriving, Hacker vs. sysadmin contest, wargames, un aftercon y una fiesta final serán algunos de los condimentos que tendrá este evento único en Latinoamérica.

Una conferencia de nivel internacional con speakers extranjeros y locales, invitados de Latinoamérica y el mundo. Con excelencia en la elección de temas a tratar, debates y participación directa del publico. Las actividades post-conferencia dan un valor agregado a este evento, invitando a todos sus asistentes a interactuar en un plano personal en desafíos de Lockpicking, o a recorrer la ciudad haciendo wardriving en una kombi.

Este es el perfil de una conferencia de seguridad informática diferente, en donde lo comercial queda a un lado y finalmente la tecnología, la información y la diversión son los protagonistas.

Se llevará a cabo en el auditorio del Hotel BAUEN, Capital Federal, Buenos Aires, los días Viernes 30 de Noviembre y Sábado 1 de Diciembre.

El programa, registro de asistencia, y más información, se encuentran disponible en la web del evento: http://www.ekoparty.com.ar/





lunes, 5 de noviembre de 2007

Nuevos contenidos en la Red Temática CriptoRed (octubre de 2007)

Breve resumen de las novedades producidas durante el mes de octrubre
de 2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE CRIPTORED (por
orden alfabético)

* Introducción a la Informática Forense (Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m592b.htm

2. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE OTROS SERVIDORES

* Informe RESCATA de Alerta Virus de septiembre 2007 (INTECO - España)
http://alerta-antivirus.red.es/documentos/rescata/Informe_mensual_200709.pdf

* Número 110 Revista Electrónica de Derecho Informático de Alfa Redi
http://www.alfa-redi.org/rdi.shtml

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Noviembre 5 al 9 de 2007: 18th International Workshop on Combinatorial
Algorithms IWOCA2007 (Newcastle - Australia)
http://www.eng.newcastle.edu.au/~iwoca2007

* Noviembre 6 al 9 de 2007: V Collaborative Electronic Commerce
Technology and Research CollECTeR CollECTeR Iberoamérica 2007
(Córdoba - Argentina)
http://www.collecter.org.ar/

* Noviembre 21 al 23 de 2007: Primeras Jornadas Científicas sobre RFID
(Ciudad Real - España)
http://mami.uclm.es/JornadasRFID07/

* Noviembre 25 al 28 de 2007: IV Congreso Iberoamericano de Seguridad
Informática CIBSI 2007 (Mar del Plata - Argentina)
http://www.cibsi2007.org/

* Diciembre 3 de 2007: Segundo Día Internacional de la Seguridad de la
Información DISI 2007 (Madrid - España)
http://www.capsdesi.upm.es/

* Diciembre 3 al 6 de 2007: IASK International Conference E-Activity and
Leading Technologies 2007 (Oporto - Portugal)
http://www.iask-web.org/e-alt07/e-alt2007.html

* Enero 22 al 25 de 2008: Australasian Information Security Conference
AISC 2008 (Wollongong - Australia)
http://www.eng.newcastle.edu.au/~aisc2008/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic
Communications and eCommerce Technology and Research CollECTeR
Iberoamérica 2008 (Madrid - España)
http://www.collecter.euitt.upm.es/

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y
Seguridad de la Información RECSI 2008 (Salamanca - España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on
Telematics and Information Systems (Aracajú - Brasil)
http://eatis.org/eatis2008/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE OCTUBRE DE 2007 (ordenadas por
fecha de publicación)

Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2007.htm#oct07

* Programa Definitivo de Trabajos Aceptados para CIBSI 2007 (Argentina)
http://www.cibsi2007.org/prog_gral.html

* Curso Stay Sharp de Hacking con Google del Sans Institute en Valencia
(España)
http://www.aimme.es/formacion/externa/ficha.asp?id=1749

* Call for Papers para Journal of Theoretical and Applied Electronic
Commerce Research
http://www.jtaer.com/

* Disponible Número 110 de la Revista Electrónica de Derecho Informático
de Alfa Redi
http://www.alfa-redi.org/rdi.shtml

* Celebradas las Jornadas de Seguridad de la Información e Informática
en Internet (Uruguay)
http://www.csirt-antel.com.uy/main/display.php?name=jornadas-siii

* Curso Posgrado Management de Seguridad Informática en Universidad de
Belgrano (Argentina)
http://www.ub.edu.ar/facultades/EENI/cursos_eeni-depec/management_de_seguridad.pdf

* Abstracts de Documentos de la Information Security Conference ISC 2007
(Chile)
http://www.springerlink.com/content/978-3-540-75495-4/

* II Jornada Internacional de ISMS Forum Spain (España)
https://www.ismsforum.es/noticias.php?id_seccion=7

* Congreso Gratuito Información sobre la Gestión de Riesgos INTECO -
ENISA (España)
http://enisa.inteco.es/

* Abiertas las Inscripciones al Congreso DISI 2007 Gratuito en la EUITT
UPM (España)
http://www.capsdesi.upm.es/

* Seminario de Computación Forense en Cartagena de Indias (Colombia)
http://www.tecnoeventos.com.co/info.php?id=7

* Curso Experto en Seguridad en Sistemas Informáticos e Internet en la
U. de Sevilla (España)
http://www.lsi.us.es/ExpertoSeguridad/index.html

* Deadline IADIS International Conference e-society 2008 en Algarve
(Portugal)
http://www.esociety-conf.org/cfp.asp

* Disponible el Informe Rescata de Alerta-Antivirus de Septiembre de
2007 (España)
http://alerta-antivirus.red.es/documentos/rescata/Informe_mensual_200709.pdf

* Primer Encuentro Nacional de la Industria de la Seguridad en España
ENISE de INTECO (España)
https://1enise.inteco.es/

* Sesión Dedicada a la Seguridad en eGallaecia Santiago de Compostela
(España)
http://www.e-gallaecia.com/congreso.asp?id=22

* Alta Oficial de la Universidad de Cádiz en la Red Temática (España)
http://www.criptored.upm.es/paginas/instituciones.htm#espanya

* Jornada La Formación en LOPD en la Escuela de Administración de
Empresas (España)
http://www.eae.es/

* Curso de Ethical Hacking and Countermeasures en Alhambra - Eidos
(España)
http://www.alhambra-eidos.es/web2005/formacion/formacion-seguridad-informatica.htm

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 650
(183 universidades; 236 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 38.244 visitas, con 90.993 páginas solicitadas y 38,09
GigaBytes servidos en octubre de 2007.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

** Estimado/a amigo/a: espero poder saludarte personalmente en CIBSI
2007, Mar del Plata - Argentina, cita bienal de CriptoRed **
http://www.cibsi2007.org/


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

octubre de 2007
http://www.criptored.upm.es/paginas/historico2007.htm#oct07

domingo, 4 de noviembre de 2007

Cross-site scripting en IBM Tivoli Service Desk 6.x

Se ha encontrado una vulnerabilidad en IBM Tivoli Service Desk 6.x que podría ser explotada por un atacante remoto para construir ataques de cross-site scripting.

La vulnerabilidad está causada porque la entrada pasada al campo description del formulario, al crear nuevos cambios en Maximo, no se limpia antes de ser almacenada. Esto podría ser aprovechado por un atacante remoto para insertar código script y HTML en la sesión del navegador de un usuario que está visualizando datos manipulados en el contexto de una página maliciosa.

La vulnerabilidad está confirmada para la versión 6.2 aunque otras versiones también podrían estar afectadas. No existe parche disponible. Se recomienda deshabilitar los parámetros en tiempo de ejecución que puedan verse afectados por la vulnerabilidad.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IZ06387: JavaScript can be executed from description fields in maximo 6
http://www-1.ibm.com/support/docview.wss?uid=swg1IZ06387

sábado, 3 de noviembre de 2007

Ejecución remota de código en Novell BorderManager 3.8

Se ha encontrado una vulnerabilidad en Novell BorderManager 3.8 que podría ser explotada por un atacante remoto para comprometer un sistema vulnerable.

Novell BorderManager es una suite de administración de seguridad encargada de actuar como cortafuegos, VPN y autentificación.

La vulnerabilidad se debe a que la aplicación Client Trust procesa de forma incorrecta las peticiones de validación enviadas al puerto UDP escuchado por clntrust.exe (por defecto el puerto 3024). Un atacante remoto podría explotar este problema para ejecutar código arbitrario al causar un desbordamiento de buffer por medio de una petición de validación especialmente manipulada.

La vulnerabilidad está confirmada en la versión 3.8, pero puede afectar a otras versiones anteriores. Se recomienda aplicar el parche de Novell, disponible desde:
http://download.novell.com/Download?buildid=AuOWp2Xsvmc~


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Novell Client Trust Heap Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-07-064.html

BorderManager 3.8 Client Trust Security Update1 1.5
http://download.novell.com/Download?buildid=AuOWp2Xsvmc~

viernes, 2 de noviembre de 2007

Ataque con troyano para usuarios de Mac

Detectada diversas variantes de un troyano destinado a usuarios de Mac. De momento se ha detectado únicamente hospedado en páginas de contenido pornográfico, a través de las cuales intentan engañar a los usuarios para que se instalen el troyano.

Se trata de un ataque dirigido a usuarios de Windows y Mac desde páginas con supuestos vídeos pornográficos. Para atraer a las potenciales víctimas, las direcciones de las webs que contienen los troyanos han sido anunciadas a través de spam, incluyendo el envío de los enlaces a varios foros de usuarios de Mac.

Cuando el usuario visita una de las páginas y selecciona visualizar uno de los vídeos, el servidor web detecta si el sistema es un Windows o Mac a través del user-agent del navegador. En función de ese dato, la página web intentará que el usuario se instale la versión del troyano para Windows (extensión .exe) o para Mac (extensión .dmg).

La estrategia de los atacantes consiste en hacer creer al usuario que necesita instalar un componente adicional, un codec, para poder visualizar el vídeo. El usuario de Mac tendrá que introducir la contraseña de administrador para proceder a la instalación del troyano, si bien muchos podrían hacerlo creyendo que es necesario para instalar el componente que les permitirá ver el deseado vídeo.

Una vez el troyano se instala lleva a cabo su cometido, que no es otro que modificar los servidores DNS del sistema para que apunten a unos nuevos que están bajo el dominio de los atacantes. Estos servidores DNS llevarían a cabo un ataque del tipo pharming, ya que pueden redireccionar ciertos dominios, como el de algunas entidades bancarias, a servidores que hospedan phishing con el fin de sustraer las credenciales de acceso de las víctimas.

La detección antivirus es de momento escasa, normal si tenemos en cuenta que el malware suele ser, en la práctica, un terreno de Windows, en incluso muchas casas antivirus no tienen soluciones para Mac. Las diversas variantes a las que tenemos acceso en Hispasec hasta el momento son detectadas por ninguno, uno, o a lo máximo dos productos antivirus, entre los que se encuentra Sophos que lo identifica con el nombre de "OSX/RSPlug-A" y Mcafee como "OSX/Pupe".

La recomendación obvia a los usuarios de Mac es que no instalen ningún software de fuentes no confiables y, dado este caso en concreto, especialmente desconfíen de cualquier web de contenido adulto que les incite a instalar un supuesto codec de vídeo.

Aunque el ataque también se dirige a usuarios de Windows, que es lo común, la noticia es que se hayan molestado en desarrollar una versión del troyano específica para los usuarios de Mac. Hasta la fecha la mayoría del malware para Mac era anecdótico, pruebas de concepto o laboratorio, que realmente no tenían una repercusión significativa entre los usuarios de Mac. En esta ocasión estamos ante un caso real de malware funcional desarrollado por atacantes que han fijado, como parte de sus objetivos, el fraude online a usuarios de Mac.

¿Caso puntual o el comienzo de una nueva era en lo que respecta al malware para Mac?

Más información y ejemplos de las webs que distribuyen el troyano pueden encontrarse en el blog del laboratorio de Hispasec:
http://blog.hispasec.com/laboratorio/250


Bernardo Quintero
bernardo@hispasec.com



jueves, 1 de noviembre de 2007

Actualización del kernel para productos Red Hat Linux 4

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa varias vulnerabilidades.
Los errores corregidos son:

* Una vulnerabilidad está causada por un fallo en el manejo de las señales de la muerte de procesos. Podría ser explotada por un atacante local para mandar señales arbitrarias a los procesos que tienen el bit SUID activo ejecutados por
el usuario.

* Se ha encontrado un fallo en el sistema de archivos CIFS que podría causar que los valores no enmascarados de un proceso no fueran aceptados en los sistemas de archivos CIFS donde las extensiones UNIX están soportados.

* Se ha encontrado un fallo en el manejo de los sistemas de 64bits en VFAT compat ioctl. Esto podría ser aprovechado por un atacante local para corromper una kernel_dirent struct y causar una denegación de servicio.

* Existe un fallo en la arquitectura de sonido ALSA que podría ser aprovechado por un atacante local para ver porciones de la memoria del kernel si tiene privilegios de lectura en el archivo /proc/driver/snd-page-alloc.

* Se ha encontrado un fallo en el driver SCSI aacraid que podría permitir a un usuario local hacer llamadas ioctl al driver. Llamadas que debieran estar restringidas para el usuario.

* También se ha localizado un error en el manejo de prio_tree en el soporte hugetlb que podría ser aprovechado por un atacante local para causar una denegación de servicio.

* Un problema en el tratamiento de procesos zombis podría ser explotado por un usuario local para crear un proceso que no se recoja de forma adecuada provocando una denegación de servicio.

* Se ha encontrado un fallo en el manejo del sistema de archivos CIFS. La opción de montado sec= no permite el chequeo de integridad des sistema o produce un mensaje de error al ser usada.

* Por último un error en la implementación del generador de números aleatorios que podría ser explotado por un atacante local para causar una denegación de servicio o escalar privilegios.

Otros bugs adicionales también han sido fijados.

Se recomienda actualizar a través de las herramientas automáticas
up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
http://rhn.redhat.com/errata/RHSA-2007-0939.html