lunes, 31 de diciembre de 2007

Resumen de seguridad de 2007 (y III)

Termina el año y desde Hispasec echamos la vista atrás para recordar y
analizar con perspectiva lo que han sido los últimos meses de 2007 en
cuestión de seguridad informática. Estas son las que consideramos las
noticias más importantes de cada mes publicadas en nuestro veterano
boletín diario. En 2008, una-al-día cumplirá 10 años.

Septiembre 2007:

* La página web del banco de la India fue atacada de alguna forma y se convirtió en un foco (involuntario) de infección para usuarios de Windows que no tuviesen su sistema actualizado. Visitando la página web legítima y real del banco, el usuario quedaba (irónicamente) infectado por varios troyanos bancarios destinados a robar sus contraseñas de acceso a la banca online. No sería la última institución importante afectada.

* Alguien apodado Egerstad desde Suecia, publicó en su blog las contraseñas de cien cuentas de correo pertenecientes a instituciones gubernamentales de todo el mundo. Poco después explicó cómo había conseguido toda esa cantidad de información confidencial. Gracias al uso de TOR, con el que sus "víctimas" se sentían seguras, Egerstad consiguió esta información confidencial que puso a disposición de cualquiera en Internet.

* CastleCops reconoce que sufre ataques "contra la reputación". CastleCops denunciaba estar siendo víctima de este tipo de ataques destinados a arruinar la imagen (y el sustento) de una comunidad de voluntarios dedicada a la seguridad. Estaba basado en pequeñas y continuas donaciones con tarjetas robadas.

Octubre 2007:

* A mediados de julio se alertó de una vulnerabilidad en principio "compartida" entre Microsoft Windows (en concreto Internet Explorer 7) y Firefox que podía ser aprovechada por atacantes para ejecutar código arbitrario en el sistema. El problema se creía compartido entre Microsoft Windows y la interacción con otros navegadores. En octubre se desvelaba que la vulnerabilidad era más compleja, y que salpicaba a programas tan populares como Adobe Acrobat Reader e incluso mIRC. Microsoft cortó poco después de raíz el problema con una actualización.

* Brian Krebs publicaba una serie de interesantes artículos sobre la Russian Business Network (más conocida como la RBN), una compañía que supuestamente proporciona alojamiento e infraestructura web a la creciente industria del malware, convirtiéndose así en una especie de centro de operaciones mundial desde donde se descargan los troyanos y hacia donde viaja la información robada. Symantec la llamaba "el refugio para todo tipo de actividades ilegales en la Red".

* Una vulnerabilidad en Adobe Reader (compartida en realidad con Microsoft Windows) comienza a ser aprovechada para ejecutar código con sólo abrir un archivo en PDF.

Noviembre 2007:

* Se descubren diversas variantes de un troyano destinado a usuarios de Mac. Hospedado en páginas de contenido pornográfico, se intenta engañar a los usuarios para que se instalen el troyano, que le es ofrecido automáticamente para Mac o Windows según su sistema operativo detectado.

* Se realiza un envío masivo de un mensaje que invita a visualizar un supuesto vídeo en Youtube. El reclamo en esta ocasión es reproducir el célebre incidente entre el Rey de España y el presidente de Venezuela. "¿Por qué no te callas?"

* Se descubren varios ataques phishing específicos contra entidades españolas especialmente agresivos a través de un kit que comprende hasta 35 bancos españoles. No sólo simulan ser la página del banco, sino que además intentan infectar al sistema que lo visita de una manera nada trivial.

Diciembre 2007:

* Se encuentra una vulnerabilidad en un software preinstalado en muchos portátiles HP. Al tratarse de un ActiveX, el usuario de estos portátiles que utilice el software por defecto del fabricante y que visite con Internet Explorer alguna página especialmente manipulada, podría ejecutar código inadvertidamente.

* Un informe de la empresa de investigación de mercado Gatner habla de unas pérdidas de 3.200 millones de dólares por culpa del phishing en 2007. El informe pone cifras al phishing "tradicional", contabilizando desde agosto de 2006 a agosto de 2007 y centrado en Estados Unidos.


Sergio de los Santos
ssantos@hispasec.com



domingo, 30 de diciembre de 2007

Resumen de seguridad de 2007 (II)

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva lo que ha sido el segundo cuatrimestre de 2007 en cuestión de seguridad informática. Estas son las que consideramos las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Mayo 2007:

* Un error en las firmas de un antivirus (en este caso Symantec) provoca "anomalías" en los ordenadores de sus usuarios. Symantec detectó dos ficheros de sistema de la versión china de Windows XP como malware durante un breve periodo de tiempo. Los archivos, vitales para Windows, impedían que el sistema arrancase al ser puestos en cuarentena o borrados. Un falso positivo que costó caro a la compañía.

* Rock Phish, grupo pionero en ataques phishing en el mundo y responsable de la mayoría de ellos, dispara el número de ataques eludiendo leyes y contramedidas técnicas gracias a sus sofisticados métodos.

* Según Prolexic (compañía dedicada a mitigar ataques de denegación de servicio), se comenzó a observar un nuevo fenómeno a la hora de realizar ataques DDoS contra servidores. Cada vez con mayor frecuencia, se están utilizando las redes P2P para realizar este tipo de fechorías, en vez del típico botnet basado en un C&C (Command and control) y esclavos "zombies".

Junio 2007:

* Robert Alan Soloway, un importante spammer responsable de una buena parte del correo basura mundial, fue sentenciado por un juzgado de Seattle enfrentándose a una pena de hasta 65 años de cárcel por fraude, robo de credenciales y blanqueo de dinero. Aunque se suponía una buena noticia, ni experiencias previas ni el estado actual de la industria del malware hacen pensar que la situación para los que sufren el spam vaya a cambiar demasiado.

* La compañía antivirus SunBelt dio la voz de alarma. Se utilizó contra ella un tipo de ataque personalizado que rompía las reglas habituales del spam masivo, impersonal y poco sofisticado. Una supuesta carta de la BBB (Better Business Bureau), perfectamente personalizada y redactada, instaba a la ejecución de un programa. Al parecer este malware infectó a más de 1.400 directivos.

* MySpace se ha convirtió ese mes en el objetivo primordial de ataques phishing perpetrados por la banda bautizada como Rock Phish, una de las más eficaces que utiliza las técnicas más sofisticadas.

* La industria del malware lanzó ese mes una ofensiva a gran escala contra páginas web europeas. No consistía en una simple acumulación de webs atacadas, sino que en ellas, manteniendo su aspecto original, consiguieron encajar código de forma que los usuarios vulnerables que las visitasen serían infectados. Hispasec tuvo acceso al software MPACK que controlaba las infecciones.

* Se populariza de forma masiva el spam en formato PDF. Si durante los últimos meses la avalancha de mensajes no deseados llegaba con imágenes, era el turno del formato PDF.

Julio 2007:

* SecurityFocus publica una interesante entrevista con uno de los creadores de MPACK, infraestructura PHP creada para automatizar y centralizar ataques web. La entrevista desvelaba algunos secretos sobre los creadores de esta herramienta de moda.

* VirusTotal.com se presenta con nueva imagen. Desde su estreno en junio de 2004, el portal no había sufrido cambios estéticos destacables. Si bien su sistema de funcionamiento ha evolucionado considerablemente desde sus comienzos, VirusTotal.com se renovaba además con una imagen mucho más limpia, sencilla y moderna.

Agosto 2007:

* Tras la avalancha de mensajes de spam en PDF, llegaba una nueva variante muy similar pero que utiliza la extensión .FDF en los archivos adjuntos.

* Sourcefire anunciaba la compra de ClamAV a los cinco líderes del popular proyecto open source. Como era de esperar, el anuncio suscitó todo tipo de reacciones en la comunidad ClamAV.


Sergio de los Santos
ssantos@hispasec.com



sábado, 29 de diciembre de 2007

Resumen de seguridad de 2007 (I)

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2007 en cuestión de seguridad informática. En tres entregas (cuatro meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2007:

* Comienza el año con 4 boletines de seguridad de Microsoft que saben a poco. Después de anunciar ocho, el número real se redujo a la mitad dejando sin solución (entre otras) tres vulnerabilidades graves en Microsoft Word que estaban siendo explotadas en esos momentos.

* Oracle comienza a anunciar por primera vez con antelación, lo que será su publicación trimestral de parches de seguridad. Un resumen previo al estilo Microsoft (al que "plagia" por segunda vez) que adelanta el número y la criticidad de las actualizaciones previstas.

* "Storm Worm" o "Storm Virus" se populariza ese mes como malware de rápida distribución e infecta miles de sistemas. Lo oportuno del asunto original con el que aparecía en los buzones (haciendo referencia a las tormentas que azotaron Europa), permite su difusión. Se convertiría en todo un complejo sistema botnet que perdura hasta hoy, un año después.

* Se detecta el primer phishing tradicional contra la Agencia Tributaria Española. Lo que pretende es que la víctima introduzca los datos de su tarjeta de crédito para que Hacienda le devuelva cierta cantidad. Se repetiría meses después.

Febrero 2007:

* Termina el mes de los fallos en Apple, con la publicación de 31 fallos y vulnerabilidades que incluso salpicaron a múltiples fabricantes y programadores, como el fallo en PDF (muchas distribuciones tuvieron que actualizar su xpdf) o el reproductor VLC Media Player.

* En unas honestas declaraciones, Natalya Kaspersky, consejera delegada de la compañía especializada en sistemas antivirus, reconoce que necesita de la ayuda de las fuerzas del orden internacionales para proteger a los usuarios. Según ellos, los tiempos en los que se podía controlar la situación con los antivirus pertenecen al pasado.

* El día 12 de febrero se dio a conocer una vulnerabilidad en Sun Solaris 10 tan simple como sorprendente. El fallo permitía el acceso trivial como cualquier usuario (incluido root) a través de telnet en Sun Solaris 10. Sin necesidad de conocimientos especiales, sin shellcode ni exploits, el fallo llegaba a ser vergonzosamente simple. Para colmo, el error fue ya descubierto y corregido en sistemas UNIX hace 13 años.

* Zalewski, el azote de los navegadores, (poco después de que se hicieran públicas otras vulnerabilidades en Firefox), volvía a anunciar varios errores de diseño que consideraba que suponían serios problemas de seguridad.

Marzo 2007:

* Comienza el mes de los fallos en PHP.

* Los servidores oficiales desde donde se descarga el popular WordPress fueron comprometidos en algún momento y el código fuente del programa modificado para troyanizarlo.

* Microsoft anuncia que en ese mes no se publicarían boletines de seguridad, circunstancia que no se daba desde septiembre de 2005.

* Dos fallos de seguridad remotos en diez años. OpenBSD, el sistema operativo derivado de Unix se vio obligado a cambiar su eslogan "bandera" por segunda vez desde que orgullosos, lo colgaron bien visible en su página como símbolo de un sistema pensado para la seguridad. La culpa, una vulnerabilidad en Ipv6.

* Según la fundación Shadowserver, el número de máquinas reclutadas por botnet se ha triplicado en menos de un mes. Los botnets también aumentan, pero más aún el número de equipos "zombie" que los componen.

* Microsoft confirma la existencia de una vulnerabilidad en el tratamiento de archivos ANI que afectaría a todas las versiones de Windows. Aunque se publicaron numerosos parches no oficiales, se convertiría en una gravísima vulnerabilidad responsable de miles de infecciones.

* A rebufo de los periodos temáticos de vulnerabilidades, se anunció en varias listas que el día dos de abril comenzaría la semana de los fallos en Windows Vista. Incluso se publicó una primera vulnerabilidad. Los autores destaparon el engaño y confesaron que todo se trataba de una broma, urdida alrededor del "día de los inocentes" anglosajón y perfectamente orquestada con alevosía y premeditación. Muchos picaron.

* Se encuentra una grave vulnerabilidad en el sistema DNS de Microsoft Windows que podía ser aprovechada por atacantes remotos para ejecutar código en el sistema.

Abril 2007:

* Sophos publica un informe con interesantes conclusiones sobre la evolución del malware en los últimos tiempos. Se extrae que el número de nuevas amenazas se han multiplicado por dos en el último año, y que la web se vuelve el primer vector de ataque para intentar infectar a las víctimas. Desde VirusTotal.com y de forma independiente, llegábamos a conclusiones muy parecidas.

* En el contexto de la conferencia CanSecWest 2007, celebrada en Canadá, se realizó el concurso 'Hack a Mac', en el que se premiaba con un MacBook a quien fuese capaz de comprometerlo de forma remota con privilegios de root. Tras relajar las reglas para facilitar que alguien consiguiese el premio y aumentar el incentivo, los ganadores obtuvieron no sólo el Mac, sino 10.000 dólares. Ganaron otros 10.000 a través de otras iniciativas privadas.


Sergio de los Santos
ssantos@hispasec.com



viernes, 28 de diciembre de 2007

Denegación de servicio a través de asampsp en Novell Identity Manager 3.x

Se ha encontrado una vulnerabilidad en Novell Identity Manager 3.x que podría ser explotada por un atacante local para causar una denegación de servicio.

La vulnerabilidad está causada por un fallo de formato de cadena. Esto podría ser explotado por un atacante remoto para hacer que Platform Service Process (asampsp) dejara de responder.

La vulnerabilidad está confirmada para la versión 3.5.1 y puede afectar a otras versiones. Se recomienda instalar el siguiente parche: http://download.novell.com/Download?buildid=noYM9ax3lx8~


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IDM 3.5.1 Fan-Out Driver Platform Receiver Patch 1 20071218
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5007560.html

jueves, 27 de diciembre de 2007

Múltiples vulnerabilidades en Wireshark 0.x

Wireshark ha publicado su versión 0.99.7, que corrige numerosos problemas de seguridad anteriores y tres nuevos.

Wireshark (todavía muy conocido por su nombre anterior Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que está disponible para múltiples plataformas, soporta una gran cantidad de protocolos, es de fácil manejo y gratuita.

Los nuevos problemas que soluciona esta nueva versión son:

* Un problema al analizar paquetes de ficheros MP3, NCP, HTTP y RCP podría provocar una denegación de servicio.

* Denegación de servicio por consumo de recursos en los módulos de análisis de DNP, Firebird/Interbase, MEGACO, DCP-ETSI y Bluetooth-SDP.

* Desbordamientos de memoria intermedia en los análisis de SSL, ANSI-MAP y PPP

Se recomienda actualizar a Wireshark 0.99.7, disponible desde
www.wireshark.org


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Wireshark-announce: [Wireshark-announce] Wireshark 0.99.7 is now available
http://www.wireshark.org/lists/wireshark-announce/200712/msg00000.html

Wireshark network analysis tool version 0.99.7 available
http://www.heise-security.co.uk/news/100818/from/rss09

miércoles, 26 de diciembre de 2007

Cross-site scripting en el interfaz web de ZyXEL P-330W Wireless Router

Se ha encontrado una vulnerabilidad en el interfaz web de los routers ZyXEL Wireless P-330W que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting (XSS) y cross-site request forgery (XSRF).

La vulnerabilidad está causada porque la interfaz no filtra de forma adecuada el código HTML de entrada, introducido por el usuario, antes de que éste sea mostrado. Esto podría ser explotado por un atacante remoto, por medio de una URL especialmente modificada, para ejecutar código JavaScript o HTML arbitrario. El código se originaría desde la interfaz web del router y sería ejecutado en el contexto de seguridad del usuario que visita dicha URL.

El atacante podría tener así acceso las cookies de usuario, incluidas las de autenticación, o a cualquier otra información que haya sido enviada recientemente al router a través de formularios web. Además podría realizar acciones en dicha web con los credenciales del usuario, pudiendo así cambiar la configuración del router.

Recientemente se ha publicado un exploit en el que se muestra como cambiar la contraseña de administrador del router. La vulnerabilidad está confirmada para la versión ZyXEL P-330W Wireless Router aunque podría afectar a otras versiones. Por el momento existe ningún parche disponible proporcionado por el fabricante.


Pablo Molina
pmolina @ hispasec.com


Más información:

[Full-disclosure] Ho Ho H0-Day - ZyXEL P-330W multiple XSS and XSRF
http://seclists.org/fulldisclosure/2007/Dec/0559.html

martes, 25 de diciembre de 2007

Salto de restricciones en Asterisk 1.x y Business Edition 2.x

Se ha encontrado una vulnerabilidad en Asterisk que podría ser explotada por un atacante remoto para saltarse ciertas restricciones de seguridad.

Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

La vulnerabilidad se debe a una falta de comprobación de direcciones IP en el proceso de registro vía database (realtime). Esto podría ser explotado por un atacante remoto para autenticarse como usuario sin contraseña. Para que la vulnerabilidad pueda ser explotada, se requiere que el atacante tenga un nombre de usuario válido.

La vulnerabilidad está confirmada para las siguientes versiones:
* Asterisk Open Source 1.2.x anteriores a 1.2.26
* Asterisk Open Source 1.4.x anteriores a 1.4.16
* Asterisk Business Edition B.x.x anteriores a B.2.3.6
* Asterisk Business Edition C.x.x anteriores a C.1.0-beta8

Se recomienda actualizar a las siguientes versiones:
Asterisk Open Source 1.2.x: Versión 1.2.26.
Asterisk Open Source 1.4.x: Versión 1.4.16.
Asterisk Business Edition B.x.x: Versión B.2.3.6.
Asterisk Business Edition C.x.x: Versión C.1.0-beta8.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Asterisk Project Security Advisory - AST-2007-027
Database matching order permits host-based authentication to be ignored
http://downloads.digium.com/pub/security/AST-2007-027.pdf

lunes, 24 de diciembre de 2007

Actualización de kernel para Red Hat Enterprise Linux 4.x

Red Hat ha publicado una actualización para kernel de Red Hat Enterprise Linux 4.x que soluciona dos vulnerabilidades que podrían permitir a un atacante causar denegaciones de servicio.

* Una vulnerabilidad está causada por un fallo en el manejo de las secuencias IEEE 802.11 y podría ser explotada por un atacante remoto por medio de un paquete especialmente manipulado enviado por la red wireless para provocar que el kernel deje de responder.

* La otra vulnerabilidad está provocada por una pérdida de memoria en el parche del kernel Red Hat Content Accelerator. Esto podría ser explotado por un atacante remoto para provocar una denegación de servicio al agotar toda la memoria del sistema.

También se han subsanado otros bugs de menor importancia. Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
Advisory: RHSA-2007:1104-11
http://rhn.redhat.com/errata/RHSA-2007-1104.html

domingo, 23 de diciembre de 2007

Denegación de servicio en Cisco Firewall Services Module 3.2

Se ha encontrado una vulnerabilidad en Cisco Firewall Services Module (FWSM) que podría ser explotada por un atacante remoto para causar una denegación de servicio.

La vulnerabilidad se produce al procesar datos en la ruta del control-plane con el protocolo de inspección de la capa de aplicación, lo que podría causar que el FWSM se reiniciase. La vulnerabilidad puede ser causada por el tráfico normal de red que pasa a través del protocolo de inspección de la capa de aplicación (Application Layer Protocol Inspection).

La única versión afectada por la vulnerabilidad es: FWSM System Software versión 3.2.3. Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20071219-fwsm.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Application Inspection Vulnerability in Cisco Firewall Services Module
http://www.cisco.com/warp/public/707/cisco-sa-20071219-fwsm.shtml

sábado, 22 de diciembre de 2007

Múltiples vulnerabilidades en Adoble Flash Player 7, 8 y 9

Adobe ha publicado una actualización para Flash Player que soluciona múltiples problemas de seguridad con distintas consecuencias.

* Un error a la hora de procesar expresiones regulares puede ser aprovechado para provocar un desbordamiento de memoria intermedia basado en heap.

* Un error no especificado en la interpretación de ficheros SWF que podría ser aprovechado para ejecutar código arbitrario.

* Un error no especificado en Adobe Flash Player y Opera bajo Mac OS X.

* Un error al aplicar los ficheros de políticas de cross-domain puede ser aprovechado para eludir restricciones de seguridad.

* Cross site scripting en el manejo de protocolo "sfunction:".

* Cross site scripting en la función "navigateToURL". Esto sólo afecta al control ActiveX para Internet Explorer.

* Un fallo no especificado que permitiría modificar las cabeceras HTTP.

* Un error de implementación de las clases Socket o XMLSocket ActionScript podriá permitir determinar si un puerto de un host remoto está abierto o cerrado.

* Un error al resolver direcciones DNS. Esto puede ser aprovechado para realizar ataques de DNS rebinding.

* Un error a la hora de establecer los permisos de memoria en Adobe Flash Player para Linux puede ser usado para elevar privilegios.

Se recomienda actualizar a la versión 9.0.115.0 desde:

Windows, Mac, y Linux:
http://www.stage.adobe.com/go/getflash

Distribución por red:
http://www.stage.adobe.com/licensing/distribution

Flash CS3 Professional:
http://www.adobe.com/support/flash/downloads.html

Flex 2.0:
http://www.stage.adobe.com/support/flashplayer/downloads.html#fp9


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb07-20.html

Adobe Flash Player JPG Processing Heap Overflow Vulnerability
http://dvlabs.tippingpoint.com/advisory/TPTI-07-21

viernes, 21 de diciembre de 2007

Ejecución de código en IBM Lotus Domino Web Access 7.x

Se ha encontrado una vulnerabilidad en IBM Lotus Dominio Web Access que podría permitir a un atacante ejecutar código arbitrario.

El fallo se debe a un error de límites en el control ActiveX dwa7.dwa7.1 de la librería dwa7W.dll a la hora de manejar cadenas asignadas a la propiedad "General ServerName". Esto podría ser aprovechado para provocar un desbordamiento de memoria intermedia basado en pila si se le asigna una cadena excesivamente larga y llamando al método InstallBrowserHelperDll.

El fallo se da en la versión de la librería 7.0.34.1 aunque otras podrían verse afectadas.

Existe exploit público del fallo.

Se recomienda activar el kill bit para el CLSID:
E008A543-CEFB-4559-912F-C27C2B89F13B
que evitaría la invocación del control ActiveX desde Internet Explorer.

Esto se consigue guardando el texto a continuación en un archivo .reg y ejecutándolo como administrador. Se aconseja tener cuidado a la hora de manipular el registro.

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX Compatibility\{E008A543-CEFB-4559-912F-C27C2B89F13B}]
"Compatibility Flags"=dword:00000400


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IBM Domino Web Access 'dwa7w.dll' ActiveX Control Buffer Overflow May Let Remote Users Execute Arbitrary Code
http://www.securitytracker.com/alerts/2007/Dec/1019138.html

jueves, 20 de diciembre de 2007

Actualización de seguridad puede causar inestabilidad en Internet Explorer

Se ha encontrado que la última actualización acumulativa para Microsoft Internet Explorer (MS07-069) podría provocar que, en ciertas circunstancias, el navegador se volviera inestable y dejara de responder.

Microsoft publicó el pasado martes su última actualización de seguridad para el popular navegador Internet Explorer 5, 6 y 7, en la que se solventaban un total de cuatro nuevas vulnerabilidades descubiertas y que afectaban a todas sus versiones para Windows XP y Vista. Desde entonces, algunos usuarios se han quejado de que la aplicación deja de responder al ser iniciada por primera vez después de la actualización y otros han experimentado un comportamiento cuanto menos inusual en el navegador al visitar ciertas páginas web.

Los medios de comunicación estadounidenses han sido los primeros en hacerse eco de la noticia y desde un grupo de noticias de Microsoft se especula con la teoría de que el problema está causado porque faltan algunas entradas de registro que deberían haberse actualizado al aplicarse el parche. Desde Microsoft se asegura que el problema está siendo investigado y será subsanado próximamente.

Al parecer, se han producido sólo algunos casos aislados y sólo sobre la versión 6. Microsoft ha publicado una contramedida que consiste en una pequeña modificación del registro que soluciona el problema hasta que sea parcheado.


Pablo Molina
pmolina@hispasec.com


Más información:

15/12/2007 Actualización acumulativa para Microsoft Internet Explorer
http://www.hispasec.com/unaaldia/3339

Boletín de seguridad de Microsoft MS07-069
Actualización de seguridad acumulativa para Internet Explorer (942615)
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-069.mspx

Update causes Internet Explorer to wobble
http://www.heise-security.co.uk/news/100789

Internet Explorer 6 crashes after you install security update 942615 on a computer that is running Windows XP Service Pack 2
http://support.microsoft.com/kb/946627

miércoles, 19 de diciembre de 2007

El phishing ha costado 3.200 millones de dólares a Estados Unidos en 2007

Un informe de la empresa de investigación de mercado Gatner habla de unas pérdidas de 3.200 millones de dólares por culpa del phishing en 2007. El informe pone cifras al phishing "tradicional", contabilizando desde agosto de 2006 a agosto de 2007 y centrado en Estados Unidos.

Son 3.6 millones de usuarios los que han perdido los más de 3.000 millones de dólares. En 2006, según el informe, fueron solo 2.3 millones de personas los que se vieron afectados.

La cantidad media estafada por robo serían unos 866 dólares, bastante menos que los 1.244 del año anterior. Sin embargo esto no significa que los atacantes hayan renunciado a mayores ganancias, pues el número de usuarios afectados ha aumentado. Quizás el robo de una cantidad menor permite que la estafa pase inadvertida en cierta forma para los bancos (nunca para el usuario) e incluso podría reducir la pena en el hipotético (y lamentablemente improbable) caso de que el estafador sea cazado.

En 2005, el coste estimado del fraude online(todo incluido) según el FBI era de 67.000 millones de dólares en Estados Unidos. Esto da una idea de lo que representa el phishing tradicional en el cómputo total del fraude en la Red.

Se desprende también del informe que hasta el 64% de los afectados recuperaron el dinero perdido en 2007. Bastante más que en 2006. Pero sin duda lo alarmante es que el ratio de "éxito" de cada ataque ha subido. El 3.3% de los usuarios que recibieron correos de phishing perdieron dinero, mientras que en 2006 fueron "sólo" el 2.3%.

Y Gatner concluye además que durante 2008 y 2009 este tipo de estafas no parará de crecer. Resulta demasiado sencillo y lucrativo para los atacantes.

Si bien el informe se centra en Estados Unidos, en España la situación puede ser parecida. En Hispasec hemos detectado un repunte de ataques phishing contra entidades bancarias españolas en los últimos meses. Incluso, como ya comentamos en otros boletines, varios ataques de phishing con intento de troyanización del sistema.

Si estas cifras se manejan con el phishing tradicional, ¿qué podemos esperar de los sofisticados troyanos que tienen el mismo fin y que forman parte del malware 2.0? Estos son mucho más eficaces, y el ratio de "éxito" en caso de infección es mucho mayor que ese 3.3% de usuarios que introducen sus datos en páginas fraudulentas. La mayoría de esos troyanos roban las contraseñas sin necesidad de que el atacado observe ningún comportamiento anómalo en el sistema o en la página web del banco y además pasan inadvertidos también para muchos antivirus.

Teniendo en cuenta los elevados índices de infección actuales, a las mafias rusas y brasileñas creadoras de este tipo de malware deben parecerle irrisorias las ganancias obtenidas con el phishing tradicional, una técnica mucho más primitiva.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Gartner puts phishing tab at $3.2 billion
http://blogs.zdnet.com/security/?p=755

El Phishing le cuesta a Estados Unidos 3.200 millones de dólares
http://www.vnunet.es/Actualidad/Noticias/Seguridad/Virus/20071219001

martes, 18 de diciembre de 2007

Múltiples vulnerabilidades a través de plugins GIMP para Sun Solaris 9 y 10

Sun ha dado a conocer múltiples vulnerabilidades en el plugin GIMP para Sun Solaris 9 y 10 que podrían permitir a un atacante remoto causar una denegación de servicio en Gimp o ejecutar código arbitrario con los permisos de un usuario local.

La vulnerabilidad reside al cargar en Gimp un archivo especialmente manipulado con alguno de los siguientes formatos de imagen: Sun Raster, PSD o PCX. El problema afecta a Solaris 10 para plataforma Sparc, o si se trata de plataforma x86 a las versiones Solaris 10 y Solaris 9. El resto de versiones no se ven afectadas por el problema.

No existe parche disponible. Se recomienda habilitar la opción "noexec_user_stack" para evitar los ataques más comunes de desbordamiento de búfer que almacenan código ejecutable en la pila. Éstos se puede hacer editando el archivo "/etc/system" y añadiendo las siguientes líneas:
set noexec_user_stack = 1
set noexec_user_stack_log = 1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Security Vulnerabilities Within the GIMP Plugins
http://sunsolve.sun.com/search/document.do?assetkey=1-26-103170-1



lunes, 17 de diciembre de 2007

Cross-site scripting en Apache 1.3.x y 2.2.x

Se ha encontrado una vulnerabilidad en Apache que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

* La vulnerabilidad que afecta a las versiones 1.3.x está localizada en la función mod_imap y está causada porque algunas entradas no se limpian de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para inyectar código JavaScript o HTML arbitrario en el contexto de la sesión del navegador de un usuario que visita una página afectada. Para que la vulnerabilidad pueda ser explotada se requiere que mod_imap esté activado y sus ficheros accesibles de forma pública.

* La vulnerabilidad que afecta a las versiones 2.2.x está localizada en la función mod_imagemap y está causada porque algunas entradas no se limpian de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para inyectar código JavaScript o HTML arbitrario en el contexto de la sesión del navegador de un usuario que visita una página afectada. Para que la vulnerabilidad pueda ser explotada se requiere que mod_imagemap esté activado y sus ficheros accesibles de forma pública.

La vulnerabilidad está confirmada para las versiones 1.3.39, 1.3.37, 1.3.36, 1.3.35, 1.3.34, 1.3.33, 1.3.32, 1.3.31, 1.3.29, 1.3.28, 1.3.27, 1.3.26, 1.3.24, 1.3.22, 1.3.20, 1.3.19, 1.3.17, 1.3.14, 1.3.12, 1.3.11, 1.3.9, 1.3.6, 1.3.4, 1.3.3, 1.3.2, 1.3.1 y 1.3.02.2.6. También está confirmada para las versiones 2.2.5, 2.2.4, 2.2.3, 2.2.2 y 2.2.0.

Se recomienda actualizar a la versiones de desarrollo 1.3.40-dev o 2.2.7-dev, donde se han subsanado los problemas de seguridad. Están disponibles desde:
http://httpd.apache.org/download.cgi


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Apache httpd 1.3 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_13.html

Apache httpd 2.2 vulnerabilities
http://httpd.apache.org/security/vulnerabilities_22.html

domingo, 16 de diciembre de 2007

Múltiples vulnerabilidades en IBM AIX 5.3

Se ha anunciado la existencia de múltiples vulnerabilidades en IBM AIX 5.3, aunque IBM no ha confirmado el impacto que pudieran llegar a tener.

Las vulnerabilidades afectan a: bos.rte.control, bos.net.uucp, bos.net.tcp.server, bos.rte.printers, bos.rte.lvm, bos.clvm.enh, bos.rte.console, bos.rte.methods, devices.common.IBM.atm.rte y otros componentes.

IBM ha lanzado Service Pack 4 para IBM AIX 5.3 y Service Pack 1 para IBM AIX 5.3 Technology level.

Se recomienda actualizar con los siguientes parches para las distintas versiones disponibles desde:
Service Pack 1 para IBM AIX 5.3 Technology level:
http://www-912.ibm.com/eserver/support/fixes/fixcentral/pseriesfixpackinformation/5300-07

Service Pack 4 para IBM AIX 5.3:
http://www-912.ibm.com/eserver/support/fixes/fixcentral/pseriesfixpackinformation/5300-06-04-0748


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

5300-07 Technology Level
http://www-912.ibm.com/eserver/support/fixes/fixcentral/pseriesfixpackdetails/5300-07-00-0747

5300-06 Service Pack 4
http://www-912.ibm.com/eserver/support/fixes/fixcentral/pseriesfixpackdetails/5300-06-04-0748

sábado, 15 de diciembre de 2007

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines de diciembre publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS07-069) de una actualización acumulativa para Internet Explorer; que además solventa un total de cuatro nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

* Tres problemas de ejecución de código en Internet Explorer debido al intento de acceder a objetos no inicializados o que han sido borrados. Esto podría permitir a un atacante ejecutar código arbitrario a través de una página web especialmente manipulada si esta es visitada por el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema.

* Un problema en la forma en la que Internet Explorer muestra webs que contienen llamadas a métodos inesperados en objetos DHTML. Esto podría permitir a un atacante ejecutar código arbitrario a través de una página web especialmente manipulada si esta es visitada por el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema.

Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Windows 2000 Service Pack 4:

Internet Explorer 5:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B3BD16EA-5D69-4AE3-84B3-AB773052CEEB&displaylang=es

Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=BC8EDF05-262A-4D1D-B196-4FC1A844970C&displaylang=es

Internet Explorer 6:

* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=6E4EBAFC-34C3-4DC7-B712-152C611D3F0A&displaylang=es

* Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F5A5AF23-30FB-4E47-94BD-3B05B55C92F2&displaylang=es

* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=BF466060-A585-4C2E-A48D-70E080C3BBE7&displaylang=es

* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=074697F2-18C8-4521-BBF7-1D0E7395D27D&displaylang=es

* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B3F390A6-0361-4553-B627-5E7AD6BF5055&displaylang=es

Internet Explorer 7:

* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B15A6506-02DD-43C2-AEF4-E10C1C76EE97&displaylang=es

* Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C092A6BB-8E62-4D90-BDB1-5F3A15968F75&displaylang=es

* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=34759C10-16A5-42A2-974D-9D532FB5A0A7&displaylang=es

* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7DCCCE5A-7562-448B-A345-CF1CC758E35C&displaylang=es

* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=8414F3FB-216A-4D46-B590-4C1F304DFF91&displaylang=es

* Windows Vista:
http://www.microsoft.com/downloads/details.aspx?FamilyId=26D303DA-BB2E-4555-96F1-BECB0E277341&displaylang=es

* Windows Vista x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C5E88E0B-A4C2-4690-91D9-326800030A16&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS07-069
Actualización de seguridad acumulativa para Internet Explorer (942615)
http://www.microsoft.com/spain/technet/security/Bulletin/ms07-069.mspx

viernes, 14 de diciembre de 2007

Ejecución de código en software distribuido con portátiles HP

Se ha encontrado una vulnerabilidad en un software preinstalado en muchos portátiles HP. Al tratarse de un ActiveX, el usuario de estos portátiles que utilice el software por defecto del fabricante y que visite con Internet Explorer alguna página especialmente manipulada, podría ejecutar código inadvertidamente.

El fallo se ha confirmado en el componente HP Info Center, preinstalado en la mayoría de portátiles HP, en concreto en uno de los HP Quick Launch Buttons. La librería HPInfoDLL.dll utiliza métodos inseguros, que permiten la ejecución de código. Al estar marcado en el registro como "safe for scripting", Internet Explorer puede invocarlo libremente a través de JavaScript. A efectos prácticos, con sólo visitar una página web con Internet Explorer, se podría ejecutar código. Si esto se hace con privilegios de administrador, el sistema quedaría completamente comprometido.

Además, se ha hecho público el exploit, lo que implica que "el trabajo sucio" ya está hecho para los potenciales atacantes. En la página donde se ha publicado el exploit, se asegura que afecta a HP Info Center v1.0.1.1 en Windows 2000, XP, 2003 y Vista (quizás con este último la ejecución de código sea más compleja).

Muchas compañías de portátiles y sistemas en general, venden Windows preinstalados con un gran número de "herramientas" propias de la marca o bien de terceros. Se supone que mejoran el rendimiento, la integración del sistema operativo con el hardware y otras muchas ventajas que ofrecen mayor comodidad para el usuario. Sin embargo, en ocasiones pueden suponer un problema de seguridad. Además de que el usuario desconoce qué tiene realmente instalado, a mayor número de aplicaciones mayor el riesgo en general. También hay que añadir que en muchas ocasiones deshacerse de este software integrado resulta cuando menos complejo e incluso peligroso para la estabilidad del sistema.

No es la primera vez que ocurre algo parecido. En noviembre de 2006, se descubrió una vulnerabilidad en el control ActiveX LunchApp.APlunch que podía ser aprovechada por atacantes para ejecutar código. El fallo afectaba a los Windows que por defecto vienen instalado en muchos de los portátiles Acer. El problema se debía a que el control ActiveX incluía un método Run inseguro que ejecutaba cualquier archivo pasado por parámetros. Esto podía ser aprovechado para ejecutar sin permiso cualquier programa que se encontrara en el sistema a través de una página especialmente manipulada. Básicamente, lo mismo que ha ocurrido con HP.

Mientras se publica una solución, las contramedidas son varias. Se puede activar el kill bit para el CLSID 62DDEB79-15B2-41E3-8834-D3B80493887A. También es muy recomendable utilizar las zonas de Internet Explorer para limitar el uso de ActiveX a páginas confiables. Incluso es posible renombrar temporalmente el archivo DLL que causa el problema (aunque se perderán las funcionalidades del producto).


Pablo Molina
pmolina@hispasec.com


Más información:

21/11/2006 Ejecución de código en software distribuido con portátiles Acer
http://www.hispasec.com/unaaldia/2950

Multiple Hewlett-Packard notebook series are prone to a remote code
execution attack.
http://www.anspi.pl/~porkythepig/hp-issue/kilokieubasy.txt

jueves, 13 de diciembre de 2007

Comunicado de Thomson Telecom en respuesta a información sobre routers vulnerables

Atendiendo al derecho a réplica que debe existir en cualquier medio de información, publicamos íntegramente la siguiente nota aclaratoria que desde Thomson Telecom nos hacen llegar en relación a la noticia publicada el pasado 12 de noviembre "Acceso a routers vulnerables de uso doméstico".

Hispasec no se hace responsable y no necesariamente está de acuerdo con el contenido de la siguiente información:



Estimado cliente,

Recientemente, algunos sitios web especializados en seguridad han
comenzado a emitir boletines provenientes de individuos protestando
porque podría ser que existieran formas de hackear las pasarelas
suministradas por Thomson.

Thomson ha investigado estas informaciones y quiere informar de su
estado actual.

Descripción del ataque potencial:

El ataque pudo comenzar con el llamado “cross-site scripting attack”
en el PC donde el usuario es invitado a clickar en un link que ejecuta
un script malicioso en el navegador del PC. Este script podría usarse
para perjudicar al PC y también para acceder y reconfigurar la pasarela.
Además podría utilizarse para establecer una sesión de ayuda remota que
podría hacer accesible la pasarela desde la WAN desde ahí en adelante.

Este tipo de ataque LAN-side es perfectamente conocido por la industria
del sector y se ha clasificado como un “ataque de ingeniería social”,
por lo tanto, no es exclusivo de las pasarelas Thomson.

Maneras de reducir el riesgo de sufrir este ataque:

Existen medidas genéricas de protección contra esta clase de “ataques
sociales” tales como la utilización de “bloqueadores de pop up”,
“bloqueadores Java-script”, “filtros anti spam” y muchos otros.

Secundariamente, las pasarelas pueden protegerse en la parte LAN
mediante el uso de nombre de usuario y password. En muchos desarrollos
el “usuario y el password” son públicos y no se invita al usuario a
cambiarlos. La elección de un nombre de usuario y un password seguro
es contraria a la pública, que ha implementado el operador primando
sobre la seguridad, la conveniencia y la facilidad de uso.

Sin embargo incluso en aquellos Operadores/ISPs que han decidido
proteger las configuraciones avanzadas de la pasarela con nombres
seguros de usuario y password, existen también formas de hacer el
bypass a estos nombres de usuario y de password si el denominado
Password Multilevel ha sido utilizado previamente y existe la cuenta
de usuario por defecto sin un usuario y un password seguro.

Al objeto de reducir el riesgo de que la pasarela pueda ser
reconfigurada desde la LAN mediante el uso de scripts maliciosos,
Thomson recomienda las siguientes medidas (tal y como se explican en
todos los manuales de instrucciones de Thomson):

* Configure un nombre de usuario y un password seguros para cada uno de
los usuarios de la pasarela (incluyendo el de por defecto) (Ver el anexo
1: ejemplo de la pasarela genérica Thomson TG780). Incluso si el usuario
por defecto tiene unos permisos de acceso muy limitados, es recomendable
que esté protegido con nombre de usuario y password seguros.


Nota: Este procedimiento requiere que los usuarios deban insertar
siempre su nombre de usuario y su password incluso si desean
reconfigurar algún ajuste de la pasarela.

Aunque Thomson no tiene noticia de que ninguna de sus pasarelas haya
sido hackeada de esta forma, se envía esta nota como medida preventiva.
De aquí en adelante, todos los futuros lanzamientos SW de Thomson
incluirán medidas adicionales de seguridad en relación con el nombre de
usuario y el password para su funcionalidad Password Multilevel.

Sin embargo, si alguno de nuestros usuarios fuera objeto de un ataque
malicioso, recomendamos que se le informe de que la pasarela puede
recobrar el estado original usando la función “reset to factory
defaults” (vuelta a los valores de fábrica originales).

Si tuviera alguna otra consulta sobre estas cuestiones no dude en
contactar con nosotros. Puede tener la seguridad de que le informaremos
sobre cualquier otro desarrollo que aparezca sobre este asunto.


Saludos cordiales,






Más información:

una-al-dia (12/11/2007) Acceso a routers vulnerables de uso doméstico
http://www.hispasec.com/unaaldia/3306

miércoles, 12 de diciembre de 2007

Ejecución remota de código en varios reproductores multimedia a través del codec 3ivx de MP4

Se ha encontrado una vulnerabilidad en el codec 3ivx (3ivx.dll), usado por múltiples reproductores de archivos multimedia para visualizar archivos MPEG-4.

Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario con los permisos del usuario ejecutando la aplicación. Si es el administrador el que ejecuta el programa, entonces un atacante podría lograr control total sobre un sistema vulnerable.

El problema de seguridad se debe a un fallo al abrir archivos MP4, debido a errores de límite en 3ivxDSMediaSplitter.ax al procesar ciertos átomos ("©art", "©nam", "©cmt", "©des" o "©cpy"). Esto podría causar un desbordamiento del búfer de pila, que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario, por medio de un archivo MP4 especialmente manipulado, con los permisos del usuario que intenta reproducir dicho archivo.

Los exploits han sido publicados directamente por un tal SYS 49152 y, afectan a todas las versiones del codec, siendo la última la 5.0.1. Los exploits publicados aprovechan el fallo usando como vectores de ataque versiones de populares reproductores multimedia: Windows Media Player 6.4.09.1130, Media Player Classic 6.4.9.0 y Nullsoft Winamp 5.32. Aún está por confirmar si el problema de seguridad puede afectar a otras versiones más recientes.

Windows Media Player es el reproductor multimedia que acompaña gratuitamente a los sistemas Microsoft. No contiene por defecto ese codec. Media Player Classic (MPC) es una alternativa, gratuita, al reproductor multimedia que incorpora Windows. Winamp es, seguramente, el reproductor de archivos multimedia más popular para plataformas Windows.

Entre las cualidades de éstos tres reproductores, está el soportar múltiples formatos, aceptar infinidad de plug-ins y la posibilidad de descarga de versiones gratuitas. Precisamente por el hecho de soportar tantos formatos, los reproductores sufren cada cierto tiempo de un problema de seguridad en alguno de sus codecs y se convierten en un vector de ataque tan peligroso como cualquier otro. En la mayoría de las ocasiones, sólo necesita de la ejecución de un archivo con la aplicación vulnerable para ser aprovechado. Su popularidad los convierte en un jugoso objetivo para atacantes.

Nullsoft ha publicado un nuevo parche para Winamp (versión 5.35) que soluciona el problema, pero por el momento no existe ninguna actualización disponible para el resto de reproductores. Desde Hispasec se recomienda no abrir archivos no confiables o de dudosa procedencia.


Pablo Molina
pmolina @ hispasec.com


Más información:

3ivx MPEG-4 Multiple Remote Stack Based Buffer Overflow Vulnerabilities
http://www.securityfocus.com/bid/26773/discuss

Nullsoft Winamp 5.35 patch:
http://download.nullsoft.com/winamp/client/wa5update.exe

martes, 11 de diciembre de 2007

Boletines de seguridad de Microsoft en diciembre

Tal y como adelantamos, esta semana Microsoft ha publicado siete boletines de seguridad (MS07-063 y MS07-069) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de ellos presentan un nivel de gravedad "crítico", mientras que el resto se clasifican como "importantes".

Con estos siete últimos boletines Microsoft ha publicado este año un total de 69 boletines frente a los 78 que publicó el pasado año.

Los catalogados por Microsoft como críticos:

* MS07-064: Resuelve dos vulnerabilidades en Microsoft DirectX que pueden permitir a un atacante ejecutar código arbitrario.

* MS07-068: Existe un fallo en Windows Media Format que puede permitir la ejecución remota de código si un usuario visualiza un archivo específicamente creado en formato Advanced Systems Format (ASF).

* MS07-069: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cuatro nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

Los catalogados por Microsoft como importantes:

* MS07-063: Una actualización para solucionar una vulnerabilidad en Server Message Block Version 2 (SMBv2), que podría permitir a un atacante remoto alterar datos transferidos por SMBv2 y con ello la ejecución de código remoto en configuraciones de dominio con SMBv2.

* MS07-065: Actualización para evitar una vulnerabilidad en Message Queuing Service (MSMQ) que podría permitir la ejecución de código remota en implementaciones Microsoft Windows 2000 Server, o la elevación de privilegios en Microsoft Windows 2000 Professional y Windows XP.

* MS07-066: Resuelve una vulnerabilidad en el kernel de Windows que podría permitir a un atacante tomar el control total de los equipos afectados.

* MS07-067: Se trata de una actualización que soluciona una vulnerabilidad en Microsoft Windows Macrovision Driver (secdrv.sys) que podría ser aprovechada por un atacante local para obtener una escalada de privilegios. Afecta a Windows Server 2003 y Windows XP.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS07-063
Vulnerability in SMBv2 Could Allow Remote Code Execution (942624)
http://www.microsoft.com/technet/security/bulletin/MS07-063.mspx

Microsoft Security Bulletin MS07-064
Vulnerabilities in DirectX Could Allow Remote Code Execution (941568)
http://www.microsoft.com/technet/security/bulletin/MS07-064.mspx

Microsoft Security Bulletin MS07-065
Vulnerability in Message Queuing Could Allow Remote Code Execution (937894)
http://www.microsoft.com/technet/security/bulletin/MS07-065.mspx

Microsoft Security Bulletin MS07-066
Vulnerability in Windows Kernel Could Allow Elevation of Privilege (943078)
http://www.microsoft.com/technet/security/bulletin/MS07-066.mspx

Microsoft Security Bulletin MS07-067
Vulnerability in Macrovision Driver Could Allow Local Elevation of Privilege (944653)
http://www.microsoft.com/technet/security/bulletin/MS07-067.mspx

Microsoft Security Bulletin MS07-068
Vulnerability in Windows Media File Format Could Allow Remote Code Execution (941569 and 944275)
http://www.microsoft.com/technet/security/bulletin/MS07-068.mspx

Microsoft Security Bulletin MS07-069
Cumulative Security Update for Internet Explorer (942615)
http://www.microsoft.com/technet/security/bulletin/MS07-069.mspx

lunes, 10 de diciembre de 2007

Microsoft publicará mañana siete boletines de seguridad

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan siete boletines de seguridad, seis dedicados a su sistema operativo Windows y uno al navegador Internet Explorer.

Si en noviembre fueron dos boletines de seguridad que salieron a la luz, este mes Microsoft prevé publicar siete actualizaciones el día 11 de diciembre. Al menos uno de los dedicados a Windows alcanzan la categoría de "crítico" (ejecución remota de código). El otro dedicado a Internet Explorer también resulta crítico (probablemente se trate un parche acumulativo).

Los fallos parecen estar relacionados con DirectX (versión de 7.0 a 10.0), Windows Media Format Run-Time (versión de 7.1 a 11) y Windows Media Services 9.1. Estos servicios son usados por aplicaciones como Windows Media Player.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.

No se sabe si este lote corregirá una vulnerabilidad de carácter leve reconocida por la propia Microsoft el 3 de diciembre. Se encontró un fallo en la funcionalidad Microsoft Web Proxy Auto-Discovery que podría ser aprovechado por un atacante remoto para perpetrar ataques de man-in-the-middle. Microsoft Web Proxy Auto-Discovery resuelve de forma incorrecta los nombres de dominio para localizar un servidor Web Proxy Auto-Discover (WPAD). Ésto podría ser aprovechado por un atacante remoto para alojar un servidor WPAD provocando que el cliente WPAD lo use inadvertidamente y resolver así hacia servidores incorrectos.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Web Proxy Auto-Discovery (WPAD) Could Allow Information
Disclosure
http://www.microsoft.com/technet/security/advisory/945713.mspx

Microsoft Security Bulletin Advance Notification
http://www.microsoft.com/technet/security/Bulletin/advance.mspx

domingo, 9 de diciembre de 2007

Denegación de servicio a través de vpnd en Mac OS X

Se ha encontrado una vulnerabilidad en Mac OS X que podría ser explotada por un atacante remoto para causar una denegación de servicio.

La vulnerabilidad está causada por un fallo en vpnd que podría ser explotado por un atacante remoto mediante datos especialmente manipulados para causar que el servicio deje de responder.

Existe una prueba de concepto de la vulnerabilidad para la versión Apple Mac OS X 10.5.0 (leopard) y puede que otras versiones se vean afectadas.

No existe parche disponible por el momento.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Apple MACOS X 10.5.0 (leopard) vpnd remote DoS POC
http://milw0rm.com/exploits/4690

sábado, 8 de diciembre de 2007

Actualización de múltiples paquetes para productos SuSE Linux

SuSE ha publicado actualizaciones para múltiples paquetes que resuelven diferentes problemas de seguridad en SuSE Linux 10.x.

Los paquetes y problemas corregidos son:

* Denegación de servicio en net-snmp.

* Ataques de cross-site scripting en htdig.

* Desbordamientos de búfer a través de e2fsprogs en libext2fs que podrían permitir ejecución arbitraria de código.

* Desbordamientos de búfer en nagios-plugins.

* Denegación de servicio en libpng.

* Desbordamiento de búfer en emacs que podría ser disparado a través de la línea de comandos.

* Salto de restricciones de seguridad (acceso a sesión autenticada) a través de session-ID en rubygem-actionpack.

* Salto de restricciones en gnump3d.

* Error en glib2 por culpa de problemas en PCRE.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report SUSE-SR:2007:025
http://lists.opensuse.org/opensuse-security-announce/2007-12/msg00002.html

viernes, 7 de diciembre de 2007

Ejecución remota de código a través en Skype

Se ha encontrado una vulnerabilidad en Skype, el popular software de VoIP (Voice over IP), que podría ser explotada por un atacante remoto para ejecutar código arbitrario, y de esa forma lograr el compromiso por completo del sistema afectado.

El problema está causado por un error en el manejador de URIs skype4com al procesar valores cortos de cadenas. Skype4com se crea durante el proceso de instalación de Skype. La vulnerabilidad podría ser explotada por un atacante remoto para corromper la memoria heap, lo que podría ser aprovechado por dicho atacante para llevar a cabo ejecución de código arbitrario en el sistema con los permisos del usuario ejecutando Skype.

Para que la vulnerabilidad sea explotable, es necesario que el usuario visite una página web maliciosa. La vulnerabilidad fue notificada por un investigador anónimo a Skype Technologies el pasado día 2 de Noviembre y está confirmada para todas las versiones anteriores a la 3.6 Gold, que vio la luz el pasado día 15.

Una vez más Skype ha cerrado la vulnerabilidad sin informar a sus usuarios (la última alerta de seguridad publicada por la compañía data de Octubre de 2006). Los usuarios de Skype pudieron enterarse del problema el día de ayer en Zero Day Initiative, una web especializada en publicar las vulnerabilidades descubiertas de forma responsable, una vez que ya han sido parcheadas.

Se recomienda actualizar a Skype 3.6 Gold o superior. En la actualidad, la última versión disponible desde la página web del fabricante es la 3.6.0.216, que se puede descargar desde:
http://www.skype.com/go/downloading
Se recomienda no visitar ningún enlace ni página web de dudosa procedencia.


Pablo Molina
pmolina@hispasec.com



jueves, 6 de diciembre de 2007

Cross-site scripting a través de la página de login en CiscoWorks Server

Se ha encontrado una vulnerabilidad en la página de login en CiscoWorks Server que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

CiscoWorks Common Services (CS) proporciona las bases de infraestructura de aplicaciones para todas las soluciones de administración de red CiscoWorks, para compartir un modelo común de almacenamiento de datos, login de usuarios, definiciones de roles de usuarios, privilegios de acceso y protocolos de seguridad.

La vulnerabilidad está causada por un fallo en la página de login (http://servidor:puerto) en los sistemas Windows y Solaris (puertos 1741 y 443). Esto podría ser explotado por un atacante remoto para ejecutar código JavaScript arbitrario en el contexto de la sesión del navegador de un usuario que visita la página de login.

La vulnerabilidad está confirmada para las versiones CiscoWorks Common Services 3.0.x y 3.1. Se recomienda instalar el parche que subsana el error, disponible para Windows y Solaris desde:
http://www.cisco.com/cgi-bin/tablebuild.pl/cw2000-cd-one


Laboratorio Hispasec
laboratorio@hispasec.com



miércoles, 5 de diciembre de 2007

Servicios antiphishing ¿efectivos?

Un estudio de Symantec revela que el 25% de las visitas a un sitio de phishing se produce durante la primera hora del lanzamiento del fraude. Transcurridas 12 horas habrá recibido el 60% de las visitas. Si los servicios antiphishing tardan más tiempo en desactivarlos, ¿cuál es su efectividad real en la prevención del fraude?

El estudio, que se ha llevado a cabo durante varios meses, analiza los logs correspondientes a 6.158 ataques, y pone números a algo que todos sabíamos: en un fraude por phishing las primeras horas son cruciales y concentran el mayor porcentaje de las visitas y estafas.

Durante las 6 primeras horas del ataque se llegarían a concentrar el 51,6% de las visitas, entre las 6 y 12 horas aumenta un 10,7%, entre las 12 y 24 horas se suma un 13%, y el 24,6% de las visitas restantes se suceden transcurridas las primeras 24 horas.

Estos datos dejan en entredicho la efectividad de los servicios antiphishing reactivos que mantienen medias superiores a las 6 horas de cierre, ya que no evitarían la mayoría de las visitas y por tanto la rentabilidad del ataque. Esto explica en parte que, pese a la inversión en este tipo de servicios, los ataques a ciertas entidades sigan siendo periódicos.

Desde el punto de vista del atacante, un servicio antiphishing de una entidad que cierre en el menor tiempo posible repercutiría negativamente en su negocio, y por tanto es de preveer que migrara sus ataques a otras entidades que no entorpecieran tanto el fraude.

Por ello la velocidad en el cierre de las infraestructuras de phishing es crucial en la prevención, tanto por los casos puntuales, como por estrategia a medio plazo que conlleve una disminución en los ataques a una entidad al dejar de ser un objetivo rentable.

¿Deberían las entidades exigir tiempos de reacción a los servicios antiphishing?

Queda claro que a mayor tiempo de reacción aumenta la rentabilidad del atacante, lo que también favorecería que la entidad sufra nuevos ataques. Como efecto colateral la empresa que ofrece el servicio antiphishing tendría que llevar a cabo más actuaciones, y también saldría beneficiada económicamente. Algo falla en la ecuación.

Dada la importancia de la velocidad de reacción, es lógico pensar que la entidad requiriera establecer algún tipo de escala basada en tiempos. No debería pagar lo mismo por la desactivación de un phishing en 1 hora que en 24, debería incentivar y premiar la mayor celeridad posible en las actuaciones, inclusive no pagar aquellas que se dilaten demasiado en el tiempo.

La realidad es que el cierre de una infraestructura de phishing depende de factores externos que no puede controlar la empresa de seguridad, y por lo tanto la efectividad en casos concretos, o en determinadas campañas, puede ser muy variable. No obstante, eso no debe ser ápice para que se establezcan mecanismos que incentiven los mejores resultados.

De los últimos 100 casos de phishing gestionados por el servicio antifraude de Hispasec, 47 de ellos se cerraron en menos de 1 hora. La media de cierre se sitúa en 3 horas 1 minuto.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Server Log Analysis of Phishing Web Sites
http://www.symantec.com/enterprise/security_response/weblog/2007/12/server_log_analysis_of_phishin.html

martes, 4 de diciembre de 2007

Inyección SQL en Asterisk

Se ha anunciado la existencia de una vulnerabilidad de inyección de código en Asterisk que podría llegar a permitir el compromiso de la aplicación.

Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

El fallo se debe a una insuficiente validación de entrada en Call Detail Record Postgres logging engine (cdr_pgsql) que permitiría a un atacante inyectar secuencias SQL, lo que podría permitirle el compromiso de la aplicación, acceder o modificar los datos, o explotar otro tipo de vulnerabilidades en la base de datos. Se recomienda actualizar a Asterisk 1.4.15 o superior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Asterisk Project Security Advisory - AST-2007-026
SQL Injection issue in cdr_pgsql
http://downloads.digium.com/pub/asa/AST-2007-026.html

lunes, 3 de diciembre de 2007

Nuevos contenidos en la Red Temática CriptoRed (noviembre de 2007)

Breve resumen de las novedades producidas durante el mes de noviembre
de 2007 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE CRIPTORED (por orden alfabético)

Diseño e implementación de un prototipo criptoprocesador AES-Rijndael en FPGA
http://www.criptored.upm.es/guiateoria/gt_m595a.htm

2. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Octubre de 2007 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200710.pdf

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Diciembre 3 de 2007: Segundo Día Internacional de la Seguridad de la Información DISI 2007 (Madrid - España)
http://www.capsdesi.upm.es/

* Diciembre 3 al 6 de 2007: IASK International Conference E-Activity and Leading Technologies 2007 (Oporto - Portugal)
http://www.iask-web.org/e-alt07/e-alt2007.html

* Enero 22 al 25 de 2008: Australasian Information Security Conference AISC 2008 (Wollongong - Australia)
http://www.eng.newcastle.edu.au/~aisc2008/

* Marzo 13 al 15 de 2008: 4th Workshop on Coding and Systems (Alicante y Elche - España)
http://www.dccia.ua.es/wcs2008

* Junio 18 al 20 de 2008: VIII Jornada Nacional de Seguridad Informática ACIS 2008 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1066

* Junio 23 al 25 de 2008: The 5th International Conference on Autonomic and Trusted Computing (Oslo - Noruega)
http://www.ux.uis.no/atc08/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Communications and eCommerce Technology and Research CollECTeR Iberoamérica 2008 (Madrid - España)
http://www.collecter.euitt.upm.es/

* Julio 9 al 11 de 2008: XIV Jornadas de Enseñanza Universitaria de la Informática (Granada - España)
http://jenui2008.ugr.es/

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y Seguridad de la Información RECSI 2008 (Salamanca - España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracajú - Brasil)
http://eatis.org/eatis2008/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE NOVIEMBRE DE 2007 (ordenadas por fecha de publicación)

Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2007.htm#nov07

* Celebración de Infosecurity en Santiago el 13 de Noviembre (Chile)
http://www.infosecurityonline.org/infosecurity/eventos/chile/santiago2007.php

* Celebración de Infosecurity en Quito el 20 de Noviembre (Ecuador)
http://www.infosecurityonline.org/infosecurity/eventos/ecuador/quito2007.php

* CFP para el 5th International Conference on Autonomic and Trusted Computing (Noruega)
http://www.ux.uis.no/atc08/

* Jornadas Técnicas de RedIRIS 2007 y XXIV de los Grupos de Trabajo en Oviedo (España)
http://www.rediris.es/jt/jt2007/

* Blog Inseguridad Informática en el Periódico El Tiempo (Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_blog.php?id_blog=3516456

* Informe de la Red de Sensores de INTECO del Mes de Octubre de 2007 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200710.pdf

* La Red Temática pasa a Formar Parte del Grupo de Investigación T>SIC (España)
http://www.upm.es/investigacion/grupos/Webs/EUIT_Teleco/SISTESIC/index.html

* CFP XIV Jornadas de Enseñanza Universitaria de la Informática en Granada (España)
http://jenui2008.ugr.es/

* CFP Euro American Conference on Telematics and Information Systems EATIS (Brasil)
http://eatis.org/eatis2008

* IV Jornadas de Actualización en Internet, e-Commerce, Telecomunicaciones e Informática (Colombia)
http://gecti.uniandes.edu.co/

* 4th Workshop on Coding and Systems en Alicante y Elche (España)
http://www.dccia.ua.es/wcs2008

* CFP para la VIII Jornada Nacional de Seguridad Informática ACIS 2008 (Colombia)
http://www.acis.org.co/index.php?id=1066

* Documento Diseño e Implementación Prototipo AES-Rijndael en FPGA (Colombia)
http://www.criptored.upm.es/guiateoria/gt_m595a.htm

* Segundo Día Internacional de la Seguridad de la Información DISI 2007 en la EUITT (España)
http://www.capsdesi.upm.es/

* Transmisión de DISI 2007 por Video Streaming el 3 de Diciembre de 2007
mms://amon.gate.upm.es/externo

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 650
(183 universidades; 236 empresas)
(20 altas y 3 artículos pendientes para diciembre 2007)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 34.558 visitas, con 79.666 páginas solicitadas y 32,31 GigaBytes servidos en noviembre de 2007. Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

noviembre de 2007
http://www.criptored.upm.es/paginas/historico2007.htm#nov07

domingo, 2 de diciembre de 2007

Ataque phishing a gran escala contra entidades bancarias españolas que además intenta troyanizar el sistema (2)

El pasado viernes publicamos un boletín alertando sobre un ataque
phishing a gran escala contra entidades bancarias españolas que además
intentaba troyanizar el sistema. En el laboratorio de Hispasec,
detectamos varias URL en un corto periodo de tiempo, con un
comportamiento muy sospechoso. Ante el interés que ha despertado la
noticia, aclaramos algunos detalles.

La pasada semana detectamos en Hispasec un kit de phishing que afectaba
a 35 entidades españolas, todos en un mismo servidor. Lo importante en
este caso era que aparecieron varios en pocos días y sobre todo, que
además se estaba intentando infectar a quien lo visitase. A través de un
JavaScript, la página intentaba ejecutar código y hacerse con el
sistema. En algunos casos, lo único que intentaban era desestabilizar el
navegador realizando ataques de JavaScritp.

Los phishings estaban alojados en páginas legítimas comprometidas,
normalmente en algún directorio interno de la web. La estructura solía
ser:

http://www.XXXXX.ZZ/XXXX/s/(banco)

Habiendo encontrado dominios de Rusia, Brasil y .ORG. Donde "banco"
representa el código de la entidad afectada. Hasta 35 por dirección.
Todas españolas. Las entidades a las que pretendía simular son:

Bancaja, Banca March, Bankinter, Bankoanet, BBK, BBVANet, Banco
Guipuzcoano, Caixa Catalunya, Caixanova, Caja España, CajaMadrid,
CajaMurcia, CajaSur, Caja Mediterraneo, Caja Canarias, Caja Castilla La
Mancha, Caja Navarra, Deutsche Bank, Caixa Geral, Banco Herrero,
IberCaja, ING Direct, Kutxa, Caixa d'Estalvis Laietana, Caixa Ontinyent,
OpenBank, Caja Rural, Banco Sabadell, Solbank, Caixa Tarragona, Unicaja,
Banco Urquijo, VitalNet.

A día de hoy, ninguna de las direcciones que detectamos la semana pasada
en el laboratorio de Hispasec siguen activas, aunque esto no indica que
no existan otras o que las anteriores no sean reactivadas en un futuro.
Se encontraban diferentes "sorpresas" según el banco visitado. El ataque
resultaba bastante enrevesado, tanto por su diversidad como por la
complejidad de cifrado de algunos códigos. Aun así el Hispasec ha
detectado en qué malware estaba basado y dónde se alojaba. Ocultamos
deliberadamente las direcciones que alojaban los troyanos porque todavía
siguen activas.

Cuando se visitaban los phishing y se conseguía ejecutar código (a
través de vulnerabilidades en el navegador, con lo que los sistemas
actualizados en principio podían sentirse más protegidos), se comunicaba
con un servidor para descargar el archivo ie_updates3r.exe. Este es un
"downloader" que se copia a %system32%/_svchost.exe y comienza a
descargar otro software, comportándose como servicio llamado "Microsoft
Inet Service". La lista de troyanos que intenta descargar (sus nombres
reales, no así las direcciones) es:

http://11.22.33.44/abba.exe
http://11.22.33.44/eagle.exe
http://11.22.33.44/25319.exe
http://11.22.33.44/sp_lin1_v171_3.exe
http://11.22.33.44/install.exe
http://11.22.33.44//id3216.exe
http://11.22.33.44/01112.exe
http://11.22.33.44 2//krea.exe
http://11.22.33.44/ldig001.exe
http://11.22.33.44/fds1010.exe

En la web, cada uno muestra además un contador de descarga. Actualmente
llevan casi 300 cada uno.

abba.exe es una variante de Trojan.Pandex, mientras que el resto está
destinado a que el sistema se convierta en un enviador de basura (spam).

El ataque ha resultado una especie de laberinto, con funciones
JavaScript ofuscadas dentro de otras cifradas ocultas a su vez bajo
cadenas codificadas. Si bien este tipo de ataques se usan a menudo, lo
realmente llamativo es que se haya realizado el ataque tomando como base
páginas de phishing de bancos españoles. El ataque parecía provenir de
Rusia.


Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (23/11/2007) Ataque phishing a gran escala contra entidades bancarias españolas que además intenta troyanizar el sistema
http://www.hispasec.com/unaaldia/3317/

sábado, 1 de diciembre de 2007

Actualización del kernel para productos Red Hat Enterprise Linux 5.x

Red Hat ha publicado una actualización para el kernel que soluciona varios problemas de seguridad.

* Una filtración de memoria en Red Hat Content Accelerator por la que un atacante local podría provocar una denegación de servicio por consumo de memoria.

* Un fallo en el manejo de de marcos IEEE 802.11 que afectan a varios módulos de red inalámbrica LAN. Bajo ciertas circunstancias, un atacante remoto podría provocar una denegación de servicio si se envían paquetes especialmente manipulados.

* Un problema en Advanced Linux Sound Architecture (ALSA) que permitiría a un atacante local con la posibilidad de leer /proc/driver/snd-page-alloc, tener acceso a porciones de la memoria del kernel.

Se recomienda actualizar a través de las herramientas automáticas up2date.

Según versión y plataforma, las actualizaciones disponibles desde Red
Hat Network.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
Advisory: RHSA-2007:0993-13
http://rhn.redhat.com/errata/RHSA-2007-0993.html