miércoles, 30 de abril de 2008

El malware se vale de los antivirus para proteger sus intereses

Symantec publica una curiosa entrada en su blog sobre las licencias de uso de un kit de troyano. Como industria, no debe extrañar que un kit de malware sea adquirido con su correspondiente licencia de uso, archivo de ayuda, e incluso restricciones que protejan la "propiedad intelectual" del aguerrido (grupo) creador de la pieza o sistema (se suele suministrar el malware y además el código del panel de control de la botnet). Lo curioso es que se utiliza a las casas antivirus como arma arrojadiza, como una amenaza para quien viole los términos de uso del malware.

Cualquiera que desarrolle un programa y quiera obtener un beneficio económico directo por su venta, debe lidiar con el problema que supone que el software se distribuya de forma descontrolada más allá del primer comprador. Para eso se escriben unos términos de uso que acuerdan las condiciones del 'contrato' entre el comprador y el desarrollador. En el mundo underground, donde se venden binarios a demanda para crear una botnet, confiar en que el comprador (cuyo fin de por sí es ilegal) respete los acuerdos, es poco más que una cuestión de fe.

Symantec ha curioseado en los archivos de ayuda de un 'viejo conocido', el paquete de malware Zeus. Este crea una botnet con una interfaz muy cómoda con la que manejar a los zombis. En su acuerdo de licencia, aparte de la prohibición expresa de distribución descontrolada, aplicar ingeniería inversa y demás condiciones que se aplican en las licencias 'habituales' de software, se puede leer (en ruso):

"En caso de que se detecte la violación de los acuerdos, el cliente pierde el soporte técnico. Además, el código binario de la botnet será enviado inmediatamente a las casas antivirus."

Se utiliza a las casas antivirus como el 'coco' que puede venir a aguar la potencial 'fiesta' que organice el cliente con el kit de botnet adquirido. ¿Es efectiva esta amenaza? Suponemos que si a los usuarios legítimos les cuesta, no ya respetar, sino simplemente leer los acuerdos en las licencias de software en el marco de la legalidad, si lo trasladamos a otros ambientes, quizás no tenga mucho sentido esta amenaza. La detección por parte de los motores hace las veces de 'juez' donde acudir cuando se viola un acuerdo. Una especie de 'embargo' de la mercancía.

Por tanto, se observa una curiosa mezcla de industrias, legítima y no. La del malware se sirve de la industria antivirus para cubrir dos intereses bien distintos: por un lado, usa al 'enemigo' para asegurar sus intereses, amenazando con enviar las muestras a los laboratorios si a alguien se le ocurre romper un trato con un estafador. Ejerce de 'chivato' confiando en la eficacia de los antivirus cuando les conviene.

Por otro, huyen de las firmas de los antivirus como de la peste, y el hecho de que una muestra que se quiere vender pase 'limpia' por los distintos motores (utilizan capturas y enlaces de VirusTotal.com, por ejemplo) se utiliza como estrategia de marketing y para potenciar el producto. Alardean de su capacidad para poner a prueba la eficacia de esos mismos motores en los que también confían en cierta forma para proteger sus intereses.

Aquí cabe matizar que el test que realizan con VirusTotal.com no se ajusta del todo a la realidad. El comportamiento de un antivirus en un escritorio es muy distinto al de nuestro sistema multimotor, sobre todo porque lo que encierra VirusTotal.com son versiones de línea de comando sin muchas funciones que incluyen los sistemas de escritorio que potencian sustancialmente su eficacia.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Copyright Violations in the Underground
http://www.symantec.com/enterprise/security_response/weblog/2008/04/copyright_violations_in_the_un.html

martes, 29 de abril de 2008

FORWARD: Trabajo en equipo por un futuro más seguro

Recientemente en Hispasec hemos participado en un taller de trabajo de un proyecto europeo llamado FORWARD. Básicamente, y muy a grosso modo, es una iniciativa de la Unión Europea que trata de crear un grupo de expertos en materia de seguridad informática que ayude no solo a ver con perspectiva lo que ocurre en estos momentos a tal efecto, sino que también se aporten ideas sobre cuales se sospechan serán las futuras amenazas en un plazo largo de tiempo.

Este primer workshop se ha localizado en la costera ciudad de Gottebörg, Suecia. Organizado por la Universidad Tecnológica de Chalmers, ha juntado la experiencia y perspectiva de empresas, universidades y entidades como la propia Comisión de la Unión Europea que se encarga de estudiar estos asuntos. Entre los participantes se encuentran las siguientes entidades: Banco de Austria, Boeing, British Telecom, Cisco, Combitech, Deep Blue, EADS, ENISA, FORTH, France Telecom, Fraunhofer, G-Data, Hispasec , Hitachi, Instituto Eurecom, Instituto Waterford de Tecnología, Instituto de Ciencias de la Computación (Grecia), Ipp-BAS, Joint Research Centre of the UC, Nokia, Packet General Networks, Panda Security, Parque Científico de Lindholmen, SEMA, SINTEF, Symantec, S21 Sec, Telekom Austria, TeliaSonera, TU Darmstadt, Universidad de Mannheim, Universidad de Ulm, Universidad de Vrije, Universidad Northeast, Universidad de Columbia, Universidad Carnegie Mellon, Universidad Técnica de Viena, Università degli Studi di Milano, Universidad Tecnológica de Chalmers, Virgin Charter, Volvo, Universidad de Koc y UCSB (USA).

Los grandes temas tratados en este workshop han sido Protección de Infraestructuras Críticas, Malware, Fraude, Sistemas Software de Gran Escala y Redes y Monitorización, todo desde distintas perspectivas de los problemas, no solo la técnica como suele ser habitual en este tipo de eventos. Se habló por ejemplo, de posibles problemas de seguridad – inyección de lógica maliciosa - en los propios dispositivos hardware y las grandes infraestructuras conformadas por estos, o las implicaciones de la seguridad en dispositivos que nos pueden afectar de forma totalmente directa, como sistemas de control aéreo o incluso marcapasos.

Desde Hispasec hemos participado compartiendo el conocimiento que llevamos acumulando con nuestra experiencia en los campos de Malware y Fraude online, y ha resultado refrescante comprobar en que temas concretos se mueven algunos esfuerzos de investigación a nivel mundial enfocados a combatir estos problemas, no solo ahora sino con estrategias a largo plazo.

Siempre resulta interesante el cruce de ideas con empresas y universidades, y este workshop ha cumplido todas nuestras expectativas al respecto, aunque particularmente hemos echado de menos la participación de fuerzas del orden también implicados en este tipo de materias.

Esperamos que en breve hagan publico tanto los papers iniciales como el material de presentaciones que se usó y analizó en profundidad durante dos intensos días.


Julio Canto
jcanto@hispasec.com


Más información:

ICT-FORWARD Project
http://www.ict-forward.eu

1st FORWARD workshop
http://www.chalmers.se/cse/EN/news/calendar-events/1st-forward-workshop

FORWARD 1st Workshop Agenda
http://www.ict-forward.eu/media/workshop/forward-workshop-agenda.pdf

lunes, 28 de abril de 2008

Mitos y leyendas: Las contraseñas en Windows IV (Redes)

Las contraseñas en Windows no sólo se utilizan para presentarse ante un sistema en local. Deben viajar por la red para mostrar las credenciales a sistemas remotos en los que se confía o al servidor de dominio que realmente gestiona y contiene los datos del usuario. Este escenario es muy común en redes internas. El usuario debe validarse contra el controlador de dominio, y también quizás contra su servidor de correo o su servidor proxy o una unidad compartida en otro Windows. Obviamente las contraseñas no viajan en texto claro por la red, aunque sea interna. ¿Cómo les demostramos que somos quienes decimos ser?

Para presentarse en red también es necesario que el propio servidor se autentique. Así el cliente que quiere acceder a los recursos sabe que no le está enviando los hashes de las credenciales a cualquiera. Ambos tienen que estar seguros de que el cliente y el servidor son quienes dicen ser, así que el protocolo se complica. Para "solucionarlo" se sigue un esquema de desafío respuesta. Más o menos, el cliente y el servidor mantienen una conversación en el que uno manda un desafío, el otro le da un tratamiento y lo devuelve. Si ambos obtienen el mismo resultado, la autenticación es válida y así las contraseñas no han pasado en claro por la red.

El protocolo NTLM en redes

Sin ánimo de añadir confusión, al protocolo de intercambio desafío-respuesta utilizado también se le llama NTLM. Los paquetes del protocolo NTLM enviados por las máquinas de Microsoft pueden ser fácilmente identificados porque todos comienzan con la cabecera "NTLMSSP". Por ejemplo, así es como los programas que esnifan credenciales en red saben que se está negociando una autenticación "a su alrededor".

Durante el protocolo de autenticación, se intercambian tres (tipos de) mensajes desafío-respuesta. En lo que sin duda resultará un ejercicio de simplificación, sentaremos las bases del protocolo:

* Mensaje 1: Con este mensaje empieza la conversación, y lo envía el cliente. Entre otras cosas, en él viajan una serie de flags en los que el cliente le cuenta al servidor los distintos tipos de características de cifrado y otros parámetros, para que los dos sepan qué es lo que pueden soportar y esperar uno del otro. A continuación, le indica el nombre de máquina, de dominio, de grupo de trabajo...

* Mensaje 2: Este es el que devuelve el servidor al cliente que se quiere autenticar. En él viaja el desafío, que no es más que un trozo de datos aleatorios con el que el servidor desafía al cliente: "Si sabes manipular este trozo de datos correctamente con tu contraseña, entonces sé que eres quien dices ser".

* Mensaje 3: En él se encuentran las respuestas que ha calculado el cliente, esto es, el cálculo de la combinación contraseña-desafío con el que el cliente pretende autenticarse. Aquí entran en juego varias posibilidades. O bien se usa LM/NTLM o bien Lmv2/NTLMv2 para calcular estas respuestas.

Un atacante necesita el desafío que envió el servidor, y esta respuesta (obtenidas quizás al esnifar el tráfico de red) para intentar aplicar la fuerza bruta y sacar las credenciales en texto claro.

Autenticación desafío-respuesta

¿Cómo calcula el cliente esa combinación contraseña-desafío? Puede utilizarse la combinación LM/NTLM para redes, o su versión avanzada LMv2/NTLMv2 para redes. Al igual que el sistema almacena la contraseña cifrada con dos algoritmos, Microsoft ha mantenido ambas posibilidades y parejas de protocolos, unos más débiles que otros.

* Respuesta LM/NTLM

La respuesta LM de un cliente ante un desafío es calculada de forma parecida a la firma o hash LM usado para las contraseñas locales, pero un poco más enrevesada. La respuesta al desafío está basada en el propio hash LM que almacena la SAM, por tanto, hay que partir de esa firma para calcular la respuesta LM. Lo que el cliente hace en realidad es cifrarla y mezclarla cifrada con el desafío enviado por el servidor. Así el servidor que envía el desafío sabe que sólo un cliente que conozca la clave del usuario podría haber obtenido el mismo resultado a partir del desafío que él ha enviado.

El proceso de la respuesta NTLM es muy parecido al de LM, más sencillo pero no por ello menos eficaz. El proceso de respuesta NTLM también comienza con el hash NTLM de la contraseña, este hash se rellena hasta los 21 bytes y es partido en tres trozos de 7 bytes. Cada uno, después de sufrir un proceso de agrupación de binarios y bits de paridad da un resultado con el se descifra el desafío utilizando cada trozo como clave DES.

* Respuesta LMv2/NTLMv2

Esta respuesta se envía cuando tanto servidor como cliente están preparados para soportarla (se lo confirman el uno al otro en el primer mensaje). Cuando este tipo de respuesta está habilitado, la respuesta NTLM es sustituida por la NTLMv2 y la LM por la respuesta LMv2. Lo que realmente representa una mejora con respecto a su anterior versión, es que se utiliza una firma de tiempo y un desafío que también propone el cliente. A modo de resumen, se puede destacar que se parte igualmente del hash NTLM de la firma de la contraseña y se calcula el hash HMAC-MD5 del valor en unicode del nombre de usuario y dominio en mayúsculas. Como clave se utiliza el hash NTLM. El resultado es el hash NTLMv2. A estos datos, todos concatenados, se le añade el desafío y se vuelve a calcular HMAC-MD5 utilizando el hash NTLMv2 (calculado previamente) como clave.

LMv2 puede ser visto como un NTLMv2 en miniatura, pero sin firma de tiempo. Se calcula el HMAC-MD5 utilizando el hash NTLMv2 como firma de los dos desafíos, el del servidor y uno que genera el cliente para la ocasión.

Con esta última opción las contraseñas viajan de una forma mucho más segura por las redes. Como de costumbre, sólo estuvo disponible a partir de Windows 2000 (como servidor y cliente) y desactivado por defecto en posteriores.

Autenticación Kerberos

Con Windows 2000 Microsoft introdujo además para su Directorio Activo un sistema estándar de autenticación, Kerberos, mucho más avanzado que lo anteriormente descrito, pero que no los sustituye. Para funcionar con autenticación Kerberos en una red, es necesario un servidor de Kerberos (que coincide con el controlador de dominio). En entornos de grupo de trabajo, por ejemplo, y en ciertas circunstancias bajo un dominio, se sigue usando LM/NTLM o LMv2/NTLMv2. Además de Kerberos, para cuando no es posible usarlo, se pueden configurar los servidores para obligarles que solo negocien la versión 2 del protocolo de Microsoft y evitar así que las contraseñas viajen por la red y sean fácilmente descifrables.


Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (01/04/2008) Mitos y leyendas: Las contraseñas en Windows I (Tipos de ataques)
http://www.hispasec.com/unaaldia/3447/mitos-leyendas-las-contrasenas-windows-tipos-ataq

una-al-dia (09/04/2008) Mitos y leyendas: Las contraseñas en Windows II (Syskey)
http://www.hispasec.com/unaaldia/3455/mitos-leyendas-las-contrasenas-windows-syskey

una-al-dia (18/04/2008) Mitos y leyendas: Las contraseñas en Windows III (LM y NTLM)
http://www.hispasec.com/unaaldia/3464

domingo, 27 de abril de 2008

Actualización de múltiples paquetes para productos SuSE Linux

SuSE ha publicado varias actualizaciones para diferentes paquetes que solucionan diversos problemas de seguridad.

Las vulnerabilidades y productos actualizados son:

* Un atacante podría causar una denegación de servicio en licq si inicia más de 1024 conexiones a un cliente remoto de licq.

* Un atacante podría causar una denegación de servicio o ejecutar código arbitrario en la librería libpng, por medio de un archivo de imagen PNG especialmente manipulado con el que se podría sobrescribir memoria arbitraria.

* Un atacante remoto podría saltarse las restricciones de seguridad a través del canal SIP en asterisk y realizar llamadas sin haber realizado un registro de usuario.

* Un usuario autenticado podría hacer que el servidor LDAP de openldap2 dejara de responder por medio del comando NOOP.

* Se ha encontrado un fallo en la función audit_log_user_command() de audit que podría causar un desbordamiento de búfer.

* Existe un problema de desbordamiento de búfer al analizar sintácticamente los archivos con cabeceras RGBE en blender. Además también se han resuelto otros problemas con archivos temporales.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report SUSE-SR:2008:010
http://lists.opensuse.org/opensuse-security-announce/2008-04/msg00011.html

sábado, 26 de abril de 2008

Diversas vulnerabilidades en KDE 3.x y 4.x

Se ha anunciado la existencia de diversas vulnerabilidades en KDE 3.x y 4.x que podrían ser explotadas por un atacante local para escalar privilegios o remoto para causar una denegación de servicio o ejecutar código arbitrario.

Los orígenes de KDE se remontan a la toma del modelo iniciado por CDE (Common Desktop Environment), un entorno de escritorio empleado por diversos sistemas UNIX. El proyecto KDE fue iniciado por Matthias Ettrich en octubre de 1996, prácticamente un año antes de que apareciese el proyecto GNOME. Desde entonces, KDE es un gestor de escritorio muy extendido en productos UNIX, especialmente en las distribuciones Linux.

* La primera vulnerabilidad está causada por un desbordamiento de búfer basado en pila debido a que KDE KHTML falla al comprobar los límites de las entradas introducidas por un usuario al procesar archivos PNG maliciosos. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario o causar una denegación de servicio en KDE.

* La segunda vulnerabilidad está causada porque la utilidad 'start_kdeinit' de KDE podría permitir múltiples escaladas de privilegios provocadas por fallos al comprobar las entradas.

Se recomienda actualizar a las últimas versiones de KDE, disponibles desde:

KDE KDE 4.0
KDE post-kde-4.0.3-khtml.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-kde-4.0.3-khtml.diff

KDE KDE 4.0.1
KDE post-kde-4.0.3-khtml.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-kde-4.0.3-khtml.diff

KDE KDE 4.0.2
KDE post-kde-4.0.3-khtml.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-kde-4.0.3-khtml.diff

KDE KDE 4.0.3
KDE post-kde-4.0.3-khtml.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-kde-4.0.3-khtml.diff

KDE KDE 3.5.5
KDE post-kde-3.5.5-kinit.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-kde-3.5.5-kinit.diff

KDE KDE 3.5.6
KDE post-kde-3.5.5-kinit.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-kde-3.5.5-kinit.diff

KDE KDE 3.5.7
KDE post-kde-3.5.5-kinit.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-kde-3.5.5-kinit.diff

KDE KDE 3.5.8
KDE post-kde-3.5.5-kinit.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-kde-3.5.5-kinit.diff

KDE KDE 3.5.9
KDE post-kde-3.5.5-kinit.diff
ftp://ftp.kde.org/pub/kde/security_patches/post-kde-3.5.5-kinit.diff


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

KDE 'start_kdeinit' Multiple Local Privilege Escalation Vulnerabilities
http://www.securityfocus.com/bid/28938/

KDE KHTML PNGLoader Heap Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/28937/

viernes, 25 de abril de 2008

Vulnerabilidades resueltas y no resueltas en Apple Safari

Apple publicó la pasada semana una nueva actualización para el navegador web Safari (versión 3.1.1), en la que se corrigen varias vulnerabilidades que podrían ser aprovechadas por atacantes remotos para saltarse restricciones de seguridad, perpetrar ataques de cross-site scripting, causar una denegación de servicio o ejecutar código arbitrario en un sistema vulnerable. A pesar de que la última actualización solventa cuatro vulnerabilidades, recientemente se han encontrado otros tres problemas de seguridad no parcheados en Safari 3.1.1, y que podrían ser aprovechados para causar una denegación de servicio o para falsificar el contenido de la barra de direcciones, pudiendo mostrar una URL que no se correspondería con el sitio web que se está visitando.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows XP y Vista.

* Uno de los últimos problemas de seguridad detectados, confirmados para la versión más reciente del navegador (v.3.1.1 para Mac OS X y Windows), hace posible la falsificación de la URL en la barra de direcciones del navegador. Esto podría ser aprovechado, por ejemplo, para favorecer ataques de phishing. Si pinchamos en un enlace malicioso podríamos ser dirigidos a una página web falsificada aunque la barra de direcciones podría mostrar la dirección legítima de la web a la que creemos estar accediendo.

La vulnerabilidad está provocada por un error de validación de entrada, y podría ser aprovechada por medio de una URL especialmente modificada que contenga cierto número de caracteres especiales en el campo "usuario" antes del carácter @.

Las otras dos vulnerabilidades publicadas de forma reciente, y que aún no están parcheadas, podrían ser aprovechadas por un atacante remoto para causar que el navegador dejara de responder (denegación de servicio):

* La primera estaría provocada por un error al manejar URIs mal formadas que contengan "file:".

* La segunda por un error al manejar un gran número de llamadas a la función document.write() con argumentos demasiado largos, que podrían causar el uso exhaustivo de la memoria disponible si se visita una página web especialmente modificada.

A continuación se describen brevemente las vulnerabilidades corregidas por Apple en la versión 3.1.1 de Safari, disponible para su descarga desde el miércoles de la semana pasada.

* Un error al descargar archivos con un nombre demasiado largo podría causar una corrupción de memoria provocando una denegación de servicio, e incluso, permitiendo la ejecución remota de código arbitrario.(Sólo afecta a la versión de Safari para Windows).

* Otra problema corregido podría ser aprovechado para falsificar un sitio web, mostrando un contenido que no correspondería a la dirección que se muestra en la barra de direcciones. (Sólo afecta a la versión bajo Windows).

* Un error en el manejo de URLs que contienen “:” en el nombre del host que podría ser aprovechado para conducir ataques de cross-site scripting por medio de una URL especialmente manipulada.

* Un desbordamiento de enteros en el compilador de expresiones regulares JavaScript en WebKit (JavaScriptCore/pcre/pcre_compile.cpp) que podría ser aprovechado por medio de una página web maliciosa para causar una denegación de servicio o ejecutar código arbitrario.

A modo de curiosidad, se especula con que esta última vulnerabilidad fue la aprovechada por los ganadores del concurso de hacking PWN to OWN en el que se competía contrarreloj por lograr la ejecución remota de código arbitrario en alguno de los tres PCs suministrados, cada uno equipado con un sistema operativo distinto: Mac OS X 10.5.2, Windows Vista SP1 y Ubuntu 7.10.

Se recomienda actualizar a la versión 3.1.1 de Safari, que puede ser instalada a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándola directamente desde:
http://www.apple.com/support/downloads/
http://www.apple.com/safari


Pablo Molina
pmolina@hispasec.com


Más información:

Multiple vulnerabilities in Safari 3.1.1 (525.17)
http://es.geocities.com/jplopezy/pruebasafari3.html

About the security content of Safari 3.1.1:
http://support.apple.com/kb/HT1467

Apple Safari WebKit PCRE Handling Integer Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-022/

jueves, 24 de abril de 2008

Escalada de privilegios a través de Realtek HD Audio Codec Driver en Windows

Se ha descubierto un fallo en el controlador de audio Realtek (rtkvhda.sys) que podría permitir a un atacante local elevar sus privilegios en sistemas Windows.

El error está causado por un desbordamiento de enteros en ciertas rutinas internas de las llamadas IOCTL. Esto podría ser aprovechado para sobrescribir memoria del kernel a través de peticiones IOCTL manipuladas y conseguir ejecutar código con privilegios de SYSTEM.

Son vulnerables todas las versiones de Realtek HD ACD inferiores a la versión 6.0.1.5605. Se recomienda actualizar a la última versión disponible según sistema:
Para Windows Vista (32/64 bits):
ftp://202.65.194.212/pc/audio/Vista_R191.exe
Para Windows 2000/XP/2003 (32/64 bits):
ftp://66.104.77.130/pc/audio/WDM_R191.exe


Antonio Ropero
antonior@hispasec.com


Más información:

RealTek HD Audio Codec Driver Local Privilege Escalation
http://www.wintercore.com/advisories/advisory_W010408.html

miércoles, 23 de abril de 2008

¿PayPal bloqueará a los navegadores 'inseguros'?

Se ha escrito mucho sobre esta medida decidida por PayPal, sin duda, un peso pesado en Internet y cuyos movimientos se siguen con lupa. Como suele ocurrir en estos casos, la noticia ha sido en parte confundida y al parecer la mayoría de los medios no han sabido transmitir realmente la idea de PayPal. Como de costumbre, los medios generalistas han terminado aprovechando para señalar con el dedo a los de siempre, con el mensaje de siempre, y olvidando realmente cuál es el objetivo de la compañía.

PayPal es el sistema de pago líder en Internet. Permite ingresar o recibir dinero en cuentas particulares o ajenas con sólo conocer la dirección de correo de un usuario de PayPal. PayPal es la compañía, junto con eBay, que más ataques phishing sufre cada día. Las contraseñas robadas de usuarios se cuentan por decenas cada hora. Como medida para paliar este problema, la compañía ha anunciado que bloqueará a los 'navegadores inseguros' y aquí parece que comienza la confusión. Es importante destacar que la medida de PayPal está destinada a paliar el phishing, y sus 'navegadores inseguros' se mueven exclusivamente en este contexto del fraude online, y no en ningún otro donde tengan que ver los problemas de seguridad o las vulnerabilidades.

¿Qué es entonces un navegador inseguro para PayPal? La respuesta no tiene nada que ver con vulnerabilidades, problemas de seguridad o nada parecido, aunque muchos han querido llevar la noticia a este campo. Por un lado, PayPal considera inseguros a los navegadores antiguos que han dejado de tener soporte y que no incorporan tecnología antiphishing (desarrollada en los últimos años). Como simple ejemplo, menciona que todavía es visitada por usuarios que utilizan Internet Explorer 4, y que a estos no les permitirá el acceso. Navegar con Internet Explorer 4 o cualquier otro navegador que no recibe soporte ni actualizaciones de seguridad desde hace años es un completo suicido tecnológico para el sistema que lo utilice. Probablemente, que un usuario de IE 4 pique en un phishing de PayPal o no, es el menor de sus problemas.

PayPal utiliza una analogía para explicar lo que pretende: "Dejar que los usuarios de estos navegadores visiten la página de PayPal es como permitir a una factoría de coches que los fabrique sin cinturón de seguridad". Al parecer PayPal avisará durante un tiempo a sus visitantes si detectan estos navegadores, y luego los bloqueará.

¿Qué otro parámetro utiliza PayPal para calificar de inseguro a navegador? Pues que no utilice la tecnología Extended Validation SSL. PayPal ha invertido en estos nuevos certificados SSL (que no son baratos) y obviamente quiere sacarles provecho. Extended Validation SSL es una buena idea. Explicado de forma sencilla, los certificados que cumplan el Extended Validation SSL autentican al servidor (como los certificados tradicionales), pero a efectos prácticos permiten que el navegador que visita la página que tiene estos certificados, muestre de forma mucho más clara que la página es efectivamente la que se quiere visitar. Sería como si el navegador hiciera por nosotros la operación de pulsar sobre el candado cuando nos conectamos por SSL a una página, y verificara la ruta de certificación, el domino válido... todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario puede así de un solo vistazo dar por seguro que el servidor al que se está conectando es el correcto, y que no se está usando un certificado válido, pero falso.

Por ahora, sólo Internet Explorer 7 soporta de serie la correcta interpretación de certificados EV SSL. Firefox 2 necesita un plugin y Opera ha dicho que lo implementará. Safari no se ha pronunciado. Quizás, con el tiempo, PayPal obligue a los usuarios a utilizar un navegador que soporte EV SSL, pero para entonces (dentro de años) probablemente sea algo que todos los programas implementen de serie.

La noticia por tanto, no es tan catastrófica, aunque sí marcará tendencias. Lo que todavía no se sabe realmente, es si esta medida ayudará a paliar el phishing que sufre PayPal. A tenor del éxito del que todavía goza el phishing tradicional, los usuarios han demostrado que no se fijan realmente en los dominios, ni en la autenticación SSL a la hora de introducir sus credenciales en cualquier página que se lo solicite.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Paypal to block 'unsafe browsers'
http://news.bbc.co.uk/2/hi/technology/7354539.stm

martes, 22 de abril de 2008

Un parche para Firefox introduce una nueva vulnerabilidad

La última versión del navegador Firefox, la 2.0.0.14 corrige una sola vulnerabilidad, algo nada habitual teniendo en cuenta que cada nueva versión soluciona normalmente entre 4 y 8 vulnerabilidades. El problema de seguridad que corrige, además, tiene su origen en una actualización anterior.

Apenas dos semanas después de anunciar la versión 2.0.0.13, Mozilla volvía a lanzar una nueva versión que corregía una sola vulnerabilidad, la MFSA 2008-20. Esta de describía como una denegación de servicio a través del recolector de basura de JavaScript. Según el anuncio, este parche corrige ciertos problemas de inestabilidad que pueden llevar a que la aplicación deje de responder. El problema es que se sabe que bajo ciertas circunstancias, 'cuelgues' de esta misma naturaleza han podido llegar a ser explotables en el pasado, y por tanto, permitir la ejecución de código. Parece que Mozilla se ha curado en salud y ante los problemas de inestabilidad y la posibilidad de explotación, se ha adelantado a lanzar una nueva versión que corrige el fallo.

Curiosamente esta potencial vulnerabilidad que podría permitir ejecución de código, ha sido introducida por un parche anterior, el MFSA 2008-15, aplicado en la versión 2.0.0.13 del navegador. O sea, el código introducido para solucionar un problema corregido en 2.0.0.13 ha provocado no solo inestabilidad en el navegador, sino que ha introducido una nueva vulnerabilidad potencialmente aprovechable para ejecutar código.

Al compartir código, Thunderbird también se ve afectado. Como viene siendo habitual, el fallo está corregido en una hipotética versión 2.0.0.14 de Thunderbird no disponible desde el sitio oficial, que en un declarado proceso de abandono, todavía anuncia la 2.0.0.12 como la última versión del cliente de correo.

No es la primera vez que esto ocurre con un navegador. El 8 de agosto de 2006 Microsoft publicó el boletín MS06-042. En él se recomendaba la aplicación de un parche acumulativo para Internet Explorer que solucionaba ocho problemas de seguridad. Dos semanas después se hizo público que, inadvertidamente, este parche había introducido una nueva vulnerabilidad crítica. En principio se detectaron ciertos problemas en la navegación tras la aplicación del parche, pero poco después se advirtió de que en realidad se trataba de una vulnerabilidad crítica para Internet Explorer. Investigadores de eEye comenzaron a indagar en este error y descubrieron que era aprovechable para la ejecución de código arbitrario. La versión del parche que lo solucionaba apareció el día 24 de agosto. A consecuencia de este descubrimiento, eEye y Microsoft se enzarzaron en una serie de acusaciones por el hecho de revelar información en un momento que Microsoft no consideraba adecuado.


Sergio de los Santos
ssantos@hispasec.com


Más información:

23/08/2006 El último parche acumulativo para Internet Explorer introduce
una nueva vulnerabilidad
http://www.hispasec.com/unaaldia/2860

13/09/2006 Tercera edición del boletín MS06-042 de Microsoft
http://www.hispasec.com/unaaldia/2881

25/08/2006 eEye y Microsoft, en pie de guerra
http://www.hispasec.com/unaaldia/2862

Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html

lunes, 21 de abril de 2008

Ejecución remota de código a través WkImgSrv.dll en Microsoft Works

Se ha descubierto un fallo de seguridad en un componente ActiveX del servidor de imagen (WkImgSrv.dll) del paquete de ofimática Microsoft Works que podría permitir a un atacante remoto ejecutar código arbitrario.

El fallo se debe a un desbordamiento de la memoria intermedia en la librería WkImgSrv.dll que podría producirse al visitar con Internet Explorer una página web creada específicamente por un atacante.

Actualmente no existe ningún parche. Se recomienda activar el 'kill bit' del control ActiveX para evitar que el componente afectado sea llamado por Internet Explorer. Es posible hacerlo copiando el siguiente texto, guardándolo como archivo con extensión .reg y ejecutándolo como administrador:

---COPIAR DESDE AQUI---

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\
ActiveX Compatibility\{00E1DB59-6EFD-4CE7-8C0A-2DA3BCAAD9C6}]
"Compatibility Flags"=dword:00000400

---COPIAR HASTA AQUI---

También existe la posibilidad de deshabilitar la ejecución automática de ActiveX en el navegador.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Potential Microsoft Works ActiveX Zero-Day Surfaces
http://www.avertlabs.com/research/blog/index.php/2008/04/17/potential-microsoft-works-activex-0-day-surfaces/

domingo, 20 de abril de 2008

Grupo de parches de abril para diversos productos Oracle

Tal y como adelantamos, Oracle ha publicado un conjunto de 41 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades sobre las que apenas han dado detalles concretos. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad. Los fallos se dan en varios componentes de los productos.

Los productos afectados son:
Oracle Database 11g, versión 11.1.0.6
Oracle Database 10g Release 2, versiones 10.2.0.2, 10.2.0.3
Oracle Database 10g, versión 10.1.0.5
Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.0.0, 10.1.3.1.0, 10.1.3.3.0
Oracle Application Server 10g Release 2 (10.1.2), versiones 10.1.2.0.2, 10.1.2.1.0, 10.1.2.2.0
Oracle Application Server 10g (9.0.4), versión 9.0.4.3
Oracle Collaboration Suite 10g, versión 10.1.2
Oracle E-Business Suite Release 12, versiones 12.0.4
Oracle E-Business Suite Release 11i, versiones 11.5.10.2
Oracle PeopleSoft Enterprise PeopleTools versiones 8.22, 8.48, 8.49
Oracle PeopleSoft Enterprise HCM versiones 8.8 SP1, 8.9, 9.0
Oracle Siebel SimBuilder versiones 7.8.2, 7.8.5

De las 41 correcciones:

* 17 afectan a Oracle Database. Una de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son:
Oracle Enterprise Manager, Advanced Queuing, Change Data Capture, Oracle Spatial, Authentication, Oracle Ultra Search, Core RDBMS, Oracle Net Services, Data Pump, Export, Query Optimizer, Audit.

* Tres afectan a Oracle Application Server las cuales no requieren usuario y contraseña válidos para poder ser aprovechadas. Una de ellas es aplicable a las instalaciones de cliente. Los componentes afectados son: Oracle Jinitiator, Oracle Enterprise Manager, Oracle Dynamic Monitoring Service, Oracle Portal, Oracle Ultra Search.

* 11 afectan a Oracle E-Business Suite. Siete de ellas no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Oracle Advanced Pricing, Oracle Application Object Library, Oracle Applications Framework, Oracle Applications Manager, Oracle Applications Technology Stack.

* Una afecta a Oracle Enterprise Manager. Requiere un usuario y contraseña válido para poder ser aprovechada.

* Tres afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Ninguna de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: PeopleSoft PeopleTools, PeopleSoft HCM Recruiting, PeopleSoft HCM ePerformance.

* Seis afectan a Oracle Siebel Enterprise. Tres de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Siebel SimBuilder.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

* Oracle Critical Patch Update - April 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html

Oracle Critical Patch Update April 2008 Documentation Map:
http://metalink.oracle.com/metalink/plsql/ml2_documents.showDocument?p_database_id=NOT&p_id=558178.1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - April 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html

sábado, 19 de abril de 2008

Ejecución remota de código en Cisco Network Admission Control

Se ha encontrado una vulnerabilidad en Cisco Network Admission Control (NAC) Appliance que podría ser aprovechada por un atacante remoto para obtener el secreto compartido (shared secret) usado entre Cisco Clean Access Server (CAS) y Cisco Clean Access Manager (CAM). Si se explota la vulnerabilidad, un atacante podría tomar control total sobre CAS de forma remota.

NAC Appliance de Cisco Systems NAC cubre todos los puntos de acceso a la red ofreciendo autenticación y evaluación; imposición de políticas de seguridad; espacios de cuarentena y remedios; y gestión centralizada. Los usuarios y dispositivos que no cumplan las políticas de seguridad corporativas quedan bloqueados y en cuarentena hasta que de forma automática se instalan las actualizaciones de seguridad para el sistema operativo así como el software de antivirus y anti-spyware.

La vulnerabilidad está causada porque Cisco NAC Appliance podría permitir a un atacante hacerse con el secreto compartido a través de los logs de error trasmitidos por la red. La obtención de esta información podría permitir a un atacante conseguir el control total de Cisco Clean Access Server

La vulnerabilidad afecta a los siguientes dispositivos Cisco:
NAC Appliance software versión 3.5.x, 3.6.x, 4.0.x y 4.1.x.

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20080416-nac.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Network Admission Control Shared Secret Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20080416-nac.shtml

viernes, 18 de abril de 2008

Mitos y leyendas: Las contraseñas en Windows III (LM y NTLM)

Microsoft ha mejorado gradualmente la seguridad de su fichero SAM, pero también ha mantenido la compatibilidad hacia atrás con sistemas inherentemente inseguros como Windows 9x. Con la cada vez mayor sofisticación de herramientas capaces de atacar por fuerza bruta los hashes LM y NTLM, el cifrado (sobre todo el LM) se ha vuelto virtualmente inútil si la contraseña no es realmente entrópica y compleja. En Vista, por fin, se ha eliminado al menos el eslabón más débil, el hash LM.

Si se estudia el resultado de un volcado online u offline (tras 'saltarse' el syskey) de la SAM, veremos algo así:

Administrador:500:42f29043y123fa9c74f23606c6g522b0:71759a1bb2web4da43e676d6b7190711:::

que oculta en realidad el hash LM de la contraseña (42f29043y123fa9c74f23606c6g522b0) y el hash NTLM (71759a1bb2web4da43e676d6b7190711)

El cifrado LM (Lan Manager)

Como dijimos, la SAM almacena dos cifrados por contraseña, LM y NTLM. LM es débil e inseguro por diseño, y además, teniendo en cuenta la potencia de los ordenadores actuales capaces de probar cientos de miles de contraseñas por segundo, su 'cifrado' es virtualmente inútil. LM no aprovecha bien los caracteres de las contraseñas y además comete otra serie de fallos importantes. Uno de los pasos para calcular el hash LM consiste en rellenar de '0' la contraseña hasta llegar a los 14 caracteres (en caso de que sea más corta) y partir el resultado en dos trozos de 7 bytes cada uno (el segundo relleno de esos '0' si es necesario). También convierte a mayúsculas todos los caracteres. Sobre estos dos trozos aplica un algoritmo estándar (DES) para cifrar una cadena arbitraria, conocida y fija (4b47532140232425) y los concatena.

El algoritmo comete una serie de errores imperdonables, incluso para la época en la que fue diseñado. Convertir todo a mayúsculas permite a los programas de fuerza bruta atacar directamente utilizando mayúsculas y reduciendo así el tiempo de cálculo, disminuye considerablemente las combinaciones. Pero lo más grave es que el hecho de partir la contraseña en dos, permite a los programas de fuerza bruta, dividir el trabajo y actuar en paralelo sobre ambos trozos. Así es que por ejemplo, en una contraseña de 10 caracteres, un programa de fuerza bruta tendrá que atacar en realidad dos partes diferentes: una contraseña de siete caracteres y otra de tres, casi trivial de adivinar. Un usuario con una contraseña de 14 caracteres estaría casi igual de expuesto que uno que utilizase una de 7 caracteres de longitud, pues en vez de elevar exponencialmente el tiempo de ataque, sólo se tardaría el doble (dos trozos de siete en vez de uno) o el mismo tiempo si se trabaja en paralelo. Obviar la diferenciación entre mayúsculas y minúsculas tampoco resulta, en absoluto, una buena idea.

El cifrado NTLM (NTLan Manager)

NTLM supone el segundo "intento" de Microsoft por mejorar el protocolo de las contraseñas. Por fin diferencia entre mayúsculas y minúsculas e internamente es más simple y robusto: calcula el hash cifrando con el estándar MD4 tras una pequeña modificación del valor hexadecimal de la contraseña.

Pero por muchas mejoras que introduzca, NTLM queda anulado. Porque por defecto las contraseñas son almacenadas y utilizadas en los dos formatos, el arcaico LM y NTLM, juntas en el mismo SAM. Un ejemplo claro de cómo la seguridad es tan fuerte como el más débil de sus eslabones.

Curiosidades

Durante mucho tiempo se dio por cierto que la contraseña óptima en Windows debía ser de 14 caracteres. Primero porque antes de Windows 2000 (que permite contraseñas de 127 caracteres) los cuadros de diálogo de NT que pedían la contraseña, no dejaban escribir más de 14 letras.

Y segundo por la naturaleza propia de LM, que no soporta más de 14 caracteres. Pero... si en Windows 2000 se aceptan más de 14 caracteres para la contraseña, y el cifrado LM se ha mantenido hasta Vista por razones de compatibilidad. ¿Qué pasaba entonces con el cifrado LM cuando la contraseña estaba compuesta por más de 14 caracteres? ¿Cómo lo divide internamente Windows para calcular el hash LM si éste necesita partirla en dos trozos de 7 bytes cada uno? El protocolo LM rellena la contraseña de ceros cuando es menor de 14 letras para poder partirla en dos... ¿cómo dividir entonces en dos trozos de 7 caracteres una contraseña de 15? Interesante pregunta para la que no existe respuesta.

De este tipo de contraseñas, simplemente, no se calcula el hash LM. En estos casos el sistema operativo no almacena el hash LM, el algoritmo no lo soporta. Además de mejorar la seguridad por el hecho en sí de usar una contraseña de mayor longitud, dando una asombrosa vuelta de tuerca, esto protege contra ataques de fuerza bruta.

Windows, cuando la contraseña tiene más de 15 caracteres, almacena la constante aad3b435b51404eeaad3b435b51404ee como hash LM (resultado de aplicar el cifrado LM a dos cadenas nulas de siete caracteres cada una y concatenarlas), que también es equivalente a una contraseña nula. Como la contraseña obviamente no es nula, los intentos de ataques contra el hash fallarán sistemáticamente. Esto no significa que una contraseña de más de 14 caracteres sea 'equivalente' a una contraseña nula. Aunque LM indique que la contraseña es nula, si no lo es, lógicamente ahí está (a su lado, literalmente) el hash NTLM para confirmar que no es así. Los programas de fuerza bruta que busquen la contraseña en el hash LM no funcionarán correctamente.

En cualquier caso, siempre ha existido la posibilidad de indicarle a Windows que no almacene el hash LM de la contraseña (aunque sea de menos de 14 caracteres) en el sistema. Vista, por defecto, no lo almacena.


Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (01/04/2008) Mitos y leyendas: Las contraseñas en Windows I (Tipos de ataques)
http://www.hispasec.com/unaaldia/3447/mitos-leyendas-las-contrasenas-windows-tipos-ataq

una-al-dia (09/04/2008) Mitos y leyendas: Las contraseñas en Windows II (Syskey)
http://www.hispasec.com/unaaldia/3455/mitos-leyendas-las-contrasenas-windows-syskey

jueves, 17 de abril de 2008

Escalada de privilegios en IBM DB2 UDB 8.x y 9.x

Se han encontrado dos vulnerabilidades en IBM DB2 UDB 8.x y 9.x (el gestor de base de datos de IBM), que podrían ser aprovechadas por un atacante local para escalar privilegios.

* La primera está causada por un error de límites en el programa db2dasrrm, que tiene set-uid root. Esto podría ser aprovechada para conseguir privilegios de root provocando un desbordamiento de búfer basado en pila introduciendo un valor demasiado largo en la variable de entorno DASPROF.

* El segundo problema está causado porque los siguientes archivos se crean de forma insegura cuando se inicia el programa db2dasrrm: "dasRecoveryIndex", "dasRecoveryIndex.tmp", ".dasRecoveryIndex.lock", y "dasRecoveryIndex.cor". Esto podría ser aprovechado por un atacante local para sobrescribir archivos arbitrarios con privilegios de root por medio de ataques de vínculo simbólico.

Para explotar estas vulnerabilidades es necesario una cuenta con permisos para arrancar DB2 Administation Server.

Las vulnerabilidades se producen en las versiones anteriores a las 8 Fix pack 16, 9.1 Fix pack 4a y 9.5 Fix Pack 1.

Se recomienda restringir el acceso sólo a usuarios confiables y aplicar los fix packs, disponibles desde:

Version 8 FixPak 16:
http://www-1.ibm.com/support/docview.wss?uid=swg21256235

Version 9.1 Fix Pack 4a:
http://www-1.ibm.com/support/docview.wss?uid=swg21255572

Version 9.5 Fix Pack 1:
http://www-1.ibm.com/support/docview.wss?uid=swg21287889


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IBM DB2 Universal Database db2dasStartStopFMDaemon Buffer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=689

IBM DB2 Universal Database Administration Server File Creation Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=688

miércoles, 16 de abril de 2008

Múltiples vulnerabilidades en ClamAV por la gestión de ejecutables comprimidos

Se han encontrado múltiples vulnerabilidades en Clam AntiVirus que podrían ser aprovechadas por un atacante remoto, o por ciertas muestras de malware, para causar una denegación de servicio o ejecutar código en un sistema vulnerable.

ClamAV es un motor antivirus de código abierto muy popular en el mundo del software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria.

Las vulnerabilidades se basan en una gestión potencialmente peligrosa de archivos binarios comprimidos con distintas herramientas.

* Según su descubridor, el investigador Alin Rad Pop, la primera vulnerabilidad está causada por un error de límites en la función cli_scanpe(), incluida en libclamav/pe.c. Esto podría ser aprovechado para causar un desbordamiento de memoria intermedia basado en heap por medio de un ejecutable especialmente manipulado, empaquetado con Upack. Un atacante remoto, podría hacer que la aplicación dejase de responder (denegación de servicio) o ejecutar código arbitrario.

* La segunda vulnerabilidad, descubierta por iDefense, está causada por un error de límites al procesar los PE empaquetados con el protector de ejecutables PeSpin. Esto podría ser aprovechado para casar un desbordamiento de memoria intermedia basado en pila, permitiendo la ejecución arbitraria de código.

* La tercera vulnerabilidad está causada por un error no especificado al procesar archivos ARJ especialmente manipulados que podrían causar que ClamAV dejara de responder. El archivo concreto que provoca la denegación de servicio viene incluido en un paquete de archivos creados especialmente por CERT-FI para detectar este tipo de problemas.

* IDefense ha reportado una cuarta vulnerabilidad similar a las anteriores que causada en este caso por un fallo al procesar los archivos PE binarios empaquetados con el compresor de ejecutables WWPack.

En la nueva versión se han añadido además mejoras en el manejo de archivos comprimidos y de distintos formatos, y también se han realizado modificaciones en los módulos unzip, SIS, cabinet, CHM y SZDD de las que no se han publicado detalles.

Las vulnerabilidades (tres de ellas calificadas como críticas) están confirmadas para la versiones 0.92 y 0.92.1 de Clam AntiVirus por lo que se recomienda actualizar a la nueva versión (ClamAV 0.93) tan pronto como sea posible. Se puede descargar desde:
http://www.clamav.net/
http://sourceforge.net/projects/clamav/


Pablo Molina
pmolina@hispasec.com



martes, 15 de abril de 2008

Ejecución de código a través de bloques de longitud cero en libpng

Se ha descubierto una vulnerabilidad en libpng que podría ser aprovechada por un atacante local para provocar una denegación de servicio, descubrir información sensible o comprometer una aplicación que use esta librería.

El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada.

El fallo se debe al manejo indebido de bloques PNG con longitud cero que puede ser aprovechado para permitir el uso de memoria no inicializada. Para que pueda aprovecharse esta vulnerabilidad la aplicación ha de llamar a la función "png_set_read_user_chunk_fn()" o "png_set_keep_unknown_chunks()" bajo ciertas condiciones.

El problema afecta a todas las versiones desde la 1.0.6 a la 1.2.26. El fallo se ha corregido en la versión 1.2.27Beta:
http://downloads.sourceforge.net/libpng/libpng-1.2.27beta02-no-config.tar.bz2
El 30 de abril se publicarán las versiones Libpng-1.2.27 y 1.0.33, en las que quedará corregido este fallo.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Libpng-1.2.26 security advisory
http://libpng.sourceforge.net/Advisory-1.2.26.txt

#2008-003 libpng zero-length chunks incorrect handling
http://www.ocert.org/advisories/ocert-2008-003.html

lunes, 14 de abril de 2008

Oracle publicará mañana parches para 41 problemas de seguridad

Oracle ha anunciado que en su ciclo habitual trimestral de publicación de parches, mañana (15 de abril) se corregirán 41 problemas de seguridad en sus productos.

Para la próxima CPU (Critical Patch Update) de Oracle, se solucionarán 41 problemas de seguridad en total. 17 de estos parches estarán destinados a corregir fallos en Oracle Database, producto "estrella" de la compañía. 3 para Oracle Application Server, 11 para Oracle E-Business Suite, 1 para Oracle Enterprise Manager, 3 para Oracle PeopleSoft Enterprise y 6 para Oracle Siebel SimBuilder.

De estos fallos mencionados, dos de los 17 para la base de datos son especialmente graves, pues no necesitarán autenticación para ser aprovechados de forma remota.

A pesar de ser un número abultado, 41 parches de seguridad en Oracle se ajustan a la media habitual del número de problemas a los que se enfrenta Oracle habitualmente de forma trimestral. Por citar varios ejemplos, en enero de 2008 se publicaron 26, en octubre pasado fueron 51, aunque el "record" data de octubre de 2006 cuando se publicaron más de 100 fallos.

Desde enero de 2007 Oracle anuncia con antelación algunos detalles de lo que publicará el día de parcheo. Esto supuso un paso más en su nueva apuesta por mejorar la estrategia de seguridad de la empresa. Un primer acercamiento fue el unificar los parches de forma mensual, luego trimestral, más tarde incluir más y mejor información en sus boletines y por último anunciar con cierta antelación detalles sobre lo que será publicado el día que se liberen las actualizaciones.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Oracle Critical Patch Update Pre-Release Announcement - April 2008
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2008.html

domingo, 13 de abril de 2008

Ejecución de código a través de GDI en Microsoft Windows

Dentro del conjunto de boletines de seguridad de febrero publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-021) de una actualización para el motor GDI de Windows que soluciona dos problemas de seguridad que podrían permitir a un atacante ejecutar código arbitrario.

La interfaz de dispositivo gráfico de Microsoft Windows (GDI) permite a las aplicaciones usar gráficos y dar formato a texto en la pantalla de vídeo y la impresora. Las aplicaciones basadas en Windows no tienen acceso al hardware de gráficos directamente, es el motor GDI quien se encarga de interactuar con los controladores de dispositivo en nombre de las aplicaciones.

* Existe una vulnerabilidad de ejecución de código en la forma en la que GDI maneja cálculos de enteros. Esto podría permitir a un atacante ejecutar código arbitrario a través de un fichero EMF o WMF especialmente manipulado si esta es abierto por el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema.

* Existe una vulnerabilidad de ejecución de código en la forma en la que GDI maneja ciertos parámetros en ficheros EMF. Esto podría permitir a un atacante ejecutar código arbitrario a través de un fichero EMF o WMF especialmente manipulado si esta es abierto por el sistema víctima. Si esto se realiza con privilegios de administrador, el atacante podría tomar completo control del sistema.

Estos problemas se encuentran en el motor GDI de Windows 2000, Windows Server 2003, Windows Server 2008, Windows Vista y Windows XP. Además recientemente se ha hecho público un exploit que aprovecha esta vulnerabilidad y está siendo utilizado activamente.

Se recomienda actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Windows 2000 Service Pack 4
http://www.microsoft.com/downloads/details.aspx?familyid=caac000a-22b6-48cb-aa00-1a0bfe886de2&displaylang=es

* Windows XP Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=c2763dd8-a03e-4a48-aa86-a7ec00250a7a&displaylang=es

* Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=166f2ab5-913c-47a9-86fe-b814797b751e&displaylang=es

* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=bee91d80-d49a-4d3d-82d6-d5aa63f54979&displaylang=es

* Windows Server 2003 x64 Edition y Windows 2003 Server x64 Edition Service Pack 2
http://www.microsoft.com/downloads/details.aspx?familyid=e3dde449-e062-4ce0-a9f4-433bff23e224&displaylang=es

* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con SP2 para Itanium
http://www.microsoft.com/downloads/details.aspx?familyid=7886a802-f2b5-489c-b14b-631f4c4c0742&displaylang=es

* Windows Vista y Windows Vista Service Pack 1
http://www.microsoft.com/downloads/details.aspx?familyid=9b51deb8-3873-4146-977f-7e3d0840a4c5&displaylang=es

* Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
http://www.microsoft.com/downloads/details.aspx?familyid=4ad6dcd1-6ea5-43bf-8bee-a5f507beadc6&displaylang=es

* Windows Server 2008 para 32-bit
http://www.microsoft.com/downloads/details.aspx?familyid=006d5c47-53e6-4ee1-932c-497611804938&displaylang=es

* Windows Server 2008 para x64 Systems
http://www.microsoft.com/downloads/details.aspx?familyid=8909f144-655b-4f07-916f-fd967f1efb2b&displaylang=es

* Windows Server 2008 para Itanium
http://www.microsoft.com/downloads/details.aspx?familyid=b7771a4a-4e4f-48d1-8551-bb8b778ca5a7&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-021
Una vulnerabilidad en GDI podría permitir la ejecución remota de código 948590)
http://www.microsoft.com/spain/technet/security/Bulletin/MS08-021.mspx

sábado, 12 de abril de 2008

Vulnerabilidades en visualizadores de archivos de Lotus Notes

Se han encontrado múltiples vulnerabilidades en IBM Lotus Notes 6.x, 7.x y 8.x que podrían ser explotadas por un atacante para ejecutar código arbitrario.

Las vulnerabilidades están causadas por varios error en visores de archivos que podrían ser aprovechados para causar un desbordamiento de búfer por medio de un archivo especialmente manipulado.

Para explotar las vulnerabilidades un atacante deberá enviar un archivo adjunto específicamente creado, y el usuario tendrá que hacer un doble-click y "Ver" el adjunto.

Los problemas afectan a los siguientes tipos de archivos:
Applix Presents (.ag)
Folio Flat File (.fff)
HTML speed reader (.htm)
Motor de visualización de documentos KeyView
Text mail (MIME)

Las vulnerabilidades están confirmadas para la versiones 6.0, 6.5, 7.0, 8.0 y 8.0.1.

Se recomienda contactar con el fabricante para obtener los parches necesarios.


Laboratorio Hispasec
laboratorio@hispasec.com



viernes, 11 de abril de 2008

Ejecución remota de código en HP OpenView Network Node Manager 7.x

Se ha descubierto un problema de seguridad en HP OpenView Network Node Manager que podría permitir a un atacante provocar una denegación de servicio, y potencialmente ejecutar código arbitrario.

HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes, posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP.

El fallo se debe a un error de validación de entrada en ovspmd.exe que puede ser aprovechado para provocar un desbordamiento de memoria intermedia basado en pila. Un atacante podría enviar información especialmente manipulada al puerto por defecto 8886 y provocar el fallo.

No existe parche oficial. Se recomienda restringir el acceso al puerto vulnerable y extremar las precauciones ya que existe exploit público capaz de aprovechar el fallo.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

memory corruption in ovspmd
http://aluigi.altervista.org/adv/closedview-adv.txt

jueves, 10 de abril de 2008

Múltiples vulnerabilidades en Adobe Flash Player 8.x y 9.x

Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante ejecutar código arbitrario en el sistema vulnerable.

Flash Player es un popular reproductor multimedia de ficheros Shockwave Flash(SWF). Originalmente creado por Macromedia, paso a ser mantenido y distribuido por Adobe tras su adquisición de Macromedia en el 2005. Flash Player está disponible para una amplia gama de plataformas, como Microsoft Windows, Linux, Mac OS, Solaris, HP-UX, Pocket PC, Symbian y Palm OS entre otras.

Los problemas corregidos incluyen errores de validación de entradas que podrían permitir la ejecución de código arbitrario y que podría ser explotado desde un navegador web, un cliente de correo, o cualquier otra aplicación que incluyera o referenciara el reproductor Flash.

Esta actualización incluye funcionalidades para mitigar potenciales problemas que podrían facilitar a un atacante la ejecución de ataques de revinculación DNS (DNS rebinding).

También introduce un método más conservador para la interpretación de políticas de dominios cruzados por Flash Player. Estos cambios ayudarán a prevenir ataques de escalada de privilegios contra servidores web que alojen contenido Flash.

Con esta actualización, el valor por defecto de allowScriptAccess (que se usa cuando no se especifica el parámetro), se cambia de "always" a "sameDomain" para todos los SWFs versión 7 y anteriores. Esto cambia el comportamiento de los SWFs antiguos para asignarles el modelo de seguridad actual y proporcionar mayor seguridad por defecto.

Además, para prevenir la ejecución de scripts en SWFs que no fueron creados para ello por su autor, las APIs que no hayan diseñadas específicamente para la interacción con el navegador no aceptan URLs "javascript:". Las APIs getURL() y navigateToURL() seguirán aceptando URLs "javascript:".

Debido a que todos estos cambios y mejoras de seguridad pueden tener un impacto en el contenido Flash existente, Adobe recomienda a todos los desarrolladores la revisión del documento:
http://www.adobe.com/devnet/flashplayer/articles/flash_player9_security_update.html
para determinar si la actualización afecta a su contenido, y comenzar a implementar los cambios necesarios de inmediato para llevar a cabo una transición sin problemas.

Se recomienda actualizar cada navegador en el sistema a través de:
http://www.adobe.com/go/getflash


Antonio Ropero
antonior@hispasec.com


Más información:

Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb08-11.html

Understanding Flash Player 9 April 2008 Security Update compatibility
http://www.adobe.com/devnet/flashplayer/articles/flash_player9_security_update.html

Policy file changes in Flash Player 9
http://www.adobe.com/devnet/flashplayer/articles/fplayer9_security.html

miércoles, 9 de abril de 2008

Mitos y leyendas: Las contraseñas en Windows II (Syskey)

Ante el problema que supuso el pobre sistema de cifrado local de las contraseñas (LM y NTLM), Microsoft introdujo una mejora en forma de parche para Windows NT y de serie para Windows 2000 y posteriores. El sistema se llamó "Syskey" (System key) y añade una nueva capa de seguridad. Aunque todos los Windows actuales lo utilizan y mantienen activo, Syskey es una de las funcionalidades menos conocidas. Básicamente, se cifra de nuevo con una contraseña maestra (System key) las firmas o hashes LM y NTLM almacenados en la SAM para intentar protegerlos.

Esto es, como suele ser habitual, una buena idea mal utilizada. En la práctica resulta un sistema de seguridad con ciertas contraindicaciones. Tras aplicar ingeniería inversa, se descubrió e hizo público el sistema de cifrado de Microsoft para Syskey y existen programas de 'crackeo' que permiten saltarse este método de seguridad sin mayor problema. Sin embargo, si Syskey se utiliza correctamente, puede prácticamente eliminar la posibilidad de un ataque "offline" en caso de que se robe el disco duro, se tenga acceso a él arrancando con otro sistema operativo, etc.

Posibilidades que ofrece Syskey

Se puede teclear 'syskey' (como administrador) en la línea de comandos para comprobar que se tiene activo por defecto, normalmente sin ser consciente (no hay forma de deshabilitarlo). Si se decide sacar provecho real de Syskey, se debe saber que permite tres tipos de almacenamiento diferentes para la contraseña maestra (con la que cifra la SAM), pero muy pocos lo usan.

Opción 1: La contraseña Syskey para cifrar la SAM puede ser almacenada en el registro a través de una algoritmo de ocultación ideado por Microsoft. La contraseña es elegida por el propio sistema y el usuario no tiene por qué conocerla. El algoritmo de ocultación de la contraseña maestra no es en absoluto complejo y ha sido descifrado y hecho público. Esta es la opción que usan todos los Windows por defecto.

Opción 2: Se le puede indicar al sistema que nos pida la contraseña maestra al arrancar Windows. De esta forma el administrador elije la "System key" y se tendrá que utilizar tanto esta clave maestra como la contraseña habitual de usuario para poder presentarse. Doble autenticación.

Opción 3: Por último, se puede almacenar la clave maestra en un disquete. No la pedirá al iniciar Windows, la tomará directamente del disquete introducido y el sistema no arrancará si no está presente.

Estas dos últimas opciones son las más seguras, pues al no permanecer la "System key" en ningún archivo, un atacante con acceso al disco duro (o a la SAM) tendría también que conseguir de alguna forma esa contraseña maestra, ya sea su valor o el disquete que la aloja. ¿Solución ideal?

Desventajas de Syskey

Un importante impedimento es que si se activa alguna de estas dos últimas opciones, al arrancar, el sistema no "funcionará" en red hasta que no se le indique esa contraseña maestra. Arranca lo mínimo pero sin 'conectividad'. Una vez introducida la Syskey, levanta la red y pide la contraseña 'normal'. Es un problema para un servidor que se reiniciase a distancia, no podríamos conectarnos a él hasta que alguien físicamente introdujese la contraseña maestra, pues no arrancaría por ejemplo el Terminal Server ni cualquier otro servicio definido.

En caso de almacenar la contraseña maestra en disquete sería posible dejarlo en la disquetera y el sistema lo leería automáticamente, pero aunque más cómodo, también implica que si se deja introducido sin vigilancia, no se consigue ninguna mejora de seguridad real. Además los disquetes son sistemas de almacenamiento obsoletos, tendentes a desaparecer y propensos a fallos. Sin embargo, Syskey bien usado no deja de ser una opción interesante a considerar en algunos escenarios, pues de esta forma se elevaría el nivel de autenticación a dos factores: sería necesario algo que se sabe (la contraseña normal de Windows) y algo que se tiene (el disquete físico), reduciendo así considerablemente la posibilidad de éxito en ataques "offline" y acceso al sistema.

Por defecto Syskey viene activado con la primera opción. Una contraseña elegida por el sistema y almacenada en el registro. Esto no es seguro desde el momento en que es pública la forma de almacenarla y es posible, a través de un programa, conocerla.

La llave bajo el felpudo

Cuando la contraseña es almacenada en el registro (primera opción), lo hace "repartida" en diferentes puntos del registro. Windows realiza unas permutaciones de estos datos para ofuscarla. Existe una herramienta llamada bkhive que permite la recuperación de la contraseña Syskey. Si se obtiene este dato y el archivo SAM, se podrá eliminar la capa de seguridad introducida por Syskey sin problemas y obtener los hashes LM/NTLM de las contraseñas. Y a efectos prácticos, quien tiene acceso a la SAM tiene acceso a esa zona del registro que almacena la clave maestra Syskey. Es como instalar una cancela de seguridad adicional ante la puerta de casa, pero esconder su llave bajo el felpudo.

Por tanto, aunque el Syskey se mantenga activo en un Windows, un atacante podría acceder a través de cualquier sistema al disco duro (de nuevo una distribución "Live" de Linux, o usar el disco duro en otra máquina...), tener acceso al fichero SAM, usar bkhive para obtener el Syskey, combinar ambos datos con samdump, obtener los hashes LM/NTLM y emplear por fin la fuerza bruta contra ellos. Aunque parezca complejo, es un proceso de un par de pasos automáticos con los programas adecuados.

Pero, una vez más ¿Por qué estos hashes LM/NTLM que en última instancia usa Windows para almacenar sus contraseñas resultan tan sencillos de romper con fuerza bruta? Lo veremos en una próxima entrega.


Sergio de los Santos
ssantos@hispasec.com



martes, 8 de abril de 2008

Boletines de seguridad de Microsoft en abril

Tal y como adelantamos, esta semana Microsoft ha publicado ocho boletines de seguridad (MS08-018 al MS08-025) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico", mientras que los tres restantes reciben una calificación de "importante".

Microsoft califica como críticas las siguientes actualizaciones:

* MS08-018: Actualización para Microsoft Project que soluciona una vulnerabilidad que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

* MS08-021: Se trata de la actualización para el motor GDI de Windows que soluciona dos problemas de seguridad que podrían permitir la ejecución remota de código a través de a través de archivos de imagen EMF o WMF. Afecta a sistemas Windows 2000, Windows Server 2003, Windows Server 2008, Vista y XP.

* MS08-022: Actualización para solucionar una vulnerabilidad de ejecución remota de código causada por la forma en la que los motores VBScript y JScript decodifican los scripts en las páginas web y que podría permitir la ejecución remota de código arbitrario. Afecta a Windows 2000, Windows Server 2003 y Windows XP.

* MS08-023: Actualización de seguridad de los kill bits de ActiveX en productos Microsoft, aunque también incluye el kill bit para Yahoo! Music Jukebox. La vulnerabilidad puede permitir la ejecución remota de código si el usuario visualiza una página especialmente creada con Internet Explorer.

* MS08-024: Actualización acumulativa para Microsoft Internet Explorer que además soluciona una nueva vulnerabilidad que podría permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

Los clasificados como importantes:

* MS08-020: Se trata de una actualización que solventa una vulnerabilidad de denegación de falsificación de contenidos a través del cliente DNS, que podría permitir a un atacante falsificar contenido o redirigir el tráfico de Internet.

* MS08-025: Esta actualización resuelve una vulnerabilidad en el kernel de Windows que podría permitir a un usuario elevar sus privilegios en los sistemas afectados (Windows 2000, Windows Server 2003, Windows Server 2008, Vista y XP).

* MS08-019: Esta actualización resuelve una vulnerabilidad en Microsoft Office Visio que podría permitir la ejecución de código remoto si un usuario abre un archivo de Visio especialmente manipulado.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for April 2008
http://www.microsoft.com/technet/security/bulletin/ms08-apr.mspx

Microsoft Security Bulletin MS08-018
Vulnerability in Microsoft Project Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms08-018.mspx

Microsoft Security Bulletin MS08-019
Vulnerabilities in Microsoft Visio Could Allow Remote Code Execution (949032)
http://www.microsoft.com/technet/security/bulletin/ms08-019.mspx

Microsoft Security Bulletin MS08-020
Vulnerability in DNS Client Could Allow Spoofing (945553)
http://www.microsoft.com/technet/security/bulletin/ms08-020.mspx

Microsoft Security Bulletin MS08-021
Vulnerabilities in GDI Could Allow Remote Code Execution (948590)
http://www.microsoft.com/technet/security/bulletin/ms08-021.mspx

Microsoft Security Bulletin MS08-022
Vulnerability in VBScript and JScript Scripting Engines Could Allow Remote Code Execution (944338)
http://www.microsoft.com/technet/security/bulletin/ms08-022.mspx

Microsoft Security Bulletin MS08-023
Security Update of ActiveX Kill Bits (948881)
http://www.microsoft.com/technet/security/bulletin/ms08-023.mspx

Microsoft Security Bulletin MS08-024
Cumulative Security Update for Internet Explorer (947864)
http://www.microsoft.com/technet/security/bulletin/ms08-024.mspx

Microsoft Security Bulletin MS08-025
Vulnerability in Windows Kernel Could Allow Elevation of Privilege (941693)
http://www.microsoft.com/technet/security/bulletin/ms08-025.mspx

lunes, 7 de abril de 2008

Procesar S/MIME en Microsoft Office, Outlook y Live Mail podría provocar el acceso a URLs arbitrarias

Se ha encontrado una vulnerabilidad provocada por un fallo de diseño a la hora de procesar el cifrado S/MIME en Microsoft Office, Outlook y Windows Live Mail que podría ser aprovechada por un atacante remoto para hacer que un sistema vulnerable acceda a URLs arbitrarias.

S/MIME (Secure / Multipurpose Internet Mail Extensions) es un estándar para criptografía de clave pública y firmado de correo electrónico encapsulado en MIME, y está basado en los certificados X.509. Dicho certificado permite almacenar URIs en algunas de sus extensiones, que en teoría deberían dirigir a sitios web con información adicional acerca del certificado, (dónde descargar el certificado del emisor, etc.).

Según se describe en un documento técnico publicado por la compañía alemana Cynops, especialista en redes y seguridad, la vulnerabilidad está provocada por un error de diseño a la hora de implementar el estándar RFC3280 (Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile) en Microsoft Office, Outlook y Live Mail.

La clave del problema reside en que el usuario que envía el certificado no se puede tratar como confiable hasta que no se haya completado el ciclo de verificación del mismo. Lo que significa que las URIs almacenadas en las extensiones del certificado deberían tomarse como potencialmente maliciosas ya que la identidad del emisor todavía no ha sido comprobada. Éste simple hecho ha sido omitido en las consideraciones de seguridad del RFC, y puede causar que no se tomen las medidas de seguridad pertinentes a la hora de su implementación, como es el caso.

A continuación se detalla el efecto que podría causar la vulnerabilidad de ser explotada en los distintos vectores de ataque.

1- Microsoft Outlook & Windows Live Mail
Un atacante remoto podría crear un email S/MIME firmado y especialmente manipulado que, una vez abierto por el usuario, podría causar que el sistema accediera, por medio de la CryptoAPI de Microsoft, a las URLs arbitrarias especificadas en certificado. Entre otras cosas, esto podría ser usado por spammers para verificar direcciones de email. Además combinado con geolocalización IP podría ser usado para enviar spam selectivo o perpetrar ataques de phishing.

2- Microsoft Office 2007
Si un usuario abre un documento especialmente manipulado firmado usando X.509, el sistema intentaría igualmente acceder a las URLs en un intento de verificar el certificado, lo que podría ser aprovechado por un atacante para averiguar cuándo y quién ha abierto el documento. En éste caso, a diferencia del anterior, la firma sí debe ser válida.

Además la vulnerabilidad podría ser aprovechada para perpetrar ataques de escaneo de puertos contra sistemas arbitrarios o para acceder a URLs pertenecientes a una red interna, a las que de otra forma el atacante no tendría acceso.

Las siguientes aplicaciones se han comprobado como no vulnerables:
* Lotus Notes 8
* Mozilla Thunderbird (no las aplicaciones basadas en la librería NSS)
* Mail.app de Apple
* Clientes de correo basados en OpenSSL

Cualquier protocolo o aplicación que interprete el certificado podría ser potencialmente vulnerable al mismo tipo de problema. Ejemplos: puertas de enlace S/MIME, protocolo EAP/TLS o aplicaciones que hagan uso de la autenticación TLS de cliente.

Microsoft no ha proporcionado ningún parche por el momento para resolver la vulnerabilidad aunque se afirma que el problema está siendo investigado. Como contramedida, se podría filtrar a nivel de proxy las peticiones HTTP con user-agent 'Microsoft-CryptoAPI*' pues las peticiones se harían con ese valor.


Pablo Molina
pmolina@hispasec.com


Más información:

HTTP over X.509 (S/MIME) - Microsoft Outlook
https://www.cynops.de/advisories/AKLINK-SA-2008-002.txt

HTTP over X.509 - Windows Live Mail
https://www.cynops.de/advisories/AKLINK-SA-2008-003.txt

HTTP over X.509 - Office 2007
https://www.cynops.de/advisories/AKLINK-SA-2008-004.txt

HTTP over X.509 — a whitepaper
https://www.cynops.de/techzone/http_over_x509.html

RFC 3280 - Internet X.509 Public Key Infrastructure Certificate and
Certificate Revocation List (CRL) Profile
http://www.faqs.org/rfcs/rfc3280.html

domingo, 6 de abril de 2008

Ejecución remota de código en Cisco Unified Communications

Se ha encontrado una vulnerabilidad en la funcionalidad Disaster Recovery Framework (DRF) en Cisco Unified Communications que podría ser aprovechada por un atacante remoto no autenticado para ejecutar comandos arbitrarios que podrían permitir control total sobre un sistema afectado.

La solución Unified Communications de Cisco es un conjunto de productos y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos.

El problema está causado porque el servidor maestro de Disaster Recovery Framework (DRF) no realiza autenticación para las peticiones que recibe a través de red, por lo que un atacante podría conectarse y realizar cualquiera de las tareas permitidas por el Disaster Recovery Framework. El atacante podría causar una denegación de servicio, acceder a información sensible, sobrescribir parámetros de configuración o comprometer por completo un sistema vulnerable.

La vulnerabilidad afecta a los siguientes dispositivos Cisco:
Cisco Unified Communications Manager (CUCM) 5.x and 6.x
Cisco Unified Communications Manager Business Edition
Cisco Unified Precense 1.x and 6.x
Cisco Emergency Responder 2.x
Cisco Mobility Manager 2.x

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20080403-drf.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Unified Communications Disaster Recovery Framework Command Execution Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20080403-drf.shtml

sábado, 5 de abril de 2008

Disponible la versión 9.27 de Opera

Se ha lanzado la versión 9.27 del navegador Opera, que corrige múltiples vulnerabilidades que podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario en un sistema vulnerable.

Opera, además de ser un navegador web, contiene cliente de correo electrónico con gestor de contactos, cliente de IRC, lector de noticias RSS y gestor para la descarga de archivos torrent.

A continuación se detallan las vulnerabilidades corregidas en la última versión:

* La primera vulnerabilidad está causada por un acceso inválido a memoria causado por un error a la hora de añadir una nueva suscripción de noticias (newsfeed). Esto podría ser aprovechado por un atacante remoto para hacer que el navegador deje de responder o ejecutar código arbitrario cuando se muestra el cuadro de diálogo para intentar subscribirse a un nuevo feed de noticias en una página web especialmente manipulada.

* La segunda vulnerabilidad está causada por un error de corrupción de memoria al procesar elementos HTML Canvas. Esto podría ser aprovechado por un atacante remoto por medio de una página web especialmente manipulada que contenga diseños Canvas redimensionados para hacer que Opera deje de responder o ejecutar código arbitrario.

Los elementos Canvas son parte de HTML5 y permiten la renderización dinámica de imágenes en dos dimensiones del tipo bitmap, a las que se puede acceder a través de un completo set de funciones JavaScript.

Además, la versión 9.27 ha añadido cambios en el manejo de las contraseñas introducidas a través del teclado y mejoras en la estabilidad durante la transferencia de archivos BitTorrent.

Se recomienda actualizar a la versión 9.27 disponible desde:
http://www.opera.com/download/


Pablo Molina
pmolina@hispasec.com



viernes, 4 de abril de 2008

Microsoft publicará ocho boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan ocho boletines de seguridad, dos dedicados a Office y seis a Microsoft Windows. Cinco son de carácter crítico, o sea, que permiten la ejecución de código arbitrario.

Si en marzo fueron cuatro boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar ocho actualizaciones el día ocho de abril. Cinco alcanzan la categoría de "críticas" (ejecución remota de código) y tres son "importantes" para Microsoft.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán cinco actualizaciones de alta prioridad no relacionadas con la seguridad.

En concreto, se sabe que dos boletines estarán dedicados a Internet Explorer, y otros dos a VBScript. Cada boletín podrá contener un número indeterminado de correcciones de seguridad.

En esta tanda entra por primera vez en escena Windows Server 2008, con cuatro boletines que le afectan. Office 2007, por su parte, parece inmune a los dos boletines publicados para Office.

Desde hace algunos meses se viene observando un repunte en los ataques que aprovechan vulnerabilidades en el Jet Database Engine de Microsoft, que procesa archivos MDB de bases de datos. Esta librería (en concreto msjet40.dll) sufre desde hace años varios problemas de seguridad que permiten la ejecución de código. Al descubrirse hace algunas semanas, nuevas formas de aprovechar la vulnerabilidad (a través de archivos DOC) Microsoft se planteó por fin tomar medidas al respecto. Quizás se incluya alguna actualización en este sentido en el lote de boletines de abril.

Cabe recordar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

24/03/2008 Nuevas formas de aprovechar viejas vulnerabilidades
http://www.hispasec.com/unaaldia/3439/

Microsoft Security Bulletin Advance Notification for April 2008
http://www.microsoft.com/technet/security/bulletin/ms08-apr.mspx

jueves, 3 de abril de 2008

Ejecución de código en ovas.exe de HP OpenView Network Node Manager

Se ha descubierto un problema de seguridad en HP OpenView Network Node Manager 7 que podría permitir a un atacante ejecutar código arbitrario en el sistema víctima.

HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes, posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP.

El fallo se debe a un error de límites en ovwparser.dll. Esto podría provocar un desbordamiento de memoria intermedia basado en pila si se le envía una petición HTTP GET a ovas.exe a su puerto por defecto (7510 TCP).

Se ha confirmado la vulnerabilidad en la versión 7.51, aunque otras podrían verse afectadas. No se ha publicado ninguna actualización, como contramedida se recomienda restringir el acceso por red al sistema vulnerable.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

HP OpenView NNM 7.5.1 OVAS.EXE Pre Authentication SEH Overflow
http://www.milw0rm.com/exploits/5342

HP OpenView Network Node Manager 'OVAS.EXE' Buffer Overflow Vulnerability
http://www.securityfocus.com/bid/28569

miércoles, 2 de abril de 2008

Nuevos contenidos en la Red Temática CriptoRed (marzo de 2008)

Breve resumen de las novedades producidas durante el mes de marzo de 2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE CRIPTORED Y CÁTEDRA UPM APPLUS+

* Conferencia A Fool's Errand Inventing Public Key Cryptography de Martin Hellman en DISI 2007 España (Martin Hellman, vídeo wmv, 72 minutos)
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2007Hellman

* Conferencia Avances en la Factorización Entera de Hugo Scolnik en DISI 2007 España /Hugo Scolnik, vídeo wmv, 48 minutos)
http://www.criptored.upm.es/paginas/docencia.htm#catedraDISI2007Scolnik

* Presentación Post-Quantum Cryptography (Paulo Sérgio Licciardi Messeder Barreto, presentación pdf, 51 diapositivas)
http://www.criptored.upm.es/guiateoria/gt_m417a.htm

* Presentación Seguridad un Aspecto Esencial para la Tutela de la Protección de Datos (Celia Fernández, presentación pdf, 45 diapositivas)
http://www.lpsi.eui.upm.es/GANLESI/2007_2008/gconferencia_cf.htm

* Presentación Inseguridad en Redes Inalámbricas: WiFi, BlueTooth y RFID (Sergio González y Félix Ortega, presentación pdf, 52 diapositivas)
http://www.lpsi.eui.upm.es/GANLESI/2007_2008/gconferencia_sgfo.htm

2. NUEVOS DOCUMENTOS FREEWARE PARA SU DESCARGA DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Febrero de 2008
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200802.pdf

* Quinto Volumen Revista Data Protection Review Agencia de Protección de Datos de Madrid
http://www.dataprotectionreview.eu/

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Abril 17 al 19 de 2008: Seminario Interamericano de Investigación de Delitos Financieros SIIDF 2008 (Boca Chica - República Dominicana)
http://alifc.org/siidf2008/

* Mayo 8 al 9 de 2008: II Congreso Internacional de Seguridad de la Información CISI 2008 (Cartagena de Indias - Colombia)
http://www.tecnoeventos.com.co/info.php?id=15

* Mayo 13 al 16 de 2008: Workshop in Information Security Theory and Practices WISTP 2008 (Sevilla - España)
http://wistp2008.xlim.fr/

* Mayo 26 al 30 de 2008: Tercer Evento de Seguridad en Redes de América Latina y el Caribe LACNIC (Salvador/Bahía - Brasil)
http://lacnic.net/sp/eventos/lacnicxi/seguridad_en_redes.html

* Junio 12 al 13 de 2008: 6th International Workshop on Security In Information Systems WOSIS 2008 (Barcelona - España)
http://www.iceis.org/workshops/wosis/wosis2008-cfp.html

* Junio 18 al 20 de 2008: VIII Jornada Nacional de Seguridad Informática ACIS 2008 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1066

* Junio 19 al 21 de 2008: III Conferencia Ibérica de Sistemas y Tecnologías de la Información CISTI 2008 (Ourense - España)
http://cisti2008.uvigo.es/

* Junio 23 al 25 de 2008: The 5th International Conference on Autonomic and Trusted Computing (Oslo - Noruega)
http://www.ux.uis.no/atc08/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Communications and eCommerce Technology and Research CollECTeR Iberoamérica 2008 (Madrid - España)
http://www.collecter.euitt.upm.es/

* Julio 9 al 11 de 2008: XIV Jornadas de Enseñanza Universitaria de la Informática (Granada - España)
http://jenui2008.ugr.es/

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y Seguridad de la Información RECSI 2008 (Salamanca - España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracajú - Brasil)
http://eatis.org/eatis2008/

* Septiembre 15 al 19 dxe 2008: 2nd International Castle Meeting on Coding Theory and Applications (Medina del Campo - Valladolid - España)
http://wmatem.eis.uva.es/2icmcta/

* Octubre 6 al 8 de 2008: 13th European Symposium on Research in Computer Security ESORICS 2008 (Málaga - España)
http://www.isac.uma.es/esorics08/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE MARZO DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#mar08

* Evento Asegur@IT II, Barcelona el 3 de abril de 2008 (España)
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032372757&Culture=es-ES

* Tercer Evento de Seguridad en Redes de América Latina y el Caribe en LACNIC XI (Brasil)
http://lacnic.net/sp/eventos/lacnicxi/seguridad_en_redes.html

* Extensión Fecha Recepción de Trabajos X Reunión Española de Criptología RECSI 2008 al 18 de abril (España)
http://www.usal.es/~xrecsi/fechas.htm

* CFP Convocatoria Número 105 Revista Sistemas sobre Gestión de la Inseguridad (Colombia)
http://www.acis.org.co/index.php?id=188

* Séptima Edición Diplomado Seguridad Tecnología Informática y Telecomunicaciones (Venezuela).
http://mipagina.cantv.net/ius-opg/STIT/index.html

* VI Foro de Seguridad RedIRIS Seguridad en Web en Barcelona (España)
http://www.rediris.es/cert/doc/reuniones/fs2008/index.es.html

* Concurso Trabajos Estudiantiles en Jornadas Argentinas de Informática JAIIO 2008 (Argentina).
http://www.37jaiio.org.ar/est

* Conferencias FIST Edición de Marzo de 2008 en el CSIC de Madrid (España)
http://www.fistconference.org/madrid.php

* Acciones y Eventos de Seguridad en el Mes de Abril de Microsoft e Informática64 (España)
http://www.microsoft.com/spain/seminarios/

* Curso de Preparación para la Certificación CISA 2008 en el IDT de la UAB (España)
http://www.isacabcn.org/pdf/Dossier_info_CISA_2008-UAB_v2.0.pdf

* 74 Papers Recibidos para CollECTeR 2008 en Madrid (España).
http://www.collecter.euitt.upm.es/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 693
(191 universidades; 260 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 35.888 visitas, con 87.731 páginas solicitadas y 132,90
GigaBytes servidos en marzo de 2008.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

marzo de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#mar08