lunes, 30 de junio de 2008

Actualización del kernel para Red Hat Enterprise Linux 4.x

Red Hat ha publicado una actualización del kernel de Red Hat Desktop, Enterprise Linux AS, ES y WS en su versión 4 que corrige varios fallos de seguridad que podrían permitir a un atacante local causar una denegación de servicio o acceder a información sensible.

* Se ha encontrado un fallo en las rutinas de copia de memoria en el kernel de Linux al ejecutarse en ciertos sistemas AMD64. Si falla un intento de copia de memoria del kernel, las rutinas no ponen a cero las porciones de memoria que fueron copiadas en destino, lo que podría ser aprovechado por un atacante para ganar acceso a información sensible.

* Se ha descubierto una condición de carrera en ptrace que podría ser aprovechada por un atacante local para causar una denegación de servicio en el sistema (kernel hang).

* Existe un fallo en la emulación de los kernel de 32 y 64 bits que podría ser aprovechado por un atacante para causar una fuga de datos por medio de un binario especialmente manipulado.

* Se ha descubierto que el kernel de Linux manejaba las operaciones de cadenas de una forma opuesta a la de GNU Compiler Collection (GCC). Esto podría ser aprovechado por un atacante local sin privilegios para causar la corrupción de la memoria.

La actualización también solventa otro fallo de menor importancia.

Se recomienda actualizar a través de las herramientas automáticas
up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

kernel security and bug fix update
Advisory: RHSA-2008:0508-21
https://rhn.redhat.com/errata/RHSA-2008-0508.html

domingo, 29 de junio de 2008

Denegación de servicio a través de bzip2 en Sun Solaris

Se han encontrado dos fallos de seguridad en el comando bzip2 en Solaris 8, 9 y 10 que podrían permitir que un atacante eludiese restricciones de seguridad y causase una denegación de servicio.

* La primera vulnerabilidad en bzip2 podría permitir que un atacante local leyera o modificara archivos pertenecientes a otro usuario local que haga uso de bzip2, incluyendo archivos de sistema si bzip2 es llamado por un usuario con privilegios.

* La segunda vulnerabilidad en bzip2 podría permitir la creación de archivos demasiado largos al descomprimir archivos bzip2 especialmente modificados, lo que podría forzar el uso todo el espacio del disco, causando una denegación de servicio.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para plataforma Sparc:
Solaris 8 instalar parche 138441-01 o superior.
Solaris 9 instalar parche 114586-02 o superior.
Solaris 10 instalar parche 126868-01 o superior.

Para plataforma x86:
Solaris 8 instalar parche 138442-01 o superior.
Solaris 9 instalar parche 114587-02 o superior.
Solaris 10 instalar parche 126869-02 o superior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Two Security Vulnerabilities in the bzip2(1) Command may Allow the Permissions of Arbitrary Files to be Modified or Allow for Arbitrarily Large Files to be Created
http://sunsolve.sun.com/search/document.do?assetkey=1-66-200191-1

sábado, 28 de junio de 2008

Actualización del kernel para productos Novell SuSE Linux

Novell ha publicado una actualización de kernel que corrige diversas vulnerabilidades que se describen a continuación.

* Se ha corregido un fallo no especificado que permitía a un atacante local efectuar una denegación de servicio a través de vectores no especificados.

* Condición de carrera en dnotify que podría permitir a un atacante local causar una denegación de servicio.

* Un atacante remoto podría causar una denegación de servicio en la pila IPSec/IPv6 por medio de paquetes ESP especialmente manipulados.

* Se ha corregido un fallo que borraba el flag de dirección antes de llamar a manejadores de señal, que podría permitir a un atacante remoto ejecutar código arbitrario en algunos programas no especificados bajo ciertas condiciones.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).

Según versión y plataforma las actualizaciones están disponibles desde:

Para SuSE Linux Enterprise Server 9 (PowerPC):
http://download.novell.com/Download?buildid=eQZcmmRQ7oQ~

Para Novell Linux POS 9 (x86):
http://download.novell.com/Download?buildid=BKgGfKKLd3E~

SuSE Linux Enterprise Server 9 (x86):
http://download.novell.com/Download?buildid=27kCZ1qWwWo~

SuSE Linux Enterprise Server 9 (x86-64):
http://download.novell.com/Download?buildid=XxaBNf2VYTU~

Novell Linux Desktop 9 (AMD x86-64):
http://download.novell.com/Download?buildid=4Ye2fNZ9fYY~


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux kernel 20080610
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5028579.html

viernes, 27 de junio de 2008

Ejecución de código a través de JavaScript en Adobe Reader

Se ha encontrado una vulnerabilidad en Adobe Reader y Acrobat que podría permitir a un atacante ejecutar código arbitrario.

El fallo se debe a un error de validación de entrada en el método JavaScript que podría permitir la ejecución de código si se abre con el programa vulnerable un archivo especialmente manipulado.

Son vulnerables Adobe Reader 8.0 a 8.1.2 y Adobe Reader 7.0.9 y anteriores; Acrobat Professional, 3D y Standard versiones 8.0 a 8.1.2 y 7.0.9 y anteriores. Adobe hace notar que la versión 7.1.0 de ambos productos no es vulnerable.

Para Reader se recomienda instalar el Adobe Reader 8.1.2 Security Update 1 patch, disponible:

Para Windows: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3967 y
Para Macintosh: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3966

Para Acrobat se recomienda instalar el Adobe Acrobat 8.1.2 Security Update 1 patch, disponible:
Para Windows:
http://www.adobe.com/support/downloads/detail.jsp?ftpID=3976
Para Macintosh: http://www.adobe.com/support/downloads/detail.jsp?ftpID=3977

Para Adobe Reader 7.0 y 7.0.9 se recomienda actualizar a 7.1.0 desde: http://www.adobe.com/go/getreader.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Update available for Adobe Reader and Acrobat 8.1.2
http://www.adobe.com/support/security/bulletins/apsb08-15.html

Adobe Reader and Acrobat 8.1.2 Security Update
http://isc.sans.org/diary.php?storyid=4616

jueves, 26 de junio de 2008

Diversas vulnerabilidades en Cisco Unified Communications Manager

Se han encontrado dos vulnerabilidades en Cisco Unified Communications Manager (CUCM) que podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio o para saltarse restricciones de seguridad.

* La primera vulnerabilidad está causada por un fallo en el servicio Computer Telephony Integration (CTI) de las versiones 5.x y 6.x de CUCM al manejar entradas mal formadas, lo que podría causar una denegación de servicio.

* La segunda vulnerabilidad está causada por un fallo en el servicio Real-Time Information Server (RIS) Data Collector de las versiones 4.x, 5.x y 6.x de CUCM que podría permitir un salto de restricciones de seguridad y la revelación de información sensible de clusters CUCM. Conectándose directamente al puerto de escucha del proceso RIS Data Collector (TCP 2556) sería posible saltarse la autenticación y conseguir acceso de lectura a información sobre un cluster CUCM. Esta información podría incluir estadísticas, nombres de usuario y teléfonos IP configurados, pero no incluiría contraseñas u otra información sensible acerca de la configuración de CUCM.

Las vulnerabilidades afectan a los siguientes dispositivos Cisco:
Cisco Unified CallManager versiones 4.1
Cisco Unified Communications Manager 4.2 con versiones anteriores a la 4.2 SR4
Cisco Unified Communications Manager 4.3 con versiones anteriores a la 4.3 SR1
Cisco Unified Communications Manager 5.x con versiones anteriores a la 5.1
Cisco Unified Communications Manager 6.x con versiones anteriores a la 6.1

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20080625-cucm.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Unified Communications Manager Denial of Service and Authentication Bypass Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20080625-cucm.shtml

miércoles, 25 de junio de 2008

Actualización del kernel para Red Hat Enterprise Linux 5.x

Red Hat ha publicado una actualización del kernel que corrige varios fallos de seguridad que podrían permitir a un atacante local causar una denegación de servicio o acceder a información sensible.

* Se ha encontrado un fallo en las rutinas de copia de memoria en el kernel de Linux al ejecutarse en ciertos sistemas AMD64. Si falla un intento de copia de memoria del kernel, las rutinas no ponen a cero las porciones de memoria que fueron copiadas en destino, lo que podría ser aprovechado por un atacante para ganar acceso a información sensible.

* Existe un fallo en la emulación de los kernel de 32 y 64 bits que podría ser aprovechado por un atacante para causar una fuga de datos por medio de un binario especialmente manipulado.

* Existe una falta de comprobación de límites en el subsistema DCCP (Datagram Congestion Control Protocol) del kernel de Linux. Esto podría ser aprovechado por un atacante local sin privilegios para elevar sus permisos en el sistema mediante la ejecución de código arbitrario al aprovechar un desbordamiento de búfer.

La actualización también solventa otro fallo de menor importancia.

Se recomienda actualizar a través de las herramientas automáticas
up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2008-0519.html

martes, 24 de junio de 2008

Se actualiza por fin la vulnerabilidad “compartida” entre Safari y Windows

Apple ha publicado recientemente una nueva actualización del navegador web Safari para Windows (versión 3.1.2), en la que se corrigen cuatro vulnerabilidades que podrían ser aprovechadas por atacantes remotos para acceder a información sensible, causar una denegación de servicio o ejecutar código arbitrario en un sistema vulnerable. Una de ellas, resulta un problema compartido entre el sistema operativo de Microsoft y el navegador de Apple.

A continuación se explican con más detalle las vulnerabilidades y cómo se han solventado:

* El primer problema se trata de una vulnerabilidad en el tratamiento de imágenes BMP y GIF descubierta por Gynvael Coldwind de Hispasec Sistemas, y que podría permitir la revelación de información sensible del usuario por parte de un atacante que crease una página web especialmente manipulada. El fallo también ha sido corregido recientemente en otros navegadores como Firefox y Opera. Se puede consultar más información acerca del mismo en la sección de enlaces.

* El segundo fallo está causado por la forma defectuosa en la que WebKit maneja los arrays JavaScript, lo que podría provocar una corrupción de la memoria. Un atacante remoto podría causar una denegación de servicio y conseguir la ejecución de código arbitrario si un usuario visita con Safari una página web especialmente modificada.

* El tercer problema de seguridad podría permitir que un atacante remoto ejecutase código arbitrario si se visita una página web maliciosa que estuviera incluida en alguna de las zonas de confianza de Internet Explorer. Cierto comportamiento de Safari podría depender de la configuración de seguridad del navegador de Microsoft. Así si un sitio web pertenece a alguna zona de IE 7 con la característica "Ejecutar aplicaciones y archivos no seguros" habilitada o si está incluido en las zonas "Intranet Local" o "Sitios de Confianza" en IE 6, entonces Safari podría ejecutar de forma automática los archivos descargados desde este sitio.

* El cuarto fallo corregido es el denominado como "Carpet Bomb", que permitiría la descarga de archivos en el escritorio de forma automática (sin preguntar al usuario) si se visita con Safari una web maliciosa. Un atacante podría descargar numerosos archivos automáticamente en el escritorio hasta "bombardearlo". Con respecto a esta vulnerabilidad, ha surgido cierta controversia. Para Safari, la descarga automática suponía una funcionalidad. Pero ha resultado que un ataque combinado ("blended attack") que se aprovechase de esta vulnerabilidad junto con otra "funcionalidad" de Internet Explorer, podría causar la ejecución de código arbitrario en un sistema no parcheado. Ninguno de los dos navegadores es responsable en solitario, pero juntos, conforman una vulnerabilidad con cierto peligro.

La "funcionalidad" de IE es una vieja conocida. Cuando se ejecuta Internet Explorer, éste carga una serie de DLLs fundamentales para su funcionamiento en un orden "extraño". El problema está en que a las funciones que realizan dicha carga en memoria no se les especifica la ruta completa donde buscar estas librerías. Bajo ciertas circunstancias, las DLLs podrían ser cargadas desde la carpeta SYSTEM32 o desde el directorio actual de trabajo (que podría ser el escritorio de Windows si el icono de IE está emplazado allí y se ejecuta desde ahí).

La secuencia del ataque combinado constaría de estos dos pasos:
1: Si se visita con Safari una página web maliciosa se podrían descargar sin aviso cualquier archivo en el escritorio.
2: Si el nombre de uno de estos archivos coincidiera con el de alguna de las DLLs que necesita IE, entonces se cargaría de forma automática la próxima vez que se iniciase el navegador Internet Explorer. Safari proporciona la "descarga" y IE la "ejecución" en esta vulnerabilidad compartida.

Según Aviv Raff, el investigador que descubrió esta vulnerabilidad en Internet Explorer en 2006, las DLLs sqmapi.dll, imageres.dll o schannel.dll podrían ser aprovechadas para disparar el ataque. A pesar de que no hay constancia de que el problema esté siendo aprovechado en la actualidad, si existen pruebas de concepto disponibles.

Apple no consideró en un principio que el fallo denominado como "Carpet Bomb" fuera una vulnerabilidad. Es una funcionalidad que arrastra desde hace años. Ahora ha rectificado y la nueva versión de Safari para Windows (v.3.2.1) contiene una serie de modificaciones que ayudarían a solventar el problema. El navegador ha incluido un cuadro de diálogo antes de iniciar cualquier descarga, ya no se bajaría nada de forma automática si se activa la opción de "preguntar siempre" (always prompt). Además, el escritorio dejaría de ser el sitio de descarga por defecto. Ahora sería la carpeta "Descargas" en Windows Vista y "Mis Documentos" en Windows XP. Por último, en el nuevo Safari ya no se ejecutará de forma automática ninguno de los archivos descargados, ni siquiera los que vengan de sitios incluidos en las zonas de confianza de Internet Explorer.

Por otra parte, el investigador Billy Rios ha dado a conocer la existencia de otro tipo de ataque, combinando el "Carpet Bomb" de Safari junto con una posible vulnerabilidad de Mozilla Firefox, y que podría servir para robar archivos del sistema de archivos local de un usuario. Rios afirma que el equipo de Mozilla ya trabaja para corregir el fallo y se niega a aportar más detalles acerca del mismo, aunque apunta que algunas de las nuevas características de seguridad de Firefox 3 hacen que sea menos vulnerable que su predecesor.

Se recomienda actualizar a la versión 3.1.2 de Safari para Windows disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde:
http://www.apple.com/support/downloads/safari312forwindows.html


Pablo Molina
pmolina@hispasec.com


Más información:

About the security content of Safari 3.1.2 for Windows
http://support.apple.com/kb/HT2092

Vulnerability Note VU#127185: Apple Safari automatically executes downloaded files based on Internet Explorer zone settings
http://www.kb.cert.org/vuls/id/127185

Microsoft Security Advisory (953818): Blended Threat from Combined Attack Using Apple’s Safari on the Windows Platform
http://www.microsoft.com/technet/security/advisory/953818.mspx

Billy (BK) Rios on Safari, hunting Firefox…
http://xs-sniper.com/blog/2008/06/20/bk-on-safari-hunting-firefox/

Internet Explorer 7 - Still Spyware Writers Heaven
http://aviv.raffon.net/2006/11/01/InternetExplorer7StillSpywareWritersHeaven.aspx

Safari for Windows Proof of Concept (Incident in June 2008)
http://liudieyu.com/iesafari200806.2885391780966027/

04/06/2008 Ejecución remota de código por medio de Safari en Windows Vista y XP
http://www.hispasec.com/unaaldia/3511

11/05/2008 Análisis de la vulnerabilidad en el tratamiento de imágenes en múltiples navegadores
http://www.hispasec.com/unaaldia/3487

lunes, 23 de junio de 2008

Denegación de servicio a través de tramas Ethernet gigantes en Cisco IPS

Se ha encontrado una vulnerabilidad en Cisco Intrusion Prevention System que podría ser aprovechada por un atacante remoto para causar una denegación de servicio.

Las tramas Ethernet gigantes (Jumbo frames) son tramas con un tamaño de MTU (unidad de transmisión máxima) de hasta 10 KB. La vulnerabilidad reside en un fallo al manejar este tipo de tramas Ethernet en los sistemas que tengan interfaces de red gigabit en modo de entrada de línea "inline". Se puede producir un "kernel panic", y la consiguiente denegación de servicio, si una plataforma Cisco IPS vulnerable recibe una secuencia de tramas especialmente creada.

La vulnerabilidad afecta a los siguientes dispositivos Cisco:
Cisco Intrusion Prevention System versiones 5.x anteriores a 5.1(8)E2
Cisco Intrusion Prevention System versiones 6.x anteriores a 6.0(5)E2

Las siguientes plataformas Cisco IPS tienen interfaces de red gigabit y podrían ser vulnerables si están configurados en modo inline: 4235, 4240, 4250, 4250SX, 4250TX, 4250XL, 4255, 4260 y 4270.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a00809b3842.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Intrusion Prevention System Jumbo Frame Denial of Service
http://www.cisco.com/warp/public/707/cisco-sa-20080618-ips.shtml

domingo, 22 de junio de 2008

Múltiples vulnerabilidades en FreeType2 para Solaris 8, 9 y 10

Sun ha anunciado la existencia de tres vulnerabilidades en FreeType2 que podrían permitir a un atacante local elevar sus privilegios.

* Se ha encontrado un desbordamiento de entero en el código que procesa los archivos con formato PBF que podrían permitir a un atacante local ejecutar código arbitrario con los permisos de la aplicación a través de archivos PBF especialmente manipulados.
* Se ha encontrado un fallo en el parseado de los archivos con formato PBF. Insertando un numero variable de datos eje en el archivo podría provocar la llamada a la función 'free()' sobre áreas de memoria que no fueron reservadas dinámicamente y provocar la corrupción de la memoria. Un atacante local podría ejecutar código con los permisos de la aplicación a través de archivos PBF especialmente manipulados.

* Se han encontrado múltiples fallos de desbordamiento de memoria intermedia basada en heap en el procesamiento de archivos con formato PBF y TTF que podrían permitir a un atacante local ejecutar código con los permisos de la aplicación a través de archivos PBF o TTF especialmente manipulados.

Para evitar que estos problemas puedan explotarse contra el servidor Xorg(1) para ejecutar comandos arbitrarios con privilegios del servidor, Sun recomienda eliminar el bit setuid(2) en sistemas x86 y el bit setgid(2) en sistemas SPARC, si bien esto puede afectar a la funcionalidad de Xorg. Está pendiente la publicación de parches que corrijan totalmente los problemas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Security Vulnerabilities in the FreeType2 library for Printer Font Binary (PFB) or TrueType Font (TTF) format font files may lead to a Denial of Service (DoS) or allow Execution of Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-66-239006-1

sábado, 21 de junio de 2008

Actualización del kernel para múltiples productos SuSE Linux

SuSe ha publicado una actualización de kernel que corrige múltiples vulnerabilidades que se describen a continuación.

* Denegación de servicio remota causada por un problema en el manejo de túneles modo SIT en Ipv6.

* Un atacante remoto podría causar una denegación de servicio en la pila IPSec/IPv6 por medo de paquetes ESP especialmente manipulados.

* Desbordamiento de búfer en CIFS que podría permitir a un atacante remoto provocar una denegación de servicio o ejecutar código arbitrario.

* Un atacante local podría perpetrar una ataque de denegación de servicio en plataformas x86_64 causando que el equipo dejase de responder.

* Se ha solventado una vulnerabilidad de denegación de servicio en DCCP.

* La comprobación de permisos en sys_utimensat no se realizaba de forma correcta, lo que podría provocar que un atacante local pudiera cambiar la hora de ciertos archivos para los que no tendría permiso.

* Se ha solventado un problema de fuga de información durante el volcado de core de los procesos root.

* Desbordamiento de enteros en la función hrtimer_forward (hrtimer.c) en el kernel de Linux corriendo en sistemas de 64 bits que podría permitir a un usuario local causar una denegación de servicio.

* Se ha solventado un problema de ordenación en SMP en la función fcntl_setlk que podría permitir a un atacante local ejecutar código arbitrario.

* Condición de carrera en dnotify que podría permitir a un atacante local causar una denegación de servicio.

* Un fallo en ptrace que podría permitir que un atacante local hiciera que sus propios procesos no respondieran por tiempo indefinido.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2008:030)
http://lists.opensuse.org/opensuse-security-announce/2008-06/msg00006.html

viernes, 20 de junio de 2008

Primera vulnerabilidad crítica en Firefox 3

Pocas horas después de su lanzamiento se ha dado a conocer que el navegador que pretendía batir todos récords de descarga, Mozilla Firefox 3, contiene una vulnerabilidad crítica que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

Después de que el navegador de código abierto haya tenido más de 8,3 millones de descargas durante las primeras 24 horas desde su lanzamiento, en parte gracias a una interesante campaña de márketing, ahora se descubre que contiene al menos un fallo, que podría permitir la ejecución de código con sólo visitar un enlace que nos lleve a una página web especialmente manipulada.

Zero Day Initiative (ZDI) publicó el descubrimiento de dicho agujero de seguridad tan solo 5 horas después de que Firefox 3 fuera lanzado de forma oficial, a las 19 horas del pasado día 17 en España (aunque es bastante más que probable que tuvieran conocimiento del fallo desde la aparición de las primeras betas, pero hayan esperado al lanzamiento oficial para hacerlo público). Los investigadores de ZDI han confirmado que la vulnerabilidad podría permitir la ejecución de código arbitrario de forma remota con los permisos del usuario ejecutando la aplicación, aunque no parece que el fallo esté siendo explotado en la actualidad.

En todo software relativamente nuevo las posibilidades de que se descubran vulnerabilidades graves se multiplican al lanzar una nueva versión con importantes modificaciones. Este problema no es patrimonio exclusivo ni de compañías específicas ni depende de la filosofía del software (sea código abierto, cerrado, o cualquier otra manera de entender la forma de distribución).

Zero Day Initiative está organizado por TippingPoint (filial de 3com) y premia el descubrimiento de nuevas vulnerabilidades si se le ceden en exclusiva los detalles de cómo aprovecharla. Afirma haber informado a los desarrolladores de Mozilla y siguiendo su política de "Responsible Disclosure", ha rehusado publicar detalles técnicos al respecto hasta que no se haga público un parche que corrija el fallo. Todo hace indicar que la versión 3.0.1 podría estar disponible muy pronto.

Adicionalmente, otros dos investigadores dicen haber descubierto más problemas de seguridad en la nueva versión del navegador. El primero se trataría de error de límites no especificado y que podría causar una denegación de servicio o permitir la ejecución de código. El segundo, un fallo que podría provocar que Firefox 3 ejecutase ciertas aplicaciones sin permiso del usuario. Éstas supuestas vulnerabilidades no han sido confirmadas por el momento y provienen de listas de correo especializadas en seguridad.

Una vez más se recomienda no visitar enlaces poco fiables y vigilar especialmente aquellos que provengan de correos o a través de mensajería instantánea.


Pablo Molina
pmolina@hispasec.com



jueves, 19 de junio de 2008

Actualización de seguridad para ClamAV

Se ha encontrado una nueva vulnerabilidad en Clam AntiVirus que podría ser aprovechada por un atacante remoto, o por ciertas muestras de malware, para causar una denegación de servicio.

ClamAV es un motor antivirus de código abierto muy popular en el mundo del software libre, empleado con frecuencia en servidores de correo derivados de UNIX a modo de defensa perimetral primaria y que además permite el escáner en busca de virus en paquetes binarios Portables Ejecutables (PE).

El fallo está causado por una lectura fuera de límites en 'libclamav/petite.c' cuando se procesan archivos ejecutables empaquetados con Petite. Un atacante remoto podría provocar una denegación de servicio a través de un ejecutable especialmente manipulado y empaquetado con el packer Petite.

Petite es un compresor (packer) de archivos ejecutables Win32, como pueden ser .EXE o .DLL. Está disponible en versiones con interfaz gráfico o por línea de comandos aunque se trata de un software actualmente en desuso. De hecho su última revisión disponible, a la versión 2.3, data de febrero del año 2005.

Esta vulnerabilidad reportada en la última versión de ClamAV no supone una gran novedad, muchos de los fallos solventados últimamente en las sucesivas actualizaciones del software han sido provocados por una mala gestión de archivos PE comprimidos con distintos packers, como se puede apreciar en los últimos boletines de seguridad publicados por Hispasec acerca de este popular antivirus.

Según el equipo de desarrolladores, aparte de solucionar el fallo de seguridad también se han añadido mejoras en el manejo de archivos con los formatos PDF, CAB, RTF, OLE2 y HTML. Y adicionalmente se han corregido otros fallos de menor importancia encontrados en la versión 0.93.

Se recomienda actualizar a la versión no vulnerable (ClamAV 0.93.1) tan pronto como sea posible, disponible para su descarga desde:
http://www.clamav.net/
http://sourceforge.net/projects/clamav/


Pablo Molina
pmolina@hispasec.com



miércoles, 18 de junio de 2008

Falsos negativos y falsos positivos. Problemas para desarrolladores

Hablamos de antivirus. Un falso negativo sucede cuando un antivirus no detecta un malware, cuando deja pasar o ejecutarse un código malicioso en el sistema que está protegiendo. El falso positivo se da cuando el antivirus, por error, identifica como malware un fichero que es legítimo e inofensivo. De un tiempo a esta parte tanto falsos negativos como positivos van en aumento entre los productos antivirus y, al margen de la efectividad de los antivirus, los desarrolladores de software lo están sufriendo.

Los tiempos en los que era manejable el problema del malware con la generación de firmas reactivas y concretas para cada espécimen ya pasaron. Si bien antes los antivirus tampoco eran perfectos, al menos con ese esquema podían proporcionar una protección suficientemente buena o aceptable (no había tantos falsos negativos).

A día de hoy ese modelo hace aguas debido al volumen de nuevos especímenes que se genera a diario (en VirusTotal recibimos más de 15.000 especímenes al día). Hay que ingeniárselas para ser proactivos en la detección y poder considerarse medianamente útiles. De paso evitar que el fichero de firmas de detección del antivirus engorde tanto que se convierta en "fatware" y consuma tantos recursos que de más problemas al usuario que los propios "bichos".

Esa brutal proliferación y diversificación del malware en la actualidad, que hace el problema inmanejable con firmas de detección tradicionales, está llevando a los productos antivirus al uso de tecnologías de detección más... "genéricas" (estaba dudando que término utilizar, "inteligentes" o "brutas", de todo hay, lo dejamos en "genéricas").

Emulaciones, sandboxs, análisis del comportamiento, heurísticas más agresivas, firmas genéricas, etc. Todas estas tecnologías tienen en común la capacidad de identificación temprana y proactiva de especímenes desconocidos, sin necesidad de poseer una firma de detección específica. Por contra, también se prestan más a provocar falsos positivos, identificando como malware lo que en realidad no lo es.

Los laboratorios antivirus mantienen grandes colecciones de software bien conocido y se cuidan de evitar que sus productos los detecten como malware (el ejemplo más obvio es comprobar que no se detecta ningún fichero legítimo de Windows, y aún así hay alguna que otra anécdota al respecto). Sin embargo los desarrolladores más modestos sufren cada vez más los falsos positivos, ya que los antivirus no pueden comprobar todo el software legítimo existente, ya sea público, privativo, a medida, etc, y sólo se cuidan de evitar que sus detecciones genéricas no provoquen falsos positivos con el software más estándar o utilizado.

Un ejemplo de la "manga ancha" con la que algunos motores están identificando el malware la encontramos en la detección indiscriminada del uso de packers. Los packers son utilidades que permiten comprimir y/o añadir mecanismos de seguridad a los ejecutables. Si bien es una técnica muy utilizada por los creadores de malware para ofuscar su código en un intento de evitar la detección antivirus, también son utilizados por los creadores de software legítimo para optimizar sus ejecutables o dificultar la ingeniería inversa (para protegerse de modificaciones, crackers, espionaje, etc).

De hecho existen packers comerciales, open source, creados exclusivamente para el malware, etc. Si bien parece que tiene sentido la detección genérica de los que están íntimamente relacionados con el malware, los problemas surgen cuando algunos antivirus también están detectando de forma indiscriminada la utilización de otros packers que, además de poder ser aprovechados por los creadores de malware, tienen también usos legítimos por parte de los desarrolladores.

El resultado es que cada vez más software legítimo está siendo detectado como malware, ya sea por el uso de packers o bien simplemente porque la detección genérica del antivirus identifica de forma errónea alguna porción de código o acción que lleva a cabo el software como peligrosa o perteneciente a alguna familia de malware. Y es aquí donde comienzan los quebraderos de cabeza para el desarrollador, especialmente para la pequeña empresa o programador independiente.

¿Cómo convences al usuario de que tu software no tiene virus cuando su antivirus dice que está infectado? Es más, el usuario lo prueba con un multiantivirus y hay N-motores que coinciden que es un "bicho". El usuario no tiene lugar a dudas, ¡le estás ofreciendo software infectado!

Tras desistir con las explicaciones al usuario, escribes a los laboratorios antivirus que detectan tu software legítimo como malware para que rectifiquen. Dejas pasar unos días y... ¡oh!, no sólo te siguen detectando los que ya lo hacían, sino que hay nuevos antivirus que se han sumado a la detección.

¿De quién es la responsabilidad? ¿Deberían los desarrolladores evitar el uso de packers o técnicas que son detectadas de forma genérica por los antivirus? ¿Deberían comprobar con todos los antivirus su software antes de publicarlo, y realizar las modificaciones pertinentes para no ser erróneamente detectado antes de distribuirlo? ¿O bien deberían los antivirus facilitar y agilizar la actualización de listas blancas de software bien conocido sin discriminar a las pequeñas empresas y programadores independientes? ¿Tal vez estamos obviando otra forma de enfocar el problema? Me interesa tu opinión.


Bernardo Quintero
bernardo@hispasec.com



martes, 17 de junio de 2008

Mitos y leyendas: "Compruebe el candadito del navegador para estar seguro" II (Troyanos)

Si mezclamos SSL con troyanos, el resultado es una completa confusión por parte del usuario. Un sistema troyanizado es un sistema en el que no se puede confiar, muestre el navegador una conexión segura o no. De nuevo, esta recomendación del candadito (válida, pero que necesita muchos matices) se convierte en un arma de doble filo. Si un sistema queda infectado, ya no solo puede aparecer el candadito, sino que el certificado puede ser válido y de hecho, estaremos en la página legítima del banco, pero nuestros datos pueden ser robados.

Las técnicas que usan los troyanos más difundidos hoy día, pueden invalidar la recomendación de la comprobación de la conexión segura. De hecho, los troyanos permiten la conexión a la página real del banco, pero pueden estar robando la información entre bambalinas gracias a diferentes técnicas.

Delephant

Esta técnica es usada por la escuela brasileña. Escrito habitualmente en Delphi, consiste en la recreación de la zona de introducción de contraseñas en una página de banca online. El troyano superpone una pequeña aplicación en la zona del navegador que pide las contraseñas, ajustando colores y estilo de la página en general, mimetizándose con ella. De esta forma el usuario no observa en principio diferencia alguna entre la página original (que está visitando y mantiene abierta) y el programa superpuesto que encaja perfectamente en la área de las contraseñas. Además, el código está adaptado para que, en caso de que la página sea movida o redimensionada, el programa realice cálculos de su posición y se ajuste perfectamente al lugar asignado. La víctima está en realidad introduciendo las contraseñas en una aplicación independiente, superpuesta sobre la página del banco, que obviamente al ser la legítima, pasa cualquier inspección de conexión segura.

Captura de imágenes y vídeos

Más propio del malware brasileño. Ante la llegada de los teclados virtuales en la banca online como método para evitar los registradores de teclas, el malware se adaptó con estos métodos de captura de credenciales. Consiste en la activación de un sistema de captura en forma de imágenes, de un sector de pantalla alrededor del puntero de ratón cuando éste pulsa sobre un teclado virtual. Con este método se consigue eludir el teclado virtual, pues el atacante obtiene imágenes de cada tecla del teclado virtual pulsada, en forma de miniatura o captura de pantalla. Una vez más, la conexión segura no impide el robo de información.

Formgrabbers

Esta es una de las técnicas más populares, característica de la escuela rusa. Consiste básicamente en la obtención de los datos introducidos en un formulario, y puede ser llevada a cabo a través de varios métodos, como Browser Helper Objects, interfaces COM o enganchándose (hooking) a APIs del sistema. Con estos métodos el usuario se conecta a la página legítima, donde lógicamente aparecerá el candadito y la conexión será cifrada y perfectamente normal. El troyano sin embargo inspeccionará el flujo de datos y desviará a otro servidor los que correspondan con las contraseñas que les interese. En el caso de necesitar de tarjeta de coordenadas o alguna clave especial para mover el dinero, añadirá al código de la página el campo o campos que necesite. Modifica el comportamiento del navegador para que al visitar la página legítima del banco, añada lo que necesite y lo desvíe donde quiera.

Si es necesario introducir nuevos campos que puedan resultar interesantes para el atacante, suelen ser mostrados desde un servidor con el que también contacta el malware. En ocasiones, el mismo binario puede contener la configuración necesaria (normalmente en XML) para inyectar el campo específico en el punto oportuno de la página, encajándolo con las etiquetas HTML adecuadas para que parezca legítimo. Con este campo adicional suelen intentar capturar la contraseña de operaciones que permite efectivamente realizar las transacciones. Cuando la entidad posee una tarjeta de coordenadas como método de autenticación, el malware suele añadir un número considerable de casillas en la petición de las coordenadas, o incluso todas.

Aunque la víctima sospeche por la modificación en la web, por más que compruebe no tiene más remedio que aceptar que se ha conectado a la página legítima. El problema está en su sistema.

Conclusiones

Existen otras muchas técnicas de robo de información basadas en troyanos. Los usuarios deben ser conscientes de que la seguridad SSL, el candado y la autenticación del servidor son condiciones imprescindibles a la hora de utilizar la banca online, y que deben ser comprobadas en cada ocasión. Pero también deben tener claro que esto no garantiza que, si el sistema está troyanizado, los datos no sean capturados.


Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (03/06/2008) Mitos y leyendas: "Compruebe el candadito del navegador para estar seguro" I (Phishing)
http://www.hispasec.com/unaaldia/3510

lunes, 16 de junio de 2008

Cross-Site Request Forgery en Plone 3.0.x

Se ha encontrado una vulnerabilidad en Plone 3.0.x que podría ser explotada por un atacante remoto para realizar ataques de cross-site request forgery (XSRF).

Plone es un Sistema de Gestión de Contenidos (CMS) de código abierto, basado en Zope y programado en Python. Dispone un entorno gráfico tipo web y permite múltiples funciones, llegando a utilizarse frecuentemente como CRM.

La vulnerabilidad está confirmada para las versiones 3.0.x y no afectaría a las versiones 3.1.x. La vulnerabilidad de cross-site request forgery (XSRF) o falsificación de peticiones entre sitios, se basa en explotar la confianza que un determinado sitio web tiene con un usuario. Un atacante remoto podría explotar este problema para cambiar ciertas configuraciones de seguridad de un usuario que se conecta con una sesión válida en Plone.

Se recomienda instalar el parche que solventa la vulnerabilidad para las versiones 3.0.x, disponible desde:
http://plone.org/products/plone-hotfix/releases/CVE-2008-0164/PloneHotfix-CVE-2008-0164.tar.gz

O instalar la versión 3.1.2 de plone, disponible desde:
http://plone.org/download


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Plone Hotfix CVE-2008-0164
http://plone.org/products/plone-hotfix/releases/CVE-2008-0164

domingo, 15 de junio de 2008

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado actualizaciones para múltiples paquetes que corrigen diferentes problemas de seguridad.

* Actualización de seguridad de Mozilla Thunderbird 2.0.0.14 y mozilla-xulrunner181 que soluciona un problema en el colector de basura JavaScript que podría causar una denegación de servicio.

* Dos vulnerabilidades en tkimg al procesar imágenes GIF.

* Desbordamiento de enteros al procesar archivos PNG y denegación de servicio al procesar archivos PDF en cups.

* Un atacante local que ejecuta un sesión de invitado en QEMU podría saltarse las restricciones de seguridad y acceder al sistema que lo hospeda por medio de imágenes especialmente formateadas.

* Ejecución de código arbitrario a través del plugin gstreamer-plugins-good provocada por un fallo en speex.

* Denegación de servicio y posible ejecución de código arbitrario a través de archivos nzb especialmente manipulados en PAN.

* Ejecución remota de código a través del procesado de XSL-match en libxslt.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report SUSE-SR:2008:013
http://lists.opensuse.org/opensuse-security-announce/2008-06/msg00004.html

sábado, 14 de junio de 2008

Revelación de información a través de SNMPv3 en múltiples productos Cisco

Se han encontrado dos fallos de seguridad en múltiples productos Cisco que podrían permitir a un atacante remoto revelar información sensible.

SNMPv3 usa varios protocolos para autenticar paquetes encriptados en la red. Dos de ellos, el HMAC-MD5-96 y el HMAC-SHA-96 contienen una implementación incorrecta del proceso de autenticación. Un atacante remoto podría revelar información sensible a través de paquetes especialmente manipulados.

Son vulnerables los siguientes productos:
* Cisco IOS
* Cisco IOS-XR
* Cisco CatOS (Catalyst Operating System)
* Cisco NX-OS
* Cisco Application Control Engine (ACE) Module
* Cisco ACE Appliance
* Cisco ACE XML Gateway
* Cisco MDS 9000 Series Multilayer Fabric Switches

El servidor SNMP es un servicio opcional que se encuentra desactivado por defecto en los productos Cisco. Sólo SNMPv3 está afectado por estás vulnerabilidades.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a00809ac83b.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: SNMP Version 3 Authentication Vulnerabilities
http://www.cisco.com/en/US/products/products_security_advisory09186a00809ac83b.shtml

viernes, 13 de junio de 2008

Nuevo Opera 9.5 corrige tres fallos de seguridad

Se ha lanzado la versión 9.5 ("Kestrel") del navegador Opera, que corrige al menos tres vulnerabilidades que podrían ser aprovechadas por un atacante remoto para conducir ataques de falsificación o acceder información sensible.

Opera, además de ser un navegador web, contiene cliente de correo electrónico con gestor de contactos, cliente de IRC, lector de noticias RSS y gestor para la descarga de archivos torrent. Su nueva versión supera en estabilidad y velocidad a la anterior gracias a un motor JavaScript mejorado. Además el fabricante noruego afirma haber subsanado hasta 2.350 pequeños errores (los llamados "bugs") con respecto a versiones anteriores del navegador.

A continuación se detallan las vulnerabilidades corregidas en la última versión:

* Existe un error en al manejo de ciertos caracteres en las direcciones de las páginas web que podrían provocar que una dirección maliciosa se confundiera con otra que no lo es.

* La segunda vulnerabilidad está causada por un error al comprobar las fuentes de imágenes especificadas por medio de elementos HTML CANVAS. Ésto podría causar que el navegador revelara el contenido de las imágenes a ciertos scripts. Los elementos Canvas son parte de HTML5 y permiten la renderización dinámica de imágenes en dos dimensiones del tipo bitmap, a las que se puede acceder a través de un completo set de funciones JavaScript.

* La tercera vulnerabilidad está causada por un error al manejar páginas de diferentes fuentes que tengan frames en misma página padre. El fallo podría provocar que una de ellas reemplazara dicho frame, causando que se mostrara información errónea.

La versión 9.5 ha añadido mejoras en el manejo de certificados digitales, soportando el tipo EV (Extended Validation) y un nuevo esquema de notificaciones de seguridad en la barra de direcciones para diferenciar de forma visual las páginas seguras de las potencialmente maliciosas. Cada vez que realicemos la petición, si la característica Opera Fraud Protection está activada, la dirección a la que queremos acceder se comparará de forma automática con una lista negra de dominios usados en estafas –"phishing"- (compilada por Netcraft y PhishTank) y con otra lista negra de dominios que hospedan malware (mantenida por Haute Secure). De esta forma, si estamos intentando acceder a alguna página catalogada como potencialmente peligrosa el navegador nos avisará de ello sugiriendo que no la visitemos. Ésta característica es similar a otra que viene incluida en la beta de Internet Explorer 8 y también en la de Mozilla Firefox 3, cuya versión final verá la luz el próximo día 17 de Junio.

Se recomienda actualizar a la versión 9.5 de Opera disponible para Windows, Linux y Mac OS X desde:
http://www.opera.com/download/


Pablo Molina
pmolina@hispasec.com



jueves, 12 de junio de 2008

Actualización del kernel para Debian Linux

Debian ha publicado una actualización del kernel 2.6 de Linux que corrige dos fallos de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario.

Las vulnerabilidades corregidas son:

* Se ha descubierto un fallo, no especificado en el descodificador de ASN.1 usado por los subsistemas SNMP NAT y CIFS, que podría provocar un desbordamiento de la memoria intermedia basada en heap.

* Se ha descubierto un fallo de validación en la longitud de datos manejados por el subsistema DCCP que podría ocasionar un desbordamiento de memoria intermedia y permitir la ejecución de código arbitrario.

Un atacante remoto podría aprovechar estos fallos para efectuar un ataque de denegación de servicio y potencialmente ejecutar código arbitrario.

Se recomienda actualizar a través de las herramientas automáticas apt-get. Para la distribución etch el problema ha sido solucionado en la versión 2.6.18.dfsg.1-18etch6.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Debian Security Advisory DSA-1592-1
http://lists.debian.org/debian-security-announce/2008/msg00172.html

miércoles, 11 de junio de 2008

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines de seguridad de junio publicado ayer por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-031) de una actualización acumulativa para Internet Explorer; que además solventa dos nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

Las nuevas vulnerabilidades corregidas son:

* Se ha encontrado un problema de seguridad provocado por la forma en la que Internet Explorer muestra páginas que contienen ciertas llamadas a objetos HTML a través de métodos no esperados. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

* Existe un problema de revelación de información en la forma en la que Internet Explorer maneja ciertas cabeceras de peticiones. Un atacante podría aprovechar el fallo si la víctima visita una web especialmente manipulada, y leer datos de otros dominios.

Este parche de seguridad reemplaza a otro previo (MS08-024) para todas las plataformas. Actualice los sistemas afectados mediante Windows Update o descargando los parches según versión desde las siguientes direcciones:

* Microsoft Windows 2000 Service Pack 4:

Internet Explorer 5:
http://www.microsoft.com/downloads/details.aspx?FamilyId=88990B23-D37F-4D02-A5A3-2EE389ADE53C&displaylang=es

Internet Explorer 6:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4C47CF8A-8100-4D43-855A-F225A3492B19&displaylang=es

Internet Explorer 6:

* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CC325017-3A48-4475-90E4-0C79A002FCE3&displaylang=es

* Windows XP Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CC325017-3A48-4475-90E4-0C79A002FCE3&displaylang=es

* Windows XP Professional x64 Edition y Windows XP Professional x64
Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=C8783CFE-9DA5-4842-AB3A-1E2BE4FAFC47&displaylang=es

* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service
Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=286AADA6-A358-41F1-B81A-8DE39B9F908A&displaylang=es

* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition
Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=6604569A-3DB0-47E7-BD30-7DFBA8145386&displaylang=es

* Windows Server 2003 con SP1 para Itanium y Windows Server 2003 con
SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0262BEB8-1EB5-4C2D-A50A-0C6C6E0C1F61&displaylang=es

Internet Explorer 7:

* Windows XP Service Pack 2 y Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?FamilyId=FBC31BDE-0BF5-490C-96A8-071310D9464A&displaylang=es

* Windows XP Professional x64 Edition y Windows XP Professional x64
Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=19C0CCDC-95C9-4151-96B6-4F49B594EBE0&displaylang=es

* Windows Server 2003 Service Pack 1 y Windows Server 2003 Service
Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=A1AE9AD2-8329-4C96-B950-7534B3287EAA&displaylang=es

* Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition
Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=FB0C70B4-CE9F-43D6-875A-3CFD0D3A2681&displaylang=es

* Windows Server 2003 with SP1 para Itanium y Windows Server 2003 with
SP2 for Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=28D2913C-1C6B-4671-9892-DE08698CD5A6&displaylang=es

* Windows Vista y Vista SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=6D68B39D-157F-4C3D-AC76-BC5A9386DB59&displaylang=es

* Windows Vista x64 Edition y x64 SP1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=4CF92235-861E-4B74-BEE3-8E977C8688D9&displaylang=es

Windows Server 2008 para 32-bit Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=A8922E7E-9264-4E09-B8AD-C5420FED8690&displaylang=es

Windows Server 2008 para x64-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=05B0E838-24D7-4387-B069-2604BBCC43B9&displaylang=es

Windows Server 2008 para Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=640E1865-EBCC-4D69-A770-FD360020DA1E&displaylang=es


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-031
Actualización de seguridad acumulativa para Internet Explorer (950759)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-031.mspx

martes, 10 de junio de 2008

Boletines de seguridad de Microsoft en junio

Tal y como adelantamos, este martes Microsoft ha publicado siete boletines de seguridad (MS08-030 al MS08-036) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", otros tres son "importantes" y un el último que recibe una calificación de "moderado".

Microsoft califica como críticas las siguientes actualizaciones:

* MS08-030: Actualización que resuelve una vulnerabilidad en la pila bluetooth de Windows que podría ser aprovechada por un atacante para ejecutar código arbitrario de forma remota. Afecta a Windows XP y Windows Vista.

* MS08-031: Actualización acumulativa para Microsoft Internet Explorer que además soluciona una nueva vulnerabilidad que podría permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS08-033: Actualización para solucionar dos vulnerabilidades de ejecución remota de código a través de Microsoft DirectX si el usuario afectado abre un archivo específicamente creado. Afecta a Windows 2000, Windows Server 2003, Windows Server 2008, Vista y XP.

Los boletines clasificados como moderados:

* MS08-034: Actualización de seguridad para evitar una vulnerabilidad en WINS (Windows Internet Name Service) que podría permitir a un atacante local elevar sus privilegios en el sistema. Afecta a Windows 2000 y Windows Server 2003.

* MS08-035: Corrige un error de validación en el servicio LDAP que afecta a las implementaciones de Directorio Activo en Windows 2000 Server, Windows Server 2003 y Windows Server 2008; de Modo Aplicación del Directorio Activo (ADAM) instalado en Windows XP Professional y Windows Server 2003; y de Servicios de LDAP para Aplicaciones (AD LDS) sobre Windows Server 2008.

* MS08-036: Esta actualización resuelve dos vulnerabilidades en el protocolo Pragmatic General Multicast (PGM) que podría permitir a un atacante remoto provocar una denegación de servicio.

Por último una actualización de carácter moderado:

* MS08-032: Este boletín se refiere a una actualización acumulativa de los kill bits de ActiveX. Resuelve una vulnerabilidad que afecta a Microsoft Speech API, que puede permitir la ejecución remota de código si un usuario visualiza con Internet Explorar una página web especialmente creada y tiene activada la característica de Reconocimiento de Voz.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for June 2008
http://www.microsoft.com/technet/security/bulletin/ms08-jun.mspx

Microsoft Security Bulletin MS08-030
Vulnerability in Bluetooth Stack Could Allow Remote Code Execution (951376)
http://www.microsoft.com/technet/security/bulletin/ms08-030.mspx

Microsoft Security Bulletin MS08-031
Cumulative Security Update for Internet Explorer (950759)
http://www.microsoft.com/technet/security/bulletin/ms08-031.mspx

Microsoft Security Bulletin MS08-032
Cumulative Security Update of ActiveX Kill Bits (950760)
http://www.microsoft.com/technet/security/bulletin/ms08-032.mspx

Microsoft Security Bulletin MS08-033
Vulnerabilities in DirectX Could Allow Remote Code Execution (951698)
http://www.microsoft.com/technet/security/bulletin/ms08-033.mspx

Microsoft Security Bulletin MS08-034
Vulnerability in WINS Could Allow Elevation of Privilege (948745)
http://www.microsoft.com/technet/security/bulletin/ms08-034.mspx

Microsoft Security Bulletin MS08-035
Vulnerability in Active Directory Could Allow Denial of Service (953235)
http://www.microsoft.com/technet/security/bulletin/ms08-035.mspx

Microsoft Security Bulletin MS08-036
Vulnerabilities in Pragmatic General Multicast (PGM) Could Allow Denial of Service (950762)
http://www.microsoft.com/technet/security/bulletin/ms08-036.mspx

lunes, 9 de junio de 2008

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado actualizaciones para múltiples paquetes que corrigen diferentes problemas de seguridad.

* Se ha solucionado un fallo en xine en la función 'demux_nsf_send_chunk' de 'src/demuxers/demux_nsf.c', al procesar archivos con formato NSF que podría producir un desbordamiento de memoria intermedia basada en pila. Un atacante remoto podría ejecutar código arbitrario a través de archivos NSF especialmente manipulados.

* Se ha solucionado un error en xine por la no comprobación de valores negativos en un puntero a una función que participa en la decodificación de cabeceras Speex. Un atacante remoto podría explotar esta vulnerabilidad a través de cabeceras Speex especialmente manipuladas y ejecutar código arbitrario.

* XEmacs carga y ejecuta automáticamente archivos fast-lock (.flc), lo que podría permitir a un atacante local ejecutar código arbitrario con los permisos del usuario editando los archivos asociados.

* Se ha descubierto un error de validación de entrada en libvorbis que podría provocar que la aplicación que enlace a estas librerías deje de responder o entre en un bucle infinito, o un desbordamiento de memoria intermedia basada en heap. Un atacante remoto podría aprovechar esta vulnerabilidad a través de archivos de sonido Ogg Vorbis que contengan un objeto 'codebook' de dimensión cero.

* Se ha descubierto un error de desbordamiento de enteros en libvorbis en el tratamiento de 'quantvals' y del espacio requerido por 'quantlist' que podría causar un desbordamiento de la memoria intermedia. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de archivos de sonido Ogg Vorbis especialmente manipulados.

* Speex no maneja de forma correcta los desplazamientos negativos en un campo en particular de la cabecera, lo que podría dar lugar a un desbordamiento de enteros.

* Un problema de ejecución de código en openwsman

* Problemas de spoofing en pdns-recursor.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report SUSE-SR:2008:012
http://lists.opensuse.org/opensuse-security-announce/2008-06/msg00001.html

domingo, 8 de junio de 2008

Ejecución remota de código en Skype para Windows provocado por un fallo al validar URIs

Se ha encontrado una vulnerabilidad en la versión para Windows de Skype que podría ser aprovechada por un atacante remoto para saltarse restricciones de seguridad y ejecutar código arbitrario en un sistema vulnerable, logrando comprometer la totalidad del sistema si se ejecuta en modo administrador.

Skype es un el cliente de VoIP (voz sobre IP) muy popular, tiene millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o de teléfonos fijos. Además está disponible para distintas plataformas Windows, Linux y Mac OS X.

El problema está causado por un error al manejar URIs del tipo "file:", que podría ser explotado para saltarse las advertencias de seguridad al ejecutar archivos con extensiones peligrosas. La versión de Skype para Windows hace uso de un filtro para prevenir la posible ejecución de archivos, almacenados localmente, por medio de URIs del tipo "file:" (como por ejemplo "file://C:/archivomalicioso.exe"). El problema está en que dicho filtro solo advierte si detecta un intento de acceso a archivos con las siguientes extensiones: .ade, .adp, .asd, .bas, .bat, .cab, .chm, .cmd, .com, .cpl,.crt, .dll, .eml, .exe, .hlp, .hta, .inf, .ins, .isp y .js. Por lo tanto permitiría la ejecución de forma directa de otros archivos con extensiones potencialmente peligrosas, como pueden ser: .pif, .vbs o .scr entre otras.

Pero la deficiencia más grave del filtro reside en que solo mostraría el cuadro de advertencia si la extensión del archivo supuestamente peligroso al que se intenta acceder está en minúscula. Si la extensión incluyera alguna letra mayúscula (como por ejemplo "file://C:/archivomalicioso.Exe") entonces la petición se saltaría el filtro y el archivo sería ejecutado sin que recibiéramos ningún tipo de advertencia al respecto. Si la vulnerabilidad fuera explotada con éxito, un atacante podría ejecutar cualquier archivo residente en el sistema víctima, pudiendo comprometer por completo dicho sistema.

La vulnerabilidad fue descubiertas por Ismael Briones (Inkatel) y notificada a Skype Technologies por medio de iDefense el día 5 de mayo. El pasado 4 de junio iDefense y Skype hicieron públicos de forma conjunta los detalles de la vulnerabilidad, una vez que ya existe una versión disponible que corrige el fallo.

El problema afecta a todas las versiones de Skype para Windows anteriores a la 3.8.0.139. Se recomienda actualizar a la nueva versión no vulnerable (v.3.8.0.139), disponible para su descarga desde: http://www.skype.com/download/skype/windows/


Pablo Molina
pmolina@hispasec.com



sábado, 7 de junio de 2008

Múltiples vulnerabilidades en Cisco PIX y ASA

Se han encontrado múltiples vulnerabilidades en Cisco ASA 5500 Series Adaptive Security Appliances y Cisco PIX Security Appliances que podrían causar una denegación de servicio o permitir que un atacante se salte restricciones de seguridad.

* Un paquete TCP ACK especialmente manipulado podría causar una denegación de servicio en los dispositivos de seguridad Cisco ASA o Cisco PIX. La vulnerabilidad solo la pueden producir los paquetes destinados al dispositivo, no los que pasen a través de él.

* PIX y ASA se podrían ver afectados por una vulnerabilidad en el manejo del protocolo TLS que podría causar el reinicio del sistema al procesar un archivo TLS especialmente manipulado.

* Cisco ASA y Cisco PIX se podrían ver afectados por una denegación de servicio si Instant Messaging Inspection está habilitado.

* Los dispositivos de seguridad Cisco ASA y Cisco PIX podrían verse afectados por una denegación de servicio cuando se realiza un escaneo de vulnerabilidades en el puerto TCP 443. Ciertos escaneos pueden causar que el sistema se reinicie.

* Se ha encontrado una vulnerabilidad en Cisco AXA y PIX que podría causar que una ACL no funcionara después de ser configurada inicialmente en el sistema.

Diferentes dispositivos Cisco ASA y Cisco PIX con versiones 7.x y 8.x se verían afectadas dependiendo de la vulnerabilidad.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20080604-asa.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco PIX and Cisco ASA
http://www.cisco.com/warp/public/707/cisco-sa-20080604-asa.shtml

viernes, 6 de junio de 2008

Microsoft publicará siete boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en junio se esperan siete boletines de seguridad, todos dedicados a Windows. Tres son de categoría crítica, o sea, que permiten la ejecución remota de código arbitrario, tres son importantes y uno de carácter moderado.

Si en mayo fueron cuatro boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar siete actualizaciones el día diez de junio. Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

En concreto, existe un problema con DirectX que afecta a todas las plataformas. Otro con Bluetooth sólo para Vista y XP. Estos son los graves. Con respecto a los importantes, existe un fallo en PGM, en Active Directory y en el servidor WINS. Pueden causar desde denegación de servicio hasta escalada de privilegios. El calificado como moderado modificará algunos kill bits de controles ActiveX.

Cabe recordar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for June 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-jun.mspx

jueves, 5 de junio de 2008

Denegación de servicio a través de ast_uri_decode en Asterisk

Se ha descubierto un fallo en Asterisk que podría permitir a un atacante remoto efectuar una denegación de servicio.

Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

Cuando se procesan paquetes SIP en modo "pedantic"' se pasa el valor "From" de las cabeceras a la función ast_uri_decode sin que sea validado. Esto podría ser aprovechado por un atacante remoto para efectuar una denegación de servicio a través de paquetes SIP especialmente manipulados.

Se consideran vulnerables todas las versiones anteriores a la 1.2.29 Open Source y B.2.5.3 Business Edition.
Se recomienda actualizar a la última versión disponible en:
http://www.asterisk.org/downloads


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Asterisk Project Security Advisory - AST-2008-008
http://downloads.digium.com/pub/security/AST-2008-008.html

0012607: SIP INVITE msg without "From" field crashes asterisk 1.2.28 if pedantic=yes
http://bugs.digium.com/view.php?id=12607

miércoles, 4 de junio de 2008

Ejecución remota de código por medio de Safari en Windows Vista y XP

Se ha encontrado un problema de seguridad en Microsoft Windows Vista y XP con el navegador Safari que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario. Esto sería posible si un atacante explotase de forma conjunta un fallo en Safari que permite la descarga no solicitada de archivos junto con otra vulnerabilidad no especificada en Internet Explorer.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows XP y Vista. Durante los últimos meses se ha estado ofreciendo la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple.

El pasado 14 de Mayo, el investigador Nitesh Dhanjani, de Ernst & Young, publicó una entrada sobre una falta de control sobre las descargas en Safari, problema que bautizó como "Carpet Bomb". En ella se mostraba que es posible la descarga de forma automática de un gran número de archivos en el escritorio, si se visita con Safari una web maliciosa que haga uso de un script CGI especialmente preparado. El navegador no incluye la opción para mostrar un cuadro de dialogo antes de iniciar una descarga usando este método, no pregunta si quieres bajar algo o no, simplemente descarga cualquier archivo en la carpeta elegida por defecto (normalmente el escritorio de Windows). Por lo tanto, un usuario que visite con Safari una página web especialmente manipulada podría efectuar la descarga no solicitada e inadvertida de un archivo malicioso. Un atacante podría "colar" cualquier tipo de malware en el escritorio de una víctima que, de ejecutarlo por accidente, podría causar el compromiso total del sistema.

Cuando Apple fue informado acerca de este supuesto fallo en Safari, sus investigadores no lo consideraron un problema de seguridad aunque añadieron que estudiarían la posibilidad de incluir un cuadro de diálogo en un futuro. Es cierto que no es una vulnerabilidad en el sentido más estricto, pero puede provocar que los usuarios de Safari en las plataformas Windows acaben con el escritorio repleto de malware.

Desde Microsoft se ha tomado el asunto mucho más en serio, de tal forma que el pasado día 30 de mayo publicó una advertencia de seguridad. En dicha nota se advierte contra una "amenaza combinada que permite la ejecución remota de código en todas las versiones de Windows XP y Vista que tengan Safari instalado". Aunque se puntualiza que actualmente no se tiene conocimiento de ningún ataque que intente explotar dicha amenaza.

La segunda parte de esta "amenaza combinada", y necesaria para que sea posible la ejecución remota de código sin interacción por parte del usuario, es una vulnerabilidad en Internet Explorer descubierta hace tiempo por el investigador israelí Aviv Raff. No se han desvelado más detalles acerca de la misma, pero Raff afirma que por medio de un ataque que aproveche de forma combinada de las dos vulnerabilidades se podría comprometer por completo un sistema vulnerable. Desde su blog confirma que está trabajando junto con Microsoft para solventar la vulnerabilidad y rehúsa publicar más datos hasta que no haya un parche disponible.

Microsoft sugiere como contramedida cambiar el lugar por defecto donde Safari descarga los archivos, pero Raff advierte que es insuficiente para evitar la amenaza y sugiere dejar de usar Safari hasta que se haya solventado el problema.


Pablo Molina
pmolina@hispasec.com



martes, 3 de junio de 2008

Mitos y leyendas: "Compruebe el candadito del navegador para estar seguro" I (Phishing)

Esta frase es una de las recomendaciones de seguridad básicas que todo sistema de banca online ofrece a sus usuarios. Ha sido uno de los consejos estrella para intentar evitar el phishing en los últimos años. En realidad, SSL podría ser un arma poderosa contra le phishing pero no ha sido así. En parte porque no se entiende la tecnología, en parte porque se ha vuelto tan popular y barata que ha dejado de tener el efecto deseado. El SSL y "el candadito del navegador" simplemente ya no significan nada. Tanto, que se ha tenido que crear un nuevo concepto de certificado. Un consejo obsoleto que ofrece una falsa sensación de seguridad de la que se están aprovechando los phishers.

¿Para qué sirve el SSL?

Incluso entre los profesionales de la informática existe cierta confusión al entender el SSL y qué significa que se navegue bajo el protocolo HTTPS. Se sabe que es un "canal seguro", pero ¿seguro por qué? Sin entrar en tecnicismos, hay que decir que SSL debería cumplir dos funciones. Primero es una conexión cifrada sobre un canal público. Cifra la conexión de forma que en teoría sólo el servidor y el navegador pueden acceder al flujo de datos entre ellos. Lo que olvidan muchos es que SSL también autentica al servidor. Nos ayuda a estar seguros de que el servidor es quien dice ser y también que pertenece a la empresa a la que debería pertenecer. Esto lo hace gracias a la criptografía de clave pública, que garantiza que el servidor al que nos conectamos tiene la clave privada que corresponde con la pública que dice tener.

Para la parte de autenticación, los servidores con SSL activo ofrecen al navegador un certificado para que lo compruebe, que es como una especie de DNI. En él, una autoridad (Verisign, Godaddy....) certifica con su firma que la clave pública realmente pertenece al sitio. Para conseguir un certificado, el dueño del servidor ha generado dos claves, y la pública la ha enviado a estas autoridades certificadoras para que la firmen, junto con otras pruebas de identidad como pueden ser documentos de empresa u otros, dependiendo del criterio del certificador (y de lo que se quiera pagar). Cuando un usuario se conecta a la página, de forma transparente el navegador comprueba que el certificado es correcto. Siguiendo con la analogía del DNI, sólo el Estado (las autoridades certificadoras) puede certificar (firmar critográficamente) que la fotografía y los datos (la clave pública) pertenecen a una persona (servidor web de esa empresa).

¿Es efectivo contra el phishing?

Idealmente, autenticar al servidor es la solución contra el phishing, pero no es así. El usuario medio a veces comprueba que hay un candadito, o una conexión HTTPS al visitar una web. Con esta mínima comprobación, comprende que está sobre un sitio seguro (se le ha repetido hasta la saciedad) y confía en la página en la que va a introducir sus datos. Muy pocos confirman que el certificado es válido. Para ello habría que hacer doble click sobre el candado y comprobar la ruta de certificación, que debe culminar en una autoridad certificadora que ha firmado el certificado. Pero, hoy en día, incluso si el certificado es válido, es posible que no se esté sobre la página que se desea. Para evitar esto, el usuario debería interpretar además qué información está ofreciendo esa cadena de certificación y a qué datos está asociado. El conjunto de usuarios que llega a este punto es mínimo.

Lo que los phishers están haciendo cada vez con más frecuencia, es comprar certificados que sólo certifican que el dominio pertenece a quien lo compró. La autoridad certificadora no pide más documentos ni pruebas, sólo que el dominio te pertenece. Los hay por 20 euros. Empresas como Godaddy certifican que el dominio te pertenece, y con ello el navegador aparecerá con el candadito y bajo el protocolo HTTPS. Efectivamente, la información irá sobre un canal seguro, y el servidor será el del auténtico phisher, que ha podido comprar un dominio con un nombre parecido al legítimo, o añadir en la URL dominios de tercer nivel para confundir.

Existen certificados de hasta 300 euros al año, y estas autoridades certifican el dominio, los datos... es un proceso caro y costoso que se paga. Pero como se ha dicho también los hay "light" en los que toda la gestión se hace online y con una mínima comprobación. Esto es legítimo y válido, pero llevado al contexto del phishing, resulta ventajoso para los atacantes. Los phishers pagan 20 euros (con tarjetas que a su vez han robado) y tendrán un candadito y una conexión HTTPS en su phishing. El nivel de credibilidad aumenta con respecto a sus víctimas.

El SSL se ha convertido en algo tan popular y accesible que ya no es exclusivo de los sitios seguros, y lo que con tanto esfuerzo se ha conseguido inculcar en el subconsciente del usuario: "si tiene candadito, es seguro", se ha vuelto en contra. Por tanto, los phishings bajo conexión segura siguen aumentando con éxito.

Extended Validation Certificates al rescate

Los nuevos EVCerts, Extended Validation Certificates, han venido al rescate, supliendo las deficiencias de los certificados baratos y comunes. Para empezar certificarse es bastante más caro. Esto resulta en una primera criba que puede resultar incómoda para empresas pequeñas. Técnicamente los certificados que cumplan el Extended Validation SSL autentican al servidor (como los certificados tradicionales), pero a efectos prácticos permiten que el navegador que visita la página que tiene estos certificados, muestre de forma mucho más clara que la página es efectivamente la que se quiere visitar, haciendo hincapié en la vertiente de autenticación del SSL. Sería como si el navegador hiciera por nosotros la operación de pulsar sobre el candado cuando nos conectamos por SSL a una página, y verificara la ruta de certificación, el domino válido... todo de forma automática y visual. Si el servidor es seguro, se muestra en la barra de direcciones un color verde. Un usuario puede así de un solo vistazo dar por seguro que el servidor al que se está conectando es el correcto, y que no se está usando un certificado válido, pero falso.

Por ahora, sólo Internet Explorer 7 soporta de serie la correcta interpretación de certificados EV SSL (para que funcione la comprobación de estos certificados, debe estar activada la tecnología antiphishing, van de la mano y hay que usarlas juntas). Para que Firefox 2 lo soporte necesita un plugin y Opera ya lo implementa en su versión 9.50.


Sergio de los Santos
ssantos@hispasec.com



lunes, 2 de junio de 2008

Troyanos contra clientes de ING Direct

Detectada una ola de troyanos bancarios que tienen como objetivo a los clientes de ING Direct España (ingdirect.es). Los troyanos capturan todos los datos necesarios para suplantar la identidad de los usuarios legítimos, incluyendo la tarjeta de coordenadas para poder realizar transferencias desde sus cuentas.

Tradicionalmente INGDirect.es no ha sido objetivo de ataque por parte de los phishers y troyanos bancarios, gracias en parte a la propia naturaleza de sus productos que impedía realizar transferencias a terceros de forma indiscriminada. Así la "Cuenta Naranja" se asocia a una segunda cuenta del banco o caja habitual del cliente y sólo permite realizar operaciones entre ellas.

La oferta de otros productos por parte de INGDirect.es, como la "Cuenta Nómina", que permiten una mayor libertad a la hora de hacer transacciones, han convertido a los clientes de esta entidad en un objetivo apetecible para las mafias dedicadas al fraude por Internet.

En Hispasec hemos publicado un informe técnico que explica con detalle el funcionamiento de estos troyanos bancarios dirigidos a clientes de ING Direct España, incluyendo una descripción más funcional y visual que permitirá a los usuarios detectar su presencia y prevenir el fraude.

El documento, en formato PDF, puede ser consultado en la siguiente dirección:
http://www.hispasec.com/laboratorio/troyano-ingdirect.pdf

Se recomienda su lectura a todos los clientes de INGDirect.es.

A modo de resumen, como norma básica y general para todos aquellos servicios que utilizan tarjetas de coordenadas, se recuerda a los usuarios que nunca, bajo ninguna circunstancia, deben introducir todas o gran parte de las claves de su tarjeta. Su entidad sólo le solicitará alguna clave de la tarjeta en el momento que esté realizando una transacción que la requiera, como por ejemplo una transferencia.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Análisis de un troyano bancario que afecta a la sucursal española
de ING Direct
http://www.hispasec.com/laboratorio/troyano-ingdirect.pdf

domingo, 1 de junio de 2008

Nuevos contenidos en la Red Temática CriptoRed (mayo de 2008)

Breve resumen de las novedades producidas durante el mes de mayo de 2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED Y LA CÁTEDRA UPM APPLUS+

* Solución de cortafuegos basada en la integración de herramientas de software libre: Snort e IPTables (Walter Baluja, artículo pdf, 8 páginas, Cuba)
http://www.criptored.upm.es/guiateoria/gt_m189g.htm

* Propuesta de Arquitectura de Seguridad para las Redes de Telecomunicaciones (Walter Baluja, artículo pdf, 8 páginas, Cuba)
http://www.criptored.upm.es/guiateoria/gt_m189h.htm

* Propuesta para la Gestión de Seguridad en las Redes de Telecomunicaciones Actuales (Walter Baluja, artículo pdf, 9 páginas, Cuba)
http://www.criptored.upm.es/guiateoria/gt_m189i.htm

* Documentos Electrónicos que Conviven con los de Papel (Julián Inza, presentación pdf, 62 diapositivas, España)
http://www.lpsi.eui.upm.es/GANLESI/2007_2008/gconferencia_ji.htm

* Auditoría de Seguridad. Certificaciones de Seguridad (Eva Muñoz, presentación pdf, 69 diapositivas, España)
http://www.lpsi.eui.upm.es/GANLESI/2007_2008/gconferencia_em.htm

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Abril de 2008 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200804.pdf

* Guía de Recomendaciones a Padres y Niños para Navegación Segura en Internet (AEPD, España)
https://www.agpd.es/portalweb/canal_joven/common/pdfs/recomendaciones_menores_2008.pdf

* Artículos ¿Quién es líder de la inseguridad Informática? y La industria de la seguridad: Vende desde la inseguridad
Blog de Inseguridad Informática (Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/inseguridad/

* Tercer Número de la Revista Ezine de Hack Hispano (España)
http://ezine.hackhispano.com/

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Junio 12 al 13 de 2008: 6th International Workshop on Security In Information Systems WOSIS 2008 (Barcelona - España)
http://www.iceis.org/workshops/wosis/wosis2008-cfp.html

* Junio 18 al 20 de 2008: VIII Jornada Nacional de Seguridad Informática ACIS 2008 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1066

* Junio 19 al 21 de 2008: III Conferencia Ibérica de Sistemas y Tecnologías de la Información CISTI 2008 (Ourense - España)
http://cisti2008.uvigo.es/

* Junio 23 al 25 de 2008: The 5th International Conference on Autonomic and Trusted Computing (Oslo - Noruega)
http://www.ux.uis.no/atc08/

* Junio 25 al 27 de 2008: Sexto Congreso Collaborative Electronic Communications and eCommerce Technology and Research CollECTeR Iberoamérica 2008 (Madrid - España)
http://www.collecter.euitt.upm.es/

* Julio 9 al 11 de 2008: XIV Jornadas de Enseñanza Universitaria de la Informática (Granada - España)
http://jenui2008.ugr.es/

* Septiembre 2 al 5 de 2008: X Reunión Española de Criptología y Seguridad de la Información RECSI 2008 (Salamanca - España)
http://www.usal.es/~xrecsi/

* Septiembre 10 al 12 de 2008: EATIS 2008 Euro American Conference on Telematics and Information Systems (Aracajú - Brasil)
http://eatis.org/eatis2008/

* Septiembre 15 al 19 de 2008: 2nd International Castle Meeting on Coding Theory and Applications (Medina del Campo - Valladolid - España)
http://wmatem.eis.uva.es/2icmcta/

* Septiembre 22 al 24 de 2008: XXIII Simposio Nacional de la Unión Científica Internacional de Radio (Madrid - España)
http://gass.ucm.es/URSI2008/

* Septiembre 22 al 26 de 2008: International School on Mathematical Cryptology 2008: Mathematical Foundations of Cryptology (Barcelona - España)
http://www-ma4.upc.edu/mak/ismc2008/

* Octubre 6 al 8 de 2008: 13th European Symposium on Research in Computer Security ESORICS 2008 (Málaga - España)
http://www.isac.uma.es/esorics08/

* Octubre 6 al 10 de 2008: XV Congreso CCBol 2008 (Sucre - Bolivia)
http://www.usfx.edu.bo/WebCCbol2008/

* Octubre 18 al 19 de 2008: NSS 2008 IFIP International Workshop on Network and System Security (Shanghai- China)
http://nss.cqu.edu.au/

* Octubre 22 al 25 de 2008: Second Workshop on Mathematical Cryptology en UNICAN (Santander - España)
http://grupos.unican.es/amac/wmc-2008/index.html

* Octubre 29 al 31 de 2008: 15th International Congress on Computer Science Research (Aguascalientes - México)
http://www.ciicc.ita.mx/

CONGRESOS ANUNCIADOS EN LA IACR:
International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE MAYO DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#may08

* Jornada Gratuita sobre la Puesta en Marcha del Nuevo Reglamento de la LOPD -5 de junio- (España)
http://www.borrmart.es/eventos/programalopd.pdf

* Call For Chapter Proposals Web Services Security Development and Architecture: Theoretical and Practical Issues (España).
http://www.criptored.upm.es/descarga/CallForChapterProposalsUCLM-2008.zip

* Deadline 15th International Congress on Computer Science Research (México)
http://www.ciicc.ita.mx/

* International School on Mathematical Cryptology 2008: Mathematical Foundations of Cryptology (España)
http://www-ma4.upc.edu/mak/ismc2008/

* Primer Seminario CAPSDESI sobre Mayores y Acceso Seguro a la Sociedad de la Información (España)
http://www.capsdesi.upm.es/

* Infosecurity Iberia en Madrid (España)
http://www.infosecurity.com.es/es-es/index.cfm

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 703
(192 universidades; 264 empresas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 46.452 visitas, con 114.026 páginas solicitadas y 44,60 GigaBytes servidos en mayo de 2008.
Las estadísticas del mes (AWStats) se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

mayo de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#may08