martes, 30 de septiembre de 2008

Elevación de privilegios a través de move-faqwiz.sh en Python 2.x

Se ha descubierto una vulnerabilidad en Python que podría permitir a un atacante local realizar una escalada de privilegios.

Python es un lenguaje de programación sencillo pero extremadamente potente y versátil, cuya popularidad crece día a día.

El error consiste en que "Tools/faqwiz/move-faqwiz.sh" genera archivos temporales de manera no segura. Un atacante local podrá crear un enlace simbólico desde un archivo sensible del sistema a un archivo temporal. De esta forma, cuando el script sea ejecutado por el usuario atacado, se sobreescribirá el archivo enlazado con los privilegios de la víctima.

La vulnerabilidad se confirma para la versión 2.5.2 y anteriores de Python.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Python 'move-faqwiz.sh' Uses Unsafe Temporary Files That Let Local Users Gain Elevated Privileges
http://www.securitytracker.com/alerts/2008/Sep/1020904.html

lunes, 29 de septiembre de 2008

Diversas vulnerabilidades en Xsun y Xorg de Sun Solaris 8, 9 y 10

Sun ha reconocido que Xsun y Xorg contiene múltiples fallos de seguridad que podrían permitir a un atacante local efectuar una denegación de servicio y potencialmente ejecutar código arbitrario.

Los problemas corregidos son:

* Un fallo en la validación de los parámetros de las funciones "SProcSecurityGenerateAuthorization" y "SprocRecordCreateContext" (extensiones Record y Security) que podría permitir a un atacante local corromper la memoria a través de peticiones especialmente manipuladas.

* Un desbordamiento de entero en la validación de los parámetros de la función "ShmPutImage" (extensión MIT-SHM) que podría permitir a un atacante local leer partes de la memoria de un servidor xorg.

* Un desbordamiento de entero en la función "Allocateglyph" (extensión Render) cuando reserva memoria para el tamaño de un glifo que podría provocar un desbordamiento de la memoria intermedia basada en heap. Un atacante local podría efectuar una denegación de servicio a través de una glifo especialmente manipulado.

* Un desbordamiento de entero en la función "ProcRenderCreateCursor" (extensión Render) cuando reserva memoria para el tamaño de un glifo que podría provocar un desbordamiento de la memoria intermedia basada en heap. Un atacante local podría efectuar una denegación de servicio a través de una glifo especialmente manipulado.

* Fallos de desbordamiento de enteros en las funciones "SProcRenderCreateLinearGradient", "SprocRenderCreateRadialGradient" y "SprocRenderCreateConicalGradient" (extensión Render) que podrían ocasionar corrupción de la memoria y que el servidor xorg deje de responder.

Sun ha publicado los siguientes parches disponibles, según versión y plataforma:

Plataforma SPARC:

* Solaris 8 aplicar actualización 119067-10 o superior (para Xsun):
http://sunsolve.sun.com/pdownload.do?target=119067-10&method=h
* Solaris 9 aplicar actualización 112785-64 o superior (para Xsun):
http://sunsolve.sun.com/pdownload.do?target=112785-64&method=h
* Solaris 10 aplicar actualizaciónes 119059-44 o superior y 125719-12 o superior:
http://sunsolve.sun.com/pdownload.do?target=119059-44&method=h
http://sunsolve.sun.com/pdownload.do?target=125719-12&method=h

Plataforma X86:

* Solaris 8 aplicar actualización 119068-10 o superior (para Xsun)
http://sunsolve.sun.com/pdownload.do?target=119068-10&method=h
* Solaris 9 aplicar actualización 112786-53 o superior (para Xsun)
http://sunsolve.sun.com/pdownload.do?target=112786-53&method=h
* Solaris 9 (with JDS release 2) aplicar actualización 118908-06 o superior (para Xog)
http://sunsolve.sun.com/pdownload.do?target=118908-06&method=h
* Solaris 10 aplicar actualizaciones 119060-43 o superior y 125720-23 o superior
http://sunsolve.sun.com/pdownload.do?target=119060-43&method=h
http://sunsolve.sun.com/pdownload.do?target=125720-23&method=h


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Security Vulnerabilities in the Solaris X Server Extensions may lead to a Denial of Service (DoS) condition or allow Execution of Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-66-238686-1

domingo, 28 de septiembre de 2008

El formato PDF, de nuevo en el punto de mira

Al parecer se ha detectado un paquete de exploits capaz de aprovechar vulnerabilidades en el lector más usado de este formato, Adobe Reader. El "PDF Xploit Pack" permite explotar vulnerabilidades y gestionar de forma centralizada a las víctimas en las que se ha conseguido ejecutar código arbitrario. Muy al estilo del Mpack o cualquier otro producto engendrado por la industria del malware, pero específico para este producto.

"PDF Xploit Pack" parece ser el primer paquete de exploits que se encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino también a través del navegador porque permiten visualizar archivos PDF incrustados en él gracias a un plugin. Los atacantes están consiguiendo (como viene siendo habitual) violar la seguridad de páginas legítimas y esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace especialmente manipulado que aprovecha las vulnerabilidades.

Lo que no se aclara desde la fuente original es si el paquete aprovecha vulnerabilidades conocidas (para las que se pueda estar protegido con las últimas versiones del lector) o desconocidas hasta el momento.

El archivo PDF, cuando se abre con el lector vulnerable, descarga otro malware que realmente contiene el payload. Hay que recordar que el formato PDF ya fue usado como "downloader" en febrero de este mismo año, y el ataque resultó bastante "popular". Instalaba el troyano Zonebac.

Hace justo un año, se aprovechó también de forma masiva una vulnerabilidad compartida entre Adobe Reader y Windows con Internet Explorer 7. En esta ocasión se usaba el fallo para, a través de una línea de comandos incrustada en el PDF, descargar por FTP y ejecutar código automáticamente al abrir el fichero. También ese mismo año, en junio, se popularizó de forma fulgurante pero efímera el correo basura en formato PDF, inundando los buzones de todo el mundo y eludiendo unos filtros antispam que no estaban preparados.

¿Qué hacer?

Aunque el US CERT haya lanzado una alerta, no es necesario modificar los hábitos saludables de navegación. Los lectores de una al día ya saben que no sólo los ejecutables, sino que ningún formato de archivo es confiable hoy en día. El problema está en los lectores que interpretan ese archivo, no en el formato, y todos los lectores (como cualquier programa) pueden contener fallos.

También hay que tener en cuenta que la noticia original (de donde se basa la alerta de US CERT) está lanzada desde una empresa que vende productos para precisamente protegerse de estos problemas, con lo que quizás el paquete no se esté difundiendo especialmente "in the wild" en estos momentos. En cualquier caso esto no le resta importancia ni los desacredita en absoluto. Hace tiempo que los atacantes buscan nuevas formas de engañar a los filtros automáticos y a los usuarios. Con formatos históricamente confiables es más sencillo ejecutar código en sus sistemas. Por tanto, la existencia de un pack que permite de forma cómoda explotar y crear una botnet a través de fallos en el lector PDF, resulta atractiva para la industria del malware. Los usuarios, que no suelen parchear su versión de Windows y mucho menos el resto de programas (como Adobe Reader) hacen el resto poniéndoselo muy fácil.

Por último, recalcar que los exploits están enfocados hacia Adobe PDF Reader porque es el más popular. Actualizar a la última versión del producto o usar programas menos conocidos como Foxit PDF Reader, puede proteger también en cierta medida a los usuarios.


Sergio de los Santos
ssantos@hispasec.com


Más información:

25/10/2007 Archivos PDF aprovechan un fallo en Adobe Reader para
infectar sistemas
http://www.hispasec.com/unaaldia/3288

11/02/2008 Una vulnerabilidad en Adobe Reader está siendo aprovechada
para instalar malware
http://www.hispasec.com/unaaldia/3397

Adobe PDF Exploit Toolkits Circulating
http://www.us-cert.gov/current/index.html#adobe_pdf_exploit_toolkits_circulating

Rise Of The PDF Exploits
http://www.trustedsource.org/blog/153/Rise-Of-The-PDF-Exploits

sábado, 27 de septiembre de 2008

Actualización de seguridad para múltiples paquetes de SuSE Linux

Para no sobrecargar su lista de seguridad con boletines de alertas sobre vulnerabilidades no críticas, SuSE Linux suele publicar un resumen semanal para enumerar las distintas actualizaciones de menor prioridad que se han puesto a disposición de los usuarios durante ese periodo de tiempo. A continuación se muestra un compendio de las actualizaciones para los distintos paquetes publicadas en dicho resumen durante las últimas dos semanas, junto con las vulnerabilidades que solventan.

* Posible ejecución remota de código a través de archivos xpm en imlib2

* Cross-site scripting a través de un fallo en la clase ASP.net de mono.

* Cross-site scripting y problemas de directorio trasversal en tomcat5.

* Desbordamiento de búfer a través de archivos lzw en libtiff

* Denegación de servicio y posible ejecución remota de código causada por un desbordamiento de heap a través de archivos modificados en libxml2.

* Actualización de seguridad de ClamAv que solventa numerosa vulnerabilidades.

* Posible ejecución local de código a través de archivos python al ser editados con emacs.

* Denegación de servicio o ejecución remota de código a través de múltiples desbordamientos de búfer en php5.

* Desbordamiento de búfer en el driver uvcvideo del kernel.

* Denegación de servicio en postfix causado por un manejo erróneo de los descriptores de archivo en algunas llamadas a sistema.

* Múltiples problemas de seguridad en xgl heredados de Xorg.

* Denegación de servicio y potencial ejecución remota de código debido a un fallo en el motor WebKit al cargar CSS.

* Actualización de seguridad de libopensc2.

* Salto de restricciones local a través de pam_mount.

* Desbordamiento de búfer en la librería bluez-libs que podría ser aprovechada para ejecutar código arbitrario por medio de dispositivos bluetooth maliciosos.

Las distintas actualizaciones para los paquetes se pueden descargar a través de las herramientas automáticas YoU (Yast Online Update), o desde el FTP de SuSE Linux: ftp://ftp.suse.com/


Pablo Molina
pmolina@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2008:018
http://lists.opensuse.org/opensuse-security-announce/2008-09/msg00004.html

[security-announce] SUSE Security Summary Report: SUSE-SR:2008:019
http://lists.opensuse.org/opensuse-security-announce/2008-09/msg00005.html

viernes, 26 de septiembre de 2008

Ciclo de actualización de Cisco soluciona 16 vulnerabilidades en IOS

Cisco cumple su segundo ciclo de actualizaciones bianuales desde que anunciara su nueva estrategia de publicación de parches. Desde marzo publica sus actualizaciones de seguridad cada seis meses, en el cuarto miércoles de marzo y el cuarto miércoles de septiembre. En esta ocasión, ha publicado 12 boletines que solucionan 16 vulnerabilidades. Todas ellas, como mínimo, son de carácter "importante".

En su ciclo anterior Cisco publicó 5 boletines. En estos 6 meses ha acumulado 16 vulnerabilidades y, con el objetivo de facilitar la vida a los administradores, ha publicado parches para todas ellas en una sola tanda. No se tiene constancia de que los fallos hayan estado siendo aprovechados por atacantes, aunque la trivialidad para explotar algunas de estas nuevas vulnerabilidades apunta a que pueden comenzar a serlo en breve.

Uno de estos fallos en concreto, recibe un 10 en la puntuación base de CVSS. CVSS (Common Vulnerability Scoring System) es un estándar que gradúa objetivamente la severidad de las vulnerabilidades de manera estricta a través de fórmulas establecidas. Esto significa que alcanza la máxima severidad, teniendo en cuenta incluso la facilidad de explotación del fallo.

Además de aplicar los parches, es posible aplicar algunas sencillas contramedidas para evitar que las vulnerabilidades sean aprovechadas. Una forma de mitigar uno de los fallos más graves es modificar la "comunity string" del protocolo SNMP. Otra es especificar explícitamente los vecinos del protocolo PIM (Protocol Independent Multicast).

En cualquier caso, se recomienda revisar el apartado de "Más información" y aplicar los parches correspondientes cuanto antes.

Teniendo en cuenta las más graves primero, realizamos una breve descripción de los problemas:

* Una actualización para Cisco uBR10012 que corrige un error en el acceso SNMP que podría permitir a un atacante remoto hacerse con el control del dispositivo. La vulnerabilidad consiste en la no verificación de restricciones SNMP en la comunicación con un modulador de radio al ser configurado para redundancia de línea.

* Dos fallos en la implementación de PIM (Protocol Independent Multicast) que podrían permitir a un atacante remoto efectuar una denegación de servicio a través de paquetes PIM especialmente manipulados.

* Un error en SCCP (Skinny Call Control Protocol) que podría permitir a un atacante remoto provocar una denegación de servicio. La vulnerabilidad consiste en un error al procesar una serie de mensajes SCPP fragmentados.

* Un error en Cisco IOS firewall AIC (Application Inspection Control) que podría permitir a un atacante remoto provocar una denegación de servicio. La vulnerabilidad está causada por un fallo en IOS firewall AIC al procesar un paquete de tránsito HTTP defectuoso, estando activas las reglas de filtrado HTTP por aplicación.

* IOS IPS (Intrusion Prevention System) podría permitir a un atacante remoto provocar una denegación de servicio. La vulnerabilidad se debe a un error en el motor de SERVICE.DNS al procesar determinado tráfico de red.

* MPLS (Multi Protocol Label Switching) y MFI (Forwarding Infrastructure) para Cisco IOS podrían permitir a un atacante remoto provocar una denegación de servicio. La vulnerabilidad está causada por un error en la implementación de MFI en Cisco IOS.

* Una vulnerabilidad en la gestión de VPNs (Virtual Private Network) que podría permitir a un atacante remoto acceder a información sensible. La vulnerabilidad está causada por un error al procesar redes privadas virtuales con MPLS (Multiprotocol Label Switching).

* Un error en la implementación de L2TP (Layer 2 Tunneling Protocol) que podría permitir a un atacante remoto provocar una denegación de servicio.

* Múltiples fallos de seguridad que podrían ser aprovechados por un atacante remoto para causar una denegación de servicio. Los fallos, no especificados, se encuentran en la implementación del protocolo SIP.

* Un fallo no especificado en el manejo de paquetes SSL de sesión que podría permitir a un atacante remoto no autenticado causar una denegación de servicio a través de paquetes SSL especialmente manipulados.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Enlaces directo a los boletines:
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014ae.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a01556.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014ac.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014a9.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a0148e.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a01545.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a0157a.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a014b1.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a0156a.shtml
http://www.cisco.com/en/US/product/products_security_advisory09186a0080a01562.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a01491.shtml
http://www.cisco.com/en/US/products/products_security_advisory09186a0080a0146c.shtml

07/03/2008 Cisco se apunta al carro de las alertas de seguridad programadas
http://www.hispasec.com/unaaldia/3422

jueves, 25 de septiembre de 2008

Vulnerabilidades en Symantec Veritas NetBackup 5.x y 6.x

Se han encontrado dos vulnerabilidades en Symantec Veritas NetBackup Server y Enterprise Server 5.x y 6.x que podrían ser explotadas por un atacante remoto autenticado, pero sin privilegios, para revelar información sensible, corromper cierta información del sistema o ejecutar código arbitrario.

Symantec Veritas Backup es un popular y completo sistema de almacenado y restauración de copias de seguridad en red.

La primera vulnerabilidad está causada por un fallo en la interfaz gráfica de administración jnbSA (Java Administration GUI) que podría ser explotado por un atacante remoto autenticado en la GUI, pero sin privilegios, para escalar privilegios y ejecutar comandos arbitarios.

La vulnerabilidad está confirmada para las versiones 5.0, 5.1, 6.0, 6.5 y 6.5.1 de Symantec Veritas NetBackup Server y Enterprise Server.

La segunda vulnerabilidad está causada por un error de validación de entrada en un control ActiveX incluido en el componente scheduler de Symantec Veritas NetBackup Server y Enterprise Server para Windows. El fallo podría dar lugar a un desbordamiento de búfer y a la utilización de métodos inseguros, y podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario por medio de Internet Explorer.

La vulnerabilidad está confirmada para las versiones 5.1 anteriores a la 5.1 MP7, 6.0 anteriores a la 6.0 MP7, 6.5 anteriores a la 6.5.2 de Symantec Veritas NetBackup Server y Enterprise Server.

Se recomienda actualizar a las siguientes versiones que en las que se han solventado los problemas:

NetBackup Server/Enterprise Server sobre Windows 5.1 MP7:
http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER30455
NetBackup Server/Enterprise Server sobre Windows 6.0 MP7:
http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER32168
NetBackup Server/Enterprise Server sobre Windows 6.5.2:
http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER31008

NetBackup 5.1 Maintenance Pack 7:
http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER30455

NetBackup 6.0 Maintenance Pack 7:
http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER32168

NetBackup 6.5.2:
http://www.symantec.com/business/support/downloads.jsp?pid=15143&version=NBUESVRPVER31008


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:


Symantec Advisory SYM08-016:
A non-privileged but authorized user could potentially leverage the NetBackup Java console to execute code with elevated privileges on the server.
http://seer.entsupport.symantec.com/docs/308583.htm

Symantec Security Advisory SYM08-007:
Multiple Vulnerabilities in Scheduler component for NetBackup Server/Enterprise Server on all supported Windows Platforms.
http://seer.entsupport.symantec.com/docs/308669.htm

miércoles, 24 de septiembre de 2008

Múltiples vulnerabilidades en Firefox, Thunderbird y Seamonkey

La Fundación Mozilla ha informado sobre múltiples vulnerabilidades en varios de sus productos que podrían ser aprovechadas por un atacante remoto para revelar información sensible, perpetrar ataques de cross-site scripting, provocar una denegación de servicio, saltarse restricciones de seguridad o ejecutar código arbitrario en un sistema vulnerable.

A continuación se detallan las vulnerabilidades publicadas:

1- Desbordamiento de búfer causado por URLs codificadas con UTF-8 especialmente manipuladas. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario. Afecta a Firefox 2.x y SeaMonkey.

2- Salto de restricciones de seguridad al no comprobar de forma adecuada la política de mismo origen en nsXMLDocument::OnChannelRedirect(), lo que podría ser aprovechado para ejecutar código JavaScript en el contexto de un sitio web diferente al original. Afecta a Firefox 2.x, Thunderbird y SeaMonkey.

3- Escalada de privilegios y cross-site scripting causado por múltiples errores de validación de entrada en feedWriter. Esto podría permitir que un atacante ejecutase código script arbitrario con los privilegios de chrome (componente principal de Firefox, no confundir con el navegador de Google). Afecta sólo a Firefox 2.x.

4- Un error durante el manejo de las pulsaciones del ratón podría permitir que un atacante moviera el contenido de la ventana mientras el ratón está siendo pulsado, pudiendo causar que un item fuera arrastrado en vez de "clickeado". Esto podría ser aprovechado para forzar el arrastre de ciertos componentes, lo que permitiría, entre otros efectos, realizar una descarga no solicitada. Afecta a Firefox 2.x, 3.x y SeaMonkey.

5- Múltiples fallos relacionados con XPCnativeWrapper podrían permitir a un atacante remoto ejecutar código script arbitrario con los privilegios de chrome. Afecta a Firefox 2.x, 3.x y SeaMonkey. Podría afectar a Thunderbird si se habilita la ejecución de JavaScript.

6- Múltiples problemas de estabilidad en los motores de diseño, gráficos y JavaScript de los productos Mozilla, que podrían ser explotados para causar una denegación de servicio o incluso ejecutar código arbitrario aprovechando una posible corrupción de memoria. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.

7- Cross-site scripting provocado por la interpretación de forma errónea de caracteres BOM (Byte-Order Mark, tres caracteres que se encuentran al principio de un archivo para indicar que está codificado como UTF-8, UTF-16 o UTF-32. Ejemplo:  ). Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.

8- Errores en el protocolo "resource:" que podrían ser aprovechados para conducir ataques de directorio trasversal y revelar información sensible. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.

9- Un error en el decodificador XBM podría permitir la lectura de pequeñas porciones aleatorias de memoria, lo que daría lugar a la revelación de información sensible. Afecta a Firefox 2.x y SeaMonkey.

Se recomienda la actualización de los productos Mozilla a las siguientes versiones no vulnerables: Firefox 2.0.0.17 ó 3.0.2, Thunderbird 2.0.0.17 y SeaMonkey 1.1.12 tan pronto como estén disponibles desde:
http://www.mozilla.com/

Recordamos que también se pueden descargar de forma automática una vez que el propio programa nos avise de que hay una actualización pendiente. Notificación que normalmente llegará entre 24 y 48 horas después de que la nueva versión esté disponible.


Pablo Molina
pmolina@hispasec.com


Más información:

Mozilla Foundation Security Advisory 2008-37:
UTF-8 URL stack buffer overflow
http://www.mozilla.org/security/announce/2008/mfsa2008-37.html

Mozilla Foundation Security Advisory 2008-38:
nsXMLDocument::OnChannelRedirect() same-origin violation
http://www.mozilla.org/security/announce/2008/mfsa2008-38.html

Mozilla Foundation Security Advisory 2008-39:
Privilege escalation using feed preview page and XSS flaw
http://www.mozilla.org/security/announce/2008/mfsa2008-39.html

Mozilla Foundation Security Advisory 2008-40: Forced mouse drag
http://www.mozilla.org/security/announce/2008/mfsa2008-40.html

Mozilla Foundation Security Advisory 2008-41:
Privilege escalation via XPCnativeWrapper pollution
http://www.mozilla.org/security/announce/2008/mfsa2008-41.html

Mozilla Foundation Security Advisory 2008-42:
Crashes with evidence of memory corruption
http://www.mozilla.org/security/announce/2008/mfsa2008-42.html

Mozilla Foundation Security Advisory 2008-43:
BOM characters, low surrogates stripped from JavaScript before execution
http://www.mozilla.org/security/announce/2008/mfsa2008-43.html

Mozilla Foundation Security Advisory 2008-44:
resource: traversal vulnerabilities
http://www.mozilla.org/security/announce/2008/mfsa2008-44.html

Mozilla Foundation Security Advisory 2008-45:
XBM image uninitialized memory reading
http://www.mozilla.org/security/announce/2008/mfsa2008-45.html

martes, 23 de septiembre de 2008

Denegación de servicio a través de paquetes UDP en ISC BIND 9.x para Windows

Se ha descubierto una vulnerabilidad en las versiones Windows de ISC BIN 9.x que podría permitir a un atacante remoto provocar una denegación de servicio. El problema no afecta a las versiones Unix.

BIND (también conocido como "named") es el software servidor de nombres de dominio (DNS) más popular en las diferentes versiones y distribuciones de Unix. Se trata de un software desarrollado por el ISC (Internet Software Consortium), un consorcio donde se encuentran representadas algunas de las empresas más importantes del sector informático y que tiene como objetivo el desarrollo de las implementaciones de referencia de los principales protocolos básicos de Internet.

La vulnerabilidad consiste en un error no especificado en el manejo de paquetes UDP que hace que el cliente manejador UDP deje de responder. Un atacante remoto podría a través de paquetes UDP especialmente manipulados provocar una denegación de servicio.

El error afecta a la siguientes versiones de BIND para Windows: 9.3.5-P2-W1, 9.4.2-P2-W1, y 9.5.0-P2-W1. Se recomienda actualizar a las siguientes versiones no afectadas 9.3.5-P2-W2, 9.4.2-P2-W2 o 9.5.0-P2-W2 disponibles desde:
http://www.isc.org/index.pl?/sw/bind/index.php


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

BIND 9.3.5-P2-W2 is now available
http://marc.info/?l=bind-announce&m=122180244228376&w=2

BIND 9.4.2-P2-W2 is now available
http://marc.info/?l=bind-announce&m=122180244228378&w=2

BIND 9.5.0-P2-W2 is now available
http://marc.info/?l=bind-announce&m=122180376630150&w=2

lunes, 22 de septiembre de 2008

Ataques "magistrales" de "hackers" mediáticos

Se han producido en las dos últimas semanas dos "ataques cibernéticos" que han atraído la mirada de los medios de comunicación generalistas. Desde el punto de vista técnico, los ataques no son más que curiosidades, y ya apenas merece la pena detenerse en las inexactitudes, exageraciones y errores habituales que se comenten desde los medios generalistas. Sin embargo pueden servir para reflexionar sobre algunos asuntos.

El primer ataque fue dado a conocer por el Daily Telegraph el 10 de septiembre. Un grupo de atacantes griegos había desfigurado una de las páginas relacionadas con el famoso LHC (Large Hadron Collider). El mayor experimento de la historia de la humanidad ha sido bastante mediático. Los que auguraban el fin del mundo con su puesta en marcha han sido también alimentados incondicionalmente por la prensa. El experimento cuenta obviamente con una inmensa red de sistemas conectados. Una de las páginas públicas (www.cmsmon.cern.ch), forma parte del CMSMON, que controla el software que utilizan los científicos para analizar los resultados de las colisiones. La idea era usar esta página para que todo el mundo pudiese disfrutar en directo de los resultados obtenidos. Apareció desfigurada y con un mensaje escrito probablemente por un grupo de atacantes de poca monta. Calificaban de niñatos a los responsables de seguridad de la red, que en última instancia es el CERN (European Organization for Nuclear Research). En la página se ofrecían ciertas evidencias de que quizás podrían haber llegado un poco más lejos de la simple desfiguración de la página.

La idea de alguien ajeno a los sistemas colándose en los servidores del LHC y poniendo en riesgo a la humanidad puede ser muy atractiva para los medios, pero está lejos de ser real. Una de las declaraciones del portavoz del CERN, James Gillies, aparecidas en la nota original del Daily Telegraph fue que: "Tenemos diferentes niveles de red, una red de acceso general y una mucho más restringida para las cosas sensibles que hacen funcionar el LHC" pero esta afirmación lógica ha sido omitida en otros medios. Este detalle es importante. No se sabe bien cómo, es bastante más que posible que hayan podido entrar en la zona de acceso general, los vectores de ataque son muchos. Sin embargo, ese salto a la red verdaderamente sensible, por mucho que fanfarroneen los atacantes, habría sido mucho más complejo. Incluso, en el improbable caso de que lo consiguieran, sería extraño que supieran manejar un software tan específico como para causar ningún daño. Es también más que probable que el software incorpore medidas de seguridad para evitar comandos erróneos o peligrosos, y que la inclusión hubiese sido detectada mucho antes de poder intentar cualquier acción... En definitiva, el ataque puede ser real, pero tan grave como si un niño se hubiese colado sin permiso en un despacho privado de un banco, y se comparase la intrusión con el hecho de acceder a las cajas fuertes y desvalijarlas. Importante, sin duda, pero no de vital importancia.

El otro acontecimiento de la semana ha sido el acceso por parte de algún atacante al correo personal de Sarah Palin, la candidata a vicepresidenta en Estados Unidos con el republicano John McCain. Se dio a conocer su email personal, alojado (con poco criterio) en el servicio de correo público de Yahoo! y usado además para cuestiones gubernamentales. A un tal "Rubico" le costó apenas una hora cambiar la contraseña del correo de Sarah. Se han hecho públicas conversaciones y fotografías personales. El método ha sido calificado por las agencias de noticias como "un magistral ataque cirbenético". La verdad es que simplemente usó el servicio de recuperación de contraseña, la Wikipedia y Google para acertar la pregunta secreta y poder acceder a los emails.

Cuando se olvida la contraseña de Yahoo! es posible modificarla respondiendo a tres preguntas. Una era el código postal de Palin, que vive en Wasilla, Alaska. Un dato público. Otra su fecha de nacimiento, disponible también en la Wikipedia. La tercera pregunta secreta era "¿dónde conociste a tu cónyuge?". Un poco de Google y se puede averiguar que en el instituto. Un par de pruebas y "Wasilla high" resulta la respuesta adecuada. Estaba dentro.

Esto ya le ocurrió a Paris Hilton en febrero de 2005. El método fue muy sencillo. El teléfono de Paris, de T-Mobile, permitía mantener una copia de los contenidos en un servidor accesible a través de la web. Bastaba con contestar a la pregunta "¿cuál es el nombre de su mascota favorita?" para tener acceso a números de teléfonos privados de famosos y fotos subidas de tono que había tomado con el móvil. El nombre de su perro chihuahua era bien conocido a raíz de que la famosa heredera ofreció meses antes una recompensa de varios miles de dólares tras extraviarlo.

Una de las reglas de seguridad (que no se suelen prodigar abiertamente) es la de intentar obviar el servicio de recuperación de contraseñas a través de preguntas y respuestas supuestamente secretas. Está demostrado que se trata del punto más débil de los servicios públicos que ofrecen esta funcionalidad. Si es imprescindible usarlo, las preguntas y respuestas deberían ser cadenas aleatorias, tanto si la pregunta es a elegir de un conjunto determinado, como si se puede escribir cualquiera. La respuesta a la pregunta secreta debería considerarse como otra contraseña más, incluso más compleja que la principal si cabe. Basta con cuidar de la contraseña principal o usar programas de cifrado como el gratuito Password Safe para mantenerla a salvo y no olvidarla. Así se evitaría tener que usar los peligrosos servicios de recuperación.

En definitiva, ni el ataque a los sistemas del LHC han llegado a sistemas críticos ni el ataque al correo de Palin es "magistral", tan solo ingenioso. "No dejes que la realidad estropee una buena noticia."


Sergio de los Santos
ssantos@hispasec.com


Más información:

27/02/2005 La pregunta secreta del caso "Paris Hilton"
http://www.hispasec.com/unaaldia/2318

Hackers infiltrate Large Hadron Collider systems and mock IT security
http://www.telegraph.co.uk/earth/main.jhtml?xml=/earth/2008/09/12/scicern312.xml

Attacker: Hacking Sarah Palin's email was easy
http://blogs.zdnet.com/security/?p=1939

Password Safe
passwordsafe.sourceforge.net/

domingo, 21 de septiembre de 2008

Nueva macroactualización de seguridad para Mac OS X

Apple ha lanzado un nuevo paquete de actualizaciones para su sistema operativo Mac OS X que solventa un mínimo de 35 problemas de seguridad que podrían ser aprovechados por un atacante local o remoto para conducir ataques de falsificación, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-006, que actualiza a la versión 10.5.5 de Mac OS X se incluyen parches para los siguientes componentes: ATS, BIND, ClamAV (actualización a la v.0.93.3), Directory Services, Finder, ImageIO, Kernel, libresolv, Login Window, mDNSResponder, OpenSSH, QuickDraw Manager, Ruby, SearchKit, System Configuration, System Preferences, Time Machine, VideoConference y Wiki Server.

A continuación se analizan las distintas vulnerabilidades solventadas en la última actualización de Mac OS X:

* Desbordamiento de búfer basado en heap en ATS (Apple Type Services) que podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

* Actualización de seguridad de BIND.

* Actualización a ClamAV 0.93.3 que resuelve múltiples vulnerabilidades encontradas desde el lanzamiento de la versión 0.92.1, última presente en Mac OS X.

* Revelación de información sensible en Directory Services.

* Posible escalada de privilegios a través de Directory Services si un administrador usa la herramienta slapconfig para configurar OpenLDAP.

* Fallo en la ventana Get Info de Finder al mostrar los permisos sobre los archivos.

* Un atacante de la red local podría aprovechar una referencia a puntero nulo en Finder para causar una denegación de servicio.

* Múltiples problemas de seguridad provocados por fallos en la librería libTIFF de ImageIO al manejar imágenes especialmente manipuladas, lo que podría causar una denegación de servicio y permitir la ejecución remota
de código.

* Actualización de seguridad a la versión 1.2.29 de libpng en ImageIO.

* Debido a un fallo en el kernel, un atacante local podría saltarse restricciones de seguridad y acceder a ciertos archivos sin disponer de los permisos necesarios.

* mDNSResponder y la librería libresolv son susceptibles de sufrir el envenenamiento de la caché de DNS.

* Salto de restricciones y escalada de privilegios a través de Login Window.

* Múltiples vulnerabilidades en OpenSSH.

* Ejecución de código arbitrario o denegación de servicio a través de QuickDraw Manager.

* Posible denegación de servicio y ejecución de código arbitrario a través de scripts maliciosos en Ruby.

* Falta de comprobación de límites en SearchKit que podría permitir la ejecución remota de código arbitrario.

* Un fallo en System Configuration podría permitir que un atacante local se hiciera con la contraseña PPP.

* Fallo en System Preferences al mostrar el nivel de fortaleza de ciertas contraseñas.

* Solventado un fallo en System Preferences que podría permitir a ciertos usuario acceder a archivos remotos a los que no deberían tener acceso.

* Posible revelación de información sensible al realizar copias de seguridad con Time Machine.

* Un fallo de corrupción de memoria en VideoConference podría permitir que un atacante remoto causase una denegación de servicio o ejecutase código arbitrario.

* Inyección persistente de código JavaScript a través de las listas de correo en Wiki Server.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Security Update 2008-006 Server (PPC):
http://www.apple.com/support/downloads/securityupdate2008006serverppc.html

Security Update 2008-006 Server (Universal):
http://www.apple.com/support/downloads/securityupdate2008006serveruniversal.html

Security Update 2008-006 (PPC):
http://www.apple.com/support/downloads/securityupdate2008006clientppc.html

Security Update 2008-006 (Intel):
http://www.apple.com/support/downloads/securityupdate2008006clientintel.html

Mac OS X 10.5.5 Combo Update
http://www.apple.com/support/downloads/macosx1055comboupdate.html

Mac OS X 10.5.5 Update
http://www.apple.com/support/downloads/macosx1055update.html

Mac OS X Server 10.5.5
http://www.apple.com/support/downloads/macosxserver1055.html

Mac OS X Server Combo 10.5.5
http://www.apple.com/support/downloads/macosxservercombo1055.html


Pablo Molina
pmolina@hispasec.com


Más información:

About the security content of Mac OS X v10.5.5 and Security Update 2008-006
http://support.apple.com/kb/HT3137

Actualizaciones previas

06/08/2008 Detalles sobre la macroactualización de seguridad para Apple
Mac OS X
http://www.hispasec.com/unaaldia/3574

03/07/2008 Actualización de seguridad para Mac OS X corrige hasta 25
vulnerabilidades
http://www.hispasec.com/unaaldia/3540

sábado, 20 de septiembre de 2008

Actualización de bzip para Sun Solaris 8, 9 y 10

Sun ha publicado una actualización para bzip2 que soluciona un fallo que podría permitir a un atacante causar una denegación de servicio.

El fallo se debe a un problema en el manejo de archivos bzip2 especialmente manipulados. Esto podría ser aprovechado por un atacante para causar que la aplicación deje de responder por medio de archivos especialmente manipulados en este formato.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
* Solaris 8 instalar 138441-01 o posterior desde
http://sunsolve.sun.com/pdownload.do?target=138441-01&method=h
* Solaris 9 instalar 114586-03 o posterior desde
http://sunsolve.sun.com/pdownload.do?target=114586-03&method=h
* Solaris 10 instalar 126868-02 o posterior desde
http://sunsolve.sun.com/pdownload.do?target=126868-02&method=h

Para x86:
* Solaris 8 instalar 138442-01 o posterior desde
http://sunsolve.sun.com/pdownload.do?138442-01&method=h
* Solaris 9 instalar 114587-03 o posterior desde
http://sunsolve.sun.com/pdownload.do?114587-03&method=h
* Solaris 10 instalar 126869-03 o posterior desde
http://sunsolve.sun.com/pdownload.do?126869-03&method=h


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in the bzip2(1) command may lead to a Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-241786-1

viernes, 19 de septiembre de 2008

Ejecución remota de código PHP en phpMyAdmin

Se ha dado a conocer una vulnerabilidad en phpMyAdmin 2.x y 3.x que podría ser aprovechada por un atacante remoto para ejecutar código PHP arbitrario, pudiendo comprometer el sistema.

PhpMyAdmin es una popular herramienta de administración de MySQL a través de Internet escrita en PHP. Este software permite crear y eliminar Bases de Datos, crear, eliminar y alterar tablas, borrar, editar y añadir campos, administrar privilegios y claves en campos, exportar datos en varios formatos; y en general ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.

El fallo descubierto, catalogado como serio por el equipo de desarrollo de phpMyAdmin, está causado porque el valor de entrada pasado al parámetro "sort_by" en "server_databases.php" no se limpia de forma adecuada antes de ser utilizado. Esto podría ser aprovechado por un atacante remoto para inyectar y ejecutar código PHP arbitrario con los privilegios del servidor web, lo que le permitiría conseguir el control del sistema vulnerable. Para que el fallo de seguridad pueda ser explotado, es necesario que el atacante disponga de credenciales de autenticación válidas.

Se ha comprobado que el problema afecta a las versiones anteriores a la 2.11.9.1 de phpMyAdmin y también a la 3.0.0 RC1. Se recomienda actualizar a cualquiera de las versiones no vulnerables (2.11.9.1 ó 3.0.0-rc2), disponibles para su descarga desde:
http://www.phpmyadmin.net/home_page/downloads.php


Pablo Molina
pmolina@hispasec.com



jueves, 18 de septiembre de 2008

Mitos y Leyendas: Cifrado EFS en Windows

Además de Bitlocker para Vista, Windows XP y 2000 ofrecen una seguridad integrada, aceptable y sencilla con respecto al cifrado de la información. Se llama EFS (Encrypted File System), y es una forma nativa de Microsoft que hace el trabajo del usuario mucho más cómodo. De hecho, resulta absolutamente transparente para él. Aunque existen herramientas públicas que, aparentemente, afirman poder romper el cifrado EFS, puede suponer una importante barrera para atacantes no expertos.

Cómo funciona

EFS es un sistema de cifrado transparente (que sólo puede usarse bajo NTFS y no en XP Home) para Windows. Desde las propiedades de archivos o carpetas, opciones avanzadas, es posible acceder a un menú donde se le puede indicar al sistema que el directorio o unidad será empleado para almacenar archivos cifrados (con lo que todo lo que se almacene en él se cifrará) o se puede indicar también el cifrado de un archivo, cosa poco recomendable. También es posible utilizar la herramienta de línea de comando cipher.exe con el mismo efecto.

Una vez marcada una unidad o directorio como cifrado, todo lo que se almacene en él quedará cifrado (incluso para el administrador del sistema), pero no lo que ya hubiese dentro. El usuario no tendrá que preocuparse de nada más. Cada vez que inicie sesión, los datos estarán ahí para poder ser manipulados, pero una vez cerrada la sesión o si otro usuario diferente se presenta en el sistema (incluso con otro sistema operativo leyendo el disco duro) los datos aparecerán inaccesibles. En el explorer los archivos y carpetas cifrados se colorearán de verde.

Es posible añadir la opción de "cifrar" y "descifrar" en el menú contextual añadiendo en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

una clave DWORD con valor 1 y nombre EncryptionContextMenu

EFS se basa en una mezcla de criptografía simétrica y asimétrica. Crea certificados digitales para el usuario, que sirven para cifrar y descifrar en base a claves públicas y privadas. Estos se almacenan físicamente en tres sitios distintos del sistema.

C:\documents and settings\\application data\microsoft\crypto\
C:\documents and settings\\application data\microsoft\protect\
C:\documents and settings\\application data\microsoft\systemcertificates\

Con esta clave privada, y para agilizar el proceso, cifra a su vez una contraseña simétrica. En realidad EFS utiliza una contraseña única generada automáticamente para cada fichero cifrado, pero el usuario no lo percibe porque su par de claves pública y privada están trabajando por él. Las contraseñas simétricas automáticas generadas se llaman FEK (File Encryption key), se genera una cuando se cifra un fichero y se almacena físicamente con él. Esta FEK es a su vez cifrada con la clave pública del usuario. Las claves públicas y privadas del usuario se generan de forma transparente para él la primera vez que cifra un archivo. Los certificados son accesibles desde certmgr.msc.

Precauciones

En cualquier caso, antes de utilizar EFS, conviene tener claro que por defecto Windows 2000 utiliza el algoritmo DESx de clave de 56 bits para cifrar la información. Este algoritmo resulta, a estas alturas, inseguro, por lo que no se recomienda. En Windows XP a partir del Service Pack 1, 2003, 2008 y Vista, se utiliza AES de 256 bits por defecto, estándar bastante seguro. Ya no es necesario activar la directiva "Codificación de sistema: use algoritmos compatibles FIPS para codificación, algoritmos hash y firma" en las opciones de seguridad.

Resulta muy conveniente exportar y realizar una copia de seguridad de estos certificados si se utilizan para cifrar archivos. Estos certificados están unidos al SID del usuario, de forma que si este usuario se borra o el sistema se corrompe, los datos se perderán. No importa si se crea un nuevo usuario con igual nombre... si el certificado (que va con su SID) no es el mismo, estos no podrán descifrar la FEK de cada archivo y los datos no podrán ser recuperados. Además a partir de Windows XP, no existe la figura del "agente de recuperación de datos" a menos que se le indique. Si se crea, este usuario podría recuperar la información de otros usuarios con su certificado.

En cualquier caso, la mejor opción, es exportar y realizar una copia de seguridad de los certificados (clave privada incluida) y guardarlos en un lugar seguro. Con estos certificados, aunque el sistema o el usuario se corrompa, siempre se podrán importar como "agentes de recuperación de datos" en otro Windows y desde ahí se podrán descifrar los archivos perdidos..

Hay que tener en cuenta que las carpetas o archivos de sistema no podrán ser cifradas bajo ninguna circunstancia.

Puntos débiles

EFS es un sistema al que no se le conocen grandes vulnerabilidades. En entornos no profesionales que requieran de una seguridad media-alta, es un sistema cómodo y útil. El claro punto débil es que depende totalmente de la clave del usuario. El usuario se presenta en Windows de forma normal, y con esto tiene acceso a sus certificados (las claves públicas y privadas) para hacer uso de EFS, o sea, descifrar la FEK con la que se almacena el archivo. Por tanto el eslabón más débil es precisamente esa contraseña habitual de Windows con la que iniciamos la sesión. De nada sirve cifrar archivos si la contraseña queda accesible por defecto en el sistema por culpa del LM. Como dijimos, la SAM (Security Account Manager) almacena dos cifrados por contraseña, LM y NTLM. LM es débil e inseguro por diseño, y la protección que ofrece es virtualmente inútil. LM no aprovecha bien los caracteres de las contraseñas y además comete otra serie de fallos importantes. En Vista y 2008 viene desactivado por defecto.

EFS se ha calificado en ocasiones de inseguro, cuando en realidad no lo es. Usa estándares y no se le han encontrado vulnerabilidades graves en su implementación. Su leyenda viene por depender de la contraseña del usuario que puede llegar a estar almacenada de forma débil. Si el usuario lo tiene en cuenta y usa EFS de forma responsable, esto es, utilizando una contraseña de usuario de más de 15 caracteres o deshabilitando el hash LM en el sistema, la confidencialidad de sus datos puede llegar a ser bastante alta.

Para los más expertos o entornos profesionales, el programa libre y gratuito TrueCrypt es la solución.


Sergio de los Santos
ssantos@hispasec.com


Más información:

18/04/2008 Mitos y leyendas: Las contraseñas en Windows III (LM y NTLM)
http://www.hispasec.com/unaaldia/3464

TrueCrypt
http://truecrypt.org

miércoles, 17 de septiembre de 2008

Denegación de servicio en MySQL 5.x

Se ha descubierto una vulnerabilidad en MySQL que podría ser utilizada por un atacante local para provocar una denegación de servicio.

MySQL es un sistema de gestión de base de datos relacional, multihilo y multiusuario que se desarrolla como software libre y cuenta con millones de implantaciones en todo el mundo. En enero de 2008 Sun Microsystems adquirió MySQL.

La vulnerabilidad está provocada por un error en Item_bin_string::Item_bin_string al procesar un valor binario nulo en una sentencia SQL. Un atacante local podría provocar una denegación de servicio a través de una sentencia SQL especialmente manipulada.

Las vulnerabilidad afecta a las versiones anteriores a 5.0.66 y 5.1.26. Se ha publicado una prueba de concepto. Se recomienda actualizar a la versión 5.0.66 y superiores o 5.1.26 y superiores, disponibles desde: http://dev.mysql.com/downloads/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

An empty binary value leads to mysqld crash
http://bugs.mysql.com/bug.php?id=35658

martes, 16 de septiembre de 2008

Intento de "revival" de los virus de macro

Se está detectando en Europa un tímido intento de revivir los virus de macro, a través de un documento en Microsoft Word que está siendo enviado a través de spam. El virus no representa ninguna evolución del concepto y no se le espera repercusión alguna, pero supone un renovado y discreto interés por este tipo de malware, prácticamente extinto desde finales de los 90.

El espécimen se trata de un virus de macro "de toda la vida". Las macros en Microsoft Office permiten ejecutar código VBA (Visual Basic for Applications) incrustado dentro de documentos cuando son abiertos con esta aplicación. Hasta la versión Office 2000, esto se hacía de forma automática con todas las macros contenidas en los documentos, lo que ayudó a popularizar lo que se llamarían los "virus de macro". Virus como Melissa y sucesivas variantes dotaron a esta forma de ejecución automática gran popularidad.

El archivo en concreto se ha difundido por algunos países europeos con el nombre de Rechnung.doc. Lleva dentro incrustado un ejecutable, y la macro se encarga de copiarlo al disco duro y ejecutarlo. Las casas antivirus han tenido que rescatar del olvido el prefijo W97M y OF97para denominar a Fordo, como se ha dado en llamar. La detección general por parte de los antivirus ha aumentado en los últimos días, aunque desde un principio ha sido muy efectiva.

http://www.virustotal.com/analisis/d67fcf69c3b2218dba79f4b154e6b930

La única novedad de Fordo es que en vez de ejecutar su payload directamente desde la macro, como habitualmente se venía haciendo, contiene en su interior un ejecutable. La macro lo copia al disco duro y lo ejecuta. Se trata entonces de un dropper tradicional que en principio no recurre a un servidor para descargar su componente principal.

La detección de la muestra del ejecutable contenido que hemos analizado es aceptable. Se trata de un spyware tradicional, que intentará conectarse a diferentes páginas.

http://www.virustotal.com/es/analisis/def454a819753c1549253844a6249708

Desde Word 2000 las macros no se ejecutan de forma automática por defecto, a no ser que estén firmadas por alguien de confianza para el equipo. Fordo ni siquiera usa vulnerabilidades conocidas o no para saltarse esta restricción, simplemente confía en que el usuario o bien use Word 97 o tenga las macros activadas en modo de seguridad "bajo" y se ejecuten automáticamente. En caso contrario simplemente la macro será ignorada. De ahí a que su difusión se espere muy discreta. En cualquier caso el virus, una vez ejecutado, modifica esta opción y marca como "bajo" el nivel de seguridad de las macros. Con esto puede llegar a conseguir que otros virus de macro se ejecuten en el futuro.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Blast from the future?
http://isc.sans.org/diary.php?storyid=5029

lunes, 15 de septiembre de 2008

Reflexiones sobre Google Chrome y la seguridad

A principios de septiembre Google lanza (después de muchos rumores) casi por sorpresa (como suele hacer con todo) su nuevo navegador, conocido como Chrome. Una semana después, Internet se inunda de comentarios sobre todos los aspectos de esta nueva aplicación y en particular sobre su seguridad. Muchos comentarios, exploits, actualizaciones y aclaraciones después, nos enteramos de que el gobierno alemán ha desaconsejado explícitamente el uso de este navegador. ¿Por qué?

Se lanza un nuevo navegador, concebido para la Internet de hoy. No es un programa cualquiera. Genera gran expectación y curiosidad porque es Google, y todo lo que hace parece hacerlo bien, elegante, sencillo, robusto y bajo esa filosofía “don't be evil” con la que proyectan una imagen de cercanía y respeto por el usuario. Si hay que sacrificar la privacidad, el usuario medio parece sentirse más a gusto si los servidores son de Google y no de otras compañías. Al fin y al cabo, somos mayoría los que le confiamos a su buscador todas nuestras inquietudes varias veces al día.

Además de la sencillez y otras muchas mejoras, de forma breve, las principales avances técnicos sobre seguridad son:

* Cada pestaña se ejecuta en su propio proceso. Si alguna se cuelga, no (debería) arrastra(r) a todo el navegador.

* Se ejecuta en una sandbox, de forma que en principio no se podría acceder al sistema de ficheros real del ordenador a menos que sea explícitamente ordenado. No está claro qué ocurre con los plugins en este sentido.

* El modo Incognito (algo que también incorpora Internet Explorer 8 como InPrivate) en el que el usuario puede navegar sin dejar rastro en su sistema (básicamente histórico y cookies). Sin embargo sí que se envían las cookies ya almacenadas si las hubiese por defecto.

En cuanto estuvo disponible para descarga, aparecieron las primeras vulnerabilidades (y se descubrirán más... lo más grave vendrá cuando de alguna forma se averigüe cómo saltarse esa sandbox). En principio denegaciones de servicio básicamente. Una denegación de servicio no es una vulnerabilidad grave en un navegador. Sí se puede considerar un fallo de diseño en este caso concreto, puesto que hacer que el navegador deje de responder por completo en principio contradice la filosofía de crear cada pestaña en su propio proceso independiente. Por ejemplo, existen literalmente decenas de formas de hacer que Internet Explorer deje de responder. Firefox sufrió lo suyo (y aún hoy en día) con los torpedos de Zalewski, que hacían que el navegador dejase de responder una y otra vez incluso después de varias actualizaciones intentado solucionar el problema.

"Es una beta, es normal" se puede argumentar, pero esto depende mucho de los gustos, y de comulgar con la filosofía de negocio de Google. Hay quien no es tan condescendiente con fallos en otros navegadores recién salidos del horno. Google parece abusar de la etiqueta "beta", manteniéndola más que cualquier otro fabricante en servicios y programas de uso masivo pero eso nunca ha significado que descuide el producto. Hay quien por muchos intereses parece retirarla demasiado pronto. Es su decisión, depende de qué se exija para considerarlo "maduro". Todo software seguirá teniendo errores y vulnerabilidades en cada ciclo de producción, independientemente de que se etiquete en un estado u otro. ¿Está listo realmente el navegador? ¿Ser "beta" es una excusa? No hay respuestas válidas.

La vulnerabilidad "real" vino después. Chrome está basado en Webkit, el motor de Safari. Esta sí era un problema por dos razones. Primero por estar heredada de un fallo ya conocido, admitido y corregido en junio por Apple en Safari. Segundo por lo que permitía: la descarga de archivos en el escritorio de forma automática (sin preguntar al usuario) al visitar una web especialmente manipulada. Un atacante podría descargar muchos archivos automáticamente en el escritorio hasta "bombardearlo" (carpet bomging). ¿Por qué heredar un fallo ya corregido? Se descubrieron otras de cierta gravedad. Rishi Narang publicó una prueba de concepto pública que permitía una denegación de servicio, pero se intuía la ejecución de código.

Todo se confirma cuando el día 8 se actualiza el navegador y se desvela que soluciona al menos dos vulnerabilidades que permitían la ejecución de código. Una a través de nombres largos en el cuadro de diálogo "Guardar como" y otra relacionada con el manejo de enlaces en la barra de estado. Sobre el "carpet bombing", se modifica el escritorio como destino por defecto de archivos descargados. Se dejan sin parchear un buen número de problemas que atacan directamente a la estabilidad del programa.

En cuanto a problemas de privacidad, también se ha discutido bastante. Desde un problema en el diseño de página 404 (en la que sugiere búsquedas) que permitiría pasar por GET quizás sesiones o contraseñas a los servidores de Google, hasta el hecho de que, en su política de privacidad, se hablara claramente de enviar a Google información tecleada por el usuario. El buscador siempre ha sido el gran recolector de información en Internet, y nunca lo ha ocultado. En este aspecto precisamente radica su poder. Gmail ya se curtió en cuestión de polémicas, cuando pretendieron analizar el contenido de los correos para ofrecer publicidad más ajustada al perfil del que lo escribía. Google Toolbar era una extensión para IE sobre la que ya se polemizó en su momento. Existe Google Calendar, Google Docs, Google Desktop Google Adsense, las cookies de Google, su lector de RSS, etc... todos son verdaderos almacenes de hábitos, gustos y datos personales o perfiles únicos alojados en los servidores de Google. No nos deberíamos escandalizar ahora por Chrome.

Pero hay quien no opina así. La Oficina Federal para la Seguridad de la Información alemana advirtió el día 9 que resultaba arriesgado que los datos de un usuario resultaran acaparados por un único fabricante y desaconsejó abiertamente el uso del navegador Chrome en un importante informativo televisado.

Chrome es mucho más que una navegador, y se ajustará perfectamente a (los antiguos y a) los nuevos servicios que muy posiblemente lance Google, con lo que ganará cuota en tanto en cuanto existan personas que quieran disfrutar de todo lo que les ofrece la compañía sin pensar en que sus datos están alojados en un sistema ajeno. Google pretende llevar el escritorio cada vez más hacia la web y alejarlo del disco duro local, y Chrome será la herramienta adecuada para conseguirlo. Quizás vivamos una guerra de navegadores mucho más entretenida que la de finales de los 90, en la que Microsoft aplastó con malas artes a Netscape en apenas unos meses.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Google Chrome vulnerabilities starting to pile up
http://blogs.zdnet.com/security/?p=1858

Autoridades alemanas: “No use Chrome"
http://www.diarioti.com/gate/n.php?id=19301

Google Releases Chrome Version 0.2.149.29
http://www.us-cert.gov/current/index.html#google_releases_chrome_version_0

Google, ¿el otro gran hermano?
http://blog.hispasec.com/laboratorio/185

24/06/2008 Se actualiza por fin la vulnerabilidad “compartida” entre
Safari y Windows
http://www.hispasec.com/unaaldia/3531

domingo, 14 de septiembre de 2008

Desbordamiento de búfer en ZoneAlarm Internet Security Suite

Se ha descubierto una vulnerabilidad en el componente antivirus de Zone Alarm Security Suite que podría ser aprovechado por un atacante para ejecutar código arbitrario o causar una denegación de servicio.

ZoneAlarm es un cortafuegos por software producido por Check Point. Incluye un sistema de detección de intrusiones entrantes, al igual que la habilidad de controlar los programas que pueden crear conexiones salientes. Existe una versión gratuita del cortafuegos y después una serie de versiones o suites de pago que incluyen características extra. La Internet Security Suite es su versión más completa y añade un bloqueador de ventanas emergentes y cookies, Internet Messenger Secure, antivirus y antispyware entre otras características.

Hace unos días se hizo público un problema de seguridad en el componente antivirus (multiscan.exe) de esta última suite, causado por un fallo de comprobación de límites al realizar un escáner en busca de virus sobre archivos que estén alojados en directorios con un nombre de ruta demasiado largo. La vulnerabilidad daría lugar a un desbordamiento de búfer, que podría ser aprovechado por un atacante local o remoto para causar una denegación de servicio en ZoneAlarm o para ejecutar código arbitrario en el sistema afectado, si el usuario analiza una carpeta o archivo con un nombre de ruta demasiado largo.

El argentino Juan Pablo Lopez Yacubian, investigador acreditado por el descubrimiento de está vulnerabilidad, ha publicado un vídeo a modo de prueba de concepto en el que se aprecia como un atacante local escala privilegios, logra ejecutar código arbitrario y compromete por completo un sistema vulnerable.

Por el momento no existe un parche disponible. La vulnerabilidad ha sido comprobada para las versiones 7.0.483.000 y 8.0.020.000 de ZoneAlarm Internet Security Suite y también podría afectar a otras versiones del producto.


Pablo Molina
pmolina@hispasec.com


Más información:

ZoneAlarm Security Suite buffer overflow
http://www.securityfocus.com/archive/1/496226

Prueba de concepto/exploit
http://www.fileden.com/files/2008/9/11/2091525/zonealarm.swf

sábado, 13 de septiembre de 2008

Apple publica nuevas versiones de iTunes, iPhone, iPod touch y Bonjour para Windows

Apple ha publicado recientemente la versión 8 de iTunes, su gestor de archivos multimedia, junto con la actualización de seguridad de Bonjour para Windows (v.1.0.5). Además se han publicado actualizaciones a la versión 2.1 del firmware para los dispositivos móviles iPhone e iPod touch.

La versión 8.0 de iTunes que incluye algunas modificaciones y supuestas mejoras. Según la documentación provista por Apple, la nueva versión solventa las dos vulnerabilidades no críticas expuestas a continuación:

1- Escalada de privilegios de un atacante local aprovechando un desbordamiento de enteros debido al fallo en un driver incluido en la versión de iTunes para Windows.

2- Se ha corregido un curioso "malentendido" ("misleading", según Apple) en el mensaje de advertencia que aparecía cuando el usuario intentaba habilitar característica iTunes Music Sharing desde iTunes si la misma estaba bloqueada por el firewall. La advertencia decía que "desbloquear iTunes Music Sharing en el firewall no afectaría a la seguridad del mismo".

Antes de actualizar a iTunes 8 bajo Windows conviene tener en cuenta que, desde distintas fuentes se apunta que la nueva versión de iTunes está causando numerosos problemas que dan lugar a la aparición de la famosa pantalla azul de Windows (Blue Screen of Death). Se puede leer un amplio análisis del tema en el primer enlace de la sección más información.

En otro orden de cosas, la versión 2.1 del firmware para iPhone e iPod touch añade nuevas funcionalidades y soluciona un mínimo de siete problemas de seguridad (ocho en iPhone). Son los siguientes:

1- Debido a un fallo en Application Sandbox, una aplicación podría saltarse las restricciones de seguridad y leer archivos de la sandbox de otra aplicación, consiguiendo acceder a información sensible.

2- Múltiples vulnerabilidades en FreeType v2.3.5 incluido en CoreGraphics. La más grave de ellas podría ser aprovechada para ejecutar código arbitrario por medio de una fuente especialmente manipulada.

3- MDNSResponder sería vulnerable a la famosa vulnerabilidad en el protocolo DNS descubierta por Kaminsky, pudiendo sufrir el envenenamiento de la caché DNS.

4- La secuencia inicial de números usada por TCP es predecible lo que podría ser aprovechado para secuestrar o falsificar sesiones TCP.

5- Ejecución remota de código o denegación de servicio causada por un fallo del tipo use-after-free (intento de utilización de una porción de memoria después de liberada) en WebKit.

6- La última vulnerabilidad corregida solo tiene lugar en iPhone y permitía que un usuario local pudiera acceder a las aplicaciones favoritas sin necesidad de introducir el código para desbloquear el teléfono, en caso de que la opción de bloqueo estuviera habilitada.

Por último, la versión 1.0.5 de Bonjour para Windows, tecnología de Mac OS X que permite reconocer los equipos y dispositivos (routers, camaras, impresoras...) conectados en la red local, solventa otras dos vulnerabilidades:

1- Denegación de servicio causada por un fallo en mDNSResponder al resolver un dominio .local especialmente manipulado.

2- Debido a una debilidad en el protocolo DNS, las aplicaciones que hagan uso de Bonjour para consultas DNS unicast podrían recibir respuestas con información modificada.

Todas las actualizaciones pueden ser instaladas a través de las funcionalidades de actualización automática (Software Update) de Apple, a través de iTunes o, según versión y plataforma, descargándolas directamente desde:
http://www.apple.com/support/downloads/


Pablo Molina
pmolina@hispasec.com


Más información:

An inside look at Apple’s sneaky iTunes 8 upgrade
http://blogs.zdnet.com/Bott/?p=536

About the security content of iTunes 8.0
http://support.apple.com/kb/HT3025

About the security content of iPhone v2.1
http://support.apple.com/kb/HT3129

About the security content of iPod touch v2.1
http://support.apple.com/kb/HT3026

About the security content of Bonjour for Windows 1.0.5
http://support.apple.com/kb/HT2990

viernes, 12 de septiembre de 2008

Se celebra el nuevo Asegúr@IT III en Bilbao

El próximo 25 de septiembre se celebra en Bilbao el evento gratuito Asegúr@IT III, en la sede de la Universidad de Deusto. Cuenta con la partición de ponentes de empresas como Panda Security, Microsoft, S21Sec e Informatica64.

Los ponentes serán Mikel Gastesi, Iñaki Etxeberría, Pablo Garaizar, Juan Luís Rambla y David Carmona. Tendrá lugar en Bilbao, Universidad de Deusto. El 25 de septiembre de 2008.

La agenda:

09:00 - 09:15 Registro

09:15 - 10:00 Cracking & protección de software

La disciplina de cracking software tiene mucho que ver con la protección de software. En esta sesión Mike Gastesi, de S21Sec, contará cuales son algunas de las técnicas utilizadas para la decompilación y crackeo de software y al final dará algunas recomendaciones para proteger el software contra este tipo de técnicas.

10:00 - 10:45 Rootkits in Action

La técnología rootkit llegó ya hace unos años para quedarse con nosotros. En esta sesión Iñaki Etxeberría, de Panda Security, contará cómo funcionan hoy en día los rootkits, cuáles son sus objetivos y cómo podemos protegernos de ellos.

10:45 - 11:15 Café

11:15 - 12:00 Tempest, mitos y realidades

La tecnología Tempest ha dado mucho que hablar. La posibilidad de interceptar la información generada en un equipo mediante la intercepción de las ondas radiadas por los dispositivos electrónicos ha sido utilizada en múltiples novelas y películas de ciencia ficción. No obstante, las técnicas tempest existen y funcionan con unas características. En esta sesión Pablo Garaizar, Txipi, de la Universidad de Deusto mostrará que es mito, que es realidad y hará algún ejemplo de estas técnicas.

12:00 - 12:45 Network Access Protecction

La protección de las redes en entornos en los que los trabajadores utilizan dispositivos móviles para conectarse (portátiles, PDA, teléfonos móviles) necesitan comprobar la salud de los equipos que se conectan a la red. Windows Server 2008 y Windows Vista incorporan NAP, una tecnología que permite controlar la salud de los equipos que se desean conectar a la red. Juan Luís Rambla, MVP de Microsoft en Windows Security de Informática 64 realizará una demostración de cómo implantar esta tecnología.

12:45 - 13:30 Protección contra Botnets desplegadas por Web

Las técnicas de expansión de las redes botnets van cambiando día a día buscando nuevos métodos de infectar máquinas. Actualmente una de las disciplinas utilizadas consiste en atacar máquinas través de sitios web legítimos vulnerados mediante fallos de programación. David Carmona, Evangelista de Microsoft desgranará cómo funcionan estas nuevas formas de despliegue y dará pautas para protegernos contra ellas.

13:30 - 14:00 Preguntas a los ponentes

El evento es gratuito. Es necesario registrarse desde:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032382985&Culture=es-ES





jueves, 11 de septiembre de 2008

Apple publica una actualización para QuickTime

Apple lanzó el pasado martes una actualización de seguridad que solventa múltiples vulnerabilidades en QuickTime.

También se han publicado actualizaciones para iTunes, iPod Touch y en la versión para Windows de Bonjour que describiremos en otra noticia.

A continuación se detallan las vulnerabilidades solventadas en Quicktime 7.7.5, de las cuales ocho son críticas y las cuatro primeras sólo afectan a la versión para Windows.

1- Un problema de acceso a memoria no inicializada en el códec Indeo v5 (no incluido en QuickTime por defecto) podría ser aprovechado por un atacante remoto para hacer que la aplicación deje de responder o ejecutar código arbitrario si se abre un archivo de vídeo especialmente modificado.

2- Un desbordamiento de búfer basado en pila en el códec Indeo v3.2 podría ser aprovechado por un atacante remoto para hacer que la aplicación deje de responder o ejecutar código arbitrario.

3- Un desbordamiento de enteros causado por un manejo incorrecto de archivos de imagen PICT, que podría ser aprovechado, por medio de una imagen especialmente manipulada, para causar una denegación de servicio o ejecutar código arbitrario.

4- Un fallo al intentar acceder a un puntero no válido durante el manejo de imágenes PICT podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

5- Un desbordamiento de búfer basado en heap al procesar archivos QTVR (QuickTime Virtual Reality) que podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

6- Un problema de desbordamiento de búfer basado en pila al procesar archivos QTVR (QuickTime Virtual Reality) que podría ser aprovechado, por medio de un archivo especialmente manipulado, para causar una denegación de servicio o ejecutar código arbitrario.

7- Un problema de corrupción de memoria durante el manejo de átomos STSZ en archivos de vídeo que podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario.

8- Múltiples problemas de corrupción de memoria en el manejo de archivos de vídeo codificados con H.264, que podrían causar una denegación de servicio o permitir la ejecución de código arbitrario.

9- Un intento de lectura fuera de límites al manejar imágenes PICT podría causar que la aplicación se cerrase de forma inesperada.

Todas las actualizaciones pueden ser instaladas a través de las funcionalidades de actualización automática (Software Update) de Apple, a través de iTunes o, según versión y plataforma, descargándolas directamente desde:
http://www.apple.com/support/downloads/


Pablo Molina
pmolina@hispasec.com


Más información:

About the security content of QuickTime 7.5.5
http://support.apple.com/kb/HT3027

miércoles, 10 de septiembre de 2008

Actualización del kernel para openSUSE 11

SuSE ha publicado actualizaciones para el kernel de openSUSE que solventan múltiples vulnerabilidades que podrían permitir a un atacante remoto causar una denegación de servicio y que un atacante local accediera a información sensible.

Se ha solventado un fallo en la comprobación de rangos en el decodificador ASN.1 en NAT par SNMP y CIFS que podría ser aprovechado por un atacante remoto para hacer que el sistema dejase de responder.

Un desbordamiento de enteros en la función "dccp_setsockopt_change" del kernel de linux que podría ser aprovechado por un atacante remoto para causar una denegación de servicio (kernel panic).

La función "snd_seq_oss_synth_make_info" en sound/core/seq/oss/seq_oss_synth.c del subsistema de sonido no verifica que el número del dispositivo pertenezca al rango definido por max_synthdev antes de devolverle ciertos datos, lo que podría ser aprovechado por un atacante remoto para obtener información sensible.

El último problema está causado porque las funciones real_lookup y __lookup_hash en fs/namei.c en la implementación de VFS en el kernel de Linux no evitan la creación de entradas de directorio para directorios borrados. Esto podría ser aprovechado por un usuario local para desbordar el área de huérfanos de UBIFS (denegación de servicio) por medio de una serie intentos de creación de archivos en directorios no existentes.

Además se han solventado numerosos bugs de menor importancia.

Se recomienda actualizar a la última versión del kernel (2.6.25.16), disponible a través de la herramienta automática YaST.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Kernel (SUSE-SA:2008:044)
http://lists.opensuse.org/opensuse-security-announce/2008-09/msg00001.html

martes, 9 de septiembre de 2008

Boletines de seguridad de Microsoft en septiembre

Tal y como adelantamos, este martes Microsoft ha publicado cuatro boletines de seguridad (MS08-052 al MS08-055) dentro de su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft los cuatro boletines presentan un nivel de gravedad "crítico".

* MS08-052: Actualización que resuelve cinco vulnerabilidades en GDI+ que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario, si un usuario visualiza una imagen especialmente manipulada.

* MS08-053: Actualización del Codificador de Windows Media 9 Series que corrige una vulnerabilidad que puede permitir la ejecución remota de código arbitrario, si un usuario visita una página web especialmente creada.

* MS08-054: Actualización para solucionar una vulnerabilidad en el Reproductor de Windows Media que podría permitir la ejecución remota de código arbitrario cuando un archivo de audio especialmente diseñado se transmite desde un servidor Windows Media.

* MS08-055: Actualización para Microsoft Office que soluciona una vulnerabilidad que podría permitir la ejecución remota de código arbitrario si un usuario accede a una dirección URL de OneNote especialmente diseñada.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de septiembre de 2008
http://www.microsoft.com/spain/technet/security/bulletin/ms08-sep.mspx

Boletín de seguridad de Microsoft MS08-052
Una vulnerabilidad en GDI+ podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/ms08-052.mspx

Boletín de seguridad de Microsoft MS08-053
Una vulnerabilidad en Codificador de Windows Media 9 podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/ms08-053.mspx

Boletín de seguridad de Microsoft MS08-054
Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/ms08-054.mspx

Boletín de seguridad de Microsoft MS08-055
Una vulnerabilidad en Microsoft Office podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/ms08-055.mspx

lunes, 8 de septiembre de 2008

Ekoparty Security Conference - Argentina

El próximo 2 y 3 de octubre se celebrará la cuarta edición de Ekoparty Security Conference, en el Centro Cultural Borges, Buenos Aires. Además se llevarán a cabo tres días previos de training (del 29-30 de septiembre y 1 de octubre) en las instalaciones de Fundación Proydesa (Suipacha 280, CABA).

Un evento de nivel internacional con speakers extranjeros y locales, invitados de Latinoamérica y el mundo. Con excelencia en la elección de temas a tratar, debates y participación directa del publico. Este es el perfil de una conferencia de seguridad informática diferente, en donde lo comercial queda a un lado y finalmente la tecnología, la información y la diversión son los protagonistas.

Ekoparty está dirigida a profesionales en seguridad informática, personal de corporaciones líderes de la región y técnicos en implementaciones IT y en decisión de negocios.

Las actividades post-conferencia dan un valor agregado a este evento, invitando a todos sus asistentes a interactuar en un plano personal en desafíos de wargames, lockpicking o wardriving, si olvidar la Aftercon Party que se celebrará la noche del último día de conferencia.

El programa de conferencias y trainings, registro de asistencia, y más información, se encuentran disponible en la web del evento:
http://www.ekoparty.com.ar/





domingo, 7 de septiembre de 2008

Ejecución remota de código a través de RADIUS en Cisco Secure ACS

Cisco ha publicado una actualización que corrige una vulnerabilidad en Cisco Secure ACS que podría permitir a un atacante remoto ejecutar código arbitrario.

La vulnerabilidad consiste en un error en RADIUS al analizar la longitud de un paquete de respuesta EAP (Extensible Authentication Protocol). Un atacante remoto actuando como cliente RADIUS podría provocar una denegación de servicio a través de un paquete EAP especialmente manipulado. También es posible conseguir la ejecución de código arbitrario.

Se confirma la vulnerabilidad para todos las versiones de Cisco Secure ACS para Windows y las siguientes versiones de Cisco Secure ACS Solution Engine (ACSE):
* Para la rama 3.x.y: Versiones inferiores a 3.3 compilación 12 con parche 6.
* Para la rama 4.0.x: Todas las versiones.
* Para la rama: 4.1.x: Versiones inferiores a 4.1 compilación 13 con parche 10.
* Para la rama 4.2.x: Versiones inferiores a 4.2 compilación 124 con parche 3.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en:
http://www.cisco.com/en/US/products/products_security_response09186a00809f140b.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Response: Cisco Secure ACS Denial Of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sr-20080903-csacs.shtml

sábado, 6 de septiembre de 2008

Nuevas versiones de Java Runtime Environment corrigen diversas vulnerabilidades

Sun ha publicado nuevas versiones de Java Runtime Environment (JRE) que solventan múltiples vulnerabilidades.
El primero de los problemas corregidos reside en que el manejo de applets podría permitir que un applet no confiable consiguiera saltarse las restricciones de seguridad y estableciera conexiones de red a servicios localizados en máquinas distintas a la que realizó la descarga del applet.

Otra vulnerabilidad podría permitir que un código JavaScript no confiable consiguiera saltarse las restricciones de seguridad y estableciera conexiones de red a través de APIs de Java a servicios localizados en máquinas distintas a la que realizó la descarga del JavaScript.

Por último, una vulnerabilidad podría permitir que un applet no confiable descargado a través de un proxy consiguiera saltarse las restricciones de seguridad y estableciera conexiones de red a servicios localizados en máquinas distintas a la que realizó la descarga del applet.

Según versión y plataforma se recomienda actualizar a las siguientes versiones no vulnerables:
JDK y JRE 6 Update 3 o superior
JDK y JRE 5.0 Update 13 o superior
SDK y JRE 1.4.2_16 o superior
SDK y JRE 1.3.1_21 o superior


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in Java Runtime Environment May Allow Network Access Restrictions to be Circumvented
http://sunsolve.sun.com/search/document.do?assetkey=1-66-200041-1

Security Vulnerability in Java Runtime Environment With Applet Caching May Allow Network Access Restrictions to be Circumvented
http://sunsolve.sun.com/search/document.do?assetkey=1-66-201519-1

viernes, 5 de septiembre de 2008

Múltiples vulnerabilidades en CISCO PIX y ASA

Cisco ha publicado varias actualizaciones que corrigen vulnerabilidades en CISCO PIX y CISCO ASA que podrían permitir a un atacante remoto provocar una denegación de servicio o acceder a información sensible.

* Se han corregido múltiples errores en la inspección SIP (Session Initiation Protocol). Un atacante remoto podría usarlos para provocar una denegación de servicio. Se confirma la vulnerabilidad para las versiones de CISCO PIX y ASA con versiones de software inferiores a 7.0.16, 7.1.71, 7.2.7, 8.0.20 y 8.1.8.

* Otro error corregido reside en la autenticación de cliente IPSec al terminar una conexión VPN (Virtual Private Network) que hace vulnerables los equipos ante un ataque de denegación de servicio. Se confirma la vulnerabilidad para las versiones de CISCO PIX y ASA con versiones de software inferiores a 7.2.2, 8.0.14 y 8.1.4. Las versiones 7.0 y 7.1 no están afectadas por este fallo.

* Cisco también confirma la existencia de una vulnerabilidad basada en una fuga de datos SSL VPN al terminar una conexión de acceso remoto a VPN sin cliente, que hace vulnerable a los equipos ante un ataque de denegación de servicio en el software que procesa SSL. Se confirma la vulnerabilidad para las versiones de CISCO ASA con versiones de software inferiores a 7.2.2, 8.0.14 y 8.1.4. Las versiones 7.0 y 7.1 no están afectadas por este fallo.

* Se ha corregido un error al procesar URIs (Uniform Resource Identifier) al terminar conexiones remotas de acceso VPN que hace vulnerable a los equipos ante un ataque de denegación de servicio en el servidor HTTP. Se confirma la vulnerabilidad para las versiones de CISCO ASA con versiones de software inferiores a la 8.0.15 y 8.1.5. Las versiones 7.0, 7.1 y 7.2 no están afectadas por este fallo.

* La última vulnerabilidad corregida consiste en un posible acceso a información sensible al terminar conexiones remotas de acceso VPN. Se confirma la vulnerabilidad para las versiones de CISCO ASA con versiones de software inferiores a la 8.0 y 8.1. Las versiones 7.0, 7.1, 7.2, 8.0.15, 8.1.4, superiores a 8.0.16 y superiores a 8.1.5 no están afectadas por este fallo.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en: http://www.cisco.com/warp/public/707/cisco-sa-20080625-cucm.shtml
El software Cisco PIX actualizado puede descargarse desde: http://www.cisco.com/pcgi-bin/tablebuild.pl/pix?psrtdcat20e2
El software Cisco ASA actualizado puede descargarse desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/asa?psrtdcat20e2



Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Remote Access VPN and SIP Vulnerabilities in Cisco PIX and Cisco ASA
http://www.cisco.com/warp/public/707/cisco-sa-20080903-asa.shtml

jueves, 4 de septiembre de 2008

Microsoft publicará cuatro boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cuatro boletines de seguridad, uno dedicado a Windows Media Player, otro a Windows, otro a Windows Media Encoder y el último a Office.

Si en agosto fueron once boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar cuatro actualizaciones el martes nueve de septiembre. Todos ellos alcanzan la categoría de "críticos" (ejecución remota de código).

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad.

En esta tanda parece que finalmente se corregirá el fallo en Windows Media Player. Microsoft anunció 12 boletines de seguridad para agosto, uno de ellos dedicados al reproductor. Finalmente se publicaron 11 y el programa se quedó sin actualización. Se supone pues que el desarrollo del parche se ha retrasado más de lo previsto, y es ahora cuando se han decidido a publicarlo. Afortunadamente no hay constancia de que exista vulnerabilidad conocida públicamente ni que esté siendo aprovechada activamente.

El boletín de Windows está pensado para toda la gama de los sistemas operativos, desde 2000 a 2008 pasando por XP, Vista y 2003. El componente afectado por esta o estas vulnerabilidades parece afectar al framework .NET, a SQL Server 2005 e incluso a Visual Studio. Habrá también una actualización para el Forefront Client Security 1.0.

Hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for September 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-sep.mspx

miércoles, 3 de septiembre de 2008

Actualización de seguridad para Wireshark

Se ha publicado una nueva versión de Wireshark puesto que en las anteriores se han encontrado múltiples vulnerabilidades que podrían ser explotadas por un atacante remoto, por medio de una serie de paquetes especialmente manipulados, para causar una denegación de servicio.

Wireshark (todavía muy conocido por su nombre anterior Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Las vulnerabilidades corregidas en la última versión son:

* Múltiples errores en epan/dissectors/packet-ncp2222.inc que podrían ser aprovechados por un atacante remoto para causar una denegación de servicio por medio de paquetes NCP especialmente manipulados. Afecta a las versiones de la 0.9.7 a la 1.0.2.

* Un error al descomprimir los paquetes comprimidos con zlib que podría causar que Wireshark dejase de responder. Todas las versiones entre la 0.10.14 y la 1.0.2 se verían afectadas, ambas inclusive.

* Un error al leer archivos .rf5 de Tektronix podría causar que Wireshark dejase de responder. Afecta a las versiones de la 0.9.6 a la 1.0.2.

Se recomienda actualizar a la versión 1.0.3 de Wireshark, disponible para su descarga desde:
http://www.wireshark.org/download.html


Pablo Molina
pmolina@hispasec.com


Más información:

Multiple problems in Wireshark versions 0.9.7 to 1.0.2
http://www.wireshark.org/security/wnpa-sec-2008-05.html

martes, 2 de septiembre de 2008

Escalada de privilegios a través de smgshr.exe en OpenVMS 7.x y 8.x

HP ha corregido una vulnerabilidad en OpenVMS 7.x y 8.x que podría permitir a un atacante local escalar privilegios.

La vulnerabilidad se debe a un error de límites, del que no se han ofrecido detalles, en "smgshr.exe". Un atacante local podría provocar un desbordamiento de búfer basado en pila y ejecutar código con privilegios elevados.

Los sistemas afectados son:
* OpenVMS para Integrity Servers versiones 8.2-1, 8.3 y 8.3-1H1.
* OpemVMS ALPHA versiones 7.3-2, 8.2 y 8.3.

Se recomienda aplicar los siguientes parches:
* Para OpenVMS para Servidores Integrity V8.2-1 aplicar parche VMS821I_SMGRTL-V0100.
* Para OpenVMS para Servidores Integrity V8.3 aplicar parche VMS83I_SMGRTL-V0100.
* Para OpenVMS para Servidores Integrity V8.3-1H1 aplicar parche VMS831H1I_SMGRTL-V0100.
* Para OpenVMS ALPHA V7.3-2 aplicar parche VMS732_SMGRTL-V0100.
* Para OpenVMS ALPHA V8.2 aplicar parche VMS82A_SMGRTL-V0100.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

VMS831H1I_SMGRTL-V0100, ECO Kit Release
http://mail.openvms.org:8100/Lists/alerts/Message/832.html

VMS83I_SMGRTL-V0100, ECO Kit Release
http://mail.openvms.org:8100/Lists/alerts/Message/833.html

VMS83A_SMGRTL-V0100, ECO Kit Release
http://mail.openvms.org:8100/Lists/alerts/Message/834.html

VMS732_SMGRTL-V0100, ECO Kit Release
http://mail.openvms.org:8100/Lists/alerts/Message/835.html

VMS82A_SMGRTL-V0100, ECO Kit Release
http://mail.openvms.org:8100/Lists/alerts/Message/836.html

VMS821I_SMGRTL-V0100, ECO Kit Release
http://mail.openvms.org:8100/Lists/alerts/Message/837.html