viernes, 31 de octubre de 2008

Dos vulnerabilidades en la rama 2.x de OpenOffice permiten ejecución de código

OpenOffice.org ha publicado una actualización para la rama 2.x de OpenOffice. Soluciona dos problemas de seguridad que podrían permitir a un atacante ejecutar código si se procesan documentos especialmente manipulados con una versión vulnerable.

* Uno de los fallos se trata de un desbordamiento de memoria intermedia basado en heap en el intérprete de ficheros EMF.

* El segundo fallo se debe a un desbordamiento de enteros a la hora de procesar registros META_ESCAPE en ficheros WMF.

Ambos fallos podrían permitir la ejecución de código arbitrario con los permisos del usuario bajo el que se usara la aplicación.

Ambos también, están relacionados con problemas a la hora de procesar el formato Windows Meta File y Extended (o Enhanced) Windows Metafile Format. Estos formatos de imagen se hicieron especialmente famosos a raíz de la vulnerabilidad descubierta a finales de 2005 en Microsoft Windows y que infectó a millones de usuarios.

La reciente versión 3.0 de OpenOffice no se ve afectada.

No se han dado detalles técnicos ni parece existir exploit público. Se
recomienda actualizar a la versión OpenOffice 2.4.2. Todas las
anteriores son vulnerables.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Manipulated EMF files can lead to heap overflows and arbitrary code execution
http://www.openoffice.org/security/cves/CVE-2008-2237.html

Manipulated WMF files can lead to heap overflows and arbitrary code execution
http://www.openoffice.org/security/cves/CVE-2008-2238.html

jueves, 30 de octubre de 2008

Phishing a entidades registrantes: ¿Necesitan los atacantes nuevos dominios?

Desde ayer se está produciendo una verdadera avalancha de correo basura que simula ser de registrantes reputados como Enom y Networksolutions. Bajo la excusa de que el domino está a punto de caducar, su objetivo es robar las contraseñas de clientes de registrantes y por tanto adueñarse de sus dominios. Ayer además se dio a conocer que ICANN ha retirado la licencia a Estdomains, uno de los registrantes supuestamente aliados con el mundo del malware... ¿Será que los atacantes andan escasos de dominios?

Se ha observado una avalancha de correos de tipo phishing. Esta vez no intentan simular portales de entidades bancarias, sino que están destinados a simular registrantes reputados de dominios como Enom y Networksolutions. El asunto del correo suele ser: "Attention: domain will be expired soon." En su interior en un cuidado inglés y en texto plano se avisa al usuario de que su domino está a punto de caducar y que debe visitar la web del registrante e introducir su usuario y contraseña para renovar el dominio. En otras ocasiones en el correo se habla de que a causa de un corte temporal en el servicio, es necesario que el usuario se autentique.

En cualquiera de los casos el enlace lleva a una página que simula fielmente el portal de Enom o Networksolutions. Los dominios (adquiridos para la ocasión y camuflados en dominios de tercer nivel) bajo los que se alojan estos phishing suelen tener la estructura:
www.enom.com.comXY.biz, o www.networksolutions.com.sysXY.mobi/ siendo XY números cualesquiera. Aunque esto puede cambiar en cualquier momento.

Si el usuario introduce en estas páginas sus datos, los atacantes podrán controlar el dominio que la víctima tenga contratado y redirigirlo limpiamente a cualquier otro servidor, que bien podría tratarse de otro phishing, o alojar en ese dominio malware. Al ser dominios "legítimos" del que los usuarios han perdido el control, el efecto es mucho más "creíble" para las potenciales víctimas que lo visiten.

Hacía tiempo que no se observaba una campaña tan virulenta contra dueños de domino. Por otro lado (o quizás está relacionado), el pasado martes ICANN eliminó a Estdomains de su lista de registrantes acreditados: ya no pueden ejercer más su función. Estdomains siempre ha estado bajo la sospecha de ser un registrante que se lleva bien con el crimen organizado en Internet. Una buena parte de los dominios contratados en esta empresa han servido y sirven para la difusión del malware 2.0 y todo tipo de actividades ilegales. Siempre se les ha acusado de ser excesivamente "tolerantes" con estas prácticas. ICANN en un movimiento sin precedentes (que ha sido muy aplaudido), ha anunciado en un comunicado público que debido a la eterna sospecha sobre Estdomains (ellos siempre han negado que toleren el abuso de sus dominios), les retira la licencia. Aunque Estdomains ha presentado alegaciones (en estonio) y el proceso está temporalmente parado en espera de que ICANN las estudie. El dueño de Esdomains ha estado en prisión anteriormente por fraudes con tarjetas de crédito.

De golpe, si Estdomains es verdaderamente cómplice de las mafias informáticas, estas se quedan sin un socio que les proporcione una parte de la infraestructura necesaria para alojar sus componentes de troyanos. Relacionando esta última campaña de phishing que pretende conseguir dominios y la suspensión de la licencia de Estdomains, se pueden plantear dudas: ¿Está la nueva campaña de phishing relacionada con esa pérdida repentina de su aliado, de los dominios alojados en Estdomains? ¿Es posible que necesiten nuevos dominios (conseguidos de cualquier forma) para tener una buena infraestructura en la que seguir operando? No podemos saberlo con certeza.

Lo más probable es que los atacantes se "muden" en breve a cualquier otro registrante (probablemente también ruso) que haga la vista gorda ante sus actividades, y sigan esparciendo malware en la Red.

A ICANN además, le queda el problema de recolocar todos esos dominios de Estdomains que siendo legítimos, ahora tienen que cambiar de registrante.


Sergio de los Santos
ssantos@hispasec.com


Más información:

ICANN
http://www.icann.org/correspondence/burnette-to-tsastsin-28oct08-en.pdf

miércoles, 29 de octubre de 2008

Java (por fin) eliminará las versiones antiguas al actualizar

Sun Microsystem, creador del Java Runtime Environment (JRE) ha prometido que por fin eliminará las versiones antiguas del JRE que quedan en el sistema cuando se actualiza. Esta incomprensible forma de dejar al usuario la responsabilidad de desinstalar las antiguas versiones ha sido siempre duramente criticada. Hasta ahora, cuando Java se actualiza en un sistema, mantiene la versión anterior (insegura) en él. Por fin parece que este comportamiento va a cambiar.

JRE permite que se ejecuten programas Java (especialmente applets si se tratan de utilidades web) en general en el sistema. Muchos usuarios tienen el JRE instalado en sus sistemas, es un software muy popular. El problema es que puede que mantengan sin saberlo más de una JRE en su ordenador. Cuando se instala por ejemplo una versión JRE6 Update 3, queda la JRE6 Update 2 en el sistema si es que se tenía instalada. Cada una con aproximadamente 120 megas de espacio consumido en el disco, y así sucesivamente. Aunque esto no es solo una incomodidad. Aproximadamente cada dos o tres meses, Sun saca un nuevo “Update” para su JRE que soluciona un buen número de problemas de seguridad que pueden ser aprovechados por atacantes. Y de hecho lo son. JRE es un vector de ataque usado, aunque no el más popular.

Si añadimos que JRE ha sufrido habitualmente grandes problemas de seguridad, y que de hecho es casi siempre el motivo de las actualizaciones, nos encontramos con que el usuario queda en una situación insegura: conserva versiones antiguas y con fallos de seguridad en su ordenador aun habiendo instalado a la última versión no vulnerable. Sun, consciente de que esto podría suponer un vector de ataque, bloquea explícitamente la capacidad de los applets de elegir con qué versión se ejecutan. Pero se ha demostrado que es posible saltarse esta restricción. Un atacante podría preparar un applet que accede a una versión antigua vulnerable y aprovechar un fallo para acceder al sistema.

Pero parece que esto ya no será así. Hasta ahora era responsabilidad del usuario desinstalar las versiones antiguas (si no las necesita, que suele ser lo más habitual) cada vez que actualiza su JRE. En la nueva JRE6 Update 10 se incluirá una funcionalidad (patch-in-place) que hará que se elimine a sí misma (pero no al resto anterior versiones de JRE que puedan estar instaladas en el sistema) cuando en el futuro, aparezca el Update 11. Algo es algo. Este patch-in-place puede ser deshabilitado para quien necesite versiones muy específicas, pero vendrá activo por defecto.

Hace varios años, Microsoft creó su propia máquina virtual Java para competir contra el JRE de Sun. También sufrió graves problemas de seguridad y supuso un recurrido vector de ataque. Pero la compañía tiró la toalla pronto. La máquina virtual de Java de Microsoft dejaría de ser actualizada o incluida en sus productos en 2004 y abandonó definitivamente su soporte en 2008. En aquellos momentos, la redundancia de dos sistemas de interpretación de Java (distintos, pero con un mismo fin) añadido a la conservación de versiones anteriores del JRE (como ha venido ocurriendo hasta ahora), abría un amplio vector de ataque en los Windows. Afortunadamente, poco a poco este vector se va reduciendo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Patch-in-place
http://java.sun.com/javase/6/docs/technotes/guides/jweb/otherFeatures/jre_install.html#patchInPlace

martes, 28 de octubre de 2008

Una-al-día cumple 10 años

Hoy, 28 de octubre, se cumple el décimo aniversario de "una-al-día", primer diario de información técnica sobre seguridad informática en español. Una década informando puntualmente sobre virus, vulnerabilidades, fraudes, alertas, y reflexiones sobre la seguridad en Internet. 3.657 noticias. Aniversarios anteriores en Hispasec se han caracterizado por una sobria mención o directamente han pasado desapercibidos. En esta ocasión, hemos decidido festejar esta cifra tan redonda con algunas sorpresas.

Diez años en la Red es mucho tiempo. Ha sido necesario sobrevivir al cambio en el modelo económico sufrido a principios de esta década (que a tantos servicios web dejó atrás), o a la avalancha y saturación de información que está proporcionando hoy la web 2.0... se han producido muchos cambios en Internet en general y en la seguridad en particular, y los hemos intentado reflejar día a día, informando de la única forma que sabemos: con independencia y honestidad. Estamos muy orgullosos de seguir produciendo una-al-día y poder ofrecerlas a nuestros suscriptores, que entre todos los canales de distribución, suman muchas decenas de miles.

Cuando Bernardo Quintero escribió la primera una-al-día: "28/10/1998 Service Pack 4, los problemas de la solución" no podía ni imaginar que diez años después el servicio continuaría, que lo haría en Hispasec, proyecto web fundado exactamente dos meses después del primer envío, a partir del éxito de los boletines iniciales. En aquel momento, otros proyectos posteriores como Virustotal.com eran solo un vago concepto todavía. Pero sobre todo, no podíamos imaginar que 10 años después una-al-día e Hispasec seguiría siendo un respetado referente en seguridad para muchos hispanohablantes o que Virustotal.com se convertiría en un estándar de facto para el envío de malware en todo el mundo, que procesa 60.000 muestras cada día. Es un éxito que agradecemos y que asumimos con responsabilidad.

Es gratificante pensar que en estos diez años, hemos llegado incluso a un cambio generacional. Muchos profesionales reconocidos eran apenas adolescentes cuando comenzó el servicio de publicación diario. Hoy desde sus puestos de trabajo, todavía confían en la información que a diario les ofrece una-al-día.

Este décimo aniversario pensamos que merece una mención especial. Desde agosto, hemos conseguido arañar algo de tiempo de nuestras agendas para preparar varias sorpresas que esperamos que agraden a todo el mundo. Han supuesto un importante esfuerzo y se han concebido como regalo especial para todos los seguidores del boletín diario.

Durante las próximas semanas, pedimos a nuestros lectores que estén especialmente atentos a los boletines, porque iremos descubriendo las sorpresas en sucesivas publicaciones.

Gracias a todos. En especial, a nuestros fieles suscriptores: desde la primera persona que leyó el boletín en octubre de 1998, hasta el usuario del último correo que se ha suscrito al servicio hace apenas unos minutos.


Hispasec Sistemas
hispasec@hispasec.com



lunes, 27 de octubre de 2008

Actualización del kernel para openSUSE 10.3

SuSE ha publicado una actualización del kernel para openSUSE 10.3 que corrige múltiples fallos que podrían permitir a un atacante local o remoto causar una denegación de servicio o ejecutar código en un sistema vulnerable.

* Se ha corregido un fallo en "fs/open.c" que impedía procesar correctamente los bits setuid y setgid cuando se escribe a un archivo. Esto podría ser aprovechado por un atacante local para elevar privilegios a través de un archivo ejecutable especialmente manipulado.

* Se ha corregido un error de desreferenciación incorrecta en la función "ptrace" de la arquitectura S/390 que podría ser aprovechado por un atacante local para provocar una denegación de servicio a través de la manipulación del test "user-area-padding" de la suite ptrace cuando funciona en modo 31 bits.

* Se ha corregido un error en "fs/direct-io.c", el subsistema dio del kernel, que no procesaba correctamente la iniciación a cero de la estructura dio. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio.

* Denegación de servicio remota a través de SCTP INIT-ACK.

* El código ext[234] del sistema de archivos falla al manejar estructuras de datos corruptas, lo que podría provocar una denegación de servicio.

* Se ha corregido un chequeo de rangos en los controles de entrada/salida snd_seq OSS para evitar un problema de fuga de información del kernel.

* Se ha añadido una comprobación de rangos en ASN.1 para el manejo de los filtros de red CIFS y SNMP NAT.

* Desbordamiento de enteros en SCTP que podría ser utilizado por atacantes remotos para hacer que el sistema deje de responder o ejecutar código arbitrario.

* Se han añadido comprobaciones de punteros nulos en las funciones de operación tty, lo que podría ser aprovechado por un atacante local para causar una denegación de servicio o escalar privilegios.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2008:052)
http://lists.opensuse.org/opensuse-security-announce/2008-10/msg00008.html

domingo, 26 de octubre de 2008

Múltiples vulnerabilidades en Cisco PIX y ASA

Se han encontrado múltiples vulnerabilidades en Cisco ASA 5500 Series Adaptive Security Appliances y Cisco PIX Security Appliances que podrían causar una denegación de servicio o permitir que un atacante se salte restricciones de seguridad.

* Debido a un problema en la autenticación en Microsoft Windows NT Domain, los dispositivos Cisco ASA y Cisco PIX podrían ser vulnerables al salto de la autenticación VPN. Esto significa que los dispositivos configurados para acceso remoto a VPN a través de IPSec o SSL podrían ser vulnerables.

* Se ha encontrado un fallo por el que un paquete IPv6 especialmente manipulado podría hacer que los dispositivos de seguridad Cisco ASA o Cisco PIX se reiniciasen (denegación de servicio). La vulnerabilidad sólo la pueden producir los paquetes destinados al dispositivo, no así los que pasen a través de él.

* Cisco ASA y Cisco PIX se podrían ver afectados por una fuga de memoria en el código de inicialización del hardware criptoacelerador. La vulnerabilidad podría ser disparada por una serie de paquetes destinados al dispositivo, no los que pasen a través de él. Los siguientes servicios podrían verse afectados ya que hacen uso del acelerador criptográfico: WebVPN, SSL VPN, ASDM (HTTPS), IPSec y SSH, entre otros.

Diferentes dispositivos Cisco ASA y Cisco PIX con versiones 7.x y 8.x se verían afectados dependiendo de la vulnerabilidad.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20081022-asa.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco PIX and Cisco ASA
http://www.cisco.com/warp/public/707/cisco-sa-20081022-asa.shtml

sábado, 25 de octubre de 2008

Diversas vulnerabilidades en IBM DB2 9.x

Se han encontrado múltiples vulnerabilidades en IBM DB2, algunas son de impacto desconocido y otras podrían ser aprovechadas por un atacante remoto para causar una denegación de servicio o revelar información sensible.

* La primera vulnerabilidad está causada por un error en la función "SQLNLS_UNPADDEDCHARLEN()" que podría causar una violación de acceso (segmentation fault) en servidor DB2 al intentar acceder a una parte de memoria para la que no se tienen permisos.

* Las vistas (views) y los disparadores (triggers) deberían estar marcados como no operativos o ser descartados en el Native Managed Provider para .NET si los objetos no pueden ser mantenidos por quien los ha definido.

* Un error no especificado en los servicios de ordenación/listado podría ser explotado para revelar ciertas cadenas relacionadas con la contraseña de conexión.

Las vulnerabilidades están confirmadas para la versiones anteriores a la 9.x FP6 de IBM DB2.

Se recomienda aplicar el Fixpack 6, disponible desde:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.1 Fix Pack 6
http://www-01.ibm.com/support/docview.wss?uid=swg27013892

viernes, 24 de octubre de 2008

Último parche de Microsoft: ¿Sufriremos otro Blaster?... No.

El día 23 Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelación. Hoy, el exploit ya es público. Las características de la vulnerabilidad hacen que sea "ideal" para ser aprovechado por un gusano tipo Blaster, que se convirtió en epidemia en 2003. ¿Podría pasar lo mismo con este fallo?

En julio de 2003 se descubre el desbordamiento de memoria intermedia en la interfaz RPC de sistemas Windows que, a la postre, permitiría la aparición del fatídico gusano Blaster. Otro fallo parecido un año después propició el nacimiento de Sasser, otro popular gusano. El último parche publicado por Microsoft de forma urgente, el MS08-067, tiene las mismas características: un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. ¿Se creará otro gusano parecido?

Lo que hace que esta vulnerabilidad sea especialmente peligrosa, es que es explotable de forma remota sin interacción del usuario: un atacante envía una petición especialmente manipulada a un puerto, y ya puede ejecutar código en el sistema con los máximos privilegios. Candidato ideal para un gusano "como los de antes". De ahí que Microsoft, con buen criterio, se haya lanzado a romper su ciclo habitual. Quizás motivado porque el fallo ha sido descubierto cuando ya se estaban produciendo ataques muy concretos. No a gran escala, pero sí que se han detectado incidentes que demostraban que los atacantes conocían el problema y lo estaban aprovechando en secreto. La última vez que Microsoft publicó una actualización de seguridad fuera de su ciclo habitual de actualizaciones fue el 3 de abril de 2007.

El último problema de este tipo (explotable enviado peticiones a un servicio) se vio hace más de dos años. Lo trataba el boletín MS06-040 y también afectaba al servicio Server (de hecho este nuevo boletín lo reemplaza). Se hizo público el exploit y hubo malware que lo aprovechaba, pero no fue epidemia. En este caso pensamos que tampoco se convertirá en el problema que antaño suponían estas vulnerabilidades. Por varias razones.

¿Por qué creemos que el potencial gusano no se convertirá en epidemia?

Microsoft cometió enormes y numerosos fallos de seguridad de este tipo en el pasado. Los gusanos de infección masiva campaban a sus anchas. Pero intentó solucionarlo a través de varios métodos. Primero con su nueva estrategia de seguridad anunciada hacia 2002. Desde entonces (tarde quizás) la seguridad sería prioridad. El problema es que, sobre una base tan débil, los resultados han tardado en observarse... pero están ahí. Por ejemplo, sobre Vista y Windows 2008 esta última vulnerabilidad no es crítica sino sólo "importante", que no es poco. En las últimas versiones de Windows el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Si no, sólo se provocará una denegación de servicio.

Con el Service Pack 2 de Windows XP se activa el cortafuegos entrante por defecto. Esto mitiga enormemente las posibilidades de explotación de este tipo de fallos. De hecho, desde que el Sevice Pack fue lanzado en agosto de 2004, el malware se trasladó al navegador. Al no poder aprovechar fallos en los servicios por culpa del cortafuegos, necesitaban colarse en los sistemas de otra forma, e Internet Explorer sufrió la consecuencias. Todavía hoy es la forma favorita del malware de ejecutar código. Por si fuera poco, hoy en día, los usuarios están más que nunca detrás de un router casero que protege, en principio, los puertos del ordenador.

También, con XP, Microsoft introdujo una considerable mejora: muchos de los servicios por fin no se ejecutaban bajo el contexto del usuario más poderoso, SYSTEM. En Windows 2000, por el contrario, todos los servicios corrían con los máximos privilegios. Aunque para el caso esta medida no sirve. Svhost.exe y services.exe corren en XP y 2000 bajo los permisos de SYSTEM. Por otro lado, a partir de Vista el ASLR (Address Space Layout Randomization) impediría en buena medida también la ejecución de código.

Otro aspecto que mitiga el potencial problema es que Microsoft ha liberado el parche antes de que se haga público el exploit. En 2003 con Blaster ocurrió también. El parche estaba disponible un mes antes de que apareciera el gusano. Pero los usuarios tenían otra cultura. Hoy en día, aunque no demasiado, la educación sobre seguridad es mayor. Las actualizaciones automáticas también ayudan bastante.

El fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada. Los administradores de grandes redes corporativas deben estar especialmente atentos a este boletín y parchear lo antes posible. También los que compartan recursos del sistema en una red interna o hacia el exterior.

Aunque parece que se han observado reportes de que el fallo se está aprovechando desde hace tres semanas, la actuación de Microsoft ha sido rápida. Detectar y analizar el problema lleva tiempo. Muchos analistas prestigiosos se han aventurado en el pasado a calificar de nuevos fallos problemas ya conocidos que ,simplemente, estaban siendo aprovechados a través de otro vector de ataque. Además hay que añadir el tiempo de comprobación del parche. Es un proceso que Microsoft se toma con cuidado y tres semanas no es un tiempo descabellado. Esperemos en todo caso que la actualización corrija por completo la vulnerabilidad y que no se detecten problemas de estabilidad.

Por último, las casas antivirus están trabajando incansablemente para detectar potenciales exploits y el malware que lo acompaña. Estos fallos alcanzan gran repercusión y no pueden permitirse el lujo de no crear firmas específicas para bloquearlos. Aunque el volumen de malware a tratar sea infinitamente mayor, el número de actualizaciones de firmas es mayor que en 2003. En ese año, actualizar cada varios días era normal, mientras hoy casi todos los antivirus actualizan las firmas varias veces al día.

En definitiva, el fallo es grave, es necesario actualizar ya. Sin excusas. No se han reportado problemas de estabilidad con el parche. Pensamos que sería muy raro que se produjese una epidemia como la de 2003. Aunque los índices de infección de malware son hoy mayores que nunca, al menos no son gracias a este tipo de errores tan "sencillos" de explotar.


Sergio de los Santos
ssantos@hispasec.com


Más información:

23/10/2008 Microsoft publica una actualización crítica fuera de ciclo
http://www.hispasec.com/unaaldia/3652/microsoft-publica-una-actualizacion-critica-fuera-ciclo

jueves, 23 de octubre de 2008

Microsoft publica una actualización crítica fuera de ciclo

Hoy no es el segundo martes del mes (conocido como Patch Tuesday), pero Microsoft acaba de publicar el boletín de seguridad MS08-067 de carácter crítico, en el que se soluciona un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Debido a su gravedad, el fallo podría ser aprovechado por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable.

Este boletín de seguridad, el número 12 publicado durante octubre, es de carácter "crítico" para los sistemas equipados con Windows 2000, Windows XP o Windows Server 2003, mientras que para los sistemas con Windows Vista o Windows Server 2008 el problema está calificado como "importante".

La vulnerabilidad reside en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. Un atacante remoto podría ejecutar código arbitrario a través de peticiones RPC especialmente manipuladas.

En el nuevo índice de explotabilidad introducido este mes, el problema está catalogado como "Consistent exploit code likely", es decir, que es probable la creación de un exploit consistente. En este caso, Microsoft informa de que se han detectado exploits para Windows XP y Server 2003 que se aprovecharían de la vulnerabilidad, aunque por el momento no se ha hecho pública ninguna prueba de concepto. También se avisa que la vulnerabilidad es susceptible de ser explotada por medio de un gusano.

La última vez que Microsoft publicó una actualización de seguridad de este tipo, fuera de su ciclo habitual de actualizaciones, fue el 3 de abril de 2007, cuando se lanzó el boletín MS07-017 que solucionaba hasta siete problemas de seguridad en motor GDI (Graphics Device Interface) de Windows. La principal finalidad de aquel parche era corregir un grave fallo en el tratamiento de cursores animados (ANI). Dicho problema ya había sido reconocido por Microsoft unos días antes y por la red ya estaban circulando exploits se aprovechaban de la vulnerabilidad y parches no oficiales que intentaban mitigarla.

Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible, mediante Windows Update o descargando los parches, según versión, desde las siguientes direcciones:

* Microsoft Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?familyid=E22EB3AE-1295-4FE2-9775-6F43C5C2AED3&displaylang=es

* Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=es

* Windows XP Service Pack 3:
http://www.microsoft.com/downloads/details.aspx?familyid=0D5F9B6E-9265-44B9-A376-2067B73D6A03&displaylang=es

* Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25&displaylang=es

* Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=4C16A372-7BF8-4571-B982-DAC6B2992B25&displaylang=es

* Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D&displaylang=es

* Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=F26D395D-2459-4E40-8C92-3DE1C52C390D&displaylang=es

* Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400&displaylang=es

* Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?familyid=C04D2AFB-F9D0-4E42-9E1F-4B944A2DE400&displaylang=es

* Windows Server 2003 con SP1 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF&displaylang=es

* Windows Server 2003 con SP2 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=AB590756-F11F-43C9-9DCC-A85A43077ACF&displaylang=es

* Windows Vista y Windows Vista Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=18FDFF67-C723-42BD-AC5C-CAC7D8713B21&displaylang=es

* Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?familyid=A976999D-264F-4E6A-9BD6-3AD9D214A4BD&displaylang=es

* Windows Server 2008 para 32-bit Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=25C17B07-1EFE-43D7-9B01-3DFDF1CE0BD7&displaylang=es

* Windows Server 2008 para x64-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=7B12018E-0CC1-4136-A68C-BE4E1633C8DF&displaylang=es

* Windows Server 2008 para Itanium-based Systems:
http://www.microsoft.com/downloads/details.aspx?familyid=2BCF89EF-6446-406C-9C53-222E0F0BAF7A&displaylang=es


Pablo Molina
pmolina@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for October 2008
http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx

Microsoft Security Bulletin MS08-067 – Critical
Vulnerability in Server Service Could Allow Remote Code Execution (958644)
http://www.microsoft.com/technet/security/bulletin/MS08-067.mspx

15/10/2008 Boletines de seguridad de Microsoft en octubre
http://www.hispasec.com/unaaldia/3644/boletines-seguridad-microsoft-octubre

05/04/2007 El boletín MS07-017 de Microsoft soluciona varios problemas
de seguridad
http://www.hispasec.com/unaaldia/3085

miércoles, 22 de octubre de 2008

Diversos problemas de seguridad en el navegador Opera

La versión 9.61 del navegador Opera corrige tres vulnerabilidades que podrían ser aprovechadas por un atacante remoto para perpetrar ataques de cross-site scripting, saltarse restricciones de seguridad o revelar información sensible en un sistema vulnerable.

Opera, además de ser un navegador web, contiene cliente de correo electrónico con gestor de contactos, cliente de IRC, lector de noticias RSS y gestor para la descarga de archivos torrent.

La versión 9.6, con aspecto y características renovadas, fue lanzada a principios de este mes, y ahora se publica la primera revisión de seguridad sobre la misma.

De las tres vulnerabilidades corregidas recientemente, la primera está catalogada como extremadamente severa por el equipo de Opera, puesto que permitiría la inyección de código script y también el acceso al historial de navegación del usuario (lectura de información sensible).

A continuación se explican con más detalle:

* Se ha subsanado un fallo de seguridad, provocado porque ciertas entradas no son limpiadas de forma adecuada, por la funcionalidad History Search, antes de ser usadas. Esto podría ser aprovechado para inyectar código script arbitrario en la página, lo que podría ser utilizado por un atacante para acceder al historial de navegación, incluyendo la información sensible de las páginas visitadas.

* Un error de implementación de la funcionalidad Fast Forward podría permitir cross-site scripting en el contexto de un frame distinto al actual. Esto podría ser explotado por un atacante remoto para ejecutar código JavaScript o HTML arbitrario en el contexto del frame afectado.

* Ciertos scripts no son bloqueados de forma correcta cuando se previsualizan las fuentes de noticias. Esto podría ser aprovechado por un atacante remoto para acceder a la colección de feeds a la que está suscrito el usuario (revelación de información sensible), y también para suscribirlo a otros a su elección.

Las vulnerabilidades están confirmadas para todas las versiones de Opera, desde la 5.x hasta la 9.x.

Se recomienda actualizar a la versión 9.61 del navegador Opera, disponible para su descarga desde:
http://www.opera.com/download/


Pablo Molina
pmolina@hispasec.com


Más información:

Opera 9.61 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/961/

Advisory: History Search can reveal browsing history
http://www.opera.com/support/search/view/903/

Advisory: Fast Forward can allow cross-site scripting
http://www.opera.com/support/search/view/904/

Advisory: Feed preview can reveal contents of unrelated news feeds
http://www.opera.com/support/search/view/905/

martes, 21 de octubre de 2008

Ejecución remota de código en el reproductor multimedia VLC

Se ha descubierto una vulnerabilidad en el reproductor de archivos
multimedia VLC que podría ser aprovechada por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

El problema está causado por un error de límites (en Ty.c) al procesar un archivo multimedia del tipo TY (TiVo) con las cabeceras especialmente modificadas. Esto podría dar lugar a un desbordamiento de búfer basado en pila que sería susceptible de ser utilizado para causar una denegación de servicio o ejecutar código arbitrario, si un usuario abre un archivo TY especialmente manipulado.

La vulnerabilidad, reportada por Tobias Klein, está confirmada para las versiones de la 0.9.0 a la 0.9.4. Se recomienda actualizar a la versión 0.9.5 del reproductor VLC cuando esté disponible, desde:
http://www.videolan.org/vlc/


Pablo Molina
pmolina@hispasec.com


Más información:

VLC media player TiVo ty Processing Stack Overflow Vulnerability
http://www.trapkit.de/advisories/TKADV2008-010.txt

Security Advisory 0809
Buffer overflow in VLC TiVo demuxer
http://www.videolan.org/security/sa0809.html

lunes, 20 de octubre de 2008

La comparativa del escándalo

Secunia ha publicado una comparativa de suites de seguridad que ha levantado cierta polémica. Especialmente por la metodología escogida: en vez de utilizar distintos tipos de muestras de malware (como viene siendo lo habitual para comprobar los ratios de detección), se han usado exploits creados para la ocasión y páginas web modificadas para aprovechar estos exploits. Las casas antivirus no han salido muy bien paradas, pero en realidad es necesario matizar en extremo las conclusiones de esta comparativa.

Las condiciones

En total se han usado 300 exploits (144 archivos maliciosos y 156 páginas web modificadas). Los resultados dicen que ninguna de las suites consiguió el aprobado.

De acuerdo con Secunia, las condiciones de los tests fueron las siguientes:

1- Los archivos maliciosos fueron primero analizados al desempaquetar un archivo ZIP, en el que estaban contenidos, para comprobar la eficiencia del escáner al acceder en "tiempo real".

2- Posteriormente la carpeta fue escaneada de forma manual para asegurarse de que fueran procesados todos los archivos.

3- Las páginas web maliciosas fueron analizadas una por una usando Internet Explorer.

Solo la suite de Norton, de las 12 analizadas, pasaba del 20% de detección, mientras que el resto no llegaba al 3%. Pero esto no significa nada.

Las quejas

Muchas casas antivirus y empresas del sector no están de acuerdo (con razón) con los resultados obtenidos. Utilizan los siguientes argumentos:

* Los tests no se realizaron de forma completa. Lo ideal hubiera sido tener una máquina en la que estuvieran instaladas tanto la versión vulnerable del software a explotar como la suite de seguridad de Internet. El paso siguiente es intentar ejecutar el exploit en ese entorno y esperar a ver si es bloqueado o no.

* Los tests se realizaron a demanda, es decir, se pasó el escáner sobre los archivos que contenían los exploits, pero no se ejecutaron. La única forma de detección posible, en esas circunstancias, es que exista una firma específica en el componente antivirus para detectar los exploits o que sean detectados por heurística.

* Se han utilizado exploits “de laboratorio”, especialmente creados para estos tests y diferentes de los que podrían circular por Internet en la actualidad.

Por estas y otras razones alegan que el test puede ser orientativo únicamente a nivel del escáner, pero en ningún momento se puede juzgar la totalidad de la suite por los resultados obtenidos. También se defienden diciendo que, muchas de las características anti-exploit incluidas en las suites ni siguiera han entrado en juego, como son por ejemplo:

* Virtualización y mecanismos de protección contra desbordamientos de búfer/pila/heap.

* Incluso si los exploits fueran ejecutados, un HIPS (sistema de prevención de intrusiones basado en host), un IDS (sistema de detección de intrusos) o un firewall podrían servir para bloquearlos.

* Tampoco se ha tenido en cuenta el filtrado de URLs maliciosas ni de exploits del navegador.

El CEO de AV-Test.org Andreas Marx, también apunta que falta información técnica sobre cómo se ha realizado el test, tal como por ejemplo: productos exactos y versiones utilizadas, fecha de la última actualización de los motores, o bajo qué entorno se han realizado las pruebas sobre las páginas web y HTML.

La conclusión del informe, firmada por Thomas Kristensen, el CTO de Secunia: "Los resultados muestran que los fabricantes de productos de seguridad no se centran en vulnerabilidades. En vez de eso, tienen un enfoque mucho más tradicional, lo que deja a sus clientes expuestos al nuevo malware que explota vulnerabilidades. (...) El área está, más o menos, completamente ignorada por los fabricantes de productos de seguridad".

Esta conclusión, junto con la omisión de ciertos detalles, no ha sentado nada bien a algunas personas influyentes dentro del sector y ha provocado las siguientes reacciones:

* Alex Eckelberry de Sunbelt Software: "Este test es estúpido y una
maniobra publicitaria inútil".

* Pedro Bustamante de Panda Security: "Es como decir que vas a probar el ABS de un coche tirándolo por un acantilado de 200 metros de profundidad. Absurdo, sensacionalista y como mínimo engañoso".

A todo esto, Kristensen se ha defendido, diciendo que: "Las Internet Security Suites son bastante útiles para la mayoría de usuarios. (...) Pero es mejor prevenir los ataques parcheando que confiar en otras medidas de seguridad por sí solas".

Nuestras conclusiones

Es necesario resaltar además algunos aspectos interesantes que observamos en este informe:

* Está realizado desde una compañía que vende servicios de prevención de vulnerabilidades. Por tanto la conclusión extraída le es conveniente desde el punto de vista comercial. Lo que es peor, está enfocada desde todos los aspectos para que así sea. Por ejemplo: los exploits más usados por los atacantes sí suelen ser más reconocidos por las firmas de las soluciones antivirus que, obviamente, los creados para la ocasión. Esto no es nada nuevo, pasa exactamente igual con el malware: desde siempre, los virus “recién creados” ha sido menos detectados por firmas en un principio. Tampoco es difícil crear específicamente troyanos "no detectados” por firmas. Los atacantes lo hacen todos los días. Otra cosa es que sean detectados por comportamiento en el sistema una vez ejecutados, que es el punto fuerte de las suites en estos momentos.

* Las alegaciones desde las casas antivirus son legítimas. No es ningún secreto que el modelo de detección por firmas es cada vez "una parte más" de los antivirus, y no se puede juzgar a un producto exclusivamente por la detección estática de muestras. Es lo mismo que ocurre con VirusTotal. Los resultados obtenidos al enviar una muestra son analizados de forma estática, por tanto pueden diferir de lo que un usuario obtiene con el antivirus instalado en su sistema. Las suites, cada vez más, se basan en el comportamiento de las muestras para detectar el malware, además de en las firmas. Es más, hacen una buena labor en ese sentido, y no es posible hoy en día evaluar un producto completo sólo por una de sus funciones. Si se quiere evaluar la calidad y cantidad de firmas, se debe ser consciente de que eso es sólo una parte del producto.

* Sí es cierto que el usuario medio suele ser víctima del marketing agresivo de las casas antivirus, y creen que la suite les salvará de todo mal. Slogans como "Protección total" o "Blindaje del sistema" calan en el usuario que concluye que realmente es lo único que necesita. Por otro lado, este tipo de informes como el generado por Secunia polarizan la opinión: "¿Acaso, a pesar del dinero invertido en la solución antimalware, no estoy protegido por completo?" o "Las soluciones antimalware no sirven para nada". Ninguna de las dos posiciones es adecuada. Las soluciones antivirus son imprescindibles, pero es necesario combinarlas con otros métodos de prevención como son las actualizaciones de seguridad de los sistemas y programas, además del uso de cuentas no privilegiadas.


Pablo Molina
pmolina@hispasec.com

Sergio de los Santos
ssantos@hispasec.com


Más información:

Internet Security Suite test October 2008
http://secunia.com/gfx/Secunia_Exploit-vs-AV_test-Oct-2008.pdf

Another useless test grabs headlines
http://sunbeltblog.blogspot.com/2008/10/another-useless-test-grabs-headlines.html

Testing Internet Security Suites: More Questions than Answers…
http://www.eset.com/threat-center/blog/?p=156

Exploits vs Antivirus - The Last Stand
http://research.pandasecurity.com/archive/Exploits-vs-Antivirus-_2D00_-The-Last-Stand.aspx

domingo, 19 de octubre de 2008

Activar los killbits y el índice de explotabilidad, novedades en los boletines de Microsoft

Microsoft está siguiendo una nueva política con la que intenta mejorar sus boletines de seguridad. Este mes ha introducido un nuevo valor llamado "índice de explotabilidad" (exploitability index) que indica las posibilidades de que se cree un exploit para cada vulnerabilidad. Además, se está proponiendo (por fin) activar el mayor número de killbits posibles para evitar ataques a través de ActiveX vulnerables.

En octubre Microsoft ha incluido por primera vez en sus boletines el "exploitability index", un valor que intenta predecir la posibilidad de que los atacantes creen código capaz de aprovechar la vulnerabilidad. Los valores posibles que asignará Microsoft son:

* Consistent exploit code likely: Es probable la creación de un exploit consistente.
* Inconsistent exploit code likely: Es probable la existencia de un exploit incosistente.
* Functioning exploit code unlikely: Es improbable la existencia de un exploit funcional.

Refiriéndose con "consistencia" a las probabilidades que funcione bajo la mayoría de las circunstancias y la mayor parte de las veces. Esta forma de puntuar el riesgo es exclusiva de Microsoft, y evaluada solo por su parte.

Por ejemplo, en esta última tanda de boletines, se resuelven 20 vulnerabilidades. Según Microsoft 8 tienen posibilidades de que se cree un exploit consistente para ellas, y cuatro son poco probables de ser aprovechadas. Para otras incluso, como el fallo en Windows Printing Service de Internet Information Services (IIS) Web server, se tiene constancia de que están siendo activamente aprovechadas. Para una de las que predijo la posibilidad de un exploit consistente, efectivamente se ha publicado posteriormente código capaz de aprovechar el fallo.

Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad. Se trata de un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas y que ya siguen Oracle y Cisco entre otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero más tarde adujo que su sistema propio de graduación era correcto, y nunca ha terminado de apoyar este estándar.

Por último, destacar que Microsoft últimamente está incluyendo boletines oficiales destinados a activar los killbits de componentes ActiveX, tanto propios como de terceros. Esto es muy positivo. Los ActiveX suelen ser librerías de Microsoft o de terceros que, en muchas ocasiones, sirven de puerta para entrar en el sistema a través de Internet Explorer, gracias a los fallos de seguridad de los propios ActiveX. El peligro está en que el navegador es capaz de invocarlos, aunque no sea realmente necesario para cumplir su función. Al activar el killbit, se asegura que Internet Explorer no puede llamarlos y se anula así un importante vector de ataque. Al difundir esta activación de killbits a través de las actualizaciones oficiales de Microsoft, se aseguran mitigar potenciales problemas con una difusión mucho más extensa que si lo hiciera el propio fabricante del ActiveX.

Aunque es obligación de los programadores de ActiveX ser precavidos y activar ese killbit, en la mayoría de las ocasiones sólo una vulnerabilidad les hace reaccionar. Usar los parches de Microsoft para anular este vector de ataque, puede impedir muchos problemas de manera mucho más rápida y mayoritaria. En esta última tanda de boletines (como medida extra de precaución) se han activado los killbits incluso de ActiveX propios de Microsoft que ya habían sufrido vulnerabilidades y para los que existían parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Exploitability Index
http://technet.microsoft.com/en-us/security/cc998259.aspx

sábado, 18 de octubre de 2008

La doctora Radia Perlman invitada de honor a DISI 2008

Desde el año 2006 la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, CAPSDESI, viene organizando el Día Internacional de la Seguridad de la Información bajo las siglas DISI. Una iniciativa de la Association for Computing Machinery ACM que en 1988 propone celebrar todos los años, con fecha 30 de noviembre o día laboral más próximo, el Computer Security Day CSD, con el objetivo de concienciar a la sociedad sobre la importancia de la seguridad en el uso de las Nuevas Tecnologías de la Información.

La tercera edición del DISI se celebrará el lunes 1 de diciembre de 2008 desde las 09:00 hasta las 15:15 horas, en el Salón de Actos del Campus Sur de la Universidad Politécnica de Madrid, España, contando en esta ocasión con la destacada presencia de la Dra. Radia Perlman, Sun Microsystems Fellow Network Protocols and Security Project Principal Investigator en Estados Unidos, connotada investigadora de seguridad en redes, autora de dos libros sobre networking y con más de 50 patentes a su haber en Sun. La Dra. Perlman es además ganadora de varios premios, nominada en dos ocasiones como una de las 20 personas más influyentes en la industria de los Estados Unidos por Data Communications Magazine y en muchos medios de comunicación es reconocida como "la Madre de Internet" gracias a su invento del spanning-tree protocol.

DISI 2008 contará también con la participación del Dr. Arturo Ribagorda, Director del Grupo de Seguridad de la Información y de las Comunicaciones de la Universidad Carlos III de Madrid; de D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil; de D. Manuel Vázquez, Jefe de la Brigada de Investigación Tecnológica de la Policía Nacional y de D. Andrés Velázquez, Director de Investigaciones Digitales de Mattica en México, todos ellos excelentes profesionales con un reconocido prestigio internacional y que presentarán el estado actual de la investigación en materias relacionadas con la seguridad, el uso de las técnicas forenses y las amenazas del cibercrimen y el ciberdelito que se ciernen sobre nuestra Sociedad de la Información.

Tras estas conferencias, se realizará una Mesa Redonda con el título "Forensia Informática y Amenazas del Cibercrimen", momento oportuno para que los asistentes puedan consultar a los expertos sobre, por ejemplo, el alcance de estas amenazas, las tendencias de futuro en el malware, los avances en la guerra digital e information warfare, los peligros inherentes al mal uso de la red, la diversidad de delitos que a través de ella se cometen diariamente o el importante papel que cumple la forensia informática en la investigación y el posterior esclarecimiento de los mismos.

Como en años anteriores, algo que además es un sello característico en todas las acciones de la Cátedra UPM Applus+, la asistencia al evento es totalmente gratuita. No obstante, se requiere (y se recomienda encarecidamente por motivos logísticos) hacer la preinscripción en la plataforma Moodle del servidor Web de la cátedra www.capsdesi.upm.es, sitio donde podrá encontrar también toda la información relativa al DISI 2008. Si tuviese cualquier impedimento para realizar la inscripción mediante este medio o prefiere hacerla vía telefónica, por favor contacte con Dña. Beatriz Miguel Gutiérrez al teléfono +34 913367842.

El evento se transmitirá por videostreaming para aquellos interesados que no tengan la oportunidad de asistir al congreso. El enlace de conexión se dará a conocer unos días antes de DISI 2008, entre otros, en el sitio Web de la cátedra y en el servidor de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed www.criptored.upm.es.

DISI 2008 cuenta con la colaboración de ASIMELEC, Red Seguridad, Hispasec Sistemas, ATI, ISSA España y Linux+.

En definitiva, una nueva ocasión para ser partícipes de interesantes conferencias impartidas por destacados ponentes de Estados Unidos, México y España, así como protagonistas del análisis del estado actual del arte en estas materias de máxima actualidad, con el objetivo de hacer nuestro el lema del Computer Security Day para este año 2008: "A Good Defense".


Jorge Ramió Aguirre
Director Cátedra UPM Applus+
www.capsdesi.upm.es/


Más información:

Computer Security Day:
www.computersecurityday.org/

Crónica DISI 2006:
www.virusprot.com/Seguridad-informatica-DISI-2006-UPM-APPLUS.htm

Crónica DISI 2007:
www.virusprot.com/Seguridad-Informática/Noticias-Seguridad-Informática/articulo2-DISI2007.html

viernes, 17 de octubre de 2008

Nueva macroactualización de seguridad para Mac OS X

Apple publicó la semana pasada un nuevo paquete de actualizaciones (Security Update 2008-007) para su sistema operativo Mac OS X, que solventa un mínimo de 40 vulnerabilidades. Con este último paquete, Apple ha rebasando la barrera de los 250 problemas de seguridad parcheados en lo que va de año, y eso sin contar los parches específicos de Safari o Quicktime.

Los problemas de seguridad solucionados podrían ser aprovechados por un atacante local o remoto para conducir ataques de cross-site scripting, revelar información sensible, saltarse restricciones de seguridad, causar denegaciones de servicio, y más de la mitad de ellos, podrían permitir la ejecución de código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-007, disponible para Tiger y Leopard, se incluyen parches para Finder, QuickLook, ColorSync, además de para múltiples componentes de código abierto integrados por Apple, como pueden ser ClamAV, MySQL o Apache Tomcat.

A continuación se analizan las distintas vulnerabilidades solventadas en la última actualización de Mac OS X, comenzando por las de mayor relevancia:

* Actualización de seguridad de Apache a la versión 2.2.9 que solventa múltiples vulnerabilidades, siendo la más grave susceptible de ser utilizada en ataques de cross-site scripting. La versión 2 de Apache está incluida en los sistemas Mac OS X Server 10.4.x, pero no viene activada por defecto.

* Actualización de ClamAV a la versión 0.93.3 que soluciona varias vulnerabilidades, entre ellas una que podría permitir la ejecución de código de forma remota.

* Un desbordamiento de búfer en ColorSync que podría permitir la ejecución de código por medio de una imagen que contenga un perfil ICC.

* Un desbordamiento de memoria intermedia en la codificación del formato de imagen SGI, usadas por el filtro de conversión de imagen imagetops en CUPS. Un atacante podría crear una imagen SGI especialmente manipulada que le podría permitir ejecutar código con permisos del usuario "lp" al imprimirla.

* Desbordamiento de búfer basado en heap en libxslt, que podría permitir la ejecución de código al abrir una página HTML especialmente manipulada.

* Actualización de seguridad a la versión 5.0.67 de MySQL Server, que solventa múltiples problemas de seguridad que podrían ser aprovechados para causar una denegación de servicio o ejecutar código arbitrario.

* Actualización de PHP a la versión 4.4.9 que soluciona varios problemas de seguridad que podrían permitir la ejecución remota de código.

* Desbordamiento de búfer en PSNormalizer al procesar un archivo PostScript especialmente manipulado.

* Denegación de servicio o ejecución remota de código causada por un intento de acceso a memoria fuera de los límites en QuickLook.

* Actualización a la versión 7.2.0.22 de vim que soluciona una posible ejecución de código arbitrario.

* Actualización de seguridad a la versión 6.0.14 de Apache Tomcat que soluciona múltiples vulnerabilidades.

* Certificates ha añadido numerosos certificados de confianza a su lista, y ha actualizado los existentes a su versión más reciente.

* Denegación de servicio en Finder a través de un archivo especialmente manipulado situado en el escritorio.

* Corregido un fallo en launchd introducido por la última actualización de seguridad de Leopard.

* Escalada de privilegios en Networking causada por un desbordamiento de búfer basado en heap.

* Solucionado un posible salto de restricciones de seguridad en Postfix.

* Posible salto de restricciones de seguridad en rlogin.

* Un usuario local podría ganar los permisos de otro usuario por medio de Script Editor.

* Se ha modificado el comando sso_util de Single Sing-On para que pueda aceptar contraseñas desde un archivo.

* Salto de restricciones de seguridad en Weblog.

Teniendo en cuenta las críticas que ha recibido Apple por publicar sus parches sin previo aviso, y también que la última macroactualización (Security Update 2008-006) fue lanzada hace menos de un mes ¿debería Apple subirse al carro de las actualizaciones programadas tal y como ya hacen Cisco, Oracle o Microsoft?

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:

Apple Security Update 2008-007 Server (Universal) :
http://www.apple.com/support/downloads/securityupdate2008007serveruniversal.html

Apple Security Update 2008-007 Server (PPC) :
http://www.apple.com/support/downloads/securityupdate2008007serverppc.html

Apple Security Update 2008-007 Client (PPC) :
http://www.apple.com/support/downloads/securityupdate2008007clientppc.html

Apple Security Update 2008-007 Client (Intel) :
http://www.apple.com/support/downloads/securityupdate2008007clientintel.html

Apple Security Update 2008-007 Server (Leopard) :
http://www.apple.com/support/downloads/securityupdate2008007serverleopard.html

Apple Security Update 2008-007 Client (Leopard) :
http://www.apple.com/support/downloads/securityupdate2008007clientleopard.html


Pablo Molina
pmolina@hispasec.com


Más información:

About Security Update 2008-007
http://support.apple.com/kb/HT3216


Actualizaciones previas:

21/09/2008 Nueva macroactualización de seguridad para Mac OS X
http://www.hispasec.com/unaaldia/3620/nueva-macroactualizacion-seguridad-para-mac

06/08/2008 Detalles sobre la macroactualización de seguridad para Apple
Mac OS X
http://www.hispasec.com/unaaldia/3574

03/07/2008 Actualización de seguridad para Mac OS X corrige hasta 25
vulnerabilidades
http://www.hispasec.com/unaaldia/3540

jueves, 16 de octubre de 2008

Adobe Flash 10 y las vulnerabilidades "oportunas"

Flash ya va por su versión 10. En esta nueva actualización, Adobe ha potenciado sobre todo las posibilidades de explotar el sonido por parte de los diseñadores. El problema es que con esta versión, además, aprovecha para dejar sin resolver temporalmente varios problemas de seguridad en su rama 9.

Además de los antivirus "rogue" (falsos antivirus que no son más que malware) también está últimamente de moda entre los atacantes intentar que los usuarios de Windows descarguen una supuesta nueva actualización de Flash. Cuando acceden a un enlace donde se promete un apetitoso vídeo de YouTube, se pide la descarga de una nueva versión de Flash que corresponde con el malware en sí. Adobe, oficialmente, acaba de sacar su versión 10 de Flash Player y obviamente, recomienda su descarga. Es posible que esto confunda a usuarios que estén al tanto de la publicación de la nueva versión legítima de Flash, resultando así la ingeniería social más efectiva. Ante este potencial peligro, es necesario insistir en que las actualizaciones en general deben realizarse sólo a través de las páginas oficiales, además de comprobar que el archivo se encuentra firmado digitalmente por la compañía adecuada (algo que realiza Windows de forma automática por defecto).

Entre las mejoras, Flash 10 corrige la funcionalidad de versiones anteriores que permite a una web secuestrar el portapapeles. Con la función "setClipboard" de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. Esto se está aprovechando actualmente para, a través de un archivo SWF, modificar a gusto del atacante el contenido del clipboard. Curiosamente, Flash 10 introduce una nueva función Clipboard.generalClipboard.getData que sí permite la lectura del portapapeles bajo ciertas circunstancias. Esto sí que podría llegar a suponer un problema grave de seguridad si se saltan las restricciones tenidas en cuenta por Adobe.

Adobe admitió el potencial peligro de estas funciones pero aun así no lo ha solucionado en las versiones anteriores a la 10. Como muchas otras compañías hacen, corregir exclusivamente en versiones avanzadas ciertos problemas (que pueden ser incluso de seguridad) sirve como excusa para fomentar una migración a su software más moderno. Por ejemplo, en estos momentos existen cinco potenciales fallos de seguridad en la rama 9 de Flash, que han sido solucionados exclusivamente en la 10. Para su versión 9, muy usada aún, se prolonga "artificialmente" la espera de la actualización hasta principios de noviembre.

Esta "técnica" es usada por muchas empresas. Algunas vulnerabilidades le son "oportunas" y aprovechan para actualizar sólo en una rama superior de su producto, forzando así una migración. Se usa la seguridad como moneda de cambio bien para obligar (como es el caso) a la conveniente actualización de un cliente gratuito (pero cuyo contenido se desarrolla con programas de pago), bien para directamente vender nuevos productos.

Un caso especialmente llamativo ocurrió con Microsoft y su Windows NT. A finales de marzo de 2003 Microsoft publicaba un boletín de seguridad para advertir de una vulnerabilidad en el servicio RCP Endpoint Mapper que podría ser aprovechada para provocar una denegación de servicio contra NT 4.0, 2000 y XP. En el apartado de actualizaciones, se informaba de que sólo estaban disponibles los parches para las versiones de Windows 2000 y XP, aun encontrándose NT en su ciclo normal de actualizaciones (no terminó oficialmente hasta enero de 2005). La excusa oficial: las propias limitaciones arquitectónicas de Windows NT 4.0, que es poco robusta en comparación con Windows 2000, y que requeriría demasiadas modificaciones para solucionar el problema. La excusa no se sostenía: La vulnerabilidad estaba ahí desde antes de ser descubierta... ¿y si hubiera salido a la luz unos años antes, cuando no existía Windows 2000? ¿Habrían dicho igualmente que es imposible de solucionar? Este incidente significaría el principio del fin para un producto que incluso hoy en día está muy arraigado en las empresas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

01/09/2008 El "secuestro" del portapapeles
http://www.hispasec.com/unaaldia/3600

Flash Player update available to address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb08-18.html

Adobe to prevent clipboard attacks via Flash Player
www.heise.de/english/newsticker/news/116338

27/03/2003 El principio del fin para Windows NT
http://www.hispasec.com/unaaldia/1614

miércoles, 15 de octubre de 2008

Boletines de seguridad de Microsoft en octubre

Tal y como adelantamos, este martes Microsoft ha publicado once boletines de seguridad (del MS08-056 al MS08-066) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "importante", otros cinco son "críticos" y uno tiene un nivel "moderado".

Los boletines "críticos" son:

* MS08-057: Actualización para Microsoft Office Excel que corrige tres vulnerabilidades que pueden permitir la ejecución remota de código arbitrario, si un usuario abre un archivo Excel específicamente manipulado.

* MS08-058: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS08-059: Actualización para solucionar una vulnerabilidad de ejecución remota de código en Microsoft Host Integration Server.

* MS08-060: Actualización que resuelve una vulnerabilidad en implementaciones de Active Directory en Microsoft Windows 2000 Server, que podría ser aprovechada por un atacante remoto para ejecutar código
arbitrario. Sólo afecta a los servidores de Microsoft Windows 2000 que se han configurado para ser controladores de dominio.

Los boletines clasificados como "importantes" son:

* MS08-061: En este boletín se ofrece una actualización para resolver tres vulnerabilidades en el kernel de Windows y que podría ser aprovechada por un atacante local para lograr el control completo de un sistema afectado.

* MS08-062: Actualización para corregir una vulnerabilidad en el servicio de impresión en Internet de Windows que podría permitir la ejecución remota de código en el contexto del usuario actual.

* MS08-063: Actualización para resolver una vulnerabilidad en el protocolo SMB de Microsoft , que podría permitir la ejecución remota de código arbitrario en un servidor que comparta archivos o carpetas. Afecta Windows 2000, XP, Vista y Windows Server 2003 y 2008.

* MS08-064: Actualización destinada a corregir una vulnerabilidad de escalada de privilegios en el descriptor de direcciones virtuales. Afecta Windows XP, Vista y Windows Server 2003 y 2008.

* MS08-065: Corrige una vulnerabilidad de ejecución remota de código en Message Queue Server (MSMQ) en sistemas Microsoft Windows 2000.

* MS08-066: Esta actualización de seguridad resuelve una vulnerabilidad en el controlador de función auxiliar de Microsoft, que podría ser aprovechada por un atacante local para lograr el control completo de un sistema afectado.

Por último, la clarificada como "moderada":

* MS08-056: Esta actualización de seguridad resuelve una vulnerabilidad de divulgación de información, que reside en la forma en que Office procesa los documentos mediante el protocolo CDO (cdo:) y el encabezado Content-Disposition: Attachment.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de octubre de 2008
http://www.microsoft.com/spain/technet/security/bulletin/ms08-oct.mspx

Boletín de seguridad de Microsoft MS08-056
Una vulnerabilidad en Microsoft Office podría permitir la divulgación de información (957699)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-056.mspx

Boletín de seguridad de Microsoft MS08-057
Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código (956416)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-057.mspx

Boletín de seguridad de Microsoft MS08-058
Actualización de seguridad acumulativa para Internet Explorer (956390)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-058.mspx

Boletín de seguridad de Microsoft MS08-059
Una vulnerabilidad en el servicio RPC de Host Integration Server podría permitir la ejecución remota de código (956695)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-059.mspx

Boletín de seguridad de Microsoft MS08-060
Una vulnerabilidad en Active Directory podría permitir la ejecución remota de código (957280)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-060.mspx

Boletín de seguridad de Microsoft MS08-061
Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (954211)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-061.mspx

Boletín de seguridad de Microsoft MS08-062
Una vulnerabilidad en el servicio de impresión en Internet de Windows podría permitir la ejecución remota de código (953155)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-062.mspx

Boletín de seguridad de Microsoft MS08-063
Una vulnerabilidad en SMB podría permitir la ejecución remota de código (957095)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-063.mspx

Boletín de seguridad de Microsoft MS08-064
Una vulnerabilidad en la manipulación del descriptor de direcciones virtuales podría permitir la elevación de privilegios (956841)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-064.mspx

Boletín de seguridad de Microsoft MS08-065
Una vulnerabilidad en Message Queue Server podría permitir la ejecución remota de código (951071)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-065.mspx

Boletín de seguridad de Microsoft MS08-066
Una vulnerabilidad en el controlador de función auxiliar de Microsoft podría permitir la elevación de privilegios (956803)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-066.mspx

martes, 14 de octubre de 2008

Los falsos antivirus y el uso fraudulento del .htaccess de páginas legítimas

La industria antivirus "alternativa" está en pleno auge. Se trata de antivirus falsos (llamados "rogue") que habitualmente se hacen pasar por una milagrosa cura para un sistema completamente infectado. Sus páginas parecen profesionales y engañan a los usuarios a través de una animación falsa donde supuestamente se detecta una gran cantidad de malware en el sistema y se propone la descarga del verdadero virus para desinfectar. Publicitar este tipo de "antivirus" es una tarea que se toman muy en serio.

Los antivirus "rogue" no son más que malware camuflado bajo el aspecto de un antivirus. Suelen diseñar una página de aspecto profesional desde donde puede descargarse. Para incitar a la instalación, simulan mediante una animación Flash que el sistema está siendo analizado en vivo y que se ha encontrado mucho malware que el falso antivirus puede eliminar. La animación suele ser la misma independientemente del sistema operativo que se utilice para visitar la web. Los creadores de este malware necesitan que se visite este tipo de páginas para que el usuario descargue y ejecute. Resulta una alternativa a la ejecución automática en la víctima aprovechando vulnerabilidades. Este sistema de ingeniería social cubre por ejemplo, la "cuota de mercado" que resta de usuarios que no pueden ser infectados a través de fallos de seguridad porque su sistema está al día.

Los dominios que alojan este tipo de malware se han multiplicado en el último año. Suelen tener el aspecto de: [ATENCIÓN, pueden contener malware, NO se deben visitar a menos que se sepa lo que se está haciendo].

antivirus-scanner-online .com, online-av-scan2008 .com, antivirus-online-08 .com, anti-virus-xp .com, anti-virus-xp .net, i-spyware8 .com, anti-spyware4 .com, smartantivirus2009v2 .com, smartantivirus2009v2-buy .com, anti-spyware11 .com, anti-spyware10 .com, antivirus-cs1 .com antivirus-cs14 .com, anti-virusxp2008 .net, antimalware09 .com, antivirxp .net, av-xp08 .net, av-xp2008 .com, av-xp2008 .net, avx08 .net, axp2008 .com, e-antiviruspro .com, online-security-systems .com, xpprotector .com, pvrantivirus .com, wav2008 .com, wiav2009 .com, win-av .com, windows-av .com, windowsav .com y un largo etcétera.

La técnica que se está observando últimamente es la del uso de banners y anuncios (Adsense, principalmente) para invitar al usuario a la descarga del supuesto antivirus a través de una publicidad que parece "normal". Incluso invierten (probablemente usando tarjetas robadas) en anuncios en páginas legítimas. Ahora han ido un paso más allá usando el archivo .htaccess de servidores legítimos, que consiguen controlar bien robando sus credenciales o aprovechando fallos de seguridad del sitio.

.htaccess es un archivo de Apache que permite controlar el acceso al directorio web donde esté alojado. Permite bloquear el acceso por direcciones IP o por otras reglas. Una posibilidad es por ejemplo usar el REFERER, o "desde qué página se ha llegado" y poder redirigir al visitante en consecuencia gracias al RewriteEngine del servidor web.

Se han observado cambios como estos en los archivos .htaccess modificados en webs legítimas.

RewriteEngine On
RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
RewriteRule .* http://webdelsupuestoantivirus.com [R,L]
Errordocument 404 http://webdelsupuestoantivirus.com

Lo que resulta curioso. Si un usuario visita directamente una página web con el .htaccess modificado de esta forma, en principio no pasará nada. Pero si la visita se realiza desde uno de los buscadores que aparecen (la víctima viene de Google, AOL, msn...), como el HTTP_REFERER cumple una de las condiciones de la expresión regular, será redirigido según la regla "RewriteRule" a la web del supuesto antivirus de forma automática. También si se visita una web que no exista (el servidor devuelve un 404).

Resulta especialmente rebuscado, pero al parecer eficaz. Los atacantes están aprovechando cada vez más las etiquetas User-Agent y Referer del protocolo HTTP para "personalizar" ataques. Si no son imprescindibles para el usuario, se puede añadir una pequeña capa de protección modificando estos valores través de un proxy. Por supuesto, además, conviene descargar y utilizar antivirus sólo de marcas reconocidas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Watch that .htaccess file on your web site
http://isc.sans.org/diary.php?storyid=5150

lunes, 13 de octubre de 2008

Publicada actualización para CA ARCserve Backup

CA ha publicado actualizaciones de seguridad para ARCserve Backup que corrigen cuatro vulnerabilidades que podrían permitir a un atacante remoto causar una denegación de servicio y potencialmente ejecutar código arbitrario.

CA ARCserve Backup de Computer Associates, es una suite de gestión de almacenamiento y recuperación de datos muy usada en el mundo empresarial. Soporta las diferentes plataformas integradas en la red, servidores bajo diferentes dominios o soluciones virtualizadas bajo VMware. Ofrece gestión centralizada de procesos, informes e integración de medidas antivirus y de cifrado.

Se ha corregido un fallo en la validación de parámetros de ciertas llamadas RPC efectuadas por el motor del servicio de mensajes. Esto podría ser usado por un atacante remoto para ejecutar comandos arbitrarios.

El segundo de los problemas reside en un fallo de validación de parámetros en el motor del servicio de cintas de respaldo. Un atacante remoto podría causar una denegación de servicio a través de peticiones especialmente manipuladas.

La actualización publicada también incluye la corrección de un fallo de validación de parámetros en el motor del servicio de bases de datos. Un atacante remoto podría causar una denegación de servicio a través de peticiones especialmente manipuladas.

Por último, se ha corregido un fallo de validación de las credenciales de autenticación. Un atacante remoto podría causar una denegación de servicio a través de peticiones especialmente manipuladas.

Se recomienda aplicar los siguientes parches según versión.
CA ARCserve Backup r12.0 Windows: instalar el SP1 RO01340
CA ARCserve Backup r11.5 Windows: RO02398
CA ARCserve Backup r11.1 Windows: RO02396
CA Protection Suites r2: RO02398

Disponibles para descarga desde la página del aviso de CA:
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=188143


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Notice for CA ARCserve Backup
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=188143

domingo, 12 de octubre de 2008

Denegación de servicio a través de UFS en Sun Solaris 8, 9 y 10

Se ha encontrado una vulnerabilidad en Sun Solaris 8, 9 y 10 y OpenSolaris que podría permitir a un atacante provocar una denegación de servicio.

El fallo se debe a un problema no especificado en la implementación de las ACL (Access Control List) del sistema de ficheros UFS. Un atacante local sin privilegios podría provocar un "panic" en el sistema y hacer que dejase de responder.

No existe parche oficial para las versiones de Sun Solaris, por lo que se recomienda restringir el acceso a usuarios no confiables. Para OpenSolaris se recomienda actualizar a OpenSolaris build snv_100 o posterior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the ACL (acl(2)) Implementation for UFS File Systems May Allow a Local User to Panic the System
http://sunsolve.sun.com/search/document.do?assetkey=1-66-242267-1

sábado, 11 de octubre de 2008

Corregida una vulnerabilidad de ejecución remota de código en Graphviz

El investigador de IBM, Roee Hay, ha descubierto recientemente una vulnerabilidad en Gralphviz que podría ser aprovechada para causar una denegación de servicio o ejecutar código arbitrario en el sistema, si un usuario intenta abrir un archivo DOT especialmente manipulado.

Graphviz es un software gratuito de visualización de grafos, de código abierto y que se distribuye bajo licencia Common Public License v.1.0. El programa permite realizar una descripción de grafos en formato de texto (lenguaje DOT) y obtener diagramas en múltiples formatos distintos. Desde la página web de Graphviz se pueden descargar los paquetes para Windows, Mac, FreeBSD, Solaris y para distintas distribuciones de Linux.

La vulnerabilidad está causada por una falta de comprobación de límites del array "Gstack" en la función "push_subg" de "lib/graph/parser.c". Esto podría ser aprovechado para desbordar el array causando una corrupción de memoria que podría ser aprovechada para ejecutar código arbitrario.

A continuación se puede ver la porción de código vulnerable, perteneciente a la versión 2.20.2 de Graphviz:

static void push_subg(Agraph_t *g) {
G = Gstack[GSP++] = g;
}

Y la función corregida, perteneciente a la última versión (v.2.20.3):

static void push_subg(Agraph_t *g) {
if (GSP >= GSTACK_SIZE) {
agerr (AGERR, "Gstack overflow in graph parser\n"); exit(1);
}
G = Gstack[GSP++] = g;
}

Si bien es cierto que la vulnerabilidad era evitable, y que la modificación requerida parece trivial, cabe reseñar la eficacia del grupo de desarrolladores del proyecto, ya que pasó tan solo un día desde que fueron informados de la vulnerabilidad hasta que pusieron a disposición de sus usuarios una versión actualizada y no vulnerable.

Se recomienda actualizar a la versión 2.20.3 de Graphviz, disponible para las distintas plataformas desde:
http://www.graphviz.org/Download..php


Pablo Molina
pmolina@hispasec.com


Más información:

Roee Hay: Graphviz Buffer Overflow Code Execution
http://roeehay.blogspot.com/2008/10/graphviz-buffer-overflow-code-execution.html

viernes, 10 de octubre de 2008

Microsoft publicará once boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan once boletines de seguridad, uno dedicado a Microsoft Host Integration Server, otro al Directorio Activo, a Internet Explorer, Office y el resto a Windows.

Si en septiembre fueron cuatro boletines de seguridad los que salieron a la luz, este mes Microsoft prevé publicar once actualizaciones el martes 14 de octubre. Cuatro alcanzan la categoría de críticos, seis de importantes y uno de moderado.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad.

El problema en el Directorio Activo afecta sólo a Windows 2000 Service Pack 4, y resulta crítico. También se aplicará probablemente una actualización acumulativa para el navegador Internet Explorer, que corrige al menos un error crítico, afectando a todas las versiones soportadas. Se corregirá además una vulnerabilidad crítica en Excel, aunque no se tiene constancia de que esté siendo aprovechada activamente por atacantes. Los seis boletines importantes están dedicados a distintos aspectos del sistema operativo. La rama 2000 se ve afectada por cuatro de ellas, XP-2003 por cinco y Vista-2008 también por cuatro.

Hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for October 2008
http://www.microsoft.com/technet/security/bulletin/ms08-oct.mspx

jueves, 9 de octubre de 2008

Múltiples vulnerabilidades en Cisco Unity 4.x, 5.x y 7.x

Cisco ha publicado una actualización para Cisco Cisco Unity que corrige múltiples fallos de seguridad que podrían permitir que un atacante remoto efectuar ataques de cross-site scripting o causar una denegación de servicio.

* Se ha corregido un fallo de seguridad no especificado que podría permitir a un atacante remoto efectuar ataques de cross-site scripting a través de vectores no especificados. Previamente requiere la manipulación, por parte del atacante, de la base de datos con permisos de administrador.

* Se ha corregido un fallo de seguridad no especificado que podría permitir a un atacante remoto causar una denegación de servicio a través de vectores no especificados. Requiere que este configurado el acceso anónimo.

* Se ha corregido una vulnerabilidad no especificada compartida con Microsoft relacionada con un error en el uso un API de Microsoft no especificado.

* Se ha corregido una vulnerabilidad de la que no se han facilitado detalles técnicos, ni su posible impacto.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema. Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_response09186a0080a0d861.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Response: VoIPshield Reported Vulnerabilities in Cisco Unity Server
http://www.cisco.com/warp/public/707/cisco-sr-20081008-unity.shtml

miércoles, 8 de octubre de 2008

Disponible la versión 9.60 de Opera

Se ha lanzado la versión 9.60 del navegador Opera, que corrige dos vulnerabilidades que podrían ser aprovechadas por un atacante remoto para saltarse restricciones de seguridad, revelar información sensible, causar una denegación de servicio o ejecutar código arbitrario en un sistema vulnerable.

Opera, además de ser un navegador web, contiene cliente de correo electrónico con gestor de contactos, cliente de IRC, lector de noticias RSS y gestor para la descarga de archivos torrent.

La versión 9.6 incluye cambios y mejoras en Opera Link, característica para sincronizar los favoritos y el historial de navegación; en el cliente de correo M2, incluyendo un modo especial para entornos con ancho de banda limitado; y en el Scroll Marker, añadiendo la posibilidad de marcar hasta donde has leído.

De las dos vulnerabilidades corregidas recientemente, la primera está catalogada como extremadamente severa por el equipo de Opera puesto que permitiría la ejecución remota de código, y la segunda se eleva a la categoría de altamente severa. A continuación se explican con detalle ambas vulnerabilidad solventadas:

* La primera vulnerabilidad, de la que no se han aportado detalles técnicos, podría permitir que un atacante remoto ejecutase código arbitrario por medio de una página web que redirigiera el navegador a una URL especialmente manipulada.

* El segundo problema está causado por un fallo en el cacheo de applets de Java, que podría dar lugar a que se cargase una applet en el contexto de la máquina local. Esto podría permitir, por ejemplo, que se leyeran otros archivos almacenados en caché que podrían contener información sensible.

Por último, señalar que se ha activado la característica de validación extendida (Extended Validation -EV-) para los certificados que provengan de Verisign (incluyendo Thawte y Geotrust) y Comodo. Se puede hacer una prueba de los mismos en los enlaces de la sección Más Información.

Las vulnerabilidades están confirmadas para todas las versiones de Opera, desde la 5.x hasta la 9.5.x para Windows, Linux y Mac OS X.

Se recomienda actualizar a la versión 9.60 del navegador Opera, disponible para su descarga desde:
http://www.opera.com/download/


Pablo Molina
pmolina@hispasec.com


Más información:

Opera 9.6 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/960/

Advisory: Specially crafted addresses can execute arbitrary code
http://www.opera.com/support/search/view/901/

Advisory: Java applets can be used to read sensitive information
http://www.opera.com/support/search/view/902/

Enlaces a URLs con Extended Validation Certificates:
* Comodo:
https://comodocertificationauthority-ev.comodoca.com/
https://www.sslcertificaten.nl/
https://secure.comodo.com/example.html
* Geotrust: https://www.geotrust.com
* Thawte: https://www.thawte.com
* Verisign:
https://www.dnbnor.no/
https://nettbank.sparebank1.no/

martes, 7 de octubre de 2008

Diversas vulnerabilidades en Novell eDirectory

Se ha anunciado una vulnerabilidad en Novell eDirectory 8.7.3 por la que un usuario remoto puede lograr la ejecución de código arbitrario en el sistema.

Novell eDirectory es el servicio de directorio LDAP de Novell, compatible con AIX, HP-UX, Linux, NetWare, Solaris y Windows, admite todo un abanico de estándares emergentes y protocolos de servicios Web: DSML, SOAP y XML, entre otros.

Un usuario remoto podrá enviar datos especialmente creados para provocar diversos desbordamientos de búfer basados en heap que podrían permitir la ejecución de código arbitrario en el sistema atacado. El código se ejecutará con los permisos del servicio objetivo.

Existen otras dos vulnerabilidades en la herramienta de administración Novell eDirectory Management Toolbox que podrían provocar condiciones de denegación de servicio.

Novell ha publicado la versión 8.7.3 SP10 FTF1 que corrige estas vulnerabilidades y otra serie de problemas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

History of Issues resolved in eDirectory 8.7.3 patches
http://www.novell.com/support/viewContent.do?externalId=3477912

Novell eDirectory Management Toolbox HTTP Header Processing Bugs Let Remote Users Deny Service
http://securitytracker.com/alerts/2008/Oct/1020989.html

Novell eDirectory Heap Overflow in Processing Certain Opcodes Lets Remote Users Execute Arbitrary Code
http://www.securitytracker.com/id?1020990

lunes, 6 de octubre de 2008

Nuevos contenidos en la Red Temática CriptoRed (septiembre de 2008)

Breve resumen de las novedades producidas durante el mes de septiembre de 2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED

* Criptología, Entropía y Evolución (Enrique Daltabuit, artículo Word, 18 páginas, México)
http://www.criptored.upm.es/guiateoria/gt_m720a.htm

* ISO/IEC 38500 y el Buen Gobierno de las T.I. (Beatriz Martínez, artículo pdf, 2 páginas, España).
http://www.criptored.upm.es/guiateoria/gt_m453a.htm

* Actualización del Archivo Exámenes Resueltos Asignatura Seguridad Informática EUI - UPM (Jorge Ramió, España)
http://www.criptored.upm.es/examen/e_eui_upm.htm

* 323 documentos para su libre descarga
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Julio de 2008 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200807.pdf

* Informe de la Red de Sensores de INTECO del Mes de Agosto de 2008 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200808.pdf

* La guerra fría electrónica y la inseguridad de la información (Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012245&random=8011#ancla

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Octubre 6 al 8 de 2008: 13th European Symposium on Research in Computer Security ESORICS 2008 (Málaga, España)
http://www.isac.uma.es/esorics08/

* Octubre 5 al 10 de 2008: XV Congreso CCBol 2008 (Sucre, Bolivia)
http://ccbol2008.net/

* Octubre 18 al 19 de 2008: NSS 2008 IFIP International Workshop on Network and System Security (Shanghai, China)
http://nss.cqu.edu.au/

* Octubre 22 al 25 de 2008: Second Workshop on Mathematical Cryptology en UNICAN (Santander, España)
http://grupos.unican.es/amac/wmc-2008/index.html

* Octubre 27 al 31 de 2008: 2nd MICAI Workshop in Computer Security en el Tecnológico de Monterrey (México DF, México)
http://homepage.cem.itesm.mx/raulm/ws/security/

* Octubre 29 al 31 de 2008: 15th International Congress on Computer Science Research (Aguascalientes, México)
http://www.ciicc.ita.mx/

* Diciembre 1 al 5 de 20908: V Congreso Internacional de Telemática y Telecomunicaciones CITTEL 08 (La Habana, Cuba).
http://www.cujae.edu.cu/eventos/convencion/cittel/

* Diciembre 3 al 5 de 2008: 7th International Information and Telecommunication Technologies Symposium (Foz do Iguaçu, Brasil)
http://www.i2ts.org/

* Diciembre 3 al 5 de 2008: International Conference E-Activity and Leading Technologies (Madrid, España)
http://www.iask-web.org/e-alt08/e-alt2008.html

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society 2009 (Barcelona, España)
http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on Practical Applications of Agents and Multiagent Systems (Salamanca, España)
http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference WWW 2009 (Madrid, España)
http://www2009.org/

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications ISCC 09 (Sousse, Túnez)
http://www.comsoc.org/iscc/2009/

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE SEPTIEMBRE DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#sep08

* Cuarta Edición de la Ekoparty Security Conference en Buenos Aires (Argentina)
http://www.ekoparty.com.ar/

* Nuevo Diplomado en Gerencia de Seguridad de Información en la Universidad de Chile (Chile)
http://uejecutivos.cl/diplomados/auditoria_y_contabilidad/diplomado_en_gerencia_de_seguridad_de_informacion_-_2008_3.chile

* Libro Hacking Ético (Argentina)
http://www.hackingetico.com/

* Nueva Edición Formación Técnica en Seguridad y Auditoría Informática para Profesionales (España)
http://www.informatica64.com/CursoSeguridadProfesionales.html

* Invitación al IV OWASP Spain Chapter Meeting en Barcelona (España)
http://www.owasp.org/index.php/Spain

* VII Seminario Anual Tendencias de la Tecnología en Seguridad Informática (Argentina)
http://www.cybsec.com/upload/seminario_tendencias_2008.pdf

* Programa de INTECO Impulso a la Implantación y Certificación de SGSI en la PYME (España)
https://sgsi.inteco.es/

* Curso LOPD Aplicada a Entornos Windows y Webcast sobre Delitos Informáticos (España)
http://www.microsoft.com/spain/seminarios/hol.mspx

* Diplomado Virtual en Redes WiFi en la Universidad Manuela Beltrán de Bogotá (Colombia)
http://aulanet.umb.edu.co/diplomado_wifi/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 727
(198 universidades y 271 empresas representadas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 24.781 visitas, con 77.369 páginas solicitadas y 35,75 GigaBytes servidos en septiembre de 2008.
Las estadísticas AWStats del mes se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

septiembre de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#sep08