miércoles, 31 de diciembre de 2008

Investigadores consiguen hacer que cualquier certificado SSL parezca válido

Antes de que termine este año de catástrofes en la Red, un grupo de investigadores consiguen asestar otro golpe a una de las infraestructuras de Internet en la que se confía: la PKI (infraestructura de claves públicas). Aunque el impacto real será mínimo, se ha conseguido demostrar empíricamente que es posible falsificar cualquier certificado SSL y por tanto, que los navegadores den como válidos certificados falsos que harían aparecer páginas fraudulentas como legítimas.

Esta es una de esas noticias que se presta a cierta exageración en los medios, al igual que pasó con la supuesta ruptura del WPA con TKIP o con el ataque sockstress, ambas de solo hace unas semanas. En realidad solo se ha demostrado algo que se suponía teórico (que no es poco). El SSL no está roto, el problema real reside en cómo lo utilizan algunas autoridades certificadoras "anticuadas", o sea, en un modelo de PKI concreto. Por último, destacar que el hecho de que los investigadores hayan usado la potencia de 200 consolas PlayStation3 para conseguir su objetivo, es irrelevante, solo desvía la atención del problema aunque añada cierto "glamour".

En realidad, las raíces reales del problema son dos: las conocidas colisiones del algoritmo MD5, y que ciertas autoridades certificadores todavía lo usen. Vamos a realizar una pequeña introducción sobre los certificados y luego explicar cómo lo han conseguido exactamente y las consecuencias.

SSL y los certificados

SSL es un protocolo que sirve para cifrar las comunicaciones punto a punto, por ejemplo entre un navegador y un servidor web o una conexión SSH. En una conexión SSH no es necesario autenticar al servidor remoto habitualmente, pero sí cuando un usuario se conecta a una página web. ¿Estoy realmente en la web de mi banco? Para eso se inventaron los certificados, que son una especie de "documentos de identidad", DNI, del servidor. Ahí aparecen (respetando el estándar X.509) datos como el nombre de dominio para el que está emitido, fechas de validez, clave pública del sitio y sobre todo, qué autoridad le da validez a ese certificado. Si en el caso de los carnés de identidad la validez la certifica el Estado, en Internet existen un buen número de autoridades certificadores (CA) que validan esa información. Cuando se crea una clave pública que va a servir para certificar un sitio web, el dueño del sitio debe enviar esa clave junto con sus datos a una autoridad para que todo junto se convierta en un certificado y se garantice que pertenece a esa persona o entidad.

Los certificados y "las firmas"

Las CA calculan el hash (una especie de firma-resumen) de todo el certificado (recordemos: nombre de dominio, fechas, clave pública...), y este valor se añade al propio certificado. Sería como su número personal e intransferible que lo incluye todo. Si se altera algún valor, este dato cambia por completo. Luego además "firman" este hash (y solo el hash) con su propia clave privada, de forma que ahora el certificado, tiene un "número de identificación", firmado por alguien de confianza y supuestamente único, además asociado de forma indivisible a sus datos.
Este paso sería como "lacrar" el certificado en un sitio oficial. Como veremos, aquí es donde las CA cometen el error técnico.

Como existen muchas CA, los navegadores traen ya por defecto una lista de certificados raíz que sirven para comprobar de forma automática la ruta de validez del certificado, que está firmado por alguien en quien se confía.

Si existe algún fallo durante esta comprobación automática, si por ejemplo se crea un certificado que dice ser de un sitio pero no lo es y no está validado, el hash no casará y el navegador se quejará mostrando una alerta. Confiamos en los hashes firmados porque se supone que es muy complejo que dos hashes coincidan si son creados a partir de datos diferentes, esto es, que colisionen.

"Las firmas" y el MD5

Cuando hablamos de hash o firma criptográfica, todavía se acude al MD5 como referente, aunque esté obsoleto y desaconsejado. Muchas CA han usado y están usando MD5 para calcular el hash del certificado y firmar esto con su clave privada. Otras muchas autoridades, la mayoría, están ya valiéndose de SHA1, un algoritmo de hash mucho más robusto y al que todavía no se le han encontrado serios problemas. MD5 por el contrario, es rechazado porque la potencia de computación actual hace que sea sencillo encontrar colisiones.

Esto es precisamente lo que han expuesto varios investigadores internacionales en Berlín el día 30 de diciembre. Han creado certificados con identidades usurpadas, pero validados por CA. Lo han conseguido con fuerza bruta, forzando la colisión de la firma MD5. Esto puede permitir crear sitios falsos con certificados que sean válidos, o de forma práctica: phishings perfectos.

Cómo lo han hecho

Alegóricamente, lo que han conseguido es recortar un sello del Estado que da validez a un carné cualquiera y pegarlo en un carné falsificado de otro individuo al que se pretende imitar. El mérito del descubrimiento es que parezca real aunque los sellos son únicos y están creados a partir de los datos de todo el carné, además de lacrados por una autoridad.

Por ejemplo, si se quiere falsificar el certificado de hispasec.com, los investigadores crearían dos certificados, uno que falsificase los datos de Hispasec y otro real con cualquier información. El truco es que han conseguido con fuerza bruta, que ambos resulten en un mismo hash criptográfíco, en el mismo MD5. Entonces enviarían el real (con cualquier información no necesariamente relacionada con Hispasec) a una CA que todavía use MD5 para validar certificados. La CA lo firmaría y lo validaría con total normalidad. Luego los atacantes dan el cambiazo: les bastaría con modificar el hash del certificado que falsifica los datos de Hispasec con el hash del otro certificado, validado ya por una CA. Como ambos resultan en el mismo hash aunque contengan distintos datos, todo encaja, y el certificado falso seguiría siendo matemáticamente válido a todos los efectos.

Qué pasa ahora

No mucho. La tecnología SSL es muy útil, y ahora se le ha encontrado un pequeño hueco que hace que en teoría, podamos dudar de todos los certificados de autoridades certificadoras que se basen en MD5, pero son las que menos. En cualquier caso, el problema de base es que el usuario medio no sabe qué es SSL, ni qué significa un certificado, y mucho menos interpretarlo. Como mucho, sabe que si está en un sitio https, o el candado del navegador está activo, entonces el sitio es "bueno". Pero ya sabemos que para conseguir un candado en el navegador o incluso un certificado no válido (aunque el navegador se queje, el usuario no entenderá la advertencia y dirá que "sí") no es necesaria tanta complejidad. Un atacante puede comprar certificados baratos que validen un nombre falso (banc0.com), el navegador ni se quejará y el usuario tampoco entenderá qué está pasando.

SSL es técnicamente genial pero está resultado una tecnología "socialmente" fallida. No es entendida por el usuario y ese es el mayor de sus problemas. Con este golpe técnico la infraestructura de PKI se ha demostrado que incluso a los expertos se les podría engañar con los certificados, pero también es cierto que los que entienden la tecnología pocas veces se detienen a cuestionarse un certificado, comprobando la ruta de certificación y demás información proporcionada por el sitio supuestamente seguro. SSL arrastra la lacra del desconocimiento por parte de la mayoría de los usuarios. Si por ejemplo el DNI es aceptado nacionalmente como documento que valida una identidad, un certificado SSL está lejos de ser aceptado por el usuario medio de Internet como documento que garantice nada.

También hay que tener en cuenta que pocas CA usan hoy día MD5, y que tras esta llamada de atención es de esperar que sean todavía menos en el futuro. Para los que posean certificados, es aconsejable que comprueben que la CA que les ha dado validez usa o no MD5.

En definitiva, esto es grave sobre todo para https, pero nada catastrófico va a pasar a efectos prácticos para el usuario medio. Al menos no más grave de lo que ya está ocurriendo, teniendo en cuenta la credibilidad de la que todavía gozan burdas copias de páginas web que simulan ser bancos.

Todos los grandes fabricantes (que usen VPN basadas en SSL o implementen navegadores) han publicado avisos explicando el problema.




Sergio de los Santos
ssantos@hispasec.com


Más información:

MD5 considered harmful today
http://www.win.tue.nl/hashclash/rogue-ca/

17/06/2008 Mitos y leyendas: "Compruebe el candadito del navegador para
estar seguro" II (Troyanos)
http://www.hispasec.com/unaaldia/3524

03/06/2008 Mitos y leyendas: "Compruebe el candadito del navegador para
estar seguro" I (Phishing)
http://www.hispasec.com/unaaldia/3510

martes, 30 de diciembre de 2008

Resumen de seguridad de 2008 (II)

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva lo que ha sido el segundo cuatrimestre de 2008 en cuestión de seguridad informática. Estas son las que consideramos las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Mayo 2008:

* Según G Data, España ocupa el noveno puesto mundial en número de sistemas zombi, casi en empate técnico con Estados Unidos y Rusia.

* Una central nuclear en Georgia debe realizar un apagado de emergencia durante 48 horas tras la instalación de una actualización de seguridad que desestabiliza un ordenador, perteneciente a la red de control de la planta.

* Microsoft lanza el Service Pack 3 para el sistema operativo más popular de la compañía. Tras un pequeño retraso por cierta incompatibilidad con su Dynamics RMS, se ofrece para descarga directa.

* El plugin del idioma vietnamita para Firefox 2, es distribuido desde el sitio oficial (y desde febrero) infectado con adware.

* Es el año del descubrimiento de grandes fallos catastróficos. Se descubre que el generador de números aleatorios del paquete OpenSSL de Debian es predecible. Aparecen los exploits y listas de claves públicas y privadas que cubren todo el rango que el paquete era capaz de generar por este error.

Junio 2008:

* Se lanza Firefox 3 con gran éxito (animado por una campaña que pretende romper el récord de descarga durante las primeras 24 horas de disponibilidad).

* Eva Chen, cofundadora y CEO de Trend Micro, declara "la industria antivirus apesta". Los atacantes van por delante y la industria se ha quedado atrás.

* Hispasec participa en un taller de trabajo de un proyecto europeo llamado FORWARD. Básicamente se trata de una iniciativa de la Unión Europea que intenta crear un grupo de expertos en materia de seguridad informática que ayude no solo a ver con perspectiva lo que ocurre en estos momentos en el mundo, sino que también se aporten ideas sobre cuáles se sospecha serán las futuras amenazas a largo plazo.

* Se publica Opera 9.5, que introduce importantes funcionalidades a la vez que corrige serios problemas de seguridad.

Julio 2008:

* Después de algo más de un año de trabajo entre bambalinas, y bajo el amparo de la Unión Europea, comienza su andadura el proyecto WOMBAT (Worldwide Observatory of Malicious Behaviors and Attack Threats), formado por un grupo de universidades y empresas internacionales, entre las que se encuentra Hispasec.

* Se publica una actualización masiva para la mayoría de los dispositivos en Internet que utilizan DNS. Se dice que había sido descubierta una vulnerabilidad que permitía falsificar las respuestas DNS y, por tanto, redireccionar el tráfico. Casi todos los grandes y pequeños fabricantes y programadores actualizan sus sistemas y se intentan mantener los detalles técnicos de la vulnerabilidad ocultos, por la gravedad y el potencial impacto que podría suponer.

* Apple es el último gran fabricante en publicar un parche para la grave vulnerabilidad en el protocolo DNS descubierta por Kaminsky.

Agosto 2008:

* Alexander Sotirov y Mark Dowd, muestran en las conferencias Black Hat 2008 cómo traspasar las protecciones de memoria de Windows Vista y ejecutar a través del navegador cualquier tipo de código.

* Aparece un nuevo troyano que afecta a archivos multimedia. Este malware, que muchas casas antivirus denominan GetCodec, emplea una técnica de infección que no había sido vista hasta el momento. Hispasec publica un amplio estudio técnico al respecto.

* También durante la Black Hat, se habla de nuevo de la mayor vulnerabilidad de Internet al demostrar dos investigadores una nueva técnica que permite interceptar el tráfico de Internet a una escala global. Tony Kapela y Alex Pilosov demuestran por fin de forma empírica un problema que se presuponía teórico hasta ahora. Cualquiera con un router BGP podría desviar el tráfico de cualquier gran nodo y devolverlo de forma transparente.


Sergio de los Santos
ssantos@hispasec.com



lunes, 29 de diciembre de 2008

Resumen de seguridad de 2008 (I)

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2008 en cuestión de seguridad informática. En tres entregas (cuatro meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2008:

* Se encuentra la enésima vulnerabilidad que permite la ejecución de código en RealPlayer. Es explotada antes de que exista solución. Los atacantes se cuelan en servidores que alojan páginas e incrustan sus propios IFRAMEs para infectar a los visitantes. Se estima que existen unas 80.000 páginas legítimas alteradas con exploits.

* Se cumple un año del primer "avistamiento" de Storm Worm. Una de las epidemias más extendidas en sistemas Windows.

* La empresa Sentrigo publica una encuesta sobre seguridad en Oracle. Dos tercios de los administradores no parchean sus bases de datos.

Febrero 2008:

* La Fundación Mozilla publica la versión 2.0.0.12 que corrige una vulnerabilidad que permite obtener información sensible del usuario, descubierta por el equipo técnico de Hispasec.

* El grupo 29A anuncia oficialmente su retirada. Se trata un síntoma más de que hace ya tiempo se terminó la época romántica de la creación de virus. Representaron la élite en cuanto a creación de virus se refiere, era realmente un laboratorio de I+D en España.

* Se presenta la AMTSO (Anti-Malware Testing Standards Organization). Es una iniciativa de la industria antivirus para estandarizar comparativas.

* Se popularizan los archivos PDF que aprovechan vulnerabilidades en Adobe Reader para infectar sistemas. Una de sus vulnerabilidades está siendo aprovechada para instalar malware, en concreto Zonebac.

* Aparece una grave vulnerabilidad en el kernel de Linux anterior al 2.6.22.17 que permite elevar privilegios a root. Se hace público un exploit.

* Se descubren nuevos métodos para intentar eludir los filtros antispam. Uno de ellos es valerse de los mensajes automáticos de "fuera de la oficina" que utilizan algunos servicios de webmail legítimos.

Marzo 2008:

* Cisco anuncia importantes cambios en la planificación de sus alertas. Decide publicar sus parches de seguridad cada seis meses, en el cuarto miércoles de marzo y el cuarto miércoles de septiembre. Ese mes publica cinco en su primer ciclo.

* Apple Mac OS X publica un mega parche que soluciona 90 fallos de seguridad.

* Adobe publica una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante ejecutar código arbitrario en el sistema vulnerable.

* VirusTotal Uploader, nuestra pequeña herramienta para enviar ficheros a VirusTotal a través del menú contextual de Windows, es seleccionada por la edición USA de PC World para pertenecer a su lista de "101 Fantastic Freebies".

Abril 2008:

* PayPal anuncia que bloqueará a los navegadores "inseguros", o sea, los antiguos que han dejado de tener soporte o que no incorporan tecnología antiphishing.

* La versión 2.0.0.14 del navegador Firefox, corrige una sola vulnerabilidad, con origen en una actualización anterior.


Sergio de los Santos
ssantos@hispasec.com



domingo, 28 de diciembre de 2008

La vulnerabilidad de Windows Media Player degradada a simple error

El día 24 de diciembre un mensaje en la lista de correo Bugtraq hacía pública una supuesta vulnerabilidad en Windows Media Player que afectaba a todas las versiones en todos los sistemas. El fallo en sí es un desbordamiento de entero producido al procesar un archivo especialmente manipulado en los formatos WAV, SND, o MID. La antesala a una ejecución de código arbitrario.

El mensaje iba acompañado de una prueba de concepto, un script en Perl que al ejecutarlo nos deja un archivo en formato MIDI que al ser abierto por Windows Media Player provoca el cierre de la aplicación. Hasta ahí todo correcto, era cuestión de tiempo para comenzar a ver exploits que fuesen capaces de aprovechar el fallo para alcanzar el cáliz de las vulnerabilidades: ejecutar código arbitrario. Pero días después no se escuchaba nada, no había ruido de sables, no había exploit.

Según Christopher Budd del MSRC (Microsoft Security Response Center), quien se queja de que el investigador no haya contactado con ellos antes de su publicación, no hay vulnerabilidad. No hay posibilidad alguna de ejecutar código. De hecho, según Jonathan Ness del SWI (Microsoft Security Windows Initiative) incluso fue descubierto por ellos en sus auditorías internas y ya está solucionado en el Service Pack 2 de Windows Server 2003.

Sin entrar en detalles técnicos, la prueba de concepto proporcionada es procesada por "quartz.dll" un componente de DirectShow encargado de los archivos con extensión WAV, SND, y MID. El desbordamiento de entero ocurre en una instrucción DIV -concretamente cuando se ejecuta EAX = (EDX:EAX)/reg y el resultado no entra en el registro de 32 bits- , pero la excepción levantada no es capturada por 'quartz.dll', ni se produce corrupción de memoria.

Así que el susto se queda relegado a la categoría de bug y se programa su eliminación para la próxima actualización de mantenimiento.


David García
dgarcia@hispasec.com


Más información:

Marco Ramilli - Windows Media Player Integer Overflow
http://marcoramilli.blogspot.com/2008/12/windows-media-player-integer-overflow.html

Bugtraq - MS Windows Media Player * (.WAV) Remote Integrer Overflow
http://www.securityfocus.com/archive/1/499579

SVRD - Windows Media Player crash not exploitable for code execution
http://blogs.technet.com/swi/archive/2008/12/29/windows-media-player-crash-not-exploitable-for-code-execution.aspx

MSRC - Questions about Vulnerability Claim in Windows Media Player
http://blogs.technet.com/msrc/archive/2008/12/29/questions-about-vulnerability-claim-in-windows-media-player.aspx

sábado, 27 de diciembre de 2008

Calendario de la gira de Seguridad 2009

Durante los meses de enero y febrero de 2009 se desarrollará la Gira de Seguridad 2009 por diferentes ciudades españolas y de forma totalmente gratuita. Desde hace ya varios años esta gira de seguridad viene siendo realizada al amparo del programa de difusión de tecnología de Microsoft conocido como Technet.

Este programa fomenta la divulgación tecnológica desde diferentes formatos como son los Webcasts que se realizan a través de Internet, los Virtual Labs, (entornos de prueba accesibles para todos los que deseen probar un laboratorio desde su lugar de trabajo), la documentación escrita o los Hands On Lab. En estos últimos se cuenta con un instructor que acompaña a la sesión o los eventos presenciales, como es el caso de esta gira.

Este año contará con la presencia de cuatro empresas que aportarán conocimientos y tecnologías en materia de seguridad: Business Integration, D-Link, Quest Software, Microsoft Technet e Informática64. La jornada es de mañana y los asistentes recibirán un certificado acreditativo de 5 créditos en formación de seguridad que será entregado en el mismo día de la gira..

Las ciudades, las fechas, las agendas y los regisros en los siguientes links:

Enero:

- 13: Barcelona
- 14: Zaragoza
- 15: Pamplona
- 21: Vigo
- 22: A Coruña
- 27: Sevilla
- 29: Valladolid

Febrero:

- 03: Valencia
- 04: Tenerife
- 13: Madrid

Tras cada conferencia se celebrará un Hands On Lab [HOL-SEG 20] con comida incluida de Contramedidas Hacker en aplicaciones web.

Para asistir es necesario registrarse en:

Barcelona:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032398441&Culture=es-ES
Zaragoza:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032398445&Culture=es-ES
Pamplona:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032398446&Culture=es-ES
Vigo:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032398450&Culture=es-ES
A Coruña:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032398650&Culture=es-ES
Sevilla:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032398655&Culture=es-ES
Valladolid:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032398660&Culture=es-ES


Chema Alonso
chema@Informatica64.com



viernes, 26 de diciembre de 2008

Actualización de SNMP Management Agent para Sun Solaris 8, 9 y 10

Sun ha publicado una actualización para SNMP Management Agent, para evitar una vulnerabilidad que podría permitir a un atacante local obtener privilegios de administrador.

La vulnerabilidad reside en un error en la gestión de archivos temporales, que puede ser aprovechada para sobreescribir archivos arbitrarios y obtener privilegios de root.

Se ven afectadas las versiones de Sun SNMP Management Agent "SUNWmasf" 1.4u2 a 1.5.4 (para Solaris 8, 9 y 10 en plataforma SPARC). Sin embargo, el demonio System Management Agent (SMA) SNMP (snmpd(1M)) incluido en Solaris 10 no se ve afectado.

Sun ha publicado la version Sun SNMP Management Agent ("SUNWmasf") 1.5.5 que corrige el problema disponible desde:
http://www.sun.com/download/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Insecure Temporary File Usage Vulnerability in Sun SNMP Management Agent
http://sunsolve.sun.com/search/document.do?assetkey=1-66-248646-1

jueves, 25 de diciembre de 2008

Ejecución de código a través de la extensión mbstring de PHP 5.x y 4.x

Se ha encontrado una vulnerabilidad en PHP, en la extensión de tratamiento de cadenas con tipografía multibyte, que podría permitir a un atacante ejecutar código arbitrario.

El fallo se debe a un desbordamiento de memoria basado en heap en la extensión mbstring que podría permitir la ejecución de código con los privilegios del servicio objetivo. El problema se da en el código que decodifica cadenas que contienen entidades HTML a cadenas Unicode (mbfilter_htmlent.c).

Las funciones afectadas (entre otras) son:
mb_convert_encoding()
mb_check_encoding()
mb_convert_variables()
mb_parse_str()

Son vulnerables todas las versiones anteriores a la 4.3.0 y 5.2.7. El problema ha sido solucionado en la versión 5.2.8 disponible en www.php.net


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

PHP Buffer Overflow in Multibyte String Extension May Let Users Execute Arbitrary Code
http://securitytracker.com/alerts/2008/Dec/1021482.html

miércoles, 24 de diciembre de 2008

Actualización del kernel para Debian Linux 4.x

Debian ha publicado una actualización del kernel que corrige múltiples fallos de seguridad que podrían causar una denegación de servicio o una elevación de privilegios.

Los problemas corregidos son:

* Denegación de servicio local o escalada de privilegios en rch/i386/kernel/sysenter.c a través de las funciones install_special_mapping, syscall y syscall32_nopage.

* Denegación de servicio local a través de los sistemas de archivos ext2 y ext3. Un usuario local con permisos para montar sistemas de archivos podría crear un sistema de archivos especialmente manipulado pudiendo hacer que el kernel envíe mensajes de error de forma indefinida.

* Salto de restricciones de seguridad a través de splice() en archivos abiertos con O_APPEND, que podría permitir la escritura en dicho archivo.

* Posibles denegaciones de servicio remoto a través del subsistema SCTP (kernel oops y kernel panic).

* Denegaciones de servicio local a través del sistema de archivos hfsplus. Un usuario local con permisos para montar sistemas de archivos podría crear un sistema de archivos especialmente manipulado que podría dar lugar a una corrupción de memoria o kernel oops.

* Denegación de servicio, a través del subsistema de sockets unix, que podría causar una corrupción de memoria o kernel panic.

* Denegación de servicio, a través de la función svc_listen de net/atm/proc.c. Un usuario local podría provocar un bucle infinito mediante dos llamadas a svc_listen hacia el mismo socket y, a continuación, una lectura del archivo /proc/net/atm/*em.

* Elevación de privilegios a través de inotify. Un usuario local podría obtener una elevación de privilegios a través de vectores desconocidos relacionados con condiciones de carrera en inotify y umount.

* Denegación de servicio a través de la función sendmsg y AF_UNIX. Un usuario local mediante múltiples llamadas a la función sendmsg podría causar una denegación de servicio debido a que AF_UNIX no bloquea estas peticiones durante la recolección de basura y provoca una condición OOM.

Se recomienda actualizar a través de las herramientas automáticas apt-get.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[DSA 1687-1] New Linux 2.6.18 packages fix several vulnerabilities
http://lists.debian.org/debian-security-announce/2008/msg00279.html

martes, 23 de diciembre de 2008

El año de las "grandes catástrofes" en Internet

Si por algo se ha caracterizado (y se recordará) 2008 es por convertirse en el año de las grandes catástrofes en Internet, con el descubrimiento de hasta cinco graves vulnerabilidades que hacían tambalearse los cimientos de la Red. En contraste, durante el año, la mayoría de los atacantes han seguido valiéndose sobre todo de fallos "tradicionales".

El "despiste" de Debian

En mayo se descubre que el generador de números aleatorios del paquete OpenSSL de Debian es predecible. Esto hace que las claves generadas con él ya no sean realmente fiables o verdaderamente seguras. Alguien (por error) del equipo de Debian eliminó en 2006 una línea de código en el paquete OpenSSL de Debian que ayudaba a generar la entropía al calcular el par de claves pública y privada.

Kaminsky y los DNS

El 8 de julio de 2008 se publica una actualización coordinada para la mayoría de los dispositivos en Internet que utilizan DNS. Ha sido descubierta una vulnerabilidad inherente al protocolo que permite falsificar las respuestas DNS y, por tanto, redireccionar el tráfico. Cisco, Microsoft, BIND... todos publican una nueva versión o actualizan sus sistemas para solucionar un misterioso fallo. Dan Kaminsky es el responsable de orquestar la macroactualización. Thomas Dullien se aventura semanas después a publicar en su blog su particular visión de lo que podía ser el problema descubierto por Kaminsky, sin tener conocimiento previo de los detalles. Y no se equivoca en su teoría: es posible falsificar (a través del envío continuo de cierto tráfico) los servidores autorizados de un dominio.

Espionaje a "gran escala" con BGP

En agosto se habla de nuevo de la mayor vulnerabilidad conocida al demostrar Tony Kapela y Alex Pilosov una nueva técnica (que se creía teórica) que permite interceptar el tráfico de Internet a una escala global. Se trata de nuevo de un fallo de diseño en el protocolo BGP (Border Gateway Protocol) que permitiría interceptar e incluso modificar todo el tráfico de Internet no cifrado. BGP es un protocolo que se utiliza para intercambiar tablas de enrutamiento entre sistemas autónomos (AS). El problema es que nunca se ha llegado a idear un sistema que realmente autentique a ambas partes, y los routers estén así seguros de que la información recibida desde un AS es legítima y viene del sitio adecuado.

La denegación de servicio "perfecta"

Por cuarta vez en el año, se habla de la mayor vulnerabilidad encontrada en la Red. La compañía sueca Outpost24 dice que descubrió en el 2005 (aunque lo saca a la luz 3 años después, posiblemente animada por los otros acontecimiento) varias vulnerabilidades de base en el mismísimo protocolo TCP/IP que podrían permitir la caída de cualquier aparato con comunicación TC en la Red. Es la llamada "denegación de servicio de bajo ancho de banda". Aunque todavía no se conocen los detalles, todo son conjeturas. Dicen no conocer una implementación de la pila que no sea vulnerable. La información sobre lo que se da en llamar Sockstress se estanca. Finalmente no ofrecen los detalles prometidos aunque pueden demostrar su eficacia.

¿El fin del WiFi?

A principios de octubre se publica que la compañía rusa ElcomSoft había conseguido reducir sustancialmente el tiempo necesario para recuperar una clave de WPA, ayudándose de tarjetas gráficas NVIDIA y fuerza bruta. Se trata más de una maniobra de publicidad que una vulnerabilidad real. Sin embargo poco después Tews y Beck encuentran un problema inherente a una parte de WPA con el cifrado TKIP. Aunque la noticia es exagerada en medios, realmente se trata de una prueba de concepto que no permite recuperar la contraseña ni influye al método de autenticación. La técnica está limitada a descifrar paquetes concretos o inyectar nuevos (y sólo una pequeña cantidad) de tamaño reducido. Aun así parece el principio del fin para WPA y un acicate para pasar a WPA2.

Problemas en IPv6

En julio también se descubrió un problema en todas las implementaciones del protocolo Neighbor Discovery Protocol (NDP) para detectar nodos IPv6. Un atacante podría interceptar tráfico privado. Todos los grandes fabricantes deben actualizar.

Los ataques más usados

Aunque se han detectado ataques a servidores SSH que se sospecha estaban relacionados con el problema de Debian y desde China se han observado ataques contra la vulnerabilidad DNS descubierta por Kaminsky, del resto de graves vulnerabilidades no se tiene constancia de que estén siendo aprovechadas al menos de forma masiva.

En realidad, los ataques masivos del "día a día" que se han sufrido este año han tenido su origen una vez más en vulnerabilidades "tradicionales" que permiten ejecución de código en software popular. Las vulnerabilidades que más han sido aprovechadas de forma masiva en 2008 (aunque no las únicas, sí las de mayor impacto) han sido:

* En enero, los atacantes aprovechan de forma masiva una vulnerabilidad en RealPlayer.

* En febrero se descubre que un fallo en Adobe Acrobat/Reader 8 está siendo aprovechado para infectar sistemas. También aprovecharían otra vulnerabilidad para infectar a través de archivos PDF en noviembre .

* En abril, una vulnerabilidad de ejecución de código en el motor GDI de Windows.

* En mayo, un problema en el reproductor Flash de Adobe.

* El día 23 de octubre Microsoft publica un parche fuera de su ciclo habitual en el que se soluciona un fallo de seguridad en el servicio Server. Es problema es muy parecido al que aprovechó Blaster en 2003. No se convierte en epidemia pero es muy aprovechado en redes internas.

* La vulnerabilidad en el manejo de etiquetas XML de Internet Explorer. El 17 de diciembre Microsoft publica otro parche fuera de su ciclo porque la vulnerabilidad está siendo masivamente explotada.

Casi siempre, todas estas vulnerabilidades se aprovechan con el fin de instalar malware y obtener así un lucro directo de los sistemas atacados.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Revealed: The Internet's Biggest Security Hole
http://blog.wired.com/27bstroke6/2008/08/revealed-the-in.html

IPv6 implementations insecurely update Forward Information Base
http://www.kb.cert.org/vuls/id/472363

16/05/2008 Preguntas frecuentes sobre el problema critptográfico de Debian
http://www.hispasec.com/unaaldia/3492

02/10/2008 Supuesta vulnerabilidad en el protocolo IP pone (de nuevo) en
riesgo a toda la Red
http://www.hispasec.com/unaaldia/3631

03/10/2008 Algunas preguntas frecuentes sobre la supuesta vulnerabilidad
en el protocolo base de la Red
http://www.hispasec.com/unaaldia/3632

10/11/2008 Ahora sí, TKIP usado en WPA parece estar herido de muerte
http://www.hispasec.com/unaaldia/3670

lunes, 22 de diciembre de 2008

Escalada de privilegios a través de "sp_replwritetovarbin" en Microsoft SQL Server 2000 y 2005

Se ha encontrado una vulnerabilidad en Microsoft SQL Server 2000 y 2005 que podría ser explotada por un atacante de la red local para escalar privilegios.

La vulnerabilidad está causada por un error de límites en la implementación de "sp_replwritetovarbin()" que podría provocar un desbordamiento de búfer basado en heap. Esto podría ser explotado por un atacante remoto para escalar privilegios mediante el paso de argumentos especialmente manipulados a la función.

La vulnerabilidad está confirmada para Microsoft SQL Server 2000 versión 8.00.2050 y existe un exploit público capaz de aprovechar esta vulnerabilidad.

Se recomienda deshabilitar el procedimiento extendido sp_replwritetovarbin con el comando:
dbo.sp_dropextendedproc 'sp_replwritetovarbin'


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability
http://www.sec-consult.com/files/20081209_mssql-2000-sp_replwritetovarbin_memwrite.txt

Microsoft SQL Server "sp_replwritetovarbin()" Heap Overflow
http://www.milw0rm.com/exploits/7501

domingo, 21 de diciembre de 2008

La familia de malware DNSChanger instala "simuladores de DHCP" en la víctima

Hace unos días, tanto el SANS como distintas casas antivirus advertían de un comportamiento más que curioso en la vieja conocida familia de malware DNSChanger. Esta ha evolucionado sustancialmente: Comenzó con el cambio local de la configuración de servidores DNS en el sistema (para conducir a la víctima a los servidores que el atacante quiera). Ha llegado hasta el punto de instalar una especie de servidor DHCP e infectar así a toda una red interna. Los servidores DNS que instala el malware suelen estar en la red conocida como UkrTeleGroup.

La familia DNSChanger

Una característica interesante de DNSChanger es que es una de las familias que más han atacado a sistemas Mac, además de a Windows. Entre otras muchas formas de toparse con ellos, se suelen encontrar en servidores eMule, camuflados bajo la apariencia de otros programas.

Es una familia conocida desde hace unos tres años. Se caracterizan por modificar los servidores DNS de la víctima a la que infectan. De esta forma, la asociación IP-Dominio queda bajo el control del atacante, de manera que la víctima irá a la IP que el atacante haya configurado en su servidor DNS particular. Normalmente, se confía en los DNS de los ISP, pero si se configura cualquier otro, realmente la resolución queda a merced de su administrador, cualesquiera que sean sus intenciones.

DNSChanger comenzó modificando la configuración del sistema en local, de forma que cambiaba los servidores DNS del ISP de la víctima por otros controlados por el atacante. Después, el malware evolucionó hacia la modificación del router ADSL de la víctima. Buscaba la "puerta de enlace" del sistema, que suele corresponderse con el router, y realizaba peticiones o aprovechaba vulnerabilidades de routers conocidos para modificar estos valores. Así el usuario se veía afectado por el cambio pero de una forma mucho más compleja de detectar. Además, también se verían afectadas el resto de las máquinas que tomaran estos valores del propio router.

Dando un paso más allá

La última evolución observada implica la instalación en la víctima de un pequeño servidor DHCP. Este es el protocolo usado en las redes locales para que cuando un sistema se conecta a la red, el servidor lo reconozca y le proporcione de forma automática los valores necesarios para poder comunicarse (dirección, ip, puerta de enlace...). Habitualmente también proporciona los valores de los servidores DNS que haya establecido el administrador o el router.

El malware instala un driver que le permite manipular tráfico Ethernet a bajo nivel, o sea, fabricar paquetes de cualquier tipo. Con esta técnica simula ser un servidor DHCP. Cuando detecta preguntas de protocolo DHCP legítimas de algún sistema en la red, el malware responde con su propia configuración de DNS, de forma que el ordenador que acaba de enchufarse a la red local, quedaría configurado como el atacante quiere, y no como el administrador ha programado. El atacante confía en la suerte, pues el servidor DHCP legítimo de la red, si lo hubiese, también respondería. Quien llegue antes "gana". Consiguen así infecciones "limpias", pues es complicado saber quién originó el tráfico si éste no es almacenado y analizado. Además, con este método se pueden permitir realizar muchos otros ataques en red local con diferentes impactos.

¿Qué valores DNS introduce el malware?

DNSChanger es una familia que necesita de una importante infraestructura para que sea útil. Los servidores DNS (bajo el control de los atacantes) de los que se vale, los que modifica en el usuario, suelen estar alojados en la compañía ucraniana UkrTeleGroup, bajo el rango de red 85.255.x.y. Casi un 10% de todas las máquinas en ese rango de direcciones se corresponden con servidores DNS públicos que no contienen las asociaciones legítimas de domino y dirección IP. En ocasiones utilizan el servidor DNS para asociar dominios a la IP reservada 127.0.0.1, como es el caso del servidor de descargas de Microsoft download.microsoft.com. Con esto se consigue que la víctima no pueda actualizar el sistema operativo con parches de seguridad. Curiosamente, al parecer, las direcciones de actualización de Apple no están bloqueadas (a pesar de que suele afectar a este sistema operativo). También se bloquean un buen número de páginas de actualizaciones de casas antivirus.

Algunos de estos servidores DNS (ATENCIÓN: no configurarlos en el sistema bajo ningún concepto) son:

85.255.122.103, 85.255.113.114, 85.255.122.103, 85.255.112.112...

Sólo son necesarias algunas consultas "dig" (comando para averiguar qué direcciones están relacionadas con qué dominios en un servidor DNS) para comprobar qué dominios "interesan" o no a los atacantes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Rogue DHCP servers
http://isc.sans.org/diary.php?storyid=5434

DNSChanger: One Infection, Lots Of Problems
http://www.avertlabs.com/research/blog/index.php/2008/12/16/dnschanger-one-infection-lots-of-problems/

sábado, 20 de diciembre de 2008

La última versión de Firefox para Windows no soluciona todas las vulnerabilidades que afirma corregir

La fundación Mozilla advirtió que la rama 2 de Firefox acababa con la versión 2.0.0.19. Esta sería la última en la que se solventarían vulnerabilidades. Sin embargo se ha visto obligada a lanzar urgentemente la versión 2.0.0.20 que corrige uno de los fallos que se suponían solucionados en la 2.0.0.19 para Windows. Al parecer, durante el proceso de empaquetamiento y firma de la versión para Windows, olvidaron incluir una de las correcciones.

La versión 2.0.0.19 de Firefox sería la última de esta rama. Sin embargo, durante el fin de semana se ha puesto a disposición de los usuarios la versión de Firefox 2.0.0.20, que no corrige nuevas vulnerabilidades. Según el director de Firefox Mike Beltzner, la razón de la publicación es que la versión 2.0.0.19 no corrige una de las vulnerabilidades que decía solucionar. No ha especificado cuál.

Firefox anunció hace solo unos días sus versiones 3.0.5 y 2.0.0.19 que corregían 10 vulnerabilidades. El problema es que la versión para Windows sólo contenía 9 de esas soluciones. Durante uno de los procesos de publicación, una de las correcciones no se aplicó. Aun así se ha lanzado la versión 2.0.0.20 para todas las plataformas, no solo para Windows, solo para mantener la concordancia. El problema ha sido calificado por los propios desarrolladores como un "inocente error de oficina", esto es, que no se ha debido a un error puramente técnico.

La fundación Mozilla llevaba tiempo queriendo deshacerse de la rama 2 del navegador. No publicaría más versiones que corrigiesen problemas de seguridad, por tanto, los usuarios se verían así obligados a utilizar la rama 3. En concreto la versión 3.0.0.5. También desactivó la protección antiphisihing de la rama que querían abandonar.

Se recomienda por tanto a todos los usuarios de Firefox para Windows, que actualicen a la versión 2.0.0.20 o pasen a la rama 3 si es posible.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Firefox3.1/StatusMeetings/2008-12-17
https://wiki.mozilla.org/Firefox3.1/StatusMeetings/2008-12-17

Mozilla misses a fix for Firefox 2.0.19
http://www.heise-online.co.uk/news/Mozilla-misses-a-fix-for-Firefox-2-0-19--/112286

viernes, 19 de diciembre de 2008

Vulnerabilidad crítica en Adobe Flash Player para Linux

Adobe ha publicado una nueva actualización de Adobe Flash Player para Linux que soluciona una vulnerabilidad crítica que podría permitir a un atacante ejecutar código arbitrario. El reproductor de Flash de Adobe para Windows o Mac OS X no se ve afectados por el problema.

Adobe no ha proporcionado los detalles técnicos del problema. Especifica que al reproducir un fichero SWF especialmente manipulado, un atacante podría "tomar el control del sistema Linux". Traduciendo, es más que probable que la vulnerabilidad permita la ejecución de código, y que si el usuario que se ve afectado tiene todos los privilegios, el atacante podría tomar el control total del sistema.

Se ven afectadas todas las versiones Adobe Flash Player para Linux anteriores a 10.0.12.36 y 9.0.151.0 (ambas incluidas). Se recomienda a todos los usuarios que actualicen a la versión 10.0.15.3 o 9.0.152.0.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Security update available for Linux Flash Player 10.0.12.36 and Linux
Flash Player 9.0.151.0
http://www.adobe.com/support/security/bulletins/apsb08-24.html

jueves, 18 de diciembre de 2008

Microsoft publica el esperado parche para la vulnerabilidad de Internet Explorer

Tal y como adelantamos ayer, Microsoft ha publicado la actualización para su navegador Internet Explorer. La instalación inmediata de este parche es imprescindible, ya que la vulnerabilidad es crítica y está siendo aprovechada de forma activa por atacantes.

El problema puede permitir al atacante la ejecución de código arbitrario, sin interacción del usuario con tan solo visitar una página web comprometida. La vulnerabilidad, que afecta a todas las versiones de Internet Explorer, reside en el manejo de etiquetas XML. Además se ha comprobado que el fallo lleva tiempo siendo activamente aprovechado por webs para instalar malware.

Según algunos medios el número de ordenadores infectados puede llegar a los dos millones, a través de más de 100.000 sitios web legítimos (aunque la mayoría de ellos chinos) comprometidos para aprovechar la vulnerabilidad e infectar automáticamente a los visitantes.

El fallo que se hizo público la semana pasada, justo el día antes de la publicación mensual de boletines, ha obligado a Microsoft a trabajar contrarreloj y en apenas nueve días ha publicado un boletín fuera de ciclo (el MS08-078) en el que anuncia la esperada actualización. Hay que tener en cuenta que en este tiempo se ha desarrollado, corregido, probado, evaluado y distribuido la actualización para todas las versiones de IE, en todas las plataformas e idiomas posibles (más de 300 versiones diferentes según Microsoft). Aunque todo esto no impide que en el futuro pueda detectarse algún problema con el parche, debido a las prisas con que se ha llevado a cabo todo el proceso.

La actualización está disponible a través de los medios habituales, desde Windows Update o a a través de los enlaces de descarga disponibles en el boletín MS08-078:
http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx
Los sistemas configurados para la instalación automática de las actualizaciones ya han debido actualizarse.


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-078 – Crítico
Actualización de seguridad para Internet Explorer (960714)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-078.mspx

Rise of IE Zero-Day Through SQL Injection
https://forums.symantec.com/t5/Vulnerabilities-Exploits/Rise-of-IE-Zero-Day-Through-SQL-Injection/ba-p/372832#A182

miércoles, 17 de diciembre de 2008

Actualizaciones críticas para los navegadores más populares... en especial para Internet Explorer

Microsoft ha sufrido durante la última semana uno de los peores escenarios conocidos para una vulnerabilidad: es crítica y ha sido descubierta mientras estaba siendo aprovechada por atacantes. Esto implica que todo usuario de Internet Explorer (donde reside el problema) ha estado más o menos expuesto a ejecución de código arbitrario. Finalmente emitirá hoy una actualización de emergencia para solucionar el fallo. Además Firefox, Safari y Opera, los otros navegadores más populares, han actualizado también en los últimos días para solucionar graves problemas de seguridad.

Los problemas de seguridad en todos los navegadores son una constante. Desde que se tomara consciencia general de la seguridad en remoto del sistema, (añadiendo cortafuegos) y se mejoraran los sistemas de correo (con clientes más seguro por defecto y filtros perimetrales), los asaltos se han desviado a los navegadores. Este es el vector de ataque por excelencia hoy en día para el malware: el usuario visita una página y se intenta explotar una vulnerabilidad del navegador para instalar algún código. Y no sólo al visitar webs de dudosa reputación: muchas páginas legítimas (gracias a problemas de seguridad de sus servidores) están ayudando inconscientemente a propagar malware que los atacantes previamente han incrustado en ellas.

El peor escenario es para Internet Explorer

Así las cosas, un problema de seguridad en un navegador, sea cual sea, supone un importante riesgo. Para Microsoft el asunto se ha complicado en las últimas semanas, por muchas razones. Un día antes del segundo martes del mes de diciembre un mensaje en un foro chino hacía pública una vulnerabilidad (en principio en Internet Explorer 7, luego se comprobó que afectaba a todas las versiones). No existía parche oficial disponible, no necesitaba interacción por parte del usuario y permitía ejecución de código arbitrario con los permisos del usuario usando el navegador. La vulnerabilidad reside en el manejo de etiquetas XML. Se observó que el fallo estaba siendo activamente aprovechado por webs desde hacía tiempo para instalar malware. Microsoft se apresuró a reconocer el fallo y publicar un buen número de métodos para mitigar el problema.

Internet Explorer es el navegador favorito de los atacantes por su cuota de mercado, lo que permite a los atacantes llegar a un mayor número de víctimas. Para complicar el tema, el exploit se hizo público rápidamente, junto con todos los detalles técnicos del fallo. El incidente tenía todos los ingredientes para convertirse en desastre. Finalmente Microsoft ha anunciado que una semana después, el día 17, publicará un parche para solucionar el fallo.

Semana de actualización para otros navegadores

Pero Internet Explorer no es el único navegador que necesita ser actualizado en estos días. Parece que todos se han puesto de acuerdo para lanzar nuevas versiones que corrigen fallos de seguridad. Firefox acaba de anunciar su versión 3.0.5 y 2.0.0.19 (parece que la última de esta rama). Esta nueva versión corrige hasta 11 vulnerabilidades, 3 de ellas críticas, que la Fundación Mozillla (como hace Microsoft) agrupa en 8 boletines de seguridad.

Opera, por su parte, acaba de publicar también su versión 9.63, que corrige siete problemas de seguridad (uno de ellos, leve, descubierto por Matthew de Hispasec Sistemas).

Mac OS, por su parte, acaba de publicar una de sus macro-actualizaciones, que soluciona 21 fallos de seguridad de su sistema operativo, varios de ellos en relación directa con su navegador Safari.

Existe una prueba de concepto pública para uno de los problemas de Firefox, aunque al menos para estos navegadores, no se tiene evidencia de que los fallos estén siendo aprovechados activamente. Esto no exime de una inmediata actualización.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for December 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-dec.mspx

Opera 9.63 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/963/

Security Advisories for Firefox 3.0
http://www.mozilla.org/security/known-vulnerabilities/firefox30.html

About the security content of Security Update 2008-008 / Mac OS X v10.5.6
http://support.apple.com/kb/HT3338

martes, 16 de diciembre de 2008

Actualización del kernel para Red Hat Enterprise Linux 5

Red Hat ha publicado una actualización para el kernel de Red Hat Enterprise Linux 5 que soluciona varios problemas de seguridad y corrige además numerosos bugs.

Los principales problemas corregidos son:

* El driver i915 del kernel no restringe la ioctl DRM_I915_HWS_ADDR al master Direct Rendering Manager (DRM) . Esto podría permitir a un atacante local elevar privilegios. Sólo afecta a Intel G33 y posteriores.

* Un problema de falta de comprobación en ficheros abiertos con O_APPEND en la función sys_splice. Esto podría permitir a un atacante local eludir restricciones de agregar a ficheros arbitrarios.

* Un problema en la implementación del protocolo Stream Control Transmission Protocol (SCTP). Esto podría llevar a una posible denegación de servicio en un extremo si una de las conexiones no soporta la extensión AUTH.

Se recomienda actualizar a través de las herramientas automáticas up2date.


laboratorio@hispasec.com
Laboratorio Hispasec


Más información:

Important: kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2008-1017.html

lunes, 15 de diciembre de 2008

Denegación de servicio a través de libICE en Solaris

Sun ha publicado una actualización de libICE para Solaris 8, 9, 10 y OpenSolaris, que corrige una vulnerabilidad que podría permitir a un atacante remoto sin privilegios causar una denegación de servicio.

El fallo, del que no se han ofrecido detalles, reside en libICE y afecta a todas las aplicaciones que enlacen a esta librería. Un atacante remoto sin privilegios causar una denegación de servicio a través de vectores desconocidos.

Sun ha publicado los siguientes parches disponibles, según versión y plataforma:
Para la plataforma SPARC:
Solaris 8 con parche 119067-11 o superior
http://sunsolve.sun.com/pdownload.do?target=119067-11&method=h
Solaris 9 con parche 112785-65 o superior
http://sunsolve.sun.com/pdownload.do?target=112785-65&method=h
Solaris 10 con parche 119059-46 o superior
http://sunsolve.sun.com/pdownload.do?target=119059-46&method=h

Para la plataforma x86:
Solaris 8 con parche 119068-11 o superior
http://sunsolve.sun.com/pdownload.do?target=119068-11&method=h
Solaris 9 con parche 112786-54 o superior
http://sunsolve.sun.com/pdownload.do?target=112786-54&method=h
Solaris 10 con parche 119060-45 o superior
http://sunsolve.sun.com/pdownload.do?target=119060-45&method=h
OpenSolaris versión de compilación snv_85 o superior


laboratorio@hispasec.com
Laboratorio Hispasec


Más información:

Security Vulnerability in the X Inter Client Exchange Library (libICE) Shipped With Solaris May Allow a Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-243566-1

domingo, 14 de diciembre de 2008

Ejecución de código arbitrario en CA ARCserve Backup

Se ha descubierto una vulnerabilidad en CA ARCserve Backup que podría permitir a un atacante remoto causar una denegación de servicio o la ejecución de código arbitrario.

CA ARCserve Backup es una suite de gestión de almacenamiento y recuperación de datos muy usada en el mundo empresarial. Soporta las diferentes plataformas integradas en la red, servidores bajo diferentes dominios o soluciones virtualizadas bajo VMware. Ofrece gestión centralizada de procesos, informes e integración de medidas antivirus y de cifrado.

El fallo se debe a una insuficiente verificación de los datos del cliente. Un atacante remoto podría provocar la caída del servicio LDBserver o ejecutar código arbitrario en el contexto del servicio. Solo afecta a la aplicación servidor bajo Windows.

CA ha asignado un alto riesgo a esta vulnerabilidad y ha publicado las siguientes actualizaciones según versión:
CA ARCserve Backup r12.0 Windows: Instalar Service Pack 1 (RO01340)
CA ARCserve Backup r11.5 Windows: RO04383
CA ARCserve Backup r11.1 Windows: RO04382
CA Protection Suites r2: RO04383


laboratorio@hispasec.com
Laboratorio Hispasec


Más información:

CA ARCserve Backup LDBserver Vulnerability
http://www.securityfocus.com/archive/1/499104

CA ARCserve Backup LDBserver Vulnerability
http://community.ca.com/blogs/casecurityresponseblog/archive/2008/12/10.aspx

sábado, 13 de diciembre de 2008

Denegación de servicio a través de Kerberos en Solaris 8, 9, 10 y OpenSolaris

Sun ha publicado una actualización de Kerberos que corrige una vulnerabilidad que podría permitir a un atacante local sin privilegios causar una denegación de servicio.

El fallo, que afecta a Solaris 8, 9, 10 y OpenSolaris, reside en el gestor de renovación de credenciales de Kerberos. Un atacante local sin privilegios podría impedir la autenticación del resto de los usuarios a través de vectores no especificados.

Sun ha publicado los siguientes parches disponibles, según versión y plataforma:
Para la plataforma SPARC:
Solaris 8 con parche 109805-19 o superior
http://sunsolve.sun.com/pdownload.do?target=109805-19&method=h
Solaris 9 con parche 112908-33 o superior
http://sunsolve.sun.com/pdownload.do?target=112908-33&method=h
Solaris 10 con parche 139478-01 o superior
http://sunsolve.sun.com/pdownload.do?target=139478-01&method=h
OpenSolaris versión de compilación snv_105 o superior

Para la plataforma x86:

Solaris 8 con parche 109806-19 o superior
http://sunsolve.sun.com/pdownload.do?target=109806-19&method=h
Solaris 9 con parche 115168-18 o superior
http://sunsolve.sun.com/pdownload.do?target=115168-18&method=h
Solaris 10 con parche 139479-01 o superior
http://sunsolve.sun.com/pdownload.do?target=139479-01&method=h
OpenSolaris versión de compilación snv_105 o superior


laboratorio@hispasec.com
Laboratorio Hispasec


Más información:

A Security Vulnerability in the Management of Solaris Kerberos (see kerberos(5)) may Lead to a User Denial of Service (DoS) Attack http://sunsolve.sun.com/search/document.do?assetkey=1-66-244866-1

viernes, 12 de diciembre de 2008

Múltiples vulnerabilidades en Microsoft Windows Media

Dentro del conjunto de boletines de seguridad de diciembre publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-076) de una actualización para Microsoft Windows Media destinada a solucionar dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario y obtener información importante.

Los problemas corregidos son:

* Se ha corregido una vulnerabilidad en la reflexión de credenciales de Windows Media relacionada con una debilidad en la implementación provista de SPN (Service Principal Name). Un atacante remoto podría ejecutar código arbitrario a través de un servidor especialmente manipulado. Si el cliente visita dicho servidor y se autentica el atacante puede usar esas credenciales en el cliente, obteniendo los permisos del usuario, o en otros servidores haciéndose pasar por el cliente.

* La segunda vulnerabilidad permitía obtener las credenciales NTLM visitando una url que use una dirección ISATAP (Intra-Site Automatic Tunnel Addressing Protocol). Un atacante remoto podría obtener información importante a través de una url especialmente manipulada.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según sistema y versión desde la página del boletín de seguridad de Microsoft:
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-076.mspx


laboratorio@hispasec.com
Laboratorio Hispasec


Más información:

Microsoft Security Bulletin MS08-076 – Important
Vulnerabilities in Windows Media Components Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS08-076.mspx

jueves, 11 de diciembre de 2008

0-day en Internet Explorer 7

Un día antes del segundo martes del mes de diciembre un mensaje en un foro chino hacía pública una vulnerabilidad en Internet Explorer 7 -se acredita descubierta al grupo chino 'KnownSec'-. No existe parche oficial disponible, no necesita interacción por parte del usuario y permite, si consigue explotar el fallo, ejecutar código arbitrario con los permisos del usuario.

Estamos por lo tanto ante un 0-day que solo ha tardado unas pocas horas en ver como se multiplicaban los exploits públicos capaces de infectar a un usuario con solo visitar un sitio web malicioso. Eso sin tener en cuenta la probable explotación semanas atrás de una pieza, que con tales características, cotiza muy alto en el mercado del malware.

La vulnerabilidad reside en el manejo de etiquetas XML que efectúa Internet Explorer. En los análisis de algunos exploits se ha hallado un vector común de ataque. Sin entrar en detalles, usa XML para incluir código HTML a la vez que provoca una corrupción de memoria que es aprovechada con javascript para volcar una cadena que contiene el shellcode, el cual descargará un binario que a su vez descarga componentes que ensamblan un troyano.

Microsoft ha informado que se encuentra trabajando en una solución y que en breve se podrá disponer de una actualización, probablemente será, sin no cambian las cosas, el boletín MS08-078. Como factor que ayude a mitigar el riesgo recomienda activar DEP (Data Execution Prevention), ya que por defecto se encuentra desactivado en Internet Explorer, para prevenir la ejecución de código en zonas de memoria no marcadas como ejecutables.

También se recomienda no ejecutar Internet Explorer con cuentas con privilegio de administrador y utilizar las zonas de Internet Explorer para prevenir la ejecución de javascript en páginas no confiables.


David García
dgarcia@hispasec.com


Más información:

Microsoft
"Vulnerability in Internet Explorer Could Allow Remote Code Execution"
http://www.microsoft.com/technet/security/advisory/961051.mspx

Dancho Danchev
"IE7 XML parsing zero day exploited in the wild"
http://blogs.zdnet.com/security/?p=2283

BreakingPoint Labs
"Patch Tuesdays And Drive By Sundays"
http://www.breakingpointsystems.com/community/blog/patch-tuesdays-and-drive-by-sundays

miércoles, 10 de diciembre de 2008

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines de seguridad de diciembre publicado ayer por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-073) de una actualización acumulativa para Internet Explorer; que además solventa cuatro nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

Los nuevos problemas corregidos son:

* Se ha corregido un fallo en ciertos métodos de navegación no especificados que podrían permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

* Se ha corregido un fallo en el acceso a memoria no inicializada en ciertas situaciones no especificadas que podrían permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

* Se ha corregido un fallo que permitía acceder a objetos previamente borrados. Un atacante remoto podría aprovechar está vulnerabilidad para ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

* Se ha corregido un fallo al procesar objetos incrustados en páginas webs que podría permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según sistema y versión desde la página del boletín de seguridad de Microsoft:
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-073.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS08-073 - Crítico
Actualización de seguridad acumulativa para Internet Explorer
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-073.mspx

martes, 9 de diciembre de 2008

Boletines de seguridad de Microsoft en diciembre

Tal y como adelantamos, este martes Microsoft ha publicado ocho boletines de seguridad (del MS08-070 y MS08-077) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de 27 vulnerabilidades. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico", mientras que los dos restantes son "importantes".

Los boletines críticos son:

* MS08-070: Corrige cinco vulnerabilidades en los archivos extendidos de tiempo de ejecución de Visual Basic 6.0 (controles ActiveX) que podrían permitir la ejecución remota de código si un usuario visita un sitio web especialmente maliciosamente diseñado.

* MS08-071: Este boletín de seguridad resuelve dos vulnerabilidades que podrían permitir la ejecución remota de código si un usuario abre una imagen WMF maliciosa. Afecta Windows 2000, XP, Vista y Windows Server 2003 y 2008.

* MS08-072: Actualización destinada a corregir ocho vulnerabilidades en Microsoft Office Word y Office Outlook que podrían permitir la ejecución remota de código si un usuario abre un archivo de Word o RTF (formato de texto enriquecido) especialmente diseñado.

* MS08-073: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cuatro nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS08-074: Actualización que resuelve tres vulnerabilidades Excel que podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel maliciosamente manipulado.

* MS08-075: Actualización destinada a resolver dos vulnerabilidades en la Búsqueda de Windows, que podrían permitir la ejecución remota de código si un usuario abre y guarda un archivo malicioso de búsqueda en el Explorador de Windows o si accede a una URL especialmente manipulada.

Los dos boletines "importantes" son:

* MS08-076: Actualización para resolver una vulnerabilidad en Microsoft Office SharePoint Server que podría provocar la elevación de privilegios.

* MS08-077: El último boletín del año (si no hay publicaciones extraordinarias en lo que resta de mes) está destinado a evitar dos vulnerabilidades en diversos componentes de Windows Media.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de diciembre de 2008 http://www.microsoft.com/spain/technet/security/bulletin/ms08-dec.mspx
http://www.microsoft.com/spain/technet/security/bulletin/ms08-dec.mspx

Boletín de seguridad de Microsoft MS08-070
Vulnerabilidades en los archivos extendidos de tiempo de ejecución de Visual Basic 6.0 (controles ActiveX) podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-070.mspx

Boletín de seguridad de Microsoft MS08-071
Una vulnerabilidad en GDI podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-071.mspx

Boletín de seguridad de Microsoft MS08-072
Las vulnerabilidades en los filtros de Microsoft Office podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-072.mspx

Boletín de seguridad de Microsoft MS08-073
Actualización de seguridad acumulativa para Internet Explorer
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-073.mspx

Boletín de seguridad de Microsoft MS08-074
Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-074.mspx

Boletín de seguridad de Microsoft MS08-075
Vulnerabilidades en Búsqueda de Windows podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-075.mspx

Boletín de seguridad de Microsoft MS08-076
Vulnerabilidades en los componentes de Windows Media podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-076.mspx

Boletín de seguridad de Microsoft MS08-077
Una vulnerabilidad en Microsoft Office SharePoint Server podría provocar la elevación de privilegios
http://www.microsoft.com/spain/technet/security/Bulletin/ms08-077.mspx

lunes, 8 de diciembre de 2008

Acceso remoto a los dispositivos Linksys WVC54GC

Se han encontrado dos vulnerabilidades en los dispositivos Linksys WVC54GC que podrían ser aprovechadas por un atacante remoto para acceder a información sensible, causar una denegación de servicio o ejecutar código arbitrario, pudiendo comprometer por completo el dispositivo.

El dispositivo “WVC54GC Compact Wireless-G Internet Video” se trata de una videocámara inalámbrica con servidor web incorporado que se puede conectar a la red local o directamente a Internet. El producto pertenece a la compañía Linksys, que se trata de una filial de la estadounidense Cisco Systems dedicada a las PyMEs.

Los problemas de seguridad encontrados serían los siguientes:

* La primera vulnerabilidad está causada porque el dispositivo enviaría la información de su configuración inicial en texto claro a través de la red. Esto podría ser aprovechado por un atacante remoto para al interceptar el flujo de vídeo enviado, acceder a la configuración de la red (ssid, usuarios y claves WPA o WEP, servidores DNS, etc.) o causar una denegación de servicio accediendo al firmware del dispositivo. El atacante podría aprovecharse de la vulnerabilidad por medio de un paquete especialmente manipulado enviado al puerto UDP 916, utilizado para la administración del dispositivo.

* El segundo fallo está causado por un error de límites que provocaría un desbordamiento de búfer basado en pila en el método "SetSource" del control ActiveX de NetCamPlayerWeb11gv2 (NetCamPlayerWeb11gv2.ocx). Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario y hacerse con el control del dispositivo, por ejemplo si un usuario visita una página web especialmente manipulada.

Las vulnerabilidades afectarían a las versiones del firmware anteriores a la 1.25, por lo que se recomienda actualizar a la versión 1.25 o superior, disponible desde:

http://www.linksys.com/servlet/Satellite?c=L_Download_C2&childpagename=US%2FLayout&cid=1115417109974&packedargs=sku%3D1134691947479&pagename=Linksys%2FCommon%2FVisitorWrapper


Pablo Molina
pmolina@hispasec.com


Más información:


USCERT Vulnerability Note VU#528993: Linksys WVC54GC wireless video camera vulnerable to information disclosure.
http://www.kb.cert.org/vuls/id/528993

Vulnerability Note VU#639345: Linksys WVC54GC NetCamPlayerWeb11gv2 ActiveX control stack buffer overflow.
http://www.kb.cert.org/vuls/id/639345

domingo, 7 de diciembre de 2008

Actualización del kernel para SuSE Linux 10 SP1

Novell ha publicado una actualización del kernel para SuSE Linux 10 SP1 que corrige vulnerabilidades que podrían permitir a un atacante local causar una denegación de servicio.

* Se ha corregido un fallo en "fs/open.c" que permitía escribir incorrectamente los setuid y setgid de un archivo. Esto podría ser aprovechado por un atacante local para escalar privilegios y obtener información importante.

* Se ha corregido un error en los sistemas de archivo de la familia "ext" versiones 2, 3 y 4. Un manejo incorrecto de estructuras de datos corruptos en un sistema de archivos montado, o una partición con las estructuras "dir->i_size" y "dir->i_blocks" corruptas, podría permitir a un atacante local causar una denegación de servicio a través de múltiples operaciones de escritura-lectura.

* Se ha corregido un fallo en "fs/direct-io.c" que impedía iniciar a cero la estructura de datos del tipo "dio". Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través de vectores no especificados.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Linux Kernel (x86) 20081103
http://download.novell.com/Download?buildid=n1auxMowDnk~

sábado, 6 de diciembre de 2008

Microsoft publicará ocho boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan ocho boletines de seguridad. Las actualizaciones afectarían a Windows (dos de ellas), Windows Media Center, Internet Explorer, Visual Basic y a los componentes SharePoint, Word y Excel de Microsoft Office.

Si en octubre fueron tan sólo dos boletines de seguridad los que salieron a la luz, en su último ciclo de actualizaciones del año Microsoft prevé publicar ocho actualizaciones el martes 9 de diciembre. Seis de los boletines están catalogados como "críticos", calificación máxima otorgada por Microsoft. Estos serían los dedicados a Windows, Microsoft Office (Excel y Word), Visual Basic y Visual Studio; junto con la actualización acumulativa para su navegador Internet Explorer. Los dos boletines restantes, referentes a SharePoint y Windows Media Center, han sido calificados como "Importantes".

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad.

Es posible que el primer boletín dedicado a Windows trate de resolver el fallo conocido como "token kidnapping", un problema de escalada de privilegios revelado por el investigador argentino Cesar Cerrudo en el mes de abril. La vulnerabilidad afectaría a toda la gama de sistemas operativos mantenidos por ahora (desde Windows 2000 a Windows 2008), y fue reconocida por Microsoft en su boletín de seguridad 951306. Existe un exploit público del fallo, y desde mitad de octubre se tiene constancia de que la vulnerabilidad está siendo explotada activamente.

El segundo boletín para Windows solo afectaría a los sistemas con Windows Vista y Server 2008, pudiendo estar causado por un fallo de diseño en algún nuevo servicio incluido en los sistemas operativos.

Del resto de boletines, conviene destacar el que afecta a SharePoint, ya que se produce en un componente que no suele tener fallos, y además el problema podría estar localizado del lado del servidor.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Con estos ocho boletines, y si no hubiera cambios de ultima hora, Microsoft habría publicado un total de 77 en 2008. En 2007 fueron 69 y en 2006 un total de 78.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Pablo Molina
pmolina@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for December 2008
http://www.microsoft.com/technet/security/bulletin/ms08-dec.mspx

Microsoft Security Advisory (951306) Vulnerability in Windows Could
Allow Elevation of Privilege
http://www.microsoft.com/technet/security/advisory/951306.mspx

viernes, 5 de diciembre de 2008

Nuevos contenidos en la Red Temática CriptoRed (noviembre de 2008)

Breve resumen de las novedades producidas durante el mes de noviembre de 2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED

* Análisis de Metadatos en Archivos Office y Adobe (Andrea Díaz, Juan Ruíz; dirección Jeimy Cano, Word, 11 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142g1.htm

* El ROI de la Seguridad y las Primas de Seguros (Carlos Ormella Meyer, PDF, 8 páginas, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m327c.htm

* ISO 20000 e ISO 27001: tan distintas, tan iguales (Joseba Enjuto Gozalo, PDF, 5 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m733a.htm

* Seguimiento de Botnets: Estructura, Funcionamiento y Detección (Andrea Díaz, Juan Ruíz; dirección Jeimy Cano, Word, 10 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142f1.htm

* 329 documentos para su libre descarga
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS
SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Octubre de 2008 (España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200810.pdf

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Diciembre 1 de 2008: Tercer Día Internacional de la Seguridad de la Información DISI 2008
http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

* Diciembre 1 al 5 de 2008: V Congreso Internacional de Telemática y Telecomunicaciones CITTEL 08 (La Habana, Cuba).
http://www.cujae.edu.cu/eventos/convencion/cittel/

* Diciembre 3 al 5 de 2008: 7th International Information and Telecommunication Technologies Symposium (Foz do Iguaçu, Brasil)
http://www.i2ts.org/

* Diciembre 3 al 5 de 2008: International Conference E-Activity and Leading Technologies (Madrid, España)
http://www.iask-web.org/e-alt08/e-alt2008.html

* Diciembre 10 al 12 de 2008:Conferencia Ibero Americana IADIS WWW / Internet 2008 (Lisboa, Portugal)
http://www.ciawi-conf.org/

* Febrero 9 al 13 de 2009: IX Seminario Iberoamericano de Seguridad en Tecnologías de la Información (La Habana, Cuba)
http://www.informaticahabana.com/?q=listeventos_es&e=16&id=es

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society 2009 (Barcelona, España)
http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on Practical Applications of Agents and Multiagent Systems (Salamanca, España)
http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference WWW 2009 (Madrid, España)
http://www2009.org/

* Abril 23 al 25 de 2009: Cuarto Congreso Colombiano de Computación 4CCC (Bucaramanga, Colombia)
http://serverlab.unab.edu.co/4ccc

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad Informática ACIS 2009 (Bogotá, Colombia)
http://www.acis.org.co/index.php?id=1246

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications ISCC 09 (Sousse, Túnez)
http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de la Informática (Barcelona, España)
http://jenui2009.fib.upc.edu/

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE NOVIEMBRE DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#nov08

* DISI 2008 por video streaming (España)
- Enlace en directo: mms://amon.gate.upm.es/campus-sur
- Enlace en diferido: mms://amon.gate.upm.es/videos/0809/upm/disi.wmv

* Call for Papers Revista International Journal on Information Technologies & Security (Bulgaria)
http://www.criptored.upm.es/descarga/INFO_Journal%20IT&Security.zip

* CFP para la IX Jornada Nacional de Seguridad Informática ACIS 2009 (Colombia)
http://www.acis.org.co/index.php?id=1246

* CFP Cuarto Congreso Colombiano de Computación 4CCC (Colombia)
http://serverlab.unab.edu.co/4ccc

* Libro Conmemorativo de los 10 años de Una Al Día de Hispasec Sistemas (España)
http://www.hispasec.com/uad/index_html

* Primera Jornada Estado del Arte de la Seguridad: El Rol del CSO (Argentina)
http://cxo-community.com.ar/index.php?option=com_events&task=view_detail&agid=93&year=2008&month=11&day=25&Itemid=1

* CFP XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009 (España)
http://jenui2009.fib.upc.edu/

* Conferencia FIST Noviembre 2008 en el CSIC de Madrid (España)
http://www.fistconference.org/

* Semana Internacional de la Seguridad Informática (Argentina)
https://seguridadinformatica.sgp.gob.ar/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 734
(198 universidades y 276 empresas representadas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 26.206 visitas, con 101.662 páginas solicitadas y 41,33 GigaBytes servidos en noviembre de 2008.
Las estadísticas AWStats del mes se muestran en páginas estáticas actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

octubre de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#nov08

jueves, 4 de diciembre de 2008

Múltiples vulnerabilidades en Java Runtime Environment (JRE) y JDK de SUN

Se han publicado nuevas versiones de Sun Java Runtime Environment (JRE) y Java Development Kit (JDK) que introducen mejoras y corrigen múltiples fallos de seguridad, que podrían permitir a un atacante remoto saltarse restricciones de seguridad, acceder a información sensible, efectuar una denegación de servicio y potencialmente ejecutar código arbitrario en un sistema vulnerable:

A continuación se detallan con brevedad las vulnerabilidades corregidas:

1- JRE crea archivos temporales con nombres teóricamente aleatorios que en la práctica se pueden llegar a predecir. Esto podría ser aprovechado por un atacante para hacer que archivos JAR maliciosos sean cargados como applets confiables, lo que permitiría completar acciones restringidas en el sistema afectado.

2- Se han descubierto múltiples desbordamientos de búfer en JRE al procesar fuentes e imágenes GIF, lo que podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de applets no confiable o aplicaciones Java Web Start.

3- Múltiples problemas de seguridad en Java Web Start y Java Plug-in podrían que podrían ser aprovechados por un atacante remoto para saltarse restricciones de seguridad y escalar privilegios.

4- El mecanismo Java Update de JRE no comprueba la firma digital al descargar una actualización. Esto podría ser aprovechado por un atacante para suministrar una actualización falsa si consigue comprometer la información DNS usada como comprobación.

5- Un desbordamiento de búfer en JRE podría permitir la escalada de privilegios de una aplicación Java lanzada desde la línea de comandos.

6- Escalada de privilegios provocada por un fallo en JRE al realizar ciertas operaciones con los objetos del calendario.

7- Un desbordamiento de búfer en la utilidad Unpack200 para desempaquetar archivos JAR podría permitir una escalada de privilegios.

8- Un applet no confiable podría listar el contenido del directorio home del usuario que lo esté ejecutando, lo que conlleva la revelación de información sensible.

9- Denegación de servicio provocada por un fallo en JRE al manejar ciertas claves públicas RSA.

10- Denegación de servicio en el sistema provocada por un fallo en JRE al autenticar usuarios a través de Kerberos.

11- Escalada de privilegios que provocada por fallo en los paquetes JAX-WS y JAXB que podría permitir el acceso a ciertas clases internas.

12- Acceso a direcciones arbitrarias de memoria permitidas debido a un posible procesamiento erróneo de archivos zip.

13- Un fallo de seguridad podría permitir que código cargado desde el sistema de archivos accediera a localhost (salto de restricciones de seguridad).

Según la rama de JRE en uso, las nuevas versiones están disponibles desde:

JDK y JRE 6 Update 11:
http://java.sun.com/javase/downloads/index.jsp

JDK y JRE 5.0 Update 17:
http://java.sun.com/javase/downloads/index_jdk5.jsp

SDK y JRE 1.4.2_19:
Se recomienda migración a versión superior ya que ha dejado de recibir actualizaciones de seguridad.
http://java.sun.com/j2se/1.4.2/download.html

SDK y JRE 1.3.1_24:
Se recomienda migración a versión superior ya que ha dejado de recibir actualizaciones de seguridad.
http://java.sun.com/j2se/1.3/download.html


Pablo Molina
pmolina@hispasec.com


Más información:

The Java Runtime Environment Creates Temporary Files That Have "Guessable" File Names
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244986-1

Java Runtime Environment (JRE) Buffer Overflow Vulnerabilities in Processing Image Files and Fonts May Allow Applets or Java Web Start Applications to Elevate Their Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244987-1

Multiple Security Vulnerabilities in Java Web Start and Java Plug-in May Allow Privilege Escalation
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244988-1

The Java Runtime Environment (JRE) "Java Update" Mechanism Does Not Check the Digital Signature of the JRE that it Downloads
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244989-1

A Buffer Overflow Vulnerability in the Java Runtime Environment (JRE) May Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244990-1

A Security Vulnerability in the Java Runtime Environment (JRE) Related to Deserializing Calendar Objects May Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244991-1

A Buffer Overflow Vulnerability in the Java Runtime Environment (JRE) "Unpack200" JAR Unpacking Utility May Lead to Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-244992-1

Security Vulnerability in Java Runtime Environment May Allow Applets to List the Contents of the Current User's Home Directory
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246266-1

Security Vulnerability in the Java Runtime Environment With Processing RSA Public Keys
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246286-1

A Security Vulnerability in Java Runtime Environment (JRE) With Authenticating Users Through Kerberos May Lead to a Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246346-1

Security Vulnerabilities in the Java Runtime Environment (JRE) JAX-WS and JAXB Packages may Allow Privileges to be Escalated
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246366-1

A Security Vulnerability in Java Runtime Environment (JRE) With Parsing of Zip Files May Allow Reading of Arbitrary Memory Locations
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246386-1

A Security Vulnerability in the Java Runtime Environment may Allow Code Loaded From the Local Filesystem to Access LocalHost
http://sunsolve.sun.com/search/document.do?assetkey=1-66-246387-1

miércoles, 3 de diciembre de 2008

Múltiples vulnerabilidades en 3Com Wireless AccessPoint

Se han encontrado múltiples vulnerabilidades en 3Com Wireless 8760 Dual-Radio 11a/b/g PoE Access Point que podrían ser aprovechadas por un atacante para saltarse restricciones de seguridad, acceder a información sensible, inyectar código SNMP y perpetrar ataques de cross-site scripting.

* Un fallo en el mecanismo de autenticación podría permitir a un atacante remoto entrar al panel de administración (si conoce las URLs del mismo) suplantando la IP desde la que se haya establecido el acceso como administrador.

* Un fallo en la composición de ciertas páginas como s_brief.htm y s.htm, puede ser aprovechado por un atacante para acceder a información sensible incluida en las mismas, como la contraseña de administrador.

* Un fallo de comprobación de datos de entrada al establecer el nombre del sistema vía SNMP puede permitir a un atacante inyectar código arbitrario en el navegador mientras dure la sesión entre cliente-servidor (cross-site scripting). Solo es posible si se tiene configurado SNMP con privilegios de escritura.

Estas vulnerabilidades han sido reportadas para la versión de firmware 2.1.13b05_sh aunque no se descarta que afecte a otras versiones.

Actualmente no existe parche disponible para estas vulnerabilidades. Como contramedida se recomienda deshabilitar el interfaz web de administración y el acceso de escritura a SNMP.


Laboratorio Hispasec
laboratorio@Hispasec.com


Más información:

PR07-40 Authentication Bypass, Passwords Leakage and SNMP Injection on
3Com AP 8760
http://www.procheckup.com/vulnerability_manager/vulnerabilities/pr07-40