sábado, 28 de febrero de 2009

Elevación de privilegios en IBM AIX

Se ha anunciado una vulnerabilidad en IBM AIX 5.3 por la que un usuario local podrá elevar sus privilegios en los sistemas afectados.

El problema reside en "pppdial", de forma que si un usuario local envía una cadena de más de 4.000 caracteres provocará un desbordamiento de búfer que puede permitir la ejecución de comandos en los sistemas
afectados y la consiguiente elevación de privilegios.

IBM ha publicado la actualización necesaria para corregir este problema, con los APARS IZ44199, IZ44220, IZ44332, IZ44388.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IZ44199: pppdial buffer overflow vulnerability
http://www-01.ibm.com/support/docview.wss?uid=isg1IZ44199

viernes, 27 de febrero de 2009

Vulnerabilidad crítica en Excel podría estar siendo explotada desde hace dos meses

El pasado 24 de febrero, Microsoft reconoció en una nota oficial que estaban investigando la existencia de una nueva vulnerabilidad en Office Excel que podría permitir la ejecución remota de código si un usuario abre un archivo Excel especialmente manipulado.

La vulnerabilidad, de la que se han dado pocos detalles, estaría causada por una referenciación a un objeto no válido al abrir un documento Excel, lo que podría permitir la ejecución de código. Si el usuario abriese el archivo con permisos de administrador, el atacante podría tomar completo control del sistema afectado.

De acuerdo con la nota de Microsoft, la vulnerabilidad estaría siendo explotada en "ataques limitados a objetivos concretos" y no de forma masiva. Esta información coincide con la apuntada por Vincent Weafer (vicepresidente del equipo de respuestas de seguridad de Symantec), afirmando que el fallo estaba siendo aprovechado para comprometer sistemas en Asia, principalmente en oficinas gubernamentales y de grandes corporaciones.

Microsoft ha confirmado que los siguientes productos y versiones están afectados por la vulnerabilidad, pasando a ser objetivos de ataque:

Microsoft Office Excel 2000 Service Pack 3
Microsoft Office Excel 2002 Service Pack 3
Microsoft Office Excel 2003 Service Pack 3
Microsoft Office Excel 2007 Service Pack 1
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer
Microsoft Office Compatibility Pack for Word, Excel, and PowerPoint 2007
File Formats Service Pack 1
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac

Dada la amplia gama de productos afectados, se recomienda encarecidamente no abrir archivos Excel de dudosa procedencia. Como se puede apreciar, Office para Mac también está entre las versiones vulnerables, por lo que estas precauciones se hacen extensibles a los usuarios de la suite ofimática sobre sistemas operativos de Apple.

En la entrada titulada "Detection Added For The New 0-day In Excel" del blog de investigación y respuesta ante amenazas del Microsoft Malware Protection Center se añade algo de información adicional. Se especifica que los archivos maliciosos se usarían como 'droppers', encargados de descargar e instalar otro tipo de malware, y además se proporciona una pequeña lista con los hashes SHA1 de algunos de los archivos que contienen el exploit. Serían estos:

46181cf01e08b1760cecac95bbd486dd3b808988
6605bf6aee31f0cb2370d684aa32e5a588d4aaf4
675b12b1e50c9463576061cf5181a3f58dc30e59
7fe5481b1edc4df99488f5cc0f65f70fa35978d6
968ad6a8259ddf5f9705fef2ba2eaa3b63b1626f

Haciendo una búsqueda del primer hash en VirusTotal.com se puede apreciar que dicho archivo fue enviado y analizado por primera vez el pasado 26 de diciembre. Dato indicativo de que una primera versión del exploit podría estar siendo utilizada desde hace más de dos meses.

En ese momento era detectado por 6 de los 39 motores de VirusTotal. Si realizamos ahora el análisis de la misma muestra la cosa no ha cambiado mucho. A los 6 motores que lo detectaban entonces se ha sumado otro más, el de Microsoft, que lo identifica con una firma específica (Exploit:Win32/Evenex.gen).

Todavía no se sabe cuando estará disponible una actualización de seguridad para Excel. Es posible que vea la luz el próximo martes día 10 de marzo cumpliendo con el ciclo de actualizaciones de seguridad programadas por Microsoft. Aunque dada la importancia del fallo, cabe la posibilidad de que se publique como actualización independiente y fuera del ciclo.

Como contramedida, Microsoft recomienda la utilización de MOICE para Office 2003 y 2007 (Microsoft Office Isolated Conversion Environment, es decir, Entorno aislado de conversión de Microsoft Office) para abrir los archivos no confiables. MOICE convertiría los documentos binarios de Office a un nuevo formato XML abierto, mecanismo para que los clientes preprocesen los documentos binarios de Office potencialmente no seguros.

También se recomienda, cuando sea posible, el uso de otras suites ofimáticas como OpenOffice, para abrir los archivos no confiables o de dudosa procedencia.


Pablo Molina
pmolina@hispasec.com


Más información:

Microsoft Security Advisory (968272): Vulnerability in Microsoft Office Excel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/968272.mspx

Trojan.Mdropper.AC
http://www.symantec.com/security_response/writeup.jsp?docid=2009-022310-4202-99&tabid=1

Microsoft Malware Protection Center - Threat Research & Response Blog:
Detection Added For The New 0-day In Excel
http://blogs.technet.com/mmpc/archive/2009/02/25/detection-added-for-the-new-0-day-in-excel.aspx

VirusTotal.com (26/12/2008 - SHA1: 46181cf01e08b1760cecac95bbd486dd3b808988)
http://www.virustotal.com/analisis/fab147fe0e294c4eceb43961324d7fbd

Descripción de la actualización del Entorno aislado de conversión de Microsoft Office (MOICE)
http://support.microsoft.com/kb/935865

jueves, 26 de febrero de 2009

Adobe al más puro estilo Microsoft: parche no oficial para Acrobat Reader

Puesto que Adobe decidió "esperar" varias semanas para solucionar un grave problema de seguridad, ya ha aparecido un parche no oficial programado por un tercero. Esta era una parcela que hasta ahora se creía reservada para el sistema operativo Windows. Adobe Reader está cada vez más en el punto de mira de la industria del malware, como buen vehículo para instalar troyanos en el sistema sin que el usuario lo perciba. Ha protagonizado una nueva ola de ataques y Adobe sigue sin responder correctamente, sin experiencia en ser el centro de atención. ¿Sabrá esquivar los golpes que pueden llegarle en los próximos años?

Symantec y Shadowserver dieron la voz de alarma a mediados de febrero: una nueva vulnerabilidad de Acrobat estaba siendo aprovechada para instalar malware. Poco después Adobe publica una nota oficial en la que reconoce el fallo, pero afirma que lo solucionará el 11 de marzo e incluso más tarde para las ramas más veteranas del producto. No publica más información, ni contramedidas, ni consejos, ni alcance... nada.

Se creía que se trataba de un ataque dirigido, minoritario, hasta que un par de días después, se hace público un exploit capaz de aprovechar el fallo. Ahora, más que nunca, es de dominio público y Adobe deja desprotegidos a sus usuarios ante una amenaza más que palpable. SourceFire (dueños del IDS snort) ha tenido mucho que ver en esto. Publicaron el día 20 los detalles de la vulnerabilidad y fue cuestión de tiempo que apareciera un exploit. SourceFire se justifica diciendo: "la vulnerabilidad está siendo aprovechada desde principios de enero. Preferimos que la gente esté protegida".

Mientras, SourceFire publica un parche no oficial para solucionar el problema. Tal y como ha ocurrido en otras ocasiones con Microsoft, investigadores privados se adelantan y son capaces de mitigar el problema en cuestión de días. Bien es cierto que estos parches no tienen ningún tipo de garantía, y que no han superado las pruebas de calidad y compatibilidad a las que los suelen someter las empresas oficiales. Hasta ahora, los parches no oficiales habían sido, casi en exclusiva, algo de Windows y Microsoft, cuando se le acusaba de no solucionar a tiempo graves problemas de seguridad.

Brian Krebs preguntó al director de seguridad de Adobe por qué no habían incluido información en su alerta para mitigar el problema, como por ejemplo, recomendar el deshabilitar JavaScript. La respuesta fue que deshabilitar JavaScript no atacaba la raíz del problema. Poco después la alerta oficial fue actualizada para incluir la recomendación. Adobe además, ha publicado esta semana un parche para Flash Player que soluciona un grave problema de ejecución de código.

Adobe se ha visto envuelta en un episodio del que normalmente no es protagonista, un incidente al que nos tenía (y a veces, nos tiene) más acostumbrado Microsoft. Y quizás debería aprender de quien ha recibido incontables reveses al respecto. No es la primera vez que Adobe no reacciona convenientemente antes un grave fallo de seguridad. Aunque es un software tremendamente popular, parece no tener experiencia a la hora de ofrecer unos boletines de seguridad completos, fiables, puntuales y con información útil sobre las vulnerabilidades. Esa información es muy necesaria para que un administrador de una gran empresa que gestione cientos de máquinas pueda lidiar con el problema hasta que se publique una solución.

Microsoft, con más de 15 años siendo el centro de atención del malware, ha superado a marchas forzadas ciertos aspectos, ofreciendo normalmente información detallada sobre las vulnerabilidades, contramedidas más o menos eficaces, etc. Dispone de un equipo de respuesta a incidentes que aunque no es perfecto, cumple holgadamente su función. Una de las máximas de muchas compañías es no invertir en soluciones para problemas que no existen. Cuando el problema se presenta de repente (aunque no es el caso, venimos anunciando que Adobe es carne de malware desde hace tiempo), entonces las reacciones no son las deseadas.

En el hipotético caso de que Microsoft pierda protagonismo y otros programas se conviertan en menor medida en centro de atención del malware, cuando los atacantes fragmenten y diversifiquen sus objetivos... ¿estarán preparados para encajar este golpe el resto de "candidatos"?


Sergio de los Santos
ssantos@hispasec.com


Más información:

Homebrew patch for Adobe AcroReader 9
http://vrt-sourcefire.blogspot.com/2009/02/homebrew-patch-for-adobe-acroreader-9.html

20/02/2009 Adobe solucionará dentro de tres semanas una vulnerabilidad
en Acrobat (Reader) que está siendo ya aprovechada por atacantes
http://www.hispasec.com/unaaldia/3772/adobe-solucionara-dentro-tres-semanas-una-vulnerabilidad

25/02/2009 Actualización por vulnerabilidades de ejecución de código en
Adobe Flash Player
http://www.hispasec.com/unaaldia/3777/actualizacion-por-vulnerabilidades-ejecucion-codigo

Adobe Urges Stopgap Changes To Blunt Cyber Threat
http://voices.washingtonpost.com/securityfix/2009/02/adobe_urges_stopgap_changes_to.html

miércoles, 25 de febrero de 2009

Actualización por vulnerabilidades de ejecución de código en Adobe Flash Player

Adobe ha publicado una actualización para Flash Player que soluciona numerosos problemas de seguridad que podrían permitir a un atacante remoto ejecutar código arbitrario en el sistema vulnerable.

Flash Player es un popular reproductor multimedia de ficheros Shockwave Flash(SWF). Originalmente creado por Macromedia, paso a ser mantenido y distribuido por Adobe tras su adquisición de Macromedia en el 2005. Flash Player está disponible para una amplia gama de plataformas, como Microsoft Windows, Linux, Mac OS, Solaris, HP-UX, Pocket PC, Symbian y Palm OS entre otras.

A continuación se especifican las vulnerabilidades corregidas.

1- Una referencia a un objeto no válido podría permitir a un atacante remoto ejecutar código arbitrario a través de un archivo Flash especialmente manipulado. Esta vulnerabilidad, descubierta por Javier Vicente Vallejo y reportada a través de iDefense, fue notificada al equipo de Adobe el pasado mes de agosto.

2- Un error de validación de entrada que podría causar una denegación de servicio, e incluso permitir la ejecución remota de código.

3- Se ha corregido un error no especificado relacionado con Settings Manager que podría permitir ataques de clickjacking.

4- Un fallo no especificado relacionado con la visualización por pantalla del puntero del ratón podría permitir ataques de clickjacking en sistemas Windows.

5- Revelación de información sensible, a través del binario de Flash Player para Linux, que podría permitir una escalada de privilegios. Adobe no ha proporcionado detalles técnicos acerca de las vulnerabilidades, aunque especifica que explotando la primera, y posiblemente la segunda, un atacante podría ejecutar código arbitrario si el usuario reproduce un fichero SWF especialmente manipulado.

Los productos y versiones afectados son:
Adobe Flash Player version 10.0.12.36 y anteriores.
Adobe Flash Player version 10.0.15.3 para Linux y anteriores.
Adobe AIR 1.5.
Adobe Flash CS4 Professional.
Adobe Flash CS3 Professional.
Adobe Flex 3.

Debido a gravedad de los fallos corregidos y a las múltiples posibilidades de explotación, se recomienda aplicar las actualizaciones de seguridad a la mayor brevedad posible.

Para Adobe Flash Player actualizar a las versiones 10.0.22.87 o 9.0.159.0, desde: http://get.adobe.com/es/flashplayer/

Para Adobe Air, se recomienda instalar la última versión (v.1.5.1) desde: http://get.adobe.com/es/air/


Pablo Molina
pmolina@hispasec.com


Más información:


Security Advisories : APSB09-01 - Flash Player update available to
address security vulnerabilities
http://www.adobe.com/support/security/bulletins/apsb09-01.html

Adobe Flash Player Invalid Object Reference Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=773

16/10/2008 Adobe Flash 10 y las vulnerabilidades "oportunas"
http://www.hispasec.com/unaaldia/3645

martes, 24 de febrero de 2009

El SSL no está roto... ¿o sí? (y II)

Segundo revés del año al SSL. O más específicamente, a la confianza que tenemos los internautas en el SSL y las páginas seguras. La primera fue con los hashes de los certificados calculados con MD5, técnica dada a conocer a finales del año pasado. De nuevo se usaban diferentes métodos ya conocidos contra el SSL. Lo que Marlinspike ha publicado es una herramienta destinada a engañar al usuario que lo hace todo mucho más sencillo.

Marlinspike ya programó sslsniff en 2002, muy usado todavía, que realiza ataques man-in-the-middle sobre SSL. En su presentación en la Black Hat realiza una interesante reflexión sobre qué ha ocurrido con el cifrado SSL en los últimos años.

SSL no está roto por la publicación de sslstrip. Está "roto" desde hace tiempo, desde que el usuario medio al que intenta proteger no entiende en qué consiste esta tecnología, y desde que los navegadores han realizado una dudosa implementación del protocolo y en especial, de la interacción con el usuario.

Durante años, navegadores como Firefox 2.x e Internet Explorer 6.x, se han limitado a advertir al usuario con lo que Marlinspike llama "positive feedback", esto es, intentar demostrar que se está en el sitio correcto por medio de candados, barras doradas, etc. Esto no impresiona al usuario, que acaba obviando estos símbolos positivos. Pero lo peor es que es fácilmente imitable por los atacantes. Los diseñadores también han malacostumbrado a los internautas. En su empeño de parecer seguras, las páginas incluyen candados incluso en su propio código HTML, sellos de autenticidad y garantías... inútil a unos ojos que lo han visto mil veces y mucho más inútil cuando un atacante solo tiene que calcar el contenido de una web para engañar a un usuario.

Marlinspike concluye que el "negative feedback" para el usuario es mucho más efectivo. Esto es, advertirle con grandes pantallas (nada de ventanas emergentes, sino páginas integradas en el navegador) de que no se está en el sitio correcto. El usuario reacciona mejor ante las alertas negativas y catastróficas que ante la mera información o advertencia. Al no entenderlas por completo, terminarán por aceptar la opción que se le muestre por defecto.

En este sentido, tanto la rama 3 de Firefox como Internet Explorer 7 han mejorado sustancialmente. Acceder a una página con una cadena de validación de certificados inválida o con el certificado obsoleto, ahora requiere muchos más clicks por parte del usuario y es más escandalosamente advertido por los navegadores.

Sin embargo a pesar de todo eso sslstrip está preparado para hacer todo lo posible por convencer al usuario de que se encuentra en el sitio correcto. Y lo consigue. Ayuda el diseño de muchas páginas, que permiten que el usuario introduzca sus datos en un formulario no cifrado que termina en uno cifrado.

SSL por tanto, sigue siendo de las pocas cosas en las que podemos confiar en la red. El fallo está en todo lo que lo rodea: usuarios, diseñadores, protocolos, implementaciones, autoridades certificadoras... aprovechando pequeños problemas en todos y cada uno de estos actores, se pueden realizar ataques muy sofisticados. Si las técnicas quedan reunidas en una herramienta que permite llevarlas a cabo todas a la vez y sin demasiado esfuerzo, el problema es grave.

SSL goza de buena salud, pero si se comienza a cuestionar su validez, si siguen apareciendo técnicas que ponen en duda incluso a usuarios expertos, ya no importará si una página está cifrada o no. Para la mayoría de los usuarios, no significará nada porque realmente no tendrán forma de comprobar de forma sencilla que estén en el sitio correcto: "si pueden engañar a un usuario experto, también podrán conmigo de forma mucho más sencilla", y se rendirán ante una tecnología que ni conocen ni tienen por qué entender. Nadie quiere tener que comprobar rutas de certificación, fechas de certificados, etc, allá donde introduzca sus contraseñas.

Como solución, lo que Marlinspike propone es que todo el tráfico sea cifrado. No se debe pretender confiar ciegamente en HTTPs cuando está asentado sobre HTTP, un protocolo no seguro.


Sergio de los Santos
ssantos@hispasec.com


Más información:

sslstrip
http://www.thoughtcrime.org/software/sslstrip/index.html

lunes, 23 de febrero de 2009

El SSL no está roto... ¿o sí? (I)

Moxie Marlinspike protagonizó la semana pasada una conferencia en la Black Hat en la que demostraba cómo eludir la autenticación y el cifrado SSL de las páginas supuestamente seguras. El investigador se ha centrado en una inteligente combinación de técnicas que permiten confundir a los usuarios (incluso a los avanzados) sobre si están o no en la página correcta. Ninguna de las técnicas usadas es realmente nueva, pero todas en conjunto forman una excelente herramienta llamada sslstrip.

Sslstrip combina una buena tanda de técnicas con el único objetivo de que el usuario realmente no sepa que está en una web falsa o que su tráfico no está siendo realmente cifrado. Aclarar que el problema no está en el SSL, sigue siendo lo mejor de lo que disponemos para realizar conexiones seguras. El fallo está un poco en los navegadores, un mucho en los usuarios, algo en los certificados, bastante en las redes... pero no en la tecnología en sí.

Como siempre, teniendo en cuenta el éxito del que gozan técnicas mucho más sencillas, sslstrip todavía no será usado por atacantes de forma masiva, sino para ataques muy específicos contra usuarios avanzados. Y estos son quizás los que deban estar más atentos.

Para ser víctima del sslstrip, la primera condición ineludible es que la conexión debe estar siendo interceptada. Bien a través de un envenenamiento de ARP en red interna, bien a través de puntos de acceso wireless falsos... el caso es que el atacante debe actuar como proxy en la comunicación, teniendo acceso al tráfico. Esta es una premisa importante, pero no es extraña. El investigador usó con éxito la red de anonimato Tor para sus pruebas. Sslstrip hace todo en tiempo real, básicamente sustituyendo el tráfico cifrado (https) por uno no cifrado (http), de forma que al usuario se le presenta una página idéntica a la que necesita, pero sin cifrar y probablemente en otro servidor que pertenece al atacante. Acude al servidor real para tomar la información necesaria, pero en vez de devolverla cifrada al usuario, lo hace sin cifrar. Esta es su funcionalidad básica.

En la mayoría de las ocasiones esto sería suficiente para engañar a muchos usuarios. Pero obviamente esto llamaría la atención de otros tantos, que echarían en falta las advertencias que normalmente el navegador realiza cuando se está sobre una página cifrada (el candado, la barra dorada, el https, etc). Marlinspike, en su charla en la Black Hat, dio un buen montón de ideas y métodos para hacer que esto pase desapercibido incluso para los usuarios más avispados.

Una de ellas es la sustitución de un "favicon" de la página por un simple candado. El candado real no aparecería pero en los últimos tiempos se ha abusado tanto de esta imagen que su simple presencia (aunque no sea en el lugar correcto) da sensación de seguridad a los usuarios.

Otra de las técnicas es muy vieja ya. Se basa en el uso de caracteres especiales para hacer pensar al usuario que se encuentra en el dominio correcto. El atacante no tiene más que comprar un certificado válido para ese dominio, y de esta forma se evitarían todas las advertencias del navegador. Solo quien comprobase realmente la cadena de certificación del certificado estaría a salvo.

También presenta otras técnicas para eludir problemas como las cookies de seguridad y el manejo de sesiones autenticadas. Su herramienta tiene soluciones para evitar que el usuario más experimentado note que está siendo víctima de un robo de sus datos.

Otro de los puntos interesantes de la charla que ofreció Marlinspike, además de la presentación de la herramienta (que ha hecho pública), son las reflexiones sobre la seguridad SSL y cómo está implementada en los navegadores, de lo que hablaremos en la siguiente entrega.


Sergio de los Santos
ssantos@hispasec.com


Más información:

sslstrip
http://www.thoughtcrime.org/software/sslstrip/index.html

domingo, 22 de febrero de 2009

Ejecución remota de código en Symantec Veritas NetBackup 5.x, 6.x

Se ha descubierto una vulnerabilidad en Veritas NetBackup que podría permitir a un atacante remoto causar una denegación de servicio y potencialmente ejecutar código arbitrario con privilegios de administrador.

Symantec Veritas Backup es un popular y completo sistema de almacenado y restauración de copias de seguridad en red.

El fallo reside en el demonio de comunicación vnetd que no filtra adecuadamente los datos recibidos durante el inicio de una comunicación con un cliente. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de vectores no especificados.

La vulnerabilidad está confirmada para las versiones 5.x, de la 6.0 hasta la 6.0 MP7, y 6.5 hasta la 6.5.3 todas inclusive.

Symantec ha publicado un parche que corrige esta vulnerabilidad, disponible según versión desde:

Para Symantec NetBackup Server seleccionar versión y plataforma desde:
http://www.symantec.com/business/support/downloads.jsp?pid=15145

Para Symantec NetBackup Enterprise Server seleccionar versión y plataforma desde:
http://www.symantec.com/business/support/downloads.jsp?pid=15143


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Symantec NetBackup Communications Setup Elevation of Privilege
http://securityresponse.symantec.com/avcenter/security/Content/2009.02.17.html

Symantec NetBackup Communications Setup Security Bypass Issue
http://www.vupen.com/english/advisories/2009/0461

sábado, 21 de febrero de 2009

Elevación de privilegios a través de pam_krb en Sun Solaris 9 y 10

Se han encontrado dos vulnerabilidades en el módulo PAM de Solaris Kerberos (pam_krb5) que podrían permitir a un atacante remoto elevar sus privilegios en los sistemas afectados.

El primero de los fallos está causado porque la librería no hace uso de la API correcta para inicializar las librerías de Kerberos, lo que podría ser aprovechado por un atacante local para escalar privilegios.

Además, bajo ciertas circunstancias, el módulo PAM de Kerberos permitiría la reinicialización de los credenciales de usuario, lo que facilitaría la realización de ataques de denegación de servicio o la escalada de privilegios.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in the Solaris Kerberos PAM Module May Allow Use of a User Specified Kerberos Configuration File, Leading to Escalation of Privileges
http://sunsolve.sun.com/search/document.do?assetkey=1-66-252767-1

viernes, 20 de febrero de 2009

Adobe solucionará dentro de tres semanas una vulnerabilidad en Acrobat (Reader) que está siendo ya aprovechada por atacantes

La ShadowServer Fundation advirtió el día 19 de febrero de una potencial vulnerabilidad en Adobe Acrobat Reader que podría permitir a un atacante ejecutar código arbitrario. Al descubrirse el problema mientras estaba siendo aprovechado activamente por atacantes, se convierte en un grave 0day. Adobe ha reconocido finalmente la vulnerabilidad como una nueva amenaza, para la que no existe parche disponible. Esperan publicar uno el día 11 de marzo.

Poco después de que ShadowServer detectase ataques a través de archivos PDF, Adobe ha reconocido que se trata de una nueva vulnerabilidad crítica. Un desbordamiento de memoria intermedia que permite ejecución de código. Symantec ya advirtió el día 12 de febrero de un potencial nuevo ataque llevado a cabo a través de archivos PDF abiertos con Acrobat. Todavía no se sabe si se trata de la misma vulnerabilidad. Si fuese así, el archivo PDF parece que es detectado desde el 11 de febrero por varios motores antivirus. Actualmente, según nuestros registros en VirusTotal.com, se ha recibido ocho veces la misma muestra y es detectada (por firmas) por 13 motores de 39.

El fallo afecta a todas las plataformas y a todas las ramas mantenidas por el fabricante, tanto de Adobe Acrobat como de Adobe Reader. Actualmente la 9, 8 y 7. Adobe anuncia que solucionará el fallo con parches que aparecerán sobre el 11 de marzo para la rama 9 y "más tarde" para el resto de versiones. El boletín se publicará en http://www.adobe.com/support/security.

El fabricante no proporciona ninguna información sobre cómo mitigar el problema. Al parecer es posible que la desactivación del JavaScript permita estar protegido, pero no puede garantizarse. Mientras tanto, se recomienda no abrir documentos PDF con Adobe no solicitados o usar lectores alternativos como por ejemplo Foxit Reader (gratuito para Windows) o Xpdf para el resto de plataformas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and Acroba
http://www.adobe.com/support/security/advisories/apsa09-01.html

Trojan.Pidief.E
http://www.symantec.com/business/security_response/writeup.jsp?docid=2009-021212-5523-99&tabid=1

jueves, 19 de febrero de 2009

Una simple vulnerabilidad en telnetd de FreeBSD permite elevar privilegios

Se ha encontrado un fallo en el servidor telnet de FreeBSD que podría permitir a un atacante remoto ejecutar código como root. Aunque el servicio telnet no sea de los más usados hoy en día, se trata de una grave vulnerabilidad generada por un error del equipo de programación de FreeBSD. Recuerda a un fallo muy parecido que sufrió Sun Solaris hace ahora dos años.

FreeBSD es un sistema operativo OpenSource gratuito y de alta calidad, perteneciente a la familia *BSD, como NetBSD u OpenBSD. Está creado con la seguridad como prioridad desde un principio, y con su configuración por defecto, resulta uno de los sistemas operativos más seguros.

El problema encontrado recientemente en el demonio telnet (telnetd) permite a un atacante realizar un ataque basado en variables de entorno. Aunque el demonio limpia las variables de entorno antes de permitir una conexión, cambios recientes en FreeBSD han hecho que esta limpieza no sirva realmente, sin que se hayan percatado los programadores. Por tanto, por ejemplo es posible compilar una librería que cambie el valor de la variable de entorno LD_PRELOAD, y hacer una conexión al demonio telnet usándola (cargando la librería en la llamada). Como no será correctamente filtrada, la cargará y el atacante podrá obtener una shell con privilegios de root (que normalmente ejecuta el demonio telnetd). Aunque el ataque en esencia permite elevación de privilegios local, si además tiene la posibilidad de "subir" a través de cualquier medio esa librería creada a la máquina víctima, el ataque puede realizarse en remoto.

Telnet no es un servicio muy usado hoy en día, por carecer totalmente de mecanismos de seguridad integrados. Aunque hace años se usaba para administrar las máquinas, hoy en día ha quedado relegado por la conexión cifrada y autenticada SSH. Sin embargo, este es uno de los errores más "claros" y sencillos de explotar cometidos por FreeBSD en los últimos años.

Se recomienda seguir los enlaces en el apartado de "más información" para conocer cómo solucionar el problema.

Recuerda a un error cometido por Sun Solaris en febrero de 2007. Se dio a conocer una vulnerabilidad en Sun Solaris 10 tan simple como sorprendente. El fallo permitía el acceso trivial como cualquier usuario (incluido root) también a través de telnet. Sin necesidad de conocimientos especiales, sin shellcode ni exploits, el fallo rozaba lo vergonzosamente simple. La vulnerabilidad fue ya descubierta y corregida en sistemas UNIX en 1994, aunque se reprodujo por error de nuevo en 2002 hasta que fue "redescubierta" en 2007.


Sergio de los Santos
ssantos@hispasec.com


Más información:

FreeBSD-SA-09:05.telnetd Security Advisory
http://security.freebsd.org/advisories/FreeBSD-SA-09:05.telnetd.asc

14/02/2007 Sun Solaris vuelve a sorprender resucitando una
vulnerabilidad "histórica"
http://www.hispasec.com/unaaldia/3035

miércoles, 18 de febrero de 2009

Aprovechan vulnerabilidad en Internet Explorer 7 a través de documentos Word

Algunas casas antivirus advierten de que una de las últimas vulnerabilidades de Internet Explorer 7 se está aprovechando activamente por atacantes para infectar sistemas. Lo curioso no es que un fallo (que se suponía previamente desconocido) esté siendo aprovechado poco después de hacerse público. La novedad introducida en este caso, es que se está realizando (ya por segunda vez) el ataque al navegador a través de documentos en formato Word.

El pasado martes 10 de febrero, en su boletín MS09-002, Microsoft solucionó dos vulnerabilidades críticas que afectaban sólo a Internet Explorer 7. Ambas permitían la ejecución de código arbitrario si la víctima visitase una web especialmente manipulada. Apenas una semana después de que Microsoft hiciese público el parche, se han detectado los primeros ataques. Una vez con el parche en su poder, los atacantes aplican ingeniería inversa para conocer las zonas de código que modifica la actualización, y averiguar los detalles técnicos concretos de la vulnerabilidad para así aprovecharla en su beneficio con exploits.

Normalmente este tipo de vulnerabilidades que permiten ejecución de código en el navegador necesitan que la víctima visite una web manipulada. En este caso, además de este vector, los atacantes se están ayudando de un documento Word con un objeto ActiveX incrustado en su interior. Cuando se interpreta con Word el documento, Internet Explorer 7 visita la web que sí contiene el exploit y se aprovecha la vulnerabilidad (si la víctima no ha aplicado el parche). Se establece un paso previo que al parecer puede resultar rentable al atacante: en vez de inducir a la visita de una página web, se incita al usuario a abrir un documento que, gracias a su interactividad con el navegador, abrirá una página web que sí permite infectar al sistema.

La ventaja adicional para los creadores del malware es que esto se produce de forma transparente al usuario. Pero sólo si se ha sido descuidado en la configuración de su paquete ofimático. Si se evita la ejecución de macros en Word, el control ActiveX no se instanciará y no se descargará nada. Por defecto Microsoft bloquea la ejecución de macros en Office. Obviamente, la visita directa a la página (sin abrir el documento) también infectará a la víctima siempre que no esté parcheada y no haya elevado la seguridad de su navegador para evitar la ejecución de JavaScript en sitios desconocidos.

Una vez infectado, como es habitual, el malware descarga diferentes componentes y robará información confidencial de la víctima. En diciembre se dio ya el primer caso de vulnerabilidades en Internet Explorer 7 aprovechadas a través de documentos Word.

Aunque McAfee habla de que el exploit está "in the wild", en VirusTotal.com, mientras se redacta este artículo, solo hemos recibido una muestra que McAfee haya denominado así. Trend Micro, por el contrario, sugiere que el ataque es todavía limitado. Por firmas (el sistema de detección que se usa en VirusTotal.com), son los dos únicos antivirus que detectan el archivo DOC por ahora. En cualquier caso, se recomienda actualizar el navegador lo antes posible.


Sergio de los Santos
ssantos@hispasec.com


Más información:

MS09-002 Exploit in the wild uses MSWord Lure
http://www.avertlabs.com/research/blog/index.php/2009/02/17/ms09-002-exploit-in-the-wild-uses-msword-lure/

Another Exploit Targets IE7 Bug
http://blog.trendmicro.com/another-exploit-targets-ie7-bug/

Cumulative Security Update for Internet Explorer (961260)
http://www.microsoft.com/technet/security/bulletin/MS09-002.mspx

martes, 17 de febrero de 2009

Actualización de múltiples paquetes en productos SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad.

De forma resumida, las vulnerabilidades corregidas son:

* Un problema de directorio transversal en apache2-mod_php5 y un desbordamiento de memoria intermedia en la extensión mstring.

* Un fallo al interpretar ficheros GRO especialmente manipulados podría provocar un desbordamiento de memoria intermedia basado en pila en audacity.

* Un fallo a la hora de tratar derechos de acceso negativos podría permitir a un atacante eludir restricciones.

* Imágenes tiff especialmente manipuladas podría permitir un atacante hacer que aplicaciones que usen libtiff-devel dejase de responder.

* Un problema en libvirt podría permitir a un atacante local migrar máquinas virtuales sin que tengan permisos para ello.

* Problemas de cross site scripting en mediawiki.

* Ejecución de comandos shell arbitrarios en netatalk.

* Denegación de servicio en novell-ipsec-tools.

* Un problema de acceso a información sensible en opensc.

* Un fallo en 'rmtree' en PERL provoca un error de carrera que podría permitir a un atacante local crear binarios con setuid arbitrarios a través de enlaces simbólicos.

* Un fallo en PhpPgAdmin en el fichero 'lib.inc.php' con la variable de PHP 'register_globals' activada, podría permitir a un atacante remoto leer archivos arbitrarios mediante el parámetro '_language' especialmente manipulado.

* Un fallo en SBL podría porvocar un desbordamiento de memoria intermedia, debido a que los datos de entrada y las variables de autenticación no están correctamente chequeadas. No se conocen más datos.

* Un fallo en sblim-sfcb localizado en el fichero 'genSslCert.sh' podría permitir a un atacante remoto sobrescribir ficheros arbitrarios a través de enlaces simbólicos.

* Un problema en Squirrelmail a la hora de usar el flag de seguridad
en sus cookies podría permitir a un atacante secuestrar una sesión SSL a través de cookies filtradas.

* Un fallo en la aplicación Swfdec podría permitir a un atacante remoto causar una denegación de servicio.

* Dos fallos en tomcat5 que podrían permitir a un atacante remoto listar directorios a través de un punto y coma antes del nombre de un archivo, y ataques de cross-site scripting a través de cabeceras 'Accept-Language' que no se ajusten al RFC 2616.

* Un fallo en virtualbox en la función 'AcquireDaemonLock' localizada en el fichero 'ipcdUnix.cpp' podría permitir a un atacante local sobrescribir archivos arbitrarios a través de ataques de enlace simbólico.

* Múltiples fallos en WebSphere-as_ce.

* Un fallo en winetricks podría permitir a un atacante local sobrescribir archivos arbitrarios a través de enlaces simbólicos en archivos temporales.

* Múltiples fallos en xine-devel podrían permitir a un atacante remoto llegar a ejecutar código arbitrario.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:004
http://lists.opensuse.org/opensuse-security-announce/2009-02/msg00002.html

lunes, 16 de febrero de 2009

El último parche de Mac corrige 50 vulnerabilidades. Una de ellas conocida desde hace 6 meses

Apple ha publicado uno de sus habituales mega parches para Mac OS X 10.X, incluyendo además actualizaciones para Safari bajo Windows y Java para Mac. En este caso corrige 50 vulnerabilidades diferentes. El descubridor de una de ellas se queja de que han tardado más de seis meses en publicar una actualización para un grave problema en Safari, que permitía a un atacante tener acceso a ficheros locales del sistema a través de una página web.

Brian Mastenbrook descubrió un problema de seguridad en Safari en julio de 2008. No dio detalles. No era la primera vez que Mastenbrook alertaba a Apple (que enseguida reconoció el problema) sobre vulnerabilidades en su software, aportando una clara prueba de concepto que lo demostraba. No ha sido hasta el pasado día 12 de febrero, en su lote 2009-001, que se ha corregido este grave problema. Harto de esperar una solución, Mastenbrook decidió en enero ofrecer los detalles del problema, como método de presión. Finalmente Apple lo ha solucionado, junto con casi 50 vulnerabilidades más.

El problema descubierto por Mastenbrook, básicamente, se trata de un fallo en el lector RSS integrado del navegador. Cuando no encuentra una fuente, va a buscar los estilos de la página 404 en el sistema local del que visita la web. Esto puede ser manipulado de forma muy sencilla por un atacante para obtener ficheros arbitrarios de la víctima si visita un enlace RSS especialmente manipulado. Tanto usuarios de Safari bajo Mac OS X como bajo Windows se veían afectados. A pesar de la gravedad de la vulnerabilidad, Apple ha necesitado que el descubridor ofrezca los detalles para solucionar el fallo. Mastenbrook se queja de que Apple tiene un serio problema de prioridades. Durante estos últimos 6 meses ha trabajado activamente en su Safari 4 y sus nuevas funcionalidades, mientras este fallo conocido y reconocido, quedaba relegado a un segundo plano.

Hay que tener en cuenta además que el fallo resultaba trivial de aprovechar, no eran necesarios profundos conocimientos técnicos para poder explotar el problema y obtener ficheros del sistema víctima con sólo visitar un enlace. Funcionaba igual bajo cualquier plataforma donde se ejecutase el navegador.

Apple no es objetivo prioritario de las mafias informáticas que crean el malware industrial. Aunque no es atacado de forma masiva aún, sí que se viene demostrando desde hace meses, que la gestión de la seguridad de Apple en general y Mac OS X en particular deja mucho que desear. Si el sistema operativo gana interés entre los atacantes, ¿cómo aguantaría la embestida? A nivel de imagen, según Mastenbrook sería preocupante la comparación con Microsoft. "Si se percibiesen sus productos como los de Microsoft [en cuestión de seguridad] se borraría buena parte de lo bueno acumulado por la compañía desde la introducción de OS X".

Como ya hemos recordado en más de una ocasión, si alguien sufre de cerca el lastre que puede suponer una mala fama en cuestión de seguridad, esa es Microsoft. A pesar de la enorme inversión realizada en cuestión de seguridad desde 2002 (con muy buenos resultados a largo plazo), la fama (y la compatibilidad con errores del pasado) impide que las mejoras sean mejor acogidas. Apple todavía está a tiempo de evitar los mismos fallos pero, a pesar de tener un claro ejemplo en su competencia, no parecen estar interesados en subsanarlos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Brian Mastenbrook: Safari RSS vulnerability: what went wrong?
http://brian.mastenbrook.net/display/28

01/08/2008 Apple, último en publicar parche para la grave vulnerabilidad DNS
http://www.hispasec.com/unaaldia/3569

domingo, 15 de febrero de 2009

Actualización para vulnerabilidades en Microsoft Exchange

Dentro del conjunto de boletines de seguridad de febrero publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-003) de una actualización para servidores Exchange destinado a corregir dos nuevas vulnerabilidades, que podrían permitir a un atacante remoto ejecutar código arbitrario o causar una denegación de servicio.

La primera vulnerabilidad está causada por un error de corrupción de memoria causada por un fallo en la forma en la que Microsoft Exchange Server decodifica los datos de un mensaje en formato TNEF (Transport Neutral Encapsulation Format). El error podría ser aprovechado por un atacante remoto para ejecutar código arbitrario si el usuario abriese un mensaje TNEF especialmente manipulado.

La segunda vulnerabilidad está causada por un error en la forma en la que EMSMDB32 (Electronic Messaging System Microsoft Data Base, 32 bit build) maneja comandos MAPI no válidos. El error podría ser aprovechado por un atacante remoto, por medio de un comando MAPI especialmente manipulado enviado al servidor Exchange, para causar que los distintos servicios que hagan uso de EMSMDB32 dejen de responder.

Los problemas afectan a Exchange 2000 Server, Exchange Server 2003 y Exchange Server 2007. Además este parche sustituye al parche anterior (MS08-039) en los sistemas Microsoft Exchange Server 2007 Service Pack 1.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde la página del boletín de seguridad.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin MS09-003 - Critical
Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution http://www.microsoft.com/technet/security/bulletin/ms09-003.mspx

sábado, 14 de febrero de 2009

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines de seguridad de febrero publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-002) de una actualización acumulativa para Internet Explorer 7; que además solventa dos nuevas vulnerabilidades.

La primera de las vulnerabilidades corregidas se trata de un fallo que tenía lugar al intentar acceder a un objeto previamente borrado. Esto provocaría un intento de acceso a memoria no inicializada, lo que podría permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario que visita una página web especialmente manipulada.

También se ha corregido un fallo en la forma en la que Internet Explorer muestra una página web que contiene ciertos estilos CSS. Esto podría permitir a un atacante remoto ejecutar código arbitrario con los mismos permisos del usuario a través de una página web especialmente manipulada.

Este parche sustituye a los parches anteriores (MS08-073 y MS08-078). Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-002 - Crítico
Actualización de seguridad acumulativa para Internet Explorer http://www.microsoft.com/spain/technet/security/Bulletin/ms09-002.mspx

viernes, 13 de febrero de 2009

Actualización del kernel para Red Hat Enterprise Linux 5

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 5 que corrige múltiples fallos de seguridad que podrían permitir a un atacante causar una denegación de servicio.

Los problemas corregidos son:

* Una fuga de memoria en la función keyctl_join_session_keyring de (security/keys/keyctl.c) que podría ser aprovechada por un atacante local para causar una denegación de servicio.

* Se ha encontrado otro fallo que podría ser aprovechado por un atacante local para causar una denegación de servicio. El fallo se produce cuando se recibe un paquete sctp FWD-TSN (FORWARD-TSN) con un número de secuencia (Stream ID) no válido. El protocolo sctp no comprobaría su validez y se podría causar un desbordamiento de búfer al sobrescribir el paquete con ese ID.

* Debido a un fallo al manejar grandes cantidades de tráfico de red en un sistema con múltiples cores, un atacante capaz de enviar gran volumen tráfico de red podría causar una denegación de servicio.

* Denegación de servicio causada por un desbordamiento de búfer en la función hfsplus_find_cat al manejar de forma errónea estructuras de datos corruptas.

* Denegación de servicio causada por un desbordamiento de búfer basado en pila en la función hfs_cat_find_brec, al manejar de forma errónea un sistema de archivos con un valor no válido en el campo namelength de catalog.

* Un fallo en la implementación de ciertas operaciones de escritura en el sistema de archivos HFS+ podría ser aprovechado para causar una denegación de servicio local.

Además se han corregido múltiples fallos de menor importancia.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security update
https://rhn.redhat.com/errata/RHSA-2009-0264.html

jueves, 12 de febrero de 2009

Revelación de información local a través de 'at' en IBM AIX 5.x y 6.x

Se ha encontrado una vulnerabilidad en IBM AIX 5.x y 6.x que podría ser explotada por un atacante local para acceder a información sensible.

La vulnerabilidad está causada por un fallo en el comando 'at' (/usr/bin/at) ya que no limita los privilegios al leer ciertos archivos (tiene los permisos de root). Esto podría ser aprovechado por un atacante local para leer cualquier archivo.

Se ha confirmado la vulnerabilidad para AIX 5.2.x, 5.3.x y 6.1.x. Según versión y plataforma, se recomienda aplicar los siguientes parches, disponibles para su descarga desde:
http://aix.software.ibm.com/aix/efixes/security/at_fix.tar
ftp://aix.software.ibm.com/aix/efixes/security/at_fix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4558
http://www14.software.ibm.com/webapp/set2/subscriptions/pqvcmjd?mode=18&ID=4558

miércoles, 11 de febrero de 2009

Por qué el 92% de las vulnerabilidades críticas en Windows minimizarían su impacto si no se usase la cuenta de administrador

BeyondTrust ha emitido un escueto informe en el que afirma que el impacto del 92% de las vulnerabilidades críticas en Windows se minimizaría si no se usasen los privilegios de administrador. El uso de la cuenta de administrador, como ya hemos defendido desde aquí en otras ocasiones, es uno de los más graves problemas con los que se enfrenta Microsoft y que el propio Windows ha ayudado a alimentar con versiones anteriores. Veremos contra qué tipo de vulnerabilidades protege el principio de mínimo privilegio y por qué, en realidad, el informe no descubre nada nuevo: el principio de mínimos privilegios es una regla que siempre ha estado ahí para todos los sistemas operativos... menos para los de Microsoft.

BeyondTrust ha publicado un estudio pormenorizado de todas las vulnerabilidades publicadas por Microsoft en 2008. Ha concluido que el 92% de las vulnerabilidades críticas y el 69% de todas (críticas o no) serían menos graves, o tendrían un impacto mucho menor, si fuesen aprovechadas por un atacante pero la víctima no fuese administrador. Cuando un atacante aprovecha una vulnerabilidad de ejecución de código en un programa que está siendo usado por un administrador, éste código hereda sus permisos y el atacante podrá campar a sus anchas (como el usuario) en el sistema una vez explotado el fallo. En un 92% de los casos, según el informe, se hubiese limitado considerablemente la gravedad del asunto.

Desde Hispasec siempre se ha recomendado evitar la cuenta administrador, es el principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular. Esta es la primera capa de seguridad con la que se debe proteger un usuario. Un "administrador" está precisamente para "administrar", y son muy pocas veces las que un usuario utiliza su sistema para realizar modificaciones importantes. La mayor parte del tiempo lee correo o navega, actividad esta última que conlleva un importante riesgo, sea con el navegador que sea. Esta irresponsable actitud de usuario administrador perpetuo está heredada de los tiempos de Windows 9x. No tenía sistema de usuarios local real, ni soportaba NTFS, con lo que no se podían establecer permisos por usuarios. Con XP, por fin, Microsoft permitía la creación de un usuario inicial distinto al administrador para el uso del sistema, pero lo incluía por defecto al grupo administradores y por tanto no lo protegía ni limitaba en absoluto.

El otro 8%

El informe no explica por qué el impacto de tantas vulnerabilidades es susceptible a la cuenta bajo la que se exploten. ¿Por qué no nos protege del 100% de las vulnerabilidades críticas el hecho de trabajar como usuario sin privilegios? Pues porque el resto, el 8% de vulnerabilidades se pueden clasificar básicamente en tres:

* Las que permiten revelación de información. Estas suelen ser independientes del usuario bajo el que se explota la vulnerabilidad.

* Las que afectan a servicios de sistema que corren siempre bajo cuentas privilegiadas. Los servicios especiales de sistema corren normalmente bajo la cuenta SYSTEM. Si un atacante aprovecha un fallo en estos servicios desde el exterior, no hay nada que el usuario pueda hacer para evitarlo excepto intentar precisamente que el servicio no esté accesible para cualquiera. Hay que recordar que ya hicieron un trabajo importante de limitación de cuentas de servicio cuando apareció XP. En 2000 todos los servicios trabajaban con los máximos privilegios. En XP y 2003, no.

* Las elevaciones de privilegios. Evidentemente, este tipo de vulnerabilidades permiten precisamente saltar de una cuenta sin privilegios a otra con mayor capacidad de actuación sobre el sistema. Si se trabaja con cuenta limitada, es una de las mayores preocupaciones. Si se trabaja como administrador, estas vulnerabilidades no suelen tienen impacto (excepto si logran privilegios de SYSTEM, ligeramente superiores a los del propio Administrador). Hoy en día, las vulnerabilidades de elevación de privilegios son poco valoradas por los atacantes (en especial los creadores de malware) porque presuponen (y presuponen bien) que su víctima será administrador.

¿Windows un 92% más seguro?

Significa que el trabajar con cuentas con privilegios menos elevados ayudaría a que el sistema fuese un 92% más seguro? Desgraciadamente no, pero sin duda ayudaría.

Trabajar como usuario con pocos privilegios no es la panacea. Trabajar como usuario raso en XP o 2000 con cierto software puede llegar a ser incómodo, incluso para usuarios experimentados (y casi siempre esto es responsabilidad de los propios programadores, que no suelen tenerlo en cuenta). Es necesario tener conocimientos sobre permisos, privilegios, NTFS, derechos, herencias, grupos... Por si fuera poco, con ánimo de no complicar al usuario, Windows XP Home Edition esconde deliberadamente la pestaña de seguridad para poder cambiar los permisos, a no ser que se trabajara en modo a prueba de fallos. En otros sistemas operativos resulta más sencillo, porque los programadores siempre han supuesto que su usuario no iba a gozar de todos los permisos.

El problema es, como de costumbre, la educación del usuario ante una estructura tan compleja como hoy en día es un sistema operativo. Estamos tan mal acostumbrados que si un usuario de cualquier sistema operativo (distinto a Windows) se convierte en víctima del exploit de una vulnerabilidad, y por ello el sistema queda totalmente comprometido, lo primero que preguntamos es si estaba trabajando como root. Si es así, inmediatamente la mayor parte de la responsabilidad cae del lado del usuario (abstrayéndonos de la responsabilidad del software). Se entiende como una especie de castigo justo por no conocer y limitar convenientemente su entorno de trabajo, o por despiste. En Windows, si un usuario es víctima de un malware que se le ha colado a través del navegador, y esta víctima trabaja como administrador (lo más habitual) el problema se achaca directamente al sistema operativo o al navegador y sus continuos fallos. No solemos pararnos a pensar en que el usuario, tampoco en este caso, conoce realmente su entorno de trabajo o no se le han proporcionado la facilidades para hacerlo, y por eso no lo ha limitado convenientemente. Limitándolo, si bien no se reduciría el número de fallos, sí se degradará considerablemente su impacto, como bien recuerda el informe.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Reducing the Threat from Microsoft Vulnerabilities: 92% of Critical
Vulnerabilities can be Mitigated by Removing Admin Rights
http://www.beyondtrust.com/documentation/whitePapers/wp_VulnerabilityReport.pdf

martes, 10 de febrero de 2009

Boletines de seguridad de Microsoft en febrero

Tal y como adelantamos, este martes Microsoft ha publicado cuatro boletines de seguridad (del MS09-002 y MS09-005) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de ocho vulnerabilidades. Según la propia clasificación de Microsoft dos de los boletines presentan un nivel de gravedad "crítico", mientras que los dos restantes son "importantes".

Los boletines "críticos" son:

* MS09-002: Actualización acumulativa para Microsoft Internet Explorer que además soluciona dos nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS09-003: Este boletín de seguridad resuelve dos vulnerabilidades en Microsoft Exchange Server. Una de ellas permitiría la ejecución remota de código si un usuario envía un mensaje TNEF específicamente creado. La segunda vulnerabilidad consistiría en una denegación de servicio. Afecta a Exchange Server 2000, 2003 y 2007.

Los dos boletines "importantes" son:

* MS09-004: Actualización destinada a corregir una vulnerabilidad en Microsoft SQL Server que podría permitir la ejecución remota de código.

* MS09-005: Actualización que resuelve tres vulnerabilidades en Microsoft Office Visio que podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio maliciosamente manipulado. Afecta a Microsoft Office Visio 2002, 2003 y 2007.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for February 2009
http://www.microsoft.com/technet/security/bulletin/ms09-feb.mspx

Microsoft Security Bulletin MS09-002 - Critical
Cumulative Security Update for Internet Explorer
http://www.microsoft.com/technet/security/Bulletin/MS09-002.mspx

Microsoft Security Bulletin MS09-003 - Critical
Vulnerabilities in Microsoft Exchange Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS09-003.mspx

Microsoft Security Bulletin MS09-004 - Important
Vulnerability in Microsoft SQL Server Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS09-004.mspx

Microsoft Security Bulletin MS09-005 - Important
Vulnerabilities in Microsoft Office Visio Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS09-005.mspx

lunes, 9 de febrero de 2009

Problema de regresión en sshd de Sun Solaris 9 y 10

Sun ha publicado una alerta de seguridad para Solaris 9 y 10 que solventa un problema de regresión en sshd que podría causar una denegación de servicio.

El fallo está causado porque un grupo anterior de parches introducen un problema de regresión que podría causar que la característica de reenvío de Secure Shell X11 deje de funcionar en los sistemas que estén configurados solo con interfaces IPv4.

Los parches que causan el problema son:

Para la plataforma SPARC:
Solaris 9 con parche 114356-14 o superior.
Solaris 10 con parche 126133-03 o superior.

Para la plataforma x86:
Solaris 9 con parche 114357-13 o superior.
Solaris 10 con parche 126134-03 o superior.

Según versión y plataforma, el problema ha sido solucionado en los siguientes nuevas actualizaciones:

Para SPARC:
Solaris 9 instalar 114356-15 o posterior desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114356-15-1

Solaris 10 instalar 138060-04 o posterior desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138060-04-1

Para x86:

Solaris 9 instalar 114357-14 o posterior desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-114357-14-1

Solaris 10 instalar 138061-04 o posterior desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138061-04-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Regression in the Secure Shell Daemon (sshd(1M)) Breaks X11 Forwarding Functionality on IPv4 Only Systems
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240906-1

domingo, 8 de febrero de 2009

Ejecución remota de código a través de libxml2 en Solaris

Se han descubierto dos vulnerabilidades en libxml de Solaris 9, 10 y OpenSolaris, que podrían permitir a un atacante remoto causar una denegación de servicio y potencialmente ejecutar código arbitrario.

El primero de los fallos reside en un desbordamiento de entero en la función 'xmlBufferResize' de libxml2 que podría permitir a un atacante remoto causar una denegación de servicio a través de archivos xml especialmente manipulados.

El segundo de los problemas consiste en un desbordamiento de entero en la función 'xmlSAX2Characters' de libxml2 que podría permitir a un atacante remoto causar una denegación de servicio y potencialmente ejecutar código arbitrario con los permisos de la aplicación a través de archivos xml especialmente manipulados.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in the libxml2 Library Routines xmlBufferResize() and xmlSAX2Characters() May Lead to Arbitrary Code Execution or Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-251406-1

sábado, 7 de febrero de 2009

Microsoft publicará cuatro boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cuatro boletines de seguridad. Las actualizaciones afectarían a Internet Explorer, Microsoft Exchange Server, Microsoft SQL Server y Microsoft Office

Si en enero se publicó un sólo boletín de seguridad, este mes Microsoft prevé publicar un total de cuatro actualizaciones el martes 10 de febrero. Dos de ellas, las dedicadas a la versión 7 de Internet Explorer y al servidor Exchange, alcanzan la categoría de críticas, mientras que las otras dos, referentes al servidor de SQL y al software gráfico Visio de Office, están catalogadas como importantes.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Dada la coincidencia de versiones afectadas, se especula con que el boletín dedicado a SQL Server se encargaría de solventar una vulnerabilidad reconocida por Microsoft el pasado 22 de diciembre, y de la que se han detectado exploits circulando por la red.

Según se puede apreciar en la descripción de la vulnerabilidad publicada por Bernhard Mueller (SEC Consult) el pasado 12 de diciembre, el fallo estaría causado por un error al comprobar los parámetros en el procedimiento "sp_replwritetovarbin" y podría ser aprovechado para la ejecución remota de código.

Un portavoz de Microsoft ha confirmado que la compañía estaba al tanto de la vulnerabilidad desde el pasado mes de abril y el propio Mueller afirma haber recibido una notificación de Microsoft en septiembre informándole de que el parche estaba listo.

Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Pablo Molina
pmolina@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for February 2009
http://www.microsoft.com/technet/security/bulletin/ms09-feb.mspx

Microsoft Security Advisory (961040)
Vulnerability in SQL Server Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/961040.mspx

Microsoft SQL Server sp_replwritetovarbin limited memory overwrite vulnerability
http://www.sec-consult.com/files/20081209_mssql-2000-sp_replwritetovarbin_memwrite.txt

viernes, 6 de febrero de 2009

Denegación de servicio local en el kernel de Linux 2.6.x

Se han encontrado dos fallos de seguridad en kernel de Linux 2.6.x que podrían ser aprovechados por un atacante local para causar una denegación de servicio.

El primero de los problemas reside en un fallo en la función inotify_read de fs/notify/inotify/inotify_user.c, que podría permitir a un usuario local provocar una denegación de servicio causada por un fallo de condición de carrera.

Además también se ha detectado una vulnerabilidad en la función make_indexed_dir de fs/ext3/namei.c que podría ser aprovechada por un atacante local para hacer que el sistema deje de responder, por medio de un sistema Ext3 especialmente manipulado.

Las vulnerabilidades han sido corregidas en las versiones 2.6.27.14 y 2.6.28.3, disponibles desde:
http://www.kernel.org/pub/linux/kernel/v2.6/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

different oops & panic on accessing an intentionally corrupted ext4 fs image http://bugzilla.kernel.org/show_bug.cgi?id=12430

jueves, 5 de febrero de 2009

FeedDemon vulnerable a ejecución de código

Se ha publicado información sobre un fallo de seguridad en FeedDemon, que podría ser aprovechado para causar una denegación de servicio o ejecutar código arbitrario de forma remota, lo que permitiría comprometer por completo un sistema vulnerable.

FeedDemon es un popular lector gratuito de RSS (Really Simple Syndication) para entornos Windows y permite a un usuario ver sus fuentes de noticias y manejarlas de forma sencilla desde el escritorio.

El fallo, descubierto y publicado por la empresa vietnamita Bkis, está provocado por un error al procesar archivos OPML (Outline Processor Markup Language) que podría causar un desbordamiento de búfer, pudiendo ser explotable para ejecutar código arbitrario.

Los archivos OPML vienen en formato XML y son utilizados por los lectores de RSS para almacenar un listado de las suscripciones a las fuentes de noticias de un usuario.

El fallo, que afectaría a todas las versiones disponibles incluida la 2.7, estaría causado por un error al manejar las etiquetas 'outline' con un atributo 'text' demasiado largo, lo que produciría el desbordamiento de búfer. Esto podría ser aprovechado por un atacante remoto para ejecutar código en el sistema de una víctima que intenta importar un archivo opml especialmente manipulado, pudiendo adquirir control total sobre el sistema afectado si se ejecuta como administrador.

A pesar de que el fabricante fue informado de la vulnerabilidad el pasado día 21 de enero, todavía no existe parche disponible, por lo que se recomienda no utilizar FeedDemon para importar archivos OPML de dudosa procedencia hasta que no se publique una actualización de seguridad.


Pablo Molina
pmolina@hispasec.com


Más información:

FeedDemon Buffer Overflow Vulnerability
http://security.bkis.vn/?p=329

miércoles, 4 de febrero de 2009

Vulnerabilidades en Cisco Wireless LAN Controllers

Cisco ha publicado una actualización que solventa múltiples vulnerabilidades en Cisco Wireless LAN Controllers (WLCs), Cisco Catalyst 6500 Wireless Services Modules (WiSMs) y Cisco Catalyst 3750 Integrated Wireless LAN Controllers que podrían permitir a un atacante remoto no autenticado escalar privilegios o causar una denegación de servicio.

Los problemas corregidos son:

* Debido a un fallo en el sistema de autenticación web, un atacante remoto podría utilizar un escáner de vulnerabilidades para hacer que el dispositivo dejase de ofrecer la autenticación web o se reiniciase (denegación de servicio).

* Un atacante podría forzar el reinicio del dispositivo por medio de un POST especialmente manipulado enviado a la página de autenticación web 'login.html'.

* Los dispositivos Cisco WLC, WiSM y Catalyst 3750 Wireless LAN Controller podrían dejar de responder al recibir ciertos paquetes IP especialmente manipulados.

* Se ha encontrado un fallo de seguridad en la versión 4.2.173.0 de Wireless LAN Controller (WLC) que podría ser aprovechado por usuario restringido para escalar privilegios, consiguiendo control total sobre un dispositivo afectado.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090204-wlc.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco Wireless LAN Controllers
http://www.cisco.com/warp/public/707/cisco-sa-20090204-wlc.shtml

martes, 3 de febrero de 2009

La nueva versión de Firefox soluciona seis vulnerabilidades

Mozilla ha publicado su nueva versión 3.0.6 de Firefox, abandonando ya por primera vez la rama 2.x en cuestión de seguridad. Como todas las pequeñas actualizaciones de Firefox, su fin principal es solucionar vulnerabilidades, seis en este caso. También afectan a Seamonkey y Thunderbird, aunque, como de costumbre, de estos programas no se publicará actualización hasta más adelante.

Brevemente, las vulnerabilidades de Firefox clasificadas por criticidad son:

Bajas:
* Las directivas con las que las páginas indican que no deben ser cacheadas no eran aplicadas.
* Se podían leer las cookies HTTPOnly con XMLHttpRequest.

Moderadas:
* Elevación de privilegios en Chrome a través de ficheros .desktop.

Altas:
* Robo de ficheros locales con SessionStore.
* Cross-site scripting usando el método XBL y window.eval.

Críticas:
* De nuevo problemas con JavaScript y evidencias de posibilidad de ejecución de código.

Otra vez el motor JavaScript como el origen de la mayoría de problemas de seguridad graves en Firefox. Al menos, no se tiene constancia de que los fallos de seguridad hayan sido aprovechados de forma regular por atacantes, ni de la existencia de exploits públicos.

Aunque Thunderbird sufre de cuatro de estos últimos problemas de seguridad, todavía no se ha publicado la versión que los soluciona. Habitualmente su publicación se retrasa varios días, sin motivo aparente. En este caso se espera que la versión 2.0.0.21 del cliente de correo solvente los fallos, pero no se sabe cuándo verá la luz.

Esta es la primera tanda de vulnerabilidades corregidas en 2009 por la fundación Mozilla. En los años anteriores, la media de publicación habla de, aproximadamente, un lote de boletines de seguridad cada mes, sin regularidad preestablecida. En 2008 la fundación Mozilla publicó 69 boletines de seguridad, que corregían más de 70 vulnerabilidades (algunos boletines advertían sobre más de una vulnerabilidad). 29 de ellos fueron calificados como críticos (el 42%). En 2007, 14 eran críticos de un total de 40 boletines (el 35%). La inmensa mayoría de los fallos graves, han estado relacionados con el motor JavaScript del navegador.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/

lunes, 2 de febrero de 2009

Nuevos contenidos en la Red Temática CriptoRed (enero de 2009)

Breve resumen de las novedades producidas durante el mes de enero de
2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED

* Eficiencia de la Criptografía de Curva Elíptica y RSA para Enfrentar los Nuevos Requerimientos de Seguridad en Internet (Cristóbal Carbonell Jiménez, Rodrigo Díaz Muñoz, Pablo Mejías Osorio; dirección Eric Donders Orellana, PDF, 140 páginas, Chile)
http://www.criptored.upm.es/guiateoria/gt_m103a.htm

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Diciembre de 2008 (España)
https://ersi.inteco.es/informes/informe_mensual_200812.pdf

* Informe Anual de 2008 de la Red de Sensores de INTECO (España)
https://ersi.inteco.es/informes/informe_anual_2008.pdf

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Febrero 4 al 5 de 2009: Nuevos Avances en Criptografía y Codificación de la Información en RSME 2009 (Oviedo - España)
http://www.uniovi.es/rsme09/

* Febrero 9 al 13 de 2009: IX Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
http://www.informaticahabana.com/?q=listeventos_es&e=16&id=es

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society 2009 (Barcelona, España)
http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on Practical Applications of Agents and Multiagent Systems PAAMS 2009 (Salamanca - España)
http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference WWW 2009 (Madrid - España)
http://www2009.org/

* Abril 23 al 25 de 2009: Cuarto Congreso Colombiano de Computación 4CCC (Bucaramanga - Colombia)
http://serverlab.unab.edu.co/4ccc

* Mayo 6 al 10 de 2009: 7th International Workshop on Security In Information Systems (Milán - Italia)
http://www.iceis.org/Workshops/wosis/wosis2009-cfp.htm

* Mayo 12 al 14 de 2009: Tercer Counter-eCrime Operations Summit CeCOS III (Barcelona - España)
http://www.antiphishing.org/events/2009_opSummit.html

* Junio 10 al 12 de 2009: 2nd International Symposium on Distributed Computing and Artificial Intelligence DCAI 09 (Salamanca - España)
http://dcai.usal.es/

* Junio 15 al 19 de 2009: Third IFIP WG 11.11 International Conference on Trust Management (West Lafayette - Estados Unidos)
http://projects.cerias.purdue.edu/IFIPTM/

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad Informática ACIS 2009 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1246

* Junio 17 al 20 de 2009: Cuarta Conferencia Ibérica de Sistemas y Tecnologías de la Información (Póvoa de Varzim - Portugal)
http://www.aisti.eu/cisti2009/

* Junio 17 al 23 de 2009: IADIS Multi Conference on Computer Science and Information Systems 2009 (Algarve - Portugal)
http://www.mccsis.org/

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications (Sousse - Túnez)
http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009 (Barcelona - España)
http://jenui2009.fib.upc.edu/

* Julio 13 al 16 de 2009: International Conference on Security and Management SAM '09 (Las Vegas - Estados Unidos)
http://www.world-academy-of-science.org/worldcomp09/ws/conferences/sam09

* Septiembre 17 al 20 de 2009: 23rd International Conference SAER 2009 y Workshop eGovernance and Data Protection eG&DP 2009 (Varna - Bulgaria)
http://www.tu-sofia.bg/saer/

* Noviembre 16 al 18 de 2009: V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Montevideo - Uruguay)
http://www.fing.edu.uy/cibsi09

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE ENERO DE 2009
Para ampliar estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#ene09

* Primer CFP para el V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Uruguay)
http://www.fing.edu.uy/cibsi09

* Nuevos Avances en Criptografía y Codificación de la Información en Congreso RSME 2009 (España)
http://enol.epsig.uniovi.es/criptoRSME/

* CFP IADIS Multi Conference on Computer Science and Information Systems 2009 (Portugal)
http://www.mccsis.org/

* CFP International Conference on Security and Management SAM '09 (Estados Unidos)
http://www.world-academy-of-science.org/worldcomp09/ws/conferences/sam09

* Call for Presentations para Tercer Counter-eCrime Operations Summit CeCOS III (España)
http://www.antiphishing.org/events/2009_opSummit.html

* Cuarta Conferencia Ibérica de Sistemas y Tecnologías de la Información (Portugal)
http://www.aisti.eu/cisti2009/

* CFP SAER 2009 y Workshop eGovernance and Data Protection eG&DP 2009 (Bulgaria)
http://www.tu-sofia.bg/saer/

* Primer Workshop sobre Seguridad en VANETs en la Universidad de La Laguna (España)
http://www.criptored.upm.es/descarga/WorkshopMUOVEene2009.pdf

* V Ciclo de Conferencias UPM - TASSI sobre Seguridad y Sociedad de la Información (España)
http://www.lpsi.eui.upm.es/GANLESI/GANLESI.htm

* Tercera Edición del Máster en Buen Gobierno de las TIC Universidad de Deusto y Oesía (España)
http://www.criptored.upm.es/descarga/Triptico_MAGTIC3.pdf

* Máster en Dirección y Gestión de Seguridad de la Información de ASIMELEC / UPM (España)
http://www.master.etsit.upm.es/marco_seguridad.asp?ID=MDGS

* Postgrado Especialista en Derecho Informático y Nuevas Tecnologías (Colombia)
http://portal.uexternado.edu.co/irj/portal/anonymous?guest_user=wpc&NavigationTarget=navurl://84acc5bbcaf50e8e05f63dfd29f0ed12

* Plaza de Contrato en Prácticas por Dos Años en Seguridad Web en el CSIC de Madrid (España)
http://161.111.194.146/personal_laboral/convocatorias/JAE2008.htm

* Beca FPI para Tesis Doctoral en Criptografía en el Proyecto MUOVE sobre VANETs (España)
http://webpages.ull.es/users/cryptull/MUOVE/

* Estadísticas Detalladas Accesos al Servidor en 2008 para Seguimiento Descargas Colaboradores
http://www.criptored.upm.es/estadisticas/2008/awstats.www.criptored.upm.es.html

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 751
202 universidades y 282 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 20.684 visitas, con 78.587 páginas solicitadas y 33,96 GigaBytes servidos en enero de 2009.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

enero 2009
http://www.criptored.upm.es/paginas/historico2009.htm#ene09

domingo, 1 de febrero de 2009

Cross-site scripting en Oracle Application Server 10g

Se ha encontrado una vulnerabilidad en Oracle Application Server 10g que podría ser explotada por un atacante remoto para perpetrar ataques de cross-site scripting.

La vulnerabilidad está causada porque las entradas pasadas en el parámetro 'site2pstoretoken' de login.jsp y en el parámetro 'search_type' no son limpiadas de forma adecuada antes de ser devueltas al usuario. Esto podría ser explotado por un atacante remoto para ejecutar código JavaScript o HTML en el contexto de de la sesión del navegador de un usuario que visita un sitio web afectado.

La vulnerabilidad está confirmada para la versión 10.1.3 de Oracle Application Server Portal, aunque puede afectar a otras versiones.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Oracle Application Server 10g Cross Site Scripting Vulnerability
http://archives.neohapsis.com/archives/bugtraq/2009-01/0281.html