martes, 31 de marzo de 2009

Salto de restricciones a través de dircmp en Solaris

Sun ha publicado una actualización de seguridad para dircmp que podría permitir a un atacante local elevar sus privilegios en sistemas Solaris 9 y 10.

Se ha encontrado un error de condición de carrera en dircmp. Esto podría permitir a un atacante local sin privilegios la creación o sobreescritura de archivos arbitrarios a través del comando dircmp.

Según versión y plataforma, se recomienda instalar los siguientes parches :

Plataforma SPARC:
Solaris 9 instalar 138896-01 o superior desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138896-01-1
Solaris 10 instalar 141014-01 o superior desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-141014-01-1

Plataforma x86:
Solaris 9 instalar 140838-01 o superior desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-140838-01-1
Solaris 10 instalar 141015-01 o superior desde: http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-141015-01-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in the Solaris dircmp(1) Shell Script may Allow Overwriting of Arbitrary Files
http://sunsolve.sun.com/search/document.do?assetkey=1-66-253468-1

lunes, 30 de marzo de 2009

Denegación de servicio a través de PN-DCP en Wireshark 1.x

Se ha publicado una vulnerabilidad para Wireshark que podría permitir a un atacante provocar una denegación de servicio y potencialmente, ejecutar código arbitrario.

Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

El fallo se da al procesar tráfico o archivos de tráfico que contengan el disector PN-DCP. Un atacante podría inyectar tráfico en la red o inducir a la víctima a abrir un fichero pcap especialmente manipulado y provocar una denegación de servicio o potencialmente ejecutar código arbitrario.

Se ha publicado un exploit capaz de aprovechar el fallo. Todavía no hay una versión disponible para corregir este problema, aunque se espera que esté disponible en breve en http://www.wireshark.org/download.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Wireshark <= 1.0.6 PN-DCP format string bug POC
http://www.milw0rm.com/exploits/8308

domingo, 29 de marzo de 2009

GhostNet, red espía al servicio de...

La universidad de Toronto ha publicado un interesante documento de investigación sobre "GhostNet", una botnet concebida para un objetivo muy concreto: el espionaje. No estamos ante una botnet con un crecimiento exponencial y centrado en la adquisición de más nodos para aumentar su poder, en este caso los objetivos eran tratados de forma muy personalizada y atendiendo a su importancia. Mientras una botnet puede oscilar entre los 30.000 y más de 100.000 bots, el número de máquinas infectadas en "GhostNet" es de solo 1.295, una población casi insignificante.

Esta investigación fue efectuada por el "Information Warfare Monitor", alianza del think tank de seguridad canadiense "DevSec Group", la universidad de Cambridge y "Citizen Lab", a raíz de las acusaciones al gobierno chino por ciberespionaje al gobierno tibetano.

Desde junio de 2008 hasta marzo de 2009, fueron auditados los equipos y redes en las distintas oficinas que el gobierno en el exilio del Tibet posee distribuidas en diferentes países. En el análisis de la información obtenida hallaron los interfaces de varios servidores de control y se percataron de que lo que tenían delante era solo la punta del iceberg. Entre los nodos que componen "GhostNet" se hallaban ordenadores de los ministerios, embajadas y cancillerías de países como Irán, Alemania, Portugal, India, Estados Unidos, Corea del Sur, etc. Hasta un total de 103 países fueron contabilizados, aunque solo el 30% del total de nodos fue marcado como objetivos de alto valor.

Las máquinas eran infectadas por un troyano denominado "gh0st RAT" capaz de obtener un control completo del huésped, entre otras posibilidades, apagar y encender dispositivos como cámaras o micrófonos y capturar audio y vídeo. La ingeniería social empleada en el ataque daba a entender que previamente se estudiaba a la víctima aprovechándose de la información capturada a otros infectados y usándola como parte de un engaño donde tanto el asunto como el remitente de un correo electrónico eran conocidos por el receptor.

Aunque el 70% de los servidores del control de la red se sitúan en China y el evidente carácter político de los objetivos, el informe final no responsabiliza directamente al gobierno Chino de la autoría, al contrario que el informe paralelo de la universidad de Cambridge que lo incrimina y relaciona directamente.

La información o uno de sus sinónimos, la capacidad de anticiparse al contrario, se adapta a nuevos medios y soportes y quien la desea o codicia no va a escatimar en recursos para obtenerla. ¿Echaremos de menos al hombre de sombrero y gabardina que esquiva la luz de las farolas en una fría tarde de otoño?


David García
dgarcia@hispasec.com


Más información:

Tracking Ghostnet: Investigating a Cyber Espionage Network.
http://www.secdev.ca/Secdev-temp/Publications.html

The Snooping Dragon, social-malware surveillance of the Tibetan movement.
http://www.cl.cam.ac.uk/techreports/UCAM-CL-TR-746.pdf

Information Warfare Monitor
http://www.infowar-monitor.net

sábado, 28 de marzo de 2009

Sun corrige 15 vulnerabilidades en JRE 1.5,x y 6.x

La nueva versión 13 de la rama 6 de Java Runtime Environment corrige múltiples vulnerabilidades, como viene siendo habitual. El "Update 13", como su propio nombre indica, es la decimotercera tanda de corrección de problemas de seguridad desde que apareció la rama 6 hace ahora dos años.

También se han corregido la rama 5 con el Update 18 y el JDK para desarrolladores. Los siete boletines publicados corrigen hasta 15 vulnerabilidades diferentes que podrían ser aprovechadas por un atacante remoto para escalar privilegios, provocar denegación de servicio y potencialmente, ejecutar código arbitrario.

Brevemente, las vulnerabilidades son:

* Se ha corregido una vulnerabilidad en su implementación del servidor HTTP. Esto podría se aprovechado por un atacante remoto sin privilegios para causar una denegación de servicios a través de vectores no especificados.

* Se han corregido múltiples desbordamientos de memoria en JRE al procesar ficheros de imagen en formato PNG o GIF, así como ficheros de fuentes. Esto podría permitir a un atacante remoto escalar privilegios a través de applets o aplicaciones Java Web Start especialmente manipuladas

* Se ha corregido un error en la máquina virtual de JRE, que podría permitir a un atacante remoto la ejecución de código arbitrario a través de applets especialmente manipulados.

* Se han corregido múltiples vulnerabilidades en Java Plug-in, podrían permitir a un atacante remoto escalar privilegios y obtener información sensible a través de applets especialmente manipulados.

* Se han corregido dos vulnerabilidades en JRE al procesar y almacenar ficheros fuentes de carácter temporal consumiendo gran cantidad de espacio en disco. Esto podría permitir a un atacante remoto provocar denegación de servicio a través de applets especialmente manipulados.

* Se ha corregido un error de desbordamiento de enteros y memoria en la utilidad de desempaquetado 'unpack200' de JRE. Esto podría ser aprovechado por un atacante remoto para escalar privilegios a través de applets especialmente manipulados.

* Se ha corregido un error en la implementación de LDAP, que podría permitir a un atacante remoto realizar denegación de servicio a través de la realización múltiples conexiones desde un cliente LDAP.

Las vulnerabilidades han sido solucionadas en JDK y JRE 6 Update 13 y JRE 5.x Update 18 desde:
http://www.java.com/es/download/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

JRE Updates:

http://sunsolve.sun.com/search/document.do?assetkey=1-66-254609-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254571-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254610-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254611-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254608-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254570-1
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254569-1

viernes, 27 de marzo de 2009

Cisco IOS 12.x soluciona 10 vulnerabilidades en su ciclo de actualización de marzo

Cisco ha publicado, como cada último miércoles de marzo, ocho boletines de seguridad que solucionan 10 vulnerabilidades en su sistema operativo Cisco IOS, que podrían ser aprovechadas por un atacante para causar una denegación de servicio o escalar privilegios.

De forma breve, las vulnerabilidades son:

* Se ha descubierto que una secuencia de paquetes TCP podrían causar una denegación de servicio en los dispositivos con Cisco IOS que estén configurados como servidores Easy VPN haciendo uso de Cisco Tunneling Control Protocol (cTCP). Se recomienda aplicar los parches disponibles o utilizar NAT-T de IPSec como alternativa.

La vulnerabilidad está documentada con los Cisco bug ID CSCsr16693 y CSCsu21828:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsr16693
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsu21828

* Existe una vulnerabilidad al manejar sockets IP que podría ser aprovechada por un atacante para causar denegaciones de servicio, por medio de una secuencia de paquetes TCP/IP especialmente manipulados, cuando están activadas ciertas característica de Cisco IOS.

La vulnerabilidad está documentada en Cisco bug ID CSCsm27071:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsm27071

* Se ha encontrado una vulnerabilidad en los sistemas con Cisco IOS configurados para Mobile IP Network Address Translation (NAT) Traversal o Mobile IPv6 que podría ser aprovechada para causar una denegación de servicio, causando que el interfaz del sistema dejase de procesar tráfico.

La vulnerabilidad está documentada en Cisco bug ID CSCsm97220 y CSCso05337:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsm97220
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCso05337

* Existe un fallo del lado del servidor en la implementación de Secure Copy (SCP) en Cisco IOS que podría ser aprovechada por un usuario autenticado con interfaz de línea de comandos (CLI) para escalar privilegios. El usuario podría transferir archivos a, o desde, el dispositivo que esté configurado como servidor SCP. Esto podría ser aprovechado para acceder y escribir en cualquier archivo del dispositivo, pudiendo hacerse con el control total sobre el mismo.

La vulnerabilidad está documentada en Cisco bug ID CSCsv38166:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsv38166

* Se ha encontrado una vulnerabilidad en Cisco IOS en la implementación de Session Initiation Protocol (SIP) que podría ser aprovechada por un atacante remoto para forzar el reinicio del dispositivo.

La vulnerabilidad está documentada en Cisco bug ID CSCsu11522:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsu11522

* Se han encontrado que múltiples características de Cisco IOS podría permitir que un atacante remoto provocase una denegación de servicio en el sistema afectado por medio de una secuencia de paquetes TCP especialmente manipulados.

La vulnerabilidad está documentada en Cisco bug ID CSCsr29468:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsr29468

* Se ha encontrado una vulnerabilidad al procesar paquetes UDP especialmente manipulados que afectaría a distintas característica de Cisco IOS. Si alguna de las características afectadas está habilitada, y se envían paquetes UDP especialmente manipulados al dispositivo afectado, este podría dejar de procesar tráfico a través del interfaz.

La vulnerabilidad está documentada en Cisco bug ID CSCsk64158:
http://tools.cisco.com/Support/BugToolKit/search/getBugDetails.do?method=fetchBugDetails&bugId=CSCsk64158

* Se han encontrado dos vulnerabilidades en Cisco IOS WebVPN o SSLVPN que podrían ser aprovechadas por un atacante remoto no autenticado para causar una denegación de servicio en el dispositivo.

El primer fallo tendría lugar al recibir paquetes HTTPS especialmente manipulados y está documentado en Cisco bug ID CSCsk62253:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsk62253

El segundo problema está causado por una fuga de memoria en el dispositivo al procesar sesiones SSL que han sido interrumpidas de forma inesperada. El problema está documentado en Cisco bug ID CSCsw24700:
http://www.cisco.com/pcgi-bin/Support/Bugtool/onebug.pl?bugid=CSCsw24700


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Summary of Cisco IOS Software Bundled Advisories, March 25, 2009
http://www.cisco.com/warp/public/707/cisco-sa-20090325-bundle.shtml

jueves, 26 de marzo de 2009

Vulnerabilidad 0 day en Mozilla Firefox 3.x para todos los sistemas operativos

El día 25 de marzo se ha publicado sin previo aviso una prueba de concepto que hace que Firefox deje de responder. No existe parche disponible y se sabe que la vulnerabilidad, en realidad, permite ejecución de código. Se trata por tanto, de un 0 day. Al parecer la fundación Mozilla ya ha programado la solución pero no hará pública una nueva versión 3.0.8 del navegador hasta principios de la semana que viene.

El pasado miércoles, un tal Guido Landi hacía públicos (sin previo aviso) los detalles de una vulnerabilidad que permite la ejecución de código en el navegador con solo interpretar un archivo XML especialmente manipulado. En principio la prueba de concepto publicada hace que el navegador deje de responder, pero es posible de forma relativamente sencilla modificar el exploit para que permita la ejecución de código. El problema afecta a todas las versiones (actual y anteriores) del navegador sobre cualquier sistema operativo.

Los desarrolladores de Mozilla han calificado la vulnerabilidad como crítica y urgente, y afirman que ya lo tienen solucionado (en realidad se trata simplemente de un cambio de orden de una línea de código), pero que no publicarán Firefox 3.0.8 hasta principios de la semana que viene. Si el fallo es también reproducible en Thunderbird, es previsible que haya que esperar incluso más tiempo para que se publique una nueva versión.

Se recomienda no visitar páginas sospechosas. Los usuarios más avanzados pueden descargar el archivo corregido directamente del repositorio y recompilar.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Exploitable crash in xMozillaXSLTProcessor::TransformToDoc
https://bugzilla.mozilla.org/show_bug.cgi?id=485217

Firefox Fix Due Next Week After Attack Is Published
http://www.pcworld.com/article/161988/

miércoles, 25 de marzo de 2009

Routers, modems y botnets

Desde hace unas semanas DroneBL ha sufrido un ataque distribuido de denegación de servicio procedente de una botnet llamada 'psyb0t'. Nada nuevo si tenemos en cuenta que DroneBL ofrece un servicio gratuito de publicación de listas negras de IP en tiempo real, lo cual no es precisamente una manera de ganarse admiradores entre las filas de creadores de malware, spammers, etc. Lo interesante del asunto se lo encontraron cuando recabaron información sobre su atacante.

El gusano que teje 'psyb0t' no tiene como objetivo los ordenadores personales o servidores. El binario ni tan siquiera está compilado para la omnipresente arquitectura x86. Su foco de infección se encuentra en los routers y modems ADSL con Linux y procesador MIPS. El gusano efectúa un barrido por rangos de IP escaneando los puertos 22, 23 y el 80, buscando una vulnerabilidad que expone la administración remota del dispositivo a través de telnet, ssh e interfaz web inclusive con los permisos por defecto. Si la configuración ha sido modificada, lo intentará por fuerza bruta.

Tras obtener una shell con permisos de administrador borra el archivo '/var/tmp/udhcpc.env' que pertenece al cliente DHCP y comprueba la existencia del comando wget para efectuar la descarga de una réplica del gusano con el mismo nombre y ruta que el archivo borrado. Tras ello inyecta reglas en iptables para cerrar la entrada en los puertos 22, 23 y 80 y así evitar su apertura lícita y reinfección. Una vez infectado, el nuevo nodo, conecta a un servidor IRC donde procesa el topic que contiene instrucciones para los bots.

Aunque el primer contacto con esta botnet fue documentado por un tal Terry Baume en enero de este año, parece ser que este es el primer ataque a gran escala o el incidente que ha tenido mayor repercusión mediática hasta el momento. Varios son los factores que no pasaron por alto los creadores de 'psyb0t', un vector fácil, contraseñas por defecto y exposición de la administración remota, una presa descuidada, como un olvidado router con el que no se interactúa y se mantiene encendido las 24 horas, y sobre todo el silencio: ¿Cuándo fue la última vez que monitorizaste el tráfico del router?


David García
dgarcia@hispasec.com



martes, 24 de marzo de 2009

Vulnerabilidades de desbordamiento de búfer en HP OpenView Network Node Manager

Se ha anunciado la existencia de tres vulnerabilidades en HP OpenView Network Node Manager (OV NNM), que podrían ser explotadas por atacantes remotos para comprometer un sistema vulnerable.

HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes, posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP.

El primero de los problemas se debe a un desbordamiento de búfer basado en pila en el CGI "OvCgi/Toolbar.exe" cuando procesa el parámetro de cookie "OvOSLocale" de gran tamaño, que podría ser explotado por atacantes remotos para ejecutar código arbitrario mediante peticiones http especialmente creadas.

La segunda vulnerabilidad está provocada por un desbordamiento en heap en el CGI "OvCgi/Toolbar.exe" al procesar el parámetro "OvAcceptLang" de cookie con un gran tamaño, igualmente podría ser explotado por atacantes remotos para ejecutar código arbitrario mediante peticiones http especialmente creadas.

Por último, un tercer desbordamiento basado en heap en el CGI "OvCgi/Toolbar.exe" al procesar un valor de cabecera "Accept-Language" excesivamente largo. También podría ser explotado por atacantes remotos para ejecutar código arbitrario mediante peticiones http creadas a tal efecto.

Se ven afectadas las versiones HP OpenView Network Node Manager (OV NNM) v7.01, v7.51, v7.53 sobre HP-UX, Linux, Solaris y Windows. Se recomienda consultar el aviso de HP desde el que se pueden descargar las actualizaciones necesarias en función de la versión y plataforma afectada:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01696729


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

HPSBMA02416 SSRT090008 rev.1 - HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01696729

lunes, 23 de marzo de 2009

Denegación de servicio en PostgreSQL

Se ha anunciado una vulnerabilidad en PostgreSQL (versiones 8.x y 7.4) que podría ser aprovechada por un atacante para provocar una denegación de servicio.

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.

El problema se debe a un fallo en la conversión de un mensaje de error localizado a la codificación especificada por el cliente, lo que podría permitir a atacantes autenticados provocar la caída del servidor a través de peticiones de conversión de codificación específicamente construidas.

Se recomienda actualizar a PostgreSQL versión 8.3.7, 8.2.13, 8.1.17, 8.0.21 o 7.4.25, disponibles desde:
http://www.postgresql.org/download


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

CVE-2009-0922
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-0922

BUG #4680: Server crashed if using wrong (mismatch) conversion functions
http://archives.postgresql.org/pgsql-bugs/2009-02/msg00172.php

domingo, 22 de marzo de 2009

Desbordamiento de búfer en Ghostscript

Se ha anunciado una vulnerabilidad de desbordamiento de búfer en Ghostscript que podría ser empleada para ejecutar código arbitrario en los sistemas afectados.

Ghostscript es conocido (y extendido) programa para intérpretar documentos en formato Postscrip (PS) y PDF.

Se han encontrado múltiples fallos de desbordamiento de enteros que podrían causar desbordamientos de búfer basados en heap, junto con múltiples errores de validación de entrada en la librería icclib de Ghostscript. Esto podría ser aprovechado por un atacante, por medio de perfiles ICC especialmente manipulados, para crear archivos PostScript o PDF maliciosos que contengan imágenes y que podrían ser utilizados para hacer que Ghostscript deje de responder o ejecutar código arbitrario.

Diversas distribuciones Linux como Red Hat o Debian ha publicado paquetes actualizados para corregir el problema.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Moderate: ghostscript security update
https://rhn.redhat.com/errata/RHSA-2009-0345.html

[SECURITY] [DSA 1746-1] New ghostscript packages fix arbitrary code execution
http://lists.debian.org/debian-security-announce/2009/msg00056.html

(CVE-2009-0583) CVE-2009-0583 ghostscript: Multiple integer overflows in the International Color Consortium Format Library
https://bugzilla.redhat.com/show_bug.cgi?id=487742

sábado, 21 de marzo de 2009

Seminario gratuito Seguridad en Redes Sociales en la UPM

El 6 de mayo de 2009 se celebrará en la Escuela Universitaria de Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de Madrid, el seminario "Seguridad en redes sociales: ¿están nuestros datos protegidos?"
http://www.capsdesi.upm.es/

La asistencia es gratuita, si bien se requiere y recomienda una inscripción previa.

Organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, de 09:00 a 14:00 horas se analizarán y debatirán temas relacionados con la seguridad de nuestros datos de carácter personal en este tipo de redes sociales, entornos virtuales que han adquirido una notable notoriedad pública en estos últimos años, convirtiéndose en un verdadero fenómeno de masas y de máxima actualidad.

Siguiendo el reciente informe "Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online", elaborado por el Instituto Nacional de Tecnologías de la Comunicación INTECO y la Agencia Española de Protección de Datos AEPD, con fecha de febrero de 2009, podemos destacar de dicho documento:

"La notoriedad de estos espacios sociales online no queda exenta de riesgos o posibles ataques malintencionados. Es una preocupación de las organizaciones nacionales, europeas e internacionales con competencias en las materias afectadas por el uso de estas redes, que han impulsado la elaboración de normas y recomendaciones dirigidas a garantizar el acceso seguro de los usuarios -con especial atención a colectivos de menores e incapaces- a estas nuevas posibilidades online."

Por tal motivo, este seminario está dirigido a público en general y de forma muy especial a jóvenes, adolescentes y padres de familia.

El seminario contará con destacados invitados:

- D. Artemi Rallo Lombarte
Director de la Agencia Española de Protección de Datos AEPD
- D. Arturo Canalda González
Defensor del Menor de la Comunidad de Madrid
- Dña. María Teresa González Aguado
Defensora Universitaria de la UPM
- D. Antonio Troncoso Reigada
Director de la Agencia de Protección de Datos de la Comunidad de Madrid APDCM
- D. Emilio Aced Félez
Subdirector de Registro de Ficheros y Consultoría de la APDCM
- Dña. Gemma Déler Castro
Directora IT & Telecom BU de Applus+
- D. Ícaro Moyano Díaz
Director de Comunicación de Tuenti
- D. Pablo Pérez San-José
Gerente del Observatorio de la Seguridad de la Información, Instituto Nacional de Tecnologías de la Comunicación INTECO

Las conferencias planificadas son las siguientes:

- "Los menores y las nuevas tecnologías", de D. Arturo Canalda.
- "Las redes sociales como nuevo entorno de confianza", de D. Ícaro Moyano.
- "Redes sociales: nueva frontera para la privacidad de los digital babies", de D. Emilio Aced.
- "Diagnóstico sobre la seguridad de la información y privacidad en las redes sociales online", de D. Pablo Pérez.

Además, se contará con un Coloquio de una hora y media de duración, donde los asistentes podrán realizar sus preguntas a un grupo de expertos así como debatir sobre esta temática.

PREINSCRIPCIONES: por limitación del aforo, deberá realizarse una preinscripción, recomendándose hacerlo en la página Web de la Cátedra UPM Applus+, siguiendo las instrucciones que aparecen en dicho servidor:
http://www.capsdesi.upm.es/

El seminario se transmitirá por videostreaming a través de los servicios del Gabinete de Tele-educación de la UPM, GATE, desde una url que se informará en breve en el sitio Web de la Cátedra. En este caso, no hace falta inscribirse pues su visualización es libre.

Puede descargar el tríptico en formato pdf con el programa del seminario desde la página Web de la Cátedra UPM Applus+.

Fecha: miércoles 6 de mayo de 2009
Hora: de 09:00 a 14:00 horas
Inscripción: gratuita pero requiere una inscripción previa
Lugar: Sala de Grados 3004 de la EUITT-UPM, en Madrid
Cómo llegar: http://www.euitt.upm.es/escuela/como_llegar

Para información adicional, por favor dirigirse a Dña. Beatriz Miguel Gutiérrez a la dirección de correo bmiguelATeuitt.upm.es o bien al teléfono 91 336 7842, en este último caso con atención solamente de 09:00 a 11:30 horas.

* Se entregará certificado de asistencia con 3 créditos CPE a quien lo solicite *


Jorge Ramio Aguirre



viernes, 20 de marzo de 2009

Actualización para IBM Tivoli Storage Manager

IBM ha publicado una actualización para evitar una vulnerabilidad de desbordamiento de búfer en IBM Tivoli Storage Manager.

El problema reside en una en la librería adsmdll.dll que se carga con el demonio dsmsvc.exe. La función vulnerable asigna un espacio de memoria de tamaño fijo, y usa parte de este búfer almacenar datos relacionados con la sesión. Un valor introducido por el usuario se usa como el tamaño de bytes a copiar en este búfer. Debido a la insuficiencia de comprobaciones de tamaño se puede producir un desbordamiento de búfer, que pueda permitir a un atacante sin autenticar lograr la ejecución de código con privilegios del sistema.

Se ven afectadas las versiones de IBM Tivoli Storage Manager Enterprise Server y Express Server. IBM ha publicado las actualizaciones y contramedidas necesarias para evitar este problema, que pueden descargarse desde la página del aviso de seguridad:
http://www-01.ibm.com/support/docview.wss?uid=swg21377388


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Tivoli Storage Manager Server Buffer Overrun Security Vulnerability
http://www-01.ibm.com/support/docview.wss?uid=swg21377388

jueves, 19 de marzo de 2009

Otro Blue Pill de Joanna Rutkowska

Joanna Rutkowska presentó a mediados de 2006 su Blue Pill, causando un gran revuelo. Rutkowska, experta en rootkits, aprovechó una (por entonces) nueva funcionalidad de los procesadores AMD para crear un rootkit indetectable en cualquier sistema operativo. En esta ocasión su equipo del Invisible Things Lab lo ha vuelto a hacer, esta vez aprovechando una funcionalidad de Intel.

Rutkowska creó en 2006 una prueba de concepto que demostró que todo sistema operativo que usase AMD con tecnología SVM/Pacifca (destinada a optimizar la virtualización a bajo nivel desde el procesador) heredaba un serio problema: cualquier software podía asumir un rol llamado "hypervisor". Este concepto se refiere a un nivel de control más alto incluso que el de supervisor, que es el nivel al que corre el sistema operativo.

Las arquitecturas de procesadores modernos utilizan el concepto de Ring (anillo) para especificar capas de seguridad desde las que se tienen distintos permisos de acceso a los recursos. El kernel y los drivers de sistema, están en el Ring0, el modo de ejecución de mayor privilegio para poder trabajar a bajo nivel con el hardware. Trabajar a tan bajo nivel implica que se tiene total control sobre la máquina y por tanto, una mayor responsabilidad (un fallo da al traste con el sistema operativo, por ejemplo, los famosos pantallazos azules suelen suceder por una mala instrucción de un controlador). El resto de programas corren en el Ring3 (los otros dos, aunque soportadas por las CPU, no se usan normalmente). El Ring3 un espacio en el que un fallo no resultaría tan crítico, porque no pueden acceder al hardware directamente, deben hacerlo a través de llamadas a sistema. MS-DOS, por ejemplo, carecía de este concepto. Todo corría bajo privilegios de Ring0, de ahí la inestabilidad general del sistema operativo ante cualquier fallo de cualquier programa.

Con la llegada de la virtualización, se define una capa con incluso más privilegios que el Ring0, el hypervisor. Por ejemplo, Vmware debe correr a un nivel hypervisor, mayor incluso que el sistema operativo que aloja, para poder ejecutar código en el entorno del Ring0 sin molestar al resto de sistemas operativos virtuales que puede alojar una máquina. Una especie de "paso atrás" que controla todo lo que tiene delante, el Ring -1 hundido en las raíces del sistema.

Rutkowska y su equipo acaban de publicar el documento técnico "Attacking SMM Memory via Intel CPU Cache Poisoning". System Management Mode (SMM) se refiere a un modo de operación más privilegiado en las arquitecturas x86. El SMM podría considerarse el Ring -2. SMM se ejecuta en la zona de memoria conocida como SMRAM. Se supone que el controlador de memoria solo debe permitir al firmware (la BIOS) acceder a esa zona de memoria. Una vez que la BIOS carga en esa parte el SMM, sólo el código que esté en ese "anillo" debería poder acceder a él. Lo que han descubierto es cómo acceder a esa zona, bajar dos niveles desde el Ring 0 (a través de un driver en el sistema Windows, o incluso siendo root en Linux) y ejecutar código con los privilegios de SMM. Con todo ese poder, una vez más y como ya demostró con Blue Pill, se puede crear un rootkit indetectable. Literalmente, el sistema operativo e incluso los drivers, todo, podría estar bajo el control de un atacante y hacer creer una total "mentira" al sistema basada en una ejecución de código capaz de controlar al más bajo nivel el sistema.

El mérito no es solo de Rutkowska, Loic Duflot, paralela e independiente, ha descubierto lo mismo. La investigadora también menciona como curiosidad que hace varios años, los propios empleados de Intel ya conocían el problema y que incluso estas debilidades fueron documentadas. De hecho, los detalles del fallo eran accesibles a través de Google. La propia Rutkowska se sorprende de que solo ellos y Loic Duflot hayan creado exploits para aprovechar este problema. Aprovechar el fallo es en la práctica aparentemente sencillo. Se deben modificar los registros MTRR para marcar como "escribible" la región donde está la SMRAM y transferir la ejecución al código SMM. Básicamente se trata de machacar esa memoria y ejecutar ese código. En Linux, en la práctica, el usuario root puede hacerlo modificando /proc/mtrr y en Windows a través de un driver.

Las placas Intel DQ35 son vulnerables, aunque no las DQ45. Intel ampliará su documentación sobre las placas con contramedidas para evitar el ataque.

Este modo de incrustarse en las raíces del sistema, aunque elaborado e ingenioso, es complicado que se lleve a la práctica fuera de un laboratorio.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Attacking SMM Memory via Intel® CPU Cache Poisoning
http://invisiblethingslab.com/resources/misc09/smm_cache_fun.pdf

miércoles, 18 de marzo de 2009

Antivirus y falsos positivos... un desmadre

A Fred Cohen se le conoce como el padre de los "virus informáticos", por ser el primero en acuñar este término en la década de los 80 para describir a estos programas. Además de bautizarlos y analizarlos, en su estudio "Computer Viruses - Theory and Experiments" llegaba a la conclusión de que no existía algoritmo que pudiera detectar todos los posibles virus. Cuando ahora se cumplen 25 años de su estudio podemos decir que Cohen tenía razón y que, además, vamos a peor. Vale que no podamos detectar todo el malware pero, por favor, no detectemos a los que no lo son.

A lo largo de toda la historia del malware (los virus tienen menos de 30 años, lo que nos quedará aun por ver) las conclusiones de Cohen han pesado como una losa. A diferencia de hace unos años, donde todavía existía publicidad engañosa con aquello de "100% contra virus conocidos y desconocidos", a día de hoy quién más y quién menos no le queda más remedio que esconder sus vergüenzas. Todos asumimos que los antivirus son otra capa de seguridad que pueden minimizar nuestra ventana de amenazas, pero que en última instancia siempre estamos expuestos a sufrir una infección.

Esa conciencia sobre las limitaciones de las soluciones de seguridad y la exposición al riesgo es buena y deseable, porque permite educarnos en un uso más profiláctico de la informática, aplicando más capas de seguridad adicionales o simplemente mejorando nuestros hábitos diarios. De modo que es bueno que seamos conscientes de que nuestro antivirus sólo nos protege contra el 80% de las amenazas que potencialmente podemos recibir, quién dice 80% puede decir 65%, o 50%... pero bueno, al fin y al cabo, nos está protegiendo.

¿Realmente los porcentajes de detección pueden llegar a ser tan bajos? No, según el caso pueden ser aun peor. En los últimos tiempos existe un problema de escalabilidad en la detección de malware, simple y llanamente, los laboratorios antivirus no dan a basto con la producción actual de bichos nuevos. Si en febrero de 2004 podíamos leer en el recién estrenado blog de F-Secure: "Dos nuevas variantes de Bagle han sido avistadas. Otra vez. Parece que tendremos un fin de semana ocupado", ¿qué tendrían que decir hoy en cualquier laboratorio antivirus donde se reciben a diario miles de nuevas variantes de malware?.

Está claro que la opción de escalar el problema aplicando a los métodos de análisis tradicionales una regla de tres no es buena, si se han multiplicando por miles los especímenes diarios que puede recibir un laboratorio la solución no es multiplicar por mil los analistas. Entre otras cosas porque el negocio de los antivirus dejaría de ser rentable. Así que ahora se trabaja mucho en la automatización de análisis y heurísticas para aumentar los ratios de detección. El efecto secundario de esta automatización y heurísticas más agresivas es que los antivirus tienen un mayor número de falsos positivos, es decir, se equivocan más al detectar como malware algo que en realidad no lo es.

Esta problemática, lejos de ser una anécdota, es cada vez más preocupante. Ya la hemos tratado en una-al-día anteriormente, y vamos a peor. En Hispasec recibimos día sí, día también, mensajes de desarrolladores preguntando o quejándose de que los antivirus de VirusTotal están detectando como malware su software legítimo, con las interferencias y problemas que ello les causa ante sus clientes y su reputación global. Nosotros mismos hemos sufrido en propias carnes que VTuploader, la herramienta para enviar ficheros a VirusTotal, fuera detectada hace unas semanas, teniendo que solicitar la corrección de las firmas a los antivirus implicados.

Algo está fallando en los antivirus cuando, incluso, están aumentando los falsos positivos con los propios ficheros legítimos de Windows. Se supone que comprobar la no detección de componentes de Windows debe ser la medida más básica de control de calidad antes de publicar una nueva actualización.

Estamos ante una carrera loca por ver quién detecta mayor número y más rápido (de lo que sea), y nos estamos olvidando de que, ante todo, un antivirus no debería molestar ni interferir (demasiado) en el normal funcionamiento de los sistemas y los programas legítimos. Un usuario o una empresa puede llegar a entender que un antivirus no detecte todos los virus del mundo, incluso que se le cuele alguno que otro, pero difícilmente podrá aceptar que el antivirus le cuelgue el ordenador, borre ejecutables que no debe, o impida la ejecución de una aplicación corporativa.

No todo vale para detectar más. Estamos perdiendo el foco. Es un desmadre.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Computer Viruses - Theory and Experiments
http://all.net/books/virus/index.html

martes, 17 de marzo de 2009

Denegación de servicio a través del sistema de archivos UFS en Solaris 10

Sun ha publicado una actualización para Solaris 10 que corrige múltiples vulnerabilidades en UFS que podrían ser aprovechadas por un atacante local sin privilegios para causar un ataque de denegación de servicio.

Se han corregido múltiples vulnerabilidades no especificadas en las funciones 'ufs_getpage' y 'ufs_putapage' del sistema de archivos UFS. Esto podría ser aprovechado por un atacante local sin privilegios para causar un ataque de denegación de servicio a través de un vector no especificado.

Según versión y plataforma, se recomienda instalar los siguientes parches :
Plataforma SPARC:
Solaris 10 aplicar parche 139483-05 o superior:
http://sunsolve.sun.com/search/document.do?assetkey=1-21-139483-05-1

Plataforma x86:
Solaris 10 aplicar parche 139484-05 o superior:
http://sunsolve.sun.com/search/document.do?assetkey=1-21-139484-05-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in the UFS File System Relating to ufs_getpage() and ufs_putpage() Routines May Allow a Local User to Hang or Panic the System
http://sunsolve.sun.com/search/document.do?assetkey=1-66-254628-1

lunes, 16 de marzo de 2009

Actualización de Solaris Kerberos en Sun Solaris 10

Sun ha publicado una actualización de Solaris Kerberos que corrige un fallo de seguridad que podría permitir a un atacante remoto causar una denegación de servicio.

El fallo, no especificado, solo puede llevarse a cabo cuando el servidor tiene acceso al Key Distribution Center (KDC). Esto podría ser aprovechado por un atacante remoto no autentificado para causar una denegación de servicio a través de un gran número de peticiones al esclavo KDC.

Según versión y plataforma, las actualizaciones están disponibles desde:

Plataforma SPARC:

Solaris 10 aplicar parche 138371-05 o superior:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138371-05-1

OpenSolaris:
Compilación snv_111

Plataforma x86:

Solaris 10 aplicar parche 138372-05 o superior:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-138372-05-1

OpenSolaris:
Compilación snv_111


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in Kerberos Incremental Propagation May Lead to a Denial of Service (DoS) Against Slave KDC Systems
http://sunsolve.sun.com/search/document.do?assetkey=1-66-249926-1

domingo, 15 de marzo de 2009

Falsificación a través de los servidores DNS y WINS en Windows

Dentro del conjunto de boletines de seguridad de marzo publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-008) de una actualización importante para el servidor DNS y WINS que solventa cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para falsificar respuestas y redirigir tráfico de red hacia sus propios sistemas.

El primero de los problemas reside en una vulnerabilidad de falsificación en el servidor de DNS de Windows causada porque no se hace uso de las respuestas cacheadas al recibir peticiones especialmente manipuladas, lo que podría permitir que los IDs de las siguientes transacciones sean más predecibles. Esto podría ser aprovechado por un atacante remoto para falsificar respuestas, pudiendo redirigir tráfico de Internet.

Otra vulnerabilidad de falsificación en el servidor de DNS de Windows está causada porque no se cachean de forma adecuada ciertas respuestas DNS. Esto llevaría al servidor a hacer consultas innecesarias, lo que podría permitir que los IDs de las siguientes transacciones fueran más predecibles. Ésto podría ser aprovechado por un atacante remoto para falsificar respuestas, pudiendo redirigir tráfico de Internet.

Existe una vulnerabilidad a ataques man-in-the-middle en el servidor de DNS cuando se usan las actualizaciones dinámicas y los ISATAP y WPAD todavía no se han registrado en el DNS. El problema está causado porque el servidor de DNS no valida de forma correcta quien puede registrar entradas WPAD en el servidor DNS. Esto podría ser aprovechado por un atacante remoto para falsificar un servidor web, pudiendo redirigir tráfico de Internet.

Por último, también se ha corregido una vulnerabilidad similar a ataques man-in-the-middle en el servidor de WINS cuando se usan las actualizaciones dinámicas y los ISATAP y WPAD todavía no se han registrado en el WINS. El problema está causado porque el servidor de WINS no valida de forma correcta quien puede registrar entradas WPAD en el servidor WINS. Ésto podría ser aprovechado por un atacante remoto para falsificar un servidor web, pudiendo redirigir tráfico de Internet.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según sistema y versión desde la página del boletín de seguridad de Microsoft:
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-008.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-008 – Importante
Vulnerabilidades en el servidor DNS y WINS podrían permitir la suplantación de identidad
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-008.mspx

sábado, 14 de marzo de 2009

Escalada de privilegios en Cisco Unified Communications Manager

Cisco ha publicado una actualización para Cisco Unified Communications Manager (versiones 4.x, 5.x, 6.x y 7.x) que corrige una vulnerabilidad en la característica de sincronización de IP Phone Personal Address Book (PAB), que podría permitir a un atacante remoto escalar privilegios, lo que podría dar lugar al compromiso de los sistemas vulnerables.

La solución Unified Communications de Cisco es un conjunto de productos
y aplicaciones de comunicaciones que reúne e integra voz, vídeo y datos.

El fallo podría ser aprovechado si un atacante intercepta las credenciales enviadas al cliente desde Cisco Unified Communications Manager después de que se haya autenticado para el proceso de sincronización.

Cisco, a través de los canales habituales, ha puesto a disposición de
sus clientes soluciones para solventar el problema.

Se aconseja consultar la tabla de versiones vulnerables y
contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090311-cucmpab.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Unified Communications Manager IP Phone Personal Address Book Synchronizer Privilege Escalation Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090311-cucmpab.shtml

viernes, 13 de marzo de 2009

Actualización del kernel de Windows

Dentro del conjunto de boletines de seguridad de marzo publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-006) de una actualización crítica para el kernel de Windows (para las versiones XP, 2000, Server 2003, Server 2008 y Vista). Se corrigen tres vulnerabilidades podrían permitir a un atacante remoto causar una denegación de servicio o ejecutar código arbitrario, o a un atacante local escalar privilegios.

La primera vulnerabilidad está causada por un error de validación de entrada al procesar de forma incorrecta las entradas de modo usuario al kernel, a través del componente GDI. Esto podría ser aprovechado para ejecutar código remoto.

La segunda vulnerabilidad está causada por un error en el kernel de Windows al no procesar de forma adecuada los controladores. El error podría ser aprovechado por un atacante local para tomar control total sobre el sistema.

Por último, también se ha corregido una vulnerabilidad causada por un error al manejar de forma incorrecta los punteros no válidos especialmente manipulados. El error podría ser aprovechado por un atacante local para tomar control total sobre el sistema.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según sistema y versión desde la página del boletín de seguridad de Microsoft:
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-006.mspx

Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-006 – Crítico
Vulnerabilidades en el kernel de Windows podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-006.mspx

jueves, 12 de marzo de 2009

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa múltiples vulnerabilidades que podrían ser aprovechadas por un atacante para causar una denegación de servicio.

Se ha solucionado un desbordamiento de búfer en la implementación del protocolo Partial Reliable Stream Control Transmission Protocol (PR-SCTP). Esto podría ser aprovechado por un atacante para causar una denegación de servicio si se recibe una porción de información Forward-TSN con un ID demasiado grande.

Otro problema consistía en una posible fuga de memoria durante el manejo de keyctl. Esto podría ser aprovechado por un atacante local sin privilegios para causar una denegación del servicio en el kernel.

También se ha corregido un fallo en el driver de Remote BIOS Update (RBU) para sistemas Dell (drivers/firmware/dell_rbu.c). Esto podría ser aprovechado por un atacante local sin privilegios para causar una denegación de servicio por medio de una petición de lectura de cero bytes desde el archivo image_type o packet_size en /sys/devices/platform/dell_rbu/.

Por último un fallo potencial en la implementación de libATA que podría ser aprovechado para causar una denegación de servicio. Por defecto los dispositivos solo estarían accesibles al usuario root.

Además se han solucionado numerosos fallos de menor importancia.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-0331.html

miércoles, 11 de marzo de 2009

Adobe parchea a medias su vulnerabilidad casi un mes después, mientras Foxit Reader lo soluciona en 10 días

La ShadowServer Fundation advirtió el día 19 de febrero de una potencial vulnerabilidad en Adobe Acrobat Reader que podría permitir a un atacante ejecutar código arbitrario. Al descubrirse el problema mientras estaba siendo aprovechado activamente por atacantes, se convierte en un grave 0day. Adobe reconoció la vulnerabilidad y esperó al día 10 de marzo para publicar parche solo para algunas versiones. Foxit Reader, afectada por un problema muy parecido, necesitó solo 10 días para solucionar el fallo.

Es más que probable que el fallo fuese conocido incluso desde hace bastante más tiempo, y que Adobe tuviese constancia de su existencia. Pero solo lo reconoció el mismo día en el que la ShadowServer lo hizo público. El día 23, para complicar el asunto, aparece un exploit público para múltiples lectores PDF, que permite una denegación de servicio aprovechando los flujos JBIG2, base del problema de Adobe. Este ejemplo daba muchas pistas a los atacantes sobre cómo crear un exploit que permitiese la ejecución de código.

El día 26 de febrero, SourceFire (dueños del IDS snort) publica un parche rápido para mitigar el problema. El día 27, Secunia avisa a Foxit Reader, otro popular lector de PDF, de que también es vulnerable a este problema. 10 días después Foxit publica una actualización y lo soluciona. Adobe ha necesitado más de 20 días para publicar un parche para sólo algunas de sus versiones. Y contando desde que lo reconociera, que no significa que no estuviese al tanto desde bastante antes.

Adobe lo soluciona un día antes del prometido, pero solo a medias. Publica la versión 9.1 para Windows, olvidando las ramas 8 y 7 para otros sistemas operativos.

Para colmo, recientemente se ha descubierto una nueva forma mucho más sencilla de aprovechar la vulnerabilidad. Un nuevo vector de ataque que permite incluso ejecutar código sin necesidad de abrir el archivo con el lector. A través del explorador de Windows, simplemente mostrando una carpeta que contenga un documento PDF especialmente manipulado (y basándose en el servicio de indexación, que debería estar activo), sería posible ejecutar código en el sistema.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Buffer overflow issue in versions 9.0 and earlier of Adobe Reader and
Acrobat
http://www.adobe.com/support/security/advisories/apsa09-01.html

Foxit Security Bulletins
http://www.foxitsoftware.com/pdf/reader/security.htm

26/02/2009 Adobe al más puro estilo Microsoft: parche no oficial para
Acrobat Reader
http://www.hispasec.com/unaaldia/3778

Quickpost: /JBIG2Decode ?Look Mommy, No Hands!?
http://blog.didierstevens.com/2009/03/09/quickpost-jbig2decode-look-mommy-no-hands/

martes, 10 de marzo de 2009

Boletines de seguridad de Microsoft en marzo

Tal y como adelantamos, este martes Microsoft ha publicado tres boletines de seguridad (del MS09-006 y MS09-008) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de ocho vulnerabilidades. Según la propia clasificación de Microsoft uno de los boletines presenta un nivel de gravedad "crítico", mientras que los dos restantes son "importantes".

El boletín "crítico" es:

* MS09-006: Actualización del kernel de Microsoft Windows que soluciona tres vulnerabilidades que podrían permitir la ejecución remota de código arbitrario.

Los dos boletines "importantes" son:

* MS09-007: Actualización destinada a corregir una vulnerabilidad en Secure Channel (Schannel) de Windows que podría permitir a un atacante remoto la falsificación de certificados.

* MS09-008: Actualización para DNS y WINS que resuelve cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para falsificar respuestas y redirigir tráfico de Internet.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for March 2009
http://www.microsoft.com/technet/security/bulletin/ms09-mar.mspx

Microsoft Security Bulletin MS09-006 – Critical
Vulnerabilities in Windows Kernel Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/Bulletin/MS09-006.mspx

Microsoft Security Bulletin MS09-007 - Important
Vulnerability in SChannel Could Allow Spoofing
http://www.microsoft.com/technet/security/bulletin/MS09-007.mspx

Microsoft Security Bulletin MS09-008 – Important
Vulnerabilities in DNS and WINS Server Could Allow Spoofing
http://www.microsoft.com/technet/security/bulletin/MS09-008.mspx

lunes, 9 de marzo de 2009

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad.

De forma resumida, las vulnerabilidades son:

* Salto de restricciones de seguridad a través de redirecciones HTTP en curl, que podría permitir el acceso a archivos del sistema local.

* Denegación de servicio en aplicaciones que hagan uso de la librería libmikmod, a través de la carga de múltiples canciones con diferentes números de canales.

* Denegación de servicio a través de mod_proxy en apache2.

* Denegación de servicio y posible ejecución remota de código en optipng a través de archivos GIF y BMP especialmente manipulados.

* Denegación de servicio en el cliente de mensajería instantánea Psi a través del puerto de transferencia de archivos.

* También se ha actualizado a OpenJDK Java 1.6.0 build b14 para solventar múltiples problemas de seguridad que podrían permitir la revelación de información sensible, denegación de servicio, escalada de privilegios, e incluso la ejecución de código arbitrario.

Se recomienda actualizar a través de las herramientas automáticas YoU
(Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:006
http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00001.html

domingo, 8 de marzo de 2009

Denegación de servicio a través de NFSv4 en Sun Solaris 10

Sun ha publicado una actualización para Sun Solaris 10 y OpenSolaris que soluciona un fallo que podría permitir a un atacante remoto provocar una denegación de servicio.

El fallo del que no se han facilitado detalles se presenta en el módulo NFS del kernel. Un atacante sin privilegios podría hacer que el servidor NFS deje de responder si comparte el sistema de ficheros hsfs.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para la plataforma SPARC:
Solaris 10 instalar el parche 139462-02 o superior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-139462-02-1

Para la plataforma x86:
Solaris 10 instalar el parche 139463-02 o superior desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-139463-02-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Denial of Service (DoS) Vulnerability in NFSv4 Server Kernel Module
http://sunsolve.sun.com/search/document.do?assetkey=1-66-252469-1

sábado, 7 de marzo de 2009

Nuevos contenidos en la Red Temática CriptoRed (febrero de 2009)

Breve resumen de las novedades producidas durante el mes de febrero de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED

* Documento que acompaña al vídeo con los mejores malos consejos en seguridad para redes WiFi (Eduardo Tabacman, Word, 2 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m488a.htm

* La seguridad en los documentos de identidad (Juan Crespo, Ciclo TASSI, pdf, 81 diapositivas, España)
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Enero de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200901.pdf

* Guía de videovigilancia de la Agencia Española de Protección de Datos (España)
https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/pdfs/guia_videovigilancia.pdf

* Vídeo: Los mejores malos consejos en seguridad para redes WiFi (España)
http://www.virusprot.com/VIDEO/WIFIERRORES.wmv

* White Paper: Data Loss In A Downturn - 10 Steps to Protecting High Value Information Assets and IP in association with Overtis Systems
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qW0JMU8/xXEAMU8

* White Paper: CISO's Guide to Application Security in association with Fortify
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qOPG7U8/x5RSHU8

* White Paper: Compliance with Data Handling Procedures in UK Government in association with Lumension
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qKKF8U8/xJHX8U8

* White Paper: Enterprise Content Security: Lower Threats and Costs by Minimizing the Time to Protection in association with TrendMicro
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qPKA1V8/xDGJAV8

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

Marzo 25 al 27 de 2009: International Conference on Practical Applications of Agents and Multiagent Systems PAAMS 2009 (Salamanca - España)
http://paams.usal.es/

* Marzo 30 al 31 de 2009: Conferencia de Seguridad de la Información y Administración del Riesgo (Bogotá - Colombia)
http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=46421&TEMPLATE=/ContentManagement/ContentDisplay.cfm

* Marzo 30 a abril 3 de 2009: Segunda Convención Internacional de Derecho Informático (Oviedo - España)
http://www.asimelec.es/Events/EventDetail.aspx?ID=115&OuTypeID=6&OuID=68

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference WWW 2009 (Madrid - España)
http://www2009.org/

* Abril 23 al 25 de 2009: Cuarto Congreso Colombiano de Computación 4CCC (Bucaramanga - Colombia)
http://serverlab.unab.edu.co/4ccc

* Mayo 6 al 10 de 2009: 7th International Workshop on Security In Information Systems (Milán - Italia)
http://www.iceis.org/Workshops/wosis/wosis2009-cfp.htm

* Mayo 11 al 12 de 2009: V Congreso Iberoamericano de Telemática CITA 2009 (Gijón - España)
http://www.cita2009.com/

* Mayo 12 al 14 de 2009: Tercer Counter-eCrime Operations Summit CeCOS III (Barcelona - España)
http://www.antiphishing.org/events/2009_opSummit.html

* Junio 10 al 12 de 2009: 2nd International Symposium on Distributed Computing and Artificial Intelligence DCAI 09 (Salamanca - España)
http://dcai.usal.es/

* Junio 15 al 19 de 2009: Third IFIP WG 11.11 International Conference on Trust Management (West Lafayette - Estados Unidos)
http://projects.cerias.purdue.edu/IFIPTM/

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad Informática ACIS 2009 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1246

* Junio 17 al 20 de 2009: Cuarta Conferencia Ibérica de Sistemas y Tecnologías de la Información (Póvoa de Varzim - Portugal)
http://www.aisti.eu/cisti2009/

* Junio 17 al 23 de 2009: IADIS Multi Conference on Computer Science and Information Systems 2009 (Algarve - Portugal)
http://www.mccsis.org/

* Junio 22 al 24 de 2009: E-Activity and Leading Technologies E-ALT2009 e InterTIC 2009 (Sevilla - España)
http://www.iask-web.org/e-alt09/e-alt09.html
http://www.iask-web.org/intertic09/intertic09.html

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications (Sousse - Túnez)
http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009 (Barcelona - España)
http://jenui2009.fib.upc.edu/

* Julio 13 al 16 de 2009: International Conference on Security and Management SAM '09 (Las Vegas - Estados Unidos)
http://www.world-academy-of-science.org/worldcomp09/ws/conferences/sam09

* Agosto 4 al 6 de 2009: Second International Conference on the Applications of Digital Information and Web Technologies (Londres – Reino Unido)
http://www.dirf.org/diwt2009/

* Septiembre 17 al 20 de 2009: 23rd International Conference SAER 2009 y Workshop eGovernance and Data Protection eG&DP 2009 (Varna - Bulgaria)
http://www.tu-sofia.bg/saer/

* Octubre 11 al 14 de 2009: IEEE 9th International Conference on Computer and Information Technology (Xiamen - China)
http://grid.hust.edu.cn/CIT2009/

* Octubre 19 al 21 de 2009: 3rd International Conference on Network and System Security NSS 2009 (Gold Coast - Australia)
http://nss.cqu.edu.au/

* Noviembre 16 al 18 de 2009: V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Montevideo - Uruguay)
http://www.fing.edu.uy/cibsi09

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. OTRAS NOTICIAS SELECCIONADAS DEL MES DE FEBRERO DE 2009
Para ampliar estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#feb09

* Más de 200 Universidades Iberoamericanas representadas en la Red Temática
http://www.criptored.upm.es/paginas/miembros_red_inst.htm

* Puesta en Marcha del Equipo de Seguridad M45 (España)
http://www.clustertic.net/m45

* Cursos Usos y Seguridad del DNIe y Técnicas Biométricas en Applus+ (España)
http://www.applusformacion.com

* Abierta Convocatoria para Envío de Artículos a la Revista SISTEMAS de ACIS (Colombia)
http://www.acis.org.co/

* Acto de Presentación del Libro Criptología y Seguridad (España)
http://www.etsit.upm.es/arbol-de-noticias.html?tx_ttnews%5Btt_news%5D=108&cHash=e64fe1b19b

* Presentación del Posgrado en Seguridad Informática de la UBA (Argentina)
http://www.fi.uba.ar/posgrados/index.php?cm=1&n=1&m=223&idl=916&idi=475

* Primer Encuentro de Seguridad Integral Seg2 de Red Seguridad y Borrmart (España)
http://www.criptored.upm.es/descarga/DobleProgramaSeg2_2009.pdf

* Nuevo Blog de Derecho Informático en México (México)
http://blog.derecho-informatico.org/

* Inicio del Máster en Buen Gobierno de las TIC de la Universidad de Deusto (España)
http://www.criptored.upm.es/descarga/Triptico_MAGTIC3.pdf

* Edición 2009 del Máster en Auditoría y Protección de Datos (España)
http://cpdp.uab.cat/postgraus/master_auditoria_proteccio_dades/esp/index.htm

* Nueva Edición de las Conferencias de Seguridad FIST en Madrid (España)
http://www.fistconference.org/?s=6&t=2

* V Versión de Asegúr@IT en el Auditorio del Instituto Tecnológico de Aragón (España)
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032405039&Culture=es-ES

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 754
202 universidades y 283 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 20.488 visitas, con 78.098 páginas solicitadas y 32,14 GigaBytes servidos en febrero de 2009.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.

7. V CONGRESO IBEROAMERICANO DE SEGURIDAD INFORMÁTICA CIBSI 2009
- Del 16 al 18 de noviembre, Montrevideo - Uruguay
- Fecha límite para el envío de trabajos: 15 de abril de 2009
http://www.fing.edu.uy/cibsi09


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

febrero 2009
http://www.criptored.upm.es/paginas/historico2009.htm#feb09

viernes, 6 de marzo de 2009

Microsoft publicará tres boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan tres boletines de seguridad. Las actualizaciones afectarían únicamente a su sistema operativo Windows. Parece que no han llegado a tiempo para parchear la grave vulnerabilidad en Excel que está siendo aprovechada por atacantes y que fue reconocida por Microsoft a finales de febrero.

Si en febrero se publicaron tres boletines de seguridad, este mes Microsoft prevé publicar de nuevo tres actualizaciones el martes 10 de marzo. Las tres dedicadas a Windows. Una alcanza la categoría de crítica, mientras que las otras dos están catalogadas como importantes. A Windows Vista y XP solo le afectan dos de ellas.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que Microsoft no corregirá en esta tanda de parches el grave problema de seguridad encontrado en su hoja de cálculo Excel. El pasado 24 de febrero, Microsoft reconoció en una nota oficial que estaban investigando la existencia de una nueva vulnerabilidad en Office Excel que podría permitir la ejecución remota de código si un usuario abre un archivo Excel especialmente manipulado.

La vulnerabilidad, de la que se han dado pocos detalles, estaría causada por una referenciación a un objeto no válido al abrir un documento Excel, lo que podría permitir la ejecución de código. Si el usuario abriese el archivo con permisos de administrador, el atacante podría tomar completo control del sistema afectado. Desde Symantec se afirma que el fallo está siendo aprovechado para comprometer sistemas en Asia, principalmente en oficinas gubernamentales y de grandes corporaciones.

Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for March 2009
http://www.microsoft.com/technet/security/Bulletin/MS09-mar.mspx

27/02/2009 Vulnerabilidad crítica en Excel podría estar siendo explotada desde hace dos meses
http://www.hispasec.com/unaaldia/3779

jueves, 5 de marzo de 2009

¿Existen programas sin fallos de seguridad?

Ante esa pregunta, a muchos se nos viene a la cabeza automáticamente el servidor de correo qmail y el servidor DNS djbdns, ambos de código abierto. En realidad, si existiese algo parecido, probablemente serían estos dos programas. Su autor D. J. Bernstein ofreció hace más de diez años 500 dólares a quien encontrara un fallo de seguridad en qmail y 1.000 a quien lo encontrara en djbdns. El día 3 de marzo Bernstein reconocía una pequeña vulnerabilidad en su servidor DNS y ha premiado con 1000 dólares a Matthew Dempsky.

D. J. Bernstein programó a mediados de los noventa, qmail y djbdns con la seguridad siempre en mente. Precisamente, estaba harto de vulnerabilidades en sus homónimos Sendmail y BIND, dos pesos pesados de Internet que sufrían de enormes agujeros de seguridad cada muy poco tiempo por aquel entonces. Como alternativa, creó estos servidores siguiendo unas premisas muy sencillas en las que se premiaba por encima de todo la seguridad y simplicidad. Estaba tan seguro de su trabajo que ofreció una recompensa económica a quien encontrara fallos en su software. Hoy en día es habitual que premien económicamente a los que encuentran fallos de seguridad, pero por entonces, era una especie de osadía. Para Bernstein se convirtió en su garantía de seguridad. Nunca se pensó que pasarían tantos años hasta que alguien pudiese hacerse con el premio.

Matthew Dempsky se ha llevado 1.000 dólares por encontrar un pequeño fallo de seguridad en djbdns. Bajo circunstancias bastante atípicas, un atacante podría controlar entradas de caché almacenadas para un domino. Dempsky demuestra así que, por pequeño que sea, es posible encontrar problemas de seguridad en cualquier programa. Más que los 1.000 dólares que se ha embolsado (hoy en día pagan mucho más por descubrir cualquier otro fallo, probablemente más sencillo de encontrar en otros programas) se lleva la satisfacción de haber sido el primero en romper la garantía de seguridad de Bernstein.

Parece que si realmente se pone empeño y se sabe lo que se está haciendo, es posible crear un software con muy pocos problemas de seguridad. Cuando en agosto de 2008 Kaminsky descubre un fallo de seguridad en la implementación del protocolo DNS que afectó a la inmensa mayoría de fabricantes y programadores de servidores DNS, djbdns no necesitó actualización. Bernstein había añadido deliberadamente una mayor entropía a sus cálculos, e implementó su servidor de forma que no se vio afectado por este problema casi "universal" mucho antes de que pillara por sorpresa al resto.

Por desgracia, no abunda el ejemplo. Aunque hay que decir que Bernstein no suele añadir funcionalidades a sus servidores ni ofrece versiones nuevas habitualmente. Su código es el que es prácticamente desde que fue escrito. No es viable trasladar este modelo ni sus circunstancias a otros programas más complejos o comerciales, donde muchas otras presiones están por encima de la de crear código a prueba de balas. Bernstein ha publicado un pequeño parche para solucionar el problema encontrado por Dempsky y ofrece de nuevo la garantía de seguridad: pagará con 1.000 dólares a quien encuentre otro fallo en su servidor DNS.

Qmail sigue imbatido hasta la fecha. El servidor djbdns no deja de ser uno de los programas más fiables y seguros por este fallo. En realidad, el hecho de que se haya encontrado una vulnerabilidad en él, demuestra sobre todo que existe gente como Bernstein verdaderamente buena programando, que existen investigadores como Dempsky capaces de encontrar fallos en cualquier código, que no hay software sin vulnerabilidades... pero sobre todo, que Bernstein es un hombre de palabra.


Sergio de los Santos
ssantos@hispasec.com


Más información:

djbdns<=1.05 lets AXFRed subdomains overwrite domains
http://article.gmane.org/gmane.network.djbdns/13864

miércoles, 4 de marzo de 2009

La nueva versión de Firefox corrige otras ocho vulnerabilidades (Thunderbird, olvidado)

Apenas un mes después de corregir seis vulnerabilidades con la última 3.0.6, Mozilla lanza la nueva versión 3.0.7 de su navegador Firefox que soluciona otros ocho fallos de seguridad. Seis de ellos críticos.

La nueva versión de Firefox soluciona ocho vulnerabilidades aglutinadas en cinco boletines. Tres de estos boletines tienen carácter crítico (permite ejecución remota de código con solo visitar una página web), uno es considerado de alto riesgo y uno de carácter bajo.

Específicamente, cada boletín:

* Un problema de falsificación de URL usando caracteres de control invisibles.
* Se ha actualizado la librería PNG para solucionar riesgos de seguridad con la memoria.
* Riesgo de robo de datos a través de RDFXMLDataSource.
* Un problema con el recolector de basura podría permitir ejecución de código.
* Múltiples problemas de corrupción de memoria con evidencias de posibilidad de ejecución de código.

Estos fallos, como de costumbre, también afectan al cliente de correo Thunderbird y SeaMonkey. Para los usuarios de Thunderbird, solo queda deshabilitar JavaScript para intentar mitigar solo algunos de estos problemas, o bien lanzarse a buscar las versiones en pruebas en los servidores FTP de la fundación Mozilla.

Mozilla todavía no ha corregido las anteriores vulnerabilidades aparecidas en febrero y que se supone deberían haber sido solucionadas con la versión 2.0.0.20 de Thunderbird. Incluso un mes después todavía no está disponible para descarga desde el sitio oficial (sigue la 2.0.0.19 disponible desde finales de diciembre). Ahora, anuncia que en una futura versión 2.0.0.21 (para la que no se indica fecha) se solucionarán también esta tanda de problemas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mozilla Foundation Security Advisories
http://www.mozilla.org/security/announce/

03/02/2009 La nueva versión de Firefox soluciona seis vulnerabilidades
http://www.hispasec.com/unaaldia/3755

martes, 3 de marzo de 2009

La nueva versión de Opera soluciona tres vulnerabilidades y añade soporte DEP y ASLR

La nueva versión de Opera, 9.64 soluciona tres vulnerabilidades. Además, la versión para Windows añade dos características destinadas a mitigar el impacto de los problemas de seguridad que puedan surgir en el futuro.

Opera ha publicado la versión 9.64 para corregir tres vulnerabilidades. No se han dado muchos detalles sobre los problemas. Solo se sabe que una de ellas es grave y está relacionada con la forma en la que el navegador procesa ficheros de imágenes en formato JPEG. Este fallo podría permitir la ejecución de código arbitrario.

Para las otras dos vulnerabilidades, se darán detalles más adelante, según Opera Software. Se ha incluido además otras mejoras relacionadas con el rendimiento y la estabilidad y se han corregido otros problemas en general.

Para la versión de Windows del navegador, además se han añadido un par de funcionalidades interesantes. Soporte para DEP y ASLR.

DEP es una funcionalidad de Windows que significa Data Execution Prevention y su objetivo es evitar en la medida de lo posible que las vulnerabilidades del software deriven en ejecución de código. Si se tiene un procesador compatible, no permitirá que zonas de memoria dedicadas a datos sean usadas para ejecutar código.

Si no, se activa el DEP propio de Windows, que protege de otra forma. Si un software es compatible con DEP (como es ahora el caso de Opera) y realiza una excepción (una operación inválida), se comprueba que la excepción está "documentada" y registrada en una tabla localizada en el propio fichero. Se trata de una especie de manejador de excepciones a nivel de sistema operativo. Si el software no es compatible DEP comprueba que al menos la zona de memoria donde se maneja la excepción está marcada como ejecutable por el programa. Sería muy sospechoso que un programa realizara una excepción y fuese a parar a una zona no marcada como ejecutable.

En cualquier caso, DEP debe estar activado en el sistema para que los programas que sean compatibles lo aprovechen (disponible a partir de XP SP2).

ASLR sólo está disponible de serie en Windows Vista. Los ejecutables, a través de un cambio en su cabecera, pueden aprovecharse de esta funcionalidad y cargarse en zonas de memoria diferentes cada vez que son ejecutados. De esta forma, para un atacante es mucho más complicado conocer las zonas de memorias donde ha inyectado código y llamarlas para su ejecución.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Download Opera browser:
http://www.opera.com/download/

Opera Changelog:
http://www.opera.com/docs/specs/presto211/

lunes, 2 de marzo de 2009

Actualización de múltiples paquetes para SuSE Linux

SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad.
De forma resumida, las vulnerabilidades son:

* Se ha corregido un error en el servidor dhcp a través del parámetro 'dhcp-max-message-size' que podría ocasionar un desbordamiento de enteros. Esto podría ser aprovechado por un atacante para causar una denegación de servicio.

* Se ha corregido un error en la validación del valor devuelto por la función de 'EVP_VerifyFinal' de OpenSSL. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad a través de certificados de seguridad especialmente manipulados.

* Se ha corregido un error en el servidor squid en los archivos 'httpmsg.c' y 'httpstatusline.c' a través de una solicitud HTTP con un número de versión no válido que podría ser aprovechada por un atacante remoto para causar una denegación de servicio.

* Se han corregido múltiples denegaciones de servicio en el programa wireshark a través de ficheros que contengan datos del tipo 'NetScreen', al leer ficheros de capturas 'Tektronix 12' y al leer la variable 'HOME' con información especialmente manipulada.

* Se ha corregido un error en la librería libpng a través de archivos 'png' especialmente manipulados. Esto podría ser aprovechado por un atacante para ejecutar código arbitrario.

* Se ha corregido un error en pam_mount que podría ser aprovechado por un atacante para llevar acabo ataques basados en enlaces simbólicos y acceder a información sensible.

* Se ha corregido un error en enscript en la función 'recognize_eps_file' localizada en el fichero 'src/psgen.c' y en la función 'tilde_subst function' localizada en el fichero 'src/util.c' a través de direcciones de nombres especialmente largas que podrían causar un desbordamiento de memoria intermedia. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario.

* Se ha corregido un error en eID-belgium al no chequear correctamente los valores de la función 'OpenSSL EVP_VerifyFinal', esto podría permitir a un atacante remoto eludir la validación de certificados SSL/TSL.

* Se ha corregido varios errores en gstreamer-0_10-plugins-good que podría provocar un desbordamiento de memoria intermedia. Esto podría ser aprovechado por un atacante para ejecutar código arbitrario.

Se recomienda actualizar a través de las herramientas automáticas YoU
(Yast Online Update).


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Summary Report: SUSE-SR:2009:005
http://lists.opensuse.org/opensuse-security-announce/2009-03/msg00000.html

domingo, 1 de marzo de 2009

¿Aprende Conficker más rápido que los internautas?

Enésima versión de Conficker (en este caso llamada B++ por algunas casas) que salta a los sistemas (y a los medios). Se trata del azote vírico del año, en un paralelismo sorprendente en muchos aspectos con lo que se dio en llamar el "Storm worm" y que se convirtió en la pesadilla de todo 2007 y parte de 2008. Los niveles de infección de Conficker siguen al alza, quedando ya lejos aquella primera versión que solo aprovechaba una vulnerabilidad de Microsoft. ¿Acaso no hemos aprendido nada? ¿Puede presentarse otro malware de manual y evolucionar exactamente de la misma forma que uno que ya sufrimos hace dos años?

Conficker comenzó aprovechando una vulnerabilidad de Windows en uno de sus servicios (corregido en octubre, en el boletín MS08-067), al más puro estilo Blaster. Un gusano de libro, a la antigua usanza. Con estas bases, sorprendentemente se popularizó en noviembre de 2008. Pero no fue hasta que enriqueció su estrategia de infección, cuando realmente los medios se fijaron en él. Desde diciembre, comienza a copiarse a las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extraíbles (memorias USB, básicamente). Ahí, aprovecha el arranque automático para poder ejecutarse en la siguiente víctima. Con este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene más posibilidades de propagarse) hacia cualquier otro sistema externo, y esparcirse así en redes en principio "a salvo" gracias al cortafuegos (su verdadero enemigo). Su relativo éxito anima a medios y casas antivirus a lanzar una alerta "palpable", de las que hacía años que no se emitían, como cuando se alertaba sobre virus concretos de propagación masiva.

Sobre esta base de infección y "cuota de mercado", Conficker comienza a evolucionar hacia lo que es hoy en día el malware: ya no es sólo que el Conficker mute con nuevas versiones, sino que se ha convertido en un complejo sistema multi-modular que se ayuda de servidores comprometidos o no y una flexibilidad que permite que sus métodos de infección mejoren cada poco tiempo. Conficker evoluciona así desde un gusano tradicional hacia un complejo sistema perfectamente orquestado, cambiante y eficaz. Del primer Conficker apenas queda el nombre. Conficker es ahora una gran familia.

Si miramos atrás, "Storm Worm" o "Storm Virus" se popularizó a finales de 2006 como malware de rápida distribución que infectó a millones de sistemas Windows. Al principio, se propagaba de la forma más "burda" posible: un ejecutable a través de spam. Esta técnica, que se creía superada, provocó que muchos usuarios lo ejecutasen y quedasen infectados. Como Conficker, triunfó a pesar de usar técnicas de infección muy poco novedosas. Como con Conficker, los medios se fijaron en él precisamente por su simplicidad, por suponer un virus reconocible por los usuarios medios y poder usarlo de cabeza de turco como años atrás. Y así fue naciendo la botnet más grande que se ha conocido. Con una infraestructura de sistemas que crecía cada día, Storm Worm sentó las bases de un ejército de equipos infectados. Como Conficker, los atacantes comenzaron a mejorar su propio código, y de qué manera. A los pocos meses se propagaba a través de técnicas mucho más sofisticadas. Las máquinas infectadas se usaron para enviar spam (en cantidades industriales) en campañas espaciadas en el tiempo, cada una más virulenta que la anterior, que no hacían más que realimentar el número de sistemas infectados... Y Storm Worm se convirtió en una pesadilla de decenas de archivos que mutaban y cambiaban cada minuto, muchos datos robados, poco ratio de detección, e infinidad de basura en la bandeja de entrada.

¿Será Conficker tan persistente como lo llegó a ser Storm, con más de un año como número uno en infecciones? ¿Es que no hemos aprendido nada?


Sergio de los Santos
ssantos@hispasec.com


Más información:

22/01/2007 El mediático troyano de la tormenta y las lecciones no aprendidas
http://www.hispasec.com/unaaldia/3012

19/01/2009 Conficker o Downadup, cabeza de turco
http://www.hispasec.com/unaaldia/3740

17/01/2008 Un año de Storm Worm
http://www.hispasec.com/unaaldia/3372

23/10/2007 La epidemia del "Storm Worm", algunas cifras
http://www.hispasec.com/unaaldia/3286

New Conficker B++ Worm Discovered, More Stealth
http://www.infopackets.com/news/security/2009/20090225_new_conficker_b++_worm_discovered_more_stealth.htm