domingo, 31 de mayo de 2009

Ejecución remota de código en IBM WebSphere MQ

Se ha anunciado una vulnerabilidad en IBM WebSphere MQ V6 (y superiores) por la que atacantes remotos podrían ejecutar código arbitrario en los sistemas afectados.

El problema reside en un desbordamiento de búfer, explotable de forma remota, en el tratamiento que el cliente MQ realiza de datos específicamente manipulados. Un atacante remoto que explote la vulnerabilidad podrá ejecutar código arbitrario en el sistema atacado. Administradores que hagan uso de SSL o autenticación segura no se ven afectados.

Para corregir este problema IBM ha publicado una actualización que se encuentra disponible desde:
http://www-01.ibm.com/support/docview.wss?rs=0&uid=swg24023135


Antonio Ropero
antonior@hispasec.com


Más información:

Interim fix for Security Vulnerability APAR IZ50784
http://www-01.ibm.com/support/docview.wss?rs=0&uid=swg24023135

websphere-mq-clientconnection-bo (50641)
http://xforce.iss.net/xforce/xfdb/50641

sábado, 30 de mayo de 2009

Salto local de restricciones IncludesNoExec en Apache

Se ha encontrado un error a la hora de procesar directivas "AllowOverride" y algunos argumentos "Options" en el archivo .htaccess. Esto podría permitir a atacantes locales eludir restricciones de seguridad al ejecutar comandos a través de Server Side Includes, incluso cuando éstos están deshabilitados.

El atacante tendría que escribir "Options +IncludesNoExec" en el archivo ".htaccess" para habilitar el Server Side Includes con privilegios de ejecución (directiva exec).

Los Server Side Include o SSI no son realmente muy usados hoy en día. Lenguajes cono PHP, JSP, ASP... son infinitamente más potentes. Sin embargo los servidores web siguen soportándolo. Las páginas que incluían SSI se diferenciaban normalmente por la extensión shtml o .shtm. La vulnerabilidad permite que un usuario que comparta un servidor público, pueda habilitar la ejecución de SSI, una de las funciones de los Server Side Includes que los administradores de servidores web compartidos suelen deshabilitar precisamente para evitar problemas. La directiva exec permitiría por ejemplo realizar

<!--#exec cmd="ls -l"-->

en una página, y el atacante local podría tener así acceso a zonas sensibles del servidor.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Bug 489436 - (CVE-2009-1195) CVE-2009-1195 AllowOverride Options=IncludesNoExec allows Options Includes
https://bugzilla.redhat.com/show_bug.cgi?id=489436

viernes, 29 de mayo de 2009

0 day en Microsoft DirectX

Microsoft ha reconocido en un aviso oficial una vulnerabilidad en DirectX sobre 2000, XP y 2003 que podría permitir a un atacante ejecutar código arbitrario. El fallo parece que se está aprovechando en estos momentos por atacantes, por lo que se convierte en un 0 day. Es explotable a través de archivos de QuickTime.

DirectX es una colección de APIs creadas para facilitar tareas relacionadas con la programación de juegos y multimedia en Windows. El kit de desarrollo de DirectX (SDK) y el EndUser Runtime se distribuyen gratuitamente por Microsoft y también adjunto a muchos programas que lo utilizan.

DirectX 7.x, 8.x y 9.x sobre Windows 2000, XP y 2003 sufre de una vulnerabilidad en la forma en la que DirectShow (en quartz.dll) maneja el formato QuickTime. Si la víctima abre un archivo QuickTime especialmente manipulado a través de cualquier vía (también a través el navegador), el atacante podría ejecutar código arbitrario con los permisos del usuario que ejecuta la aplicación.

Se recomienda tomar cualquiera de estas acciones:

a) Deshabilitar la interpretación de contenido QuickTime en quartz.dll borrando la rama HKEY_CLASSES_ROOT\CLSID\{D51BD5A0-7548-11CF-A520-0080C77EF58A} del registro.

b) Modificar la ACL de quartz.dll eliminando los permisos NTFS

c) Desregistrando la librería (Regsvr32.exe /u %WINDIR%\system32\quartz.dll)


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Vulnerability in Microsoft DirectShow Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/971778.mspx

jueves, 28 de mayo de 2009

Las palabras más infecciosas

McAfee ha publicado un estudio con las palabras que pueden ser más peligrosas a la hora de visitar los resultados que producen en un buscador. O sea, las palabras que tienen más probabilidad que lleven a un usuario a un sitio en el que quede infectado por malware. La ganadora es "screensavers" con un riesgo del 60%.

McAfee ha buscado 2.658 palabras y frases en 413.368 URLs para comprobar qué términos pueden exponer al usuario a un mayor número de direcciones que alojen malware o fraudes. Concluye que todas las búsquedas que incluyan la palabra "free" (en este contexto, sería "gratis") tienen un mayor riesgo (un 21%) mientras que las más seguras suelen ser las búsquedas relacionadas con términos médicos o de salud.

El estudio de McAfee no deja de ser anecdótico. El mundo del malware y sus creadores se han anticipado al dinamismo de la Red actual, y parecen trabajar a un ritmo mucho más acelerado "para estar a la última" que el resto de la industria. Esto hace que lo que hoy es considerado "menos peligroso" (un término más adecuado que "seguro"), constituya un peligro grave y patente a corto plazo.

Por ejemplo, hace ya muchos años que los atacantes aprovechan cualquier acontecimiento relevante, social, político o de cualquier otra índole para crear campañas de envío de correo basura por email. Si no, lo inventan. Las muertes ficticias de políticos, deportistas o famosos en general han sido enviadas en muchas ocasiones como anuncios en primicia a través del correo, incluyendo un vídeo demostrativo que esconde el malware.

La ventaja es que la infraestructura de los atacantes está ahí, solo tienen que cambiar la presentación, el papel de regalo. Por ejemplo, Conficker apareció aprovechando la vulnerabilidad MS08-067, solo unos días después de que fuera hecha pública. Esto no significa que fuera creado desde cero en ese tiempo, sino que sus creadores estaban atentos a la aparición de una vulnerabilidad de estas características. Así, incluyeron el código necesario para aprovecharla, y cubrir así de forma eficaz el módulo de "expansión" que les faltaba para completar su obra. El resto de la infraestructura del troyano llevaba, probablemente, meses siendo preparada y esperando el momento exacto.

Los atacantes pues, dedican un tiempo de desarrollo significativo al estudio de las tendencias y nuevas técnicas, modas y preferencias que aparecen en la Red para aprovecharlas cuanto antes y hasta sus últimas consecuencias. En el caso de las palabras de búsqueda, ocurre igual. A finales de 2008, usaron Google Trends para sindicar en tiempo real las palabras de búsqueda más populares, y poder así posicionar el malware más arriba en la lista de resultados de Google . Google Trends es un servicio de Google Labs que muestra los términos diarios más buscados, actualizados cada poco tiempo. Los atacantes supieron exprimir el servico en provecho propio, optimizando las búsquedas. Por supuesto, habían registrado previamente blogs y plataformas 2.0, para poder modificarlas con las palabras necesarias de forma automática y escalar en los resultados de los buscadores.

Por último, y con respecto al estudio de McAfee, cabe destacar que han contabilizado los sitios fraudulentos "puros", creados específicamente para ello. El problema es que literalmente, cientos de miles de páginas web legítimas son comprometidas e infectadas cada minuto con scripts que hacen que el visitante sea como mínimo, atacado. Por tanto, páginas legítimas hoy que aparecen en los primeros puestos de los buscadores ante cualquier búsqueda, pueden resultar nefastas mañana.

En conclusión el peligro, como siempre, no son las palabras que puedan ser buscadas en sí, aunque sí es cierto que algunas palabras más que otras, indican que el que las pretende encontrar está en realidad buscando problemas a gritos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Cybercriminals syndicating Google Trends keywords to serve malware
http://blogs.zdnet.com/security/?p=1995

"The Web's Most Dangerous Search Terms"
http://us.mcafee.com/en-us/local/docs/most_dangerous_searchterm_us.pdf

miércoles, 27 de mayo de 2009

De nuevo PDF, el enemigo de BlackBerry

Research In Motion (RIM) responsable de BlackBerry ha anunciado varias vulnerabilidades no especificadas en el proceso de archivos PDF. Esto podría permitir a un atacante remoto ejecutar código arbitrario en el servidor que aloja el servicio de proceso de archivos adjuntos, no en el terminal, como puede llegarse a pensar.

Los fallos se dan en el servicio de archivos adjuntos de BlackBerry Enterprise Server 5.x (para distintos servidores de correo) y BlackBerry Professional Software 4.x. Un atacante podría, a través de un archivo PDF especialmente manipulado, enviar un adjunto y al abrirlo en el dispositivo móvil, ejecutar código en el servidor que aloja el servicio de adjuntos.

RIM sufrió un problema parecido hace muy pocos meses. En realidad, todo software que procesara archivos PDF sufrió un grave problema de seguridad al procesar elementos JBIG2. La alerta comenzó con Adobe, pero poco a poco mucho software dedujo que sufría, si no el mismo, problemas de seguridad graves muy parecidos.

Se recomienda actualizar los servidores desde
http://www.blackberry.com/go/serverdownloads


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Vulnerabilities in the PDF distiller of the BlackBerry Attachment
Service for the BlackBerry Enterprise Server
http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB18327

martes, 26 de mayo de 2009

Grave fallo de seguridad en Soulseek

Se ha encontrado un problema de ejecución de código arbitrario en Soulseek que podría permitir a un atacante atacar a cualquier usuario conectado a la red. Se trata de una de las primeras vulnerabilidades graves y hechas públicas de este programa.

Soulseek es un programa de intercambio de ficheros a través de redes de pares. Fue fundado por un antiguo programador de Napster en 2000. Está especializado en intercambio de música, y entre sus virtudes está la gran cantidad de material de todo tipo accesible desde la red. Soulseek tomó el relevo de Audiogalaxy (sin duda el programa de intercambio con mayor cantidad y calidad de música).

Soulseek permite buscar ficheros de forma distribuida entre una persona, toda la comunidad que usa la aplicación, o en un canal IRC del programa. Así el usuario puede acotar su búsqueda de diferentes formas. El fallo es grave, puesto que permitiría que un atacante remoto realizase una supuesta búsqueda entre lo que comparte un usuario o incluso todo un canal IRC y ejecutar código en ellos. Todo usuario de Soulseek conectado resulta en una potencial víctima.

El fallo, encontrado por Laurent Gaffié se trata de un error de límites a la hora de procesar mensajes de búsqueda. Esto provoca un desbordamiento de memoria intermedia si se envía una cadena de búsqueda que contenga un parámetro demasiado largo. Se han hecho públicos todos los detalles de la vulnerabilidad y una prueba de concepto.

Soulseek no ha publicado parche. Se recomienda limitar el número de caracteres reservados a la búsqueda.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Soulseek * P2P Remote Distributed Search Code Execution
http://archives.neohapsis.com/archives/fulldisclosure/2009-05/0210.html

lunes, 25 de mayo de 2009

Winamp no corrige un problema de ejecución de código en la librería libsndfile

Winamp lleva unos meses sufriendo diferentes vulnerabilidades que permiten ejecución de código. Una de las últimas sigue sin tener solución, a pesar de haber sido reportada hace más de un mes. El problema de Winamp es que incorpora muchas librerías propias y de terceros para reproducir diferentes formatos de codificación de audio y vídeo, que suelen desvelar problemas de seguridad cada cierto tiempo.

Winamp 5.552, la última versión del famoso reproductor disponible desde su web, es vulnerable a un problema de ejecución de código arbitrario a través de la librería libsndfile. Esta contiene un desbordamiento de memoria intermedia al procesar ficheros VOC (Creative Voice). Un atacante podría ejecutar código en el sistema si la víctima abre un archivo en este formato con cualquier versión de Winamp. O lo que es peor, si el formato está asociado a Winamp, explotar la vulnerabilidad puede ser incluso transparente para la víctima. Los creadores de libsndfile han corregido el fallo hace tiempo, pero Winamp sigue sin incorporar la solución a su reproductor. No es el único que usa la librería, pero sí el más popular.

Al reproductor se le acumulan los problemas. A principios de marzo la misma librería sufría otro problema de ejecución de código con los archivos CAF. La versión 5.551 solucionó el fallo. Esta misma versión era vulnerable a un problema de ejecución de código al procesar ficheros MAKI. Se han hecho públicos varios exploits capaces de aprovechar el fallo. La versión 5.552 soluciono esto, pero no el problema con los ficheros VOC descrito más arriba... En enero sufría otro fallo de ejecución de código al procesar ficheros en formato AIFF.

Winamp, cada cierto tiempo, sufre de un problema de desbordamiento de memoria en algún formato y puede convertirse en un origen de ataques al sistema tan peligroso como cualquier otro. Adobe se ha visto obligada a cambiar su política de seguridad precisamente por saberse objetivo de ataques concretos a través de Flash y PDF. La popularidad de Winamp también lo convierte en un jugoso objetivo para atacantes. Teniendo en cuenta la diversidad de ataques que se están produciendo en los últimos tiempos, los creadores de malware no dudan en aprovechar también lo que hasta hace poco se consideraban vectores de ataque residuales, en combinación con sistemas cada vez más blindados, como los navegadores.


Sergio de los Santos
ssantos@hispasec.com


Más información:

libsndfile/Winamp VOC Processing Heap Buffer
http://trapkit.de/advisories/TKADV2009-006.txt

domingo, 24 de mayo de 2009

Actualización de sadmind para Sun Solaris

Sun ha publicado una actualización para corregir dos vulnerabilidades en sadmind de los sistemas Solaris 8 y 9.

El primero de los problemas reside en un error de límites en sadmind al descodificar los parámetros de las solicitudes. Este error puede ser aprovechado por un atacante local para provocar desbordamientos de memoria intermedia principalmente mediante peticiones RPC, lo que podría permitir la ejecución de código arbitrario.

El segundo problema solucionado es un error en la asignación de memoria para las solicitudes en sadmind. Este fallo podría ser aprovechado por un atacante local para provocar un desbordamiento de enteros basado en pila mediante peticiones RPC, lo que podría permitir la ejecución de código arbitrario.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para plataforma SPARC:
Solaris 8 instalar el parche 116455-02 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=116455-02&method=h

Solaris 9 instalar el parche 116453-03 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=116453-03&method=h

Para la plataforma x86:

Solaris 8 instalar el parche 116442-02 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=116442-02&method=h

Solaris 9 instalar el parche 116454-03 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=116454-03&method=h

Solaris 10 y OpenSolaris no incluyen sadmind(1M) porlo que no se ven afectados por estos problemas.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Vulnerabilities in the Solaris 8 and 9 sadmind(1M) Daemon May Lead to Arbitrary Code Execution
http://sunsolve.sun.com/search/document.do?assetkey=1-66-259468-1

sábado, 23 de mayo de 2009

Escalada de directorios a través de TFTP en CiscoWorks

CiscoWorks Common Services se ve afectado por una vulnerabilidad que podría permitir a un atacante remoto sin autenticar acceder a diversos archivos del sistema.

CiscoWorks Common Services representa un conjunto común de servicios de administración compartidos por las aplicaciones CiscoWorks. CiscoWorks es una familia de productos basados en estándares de Internet para la administración de redes y dispositivos. Son muchos los productos CiscoWorks que usan y dependen de Common Services.

Cisco ha publicado una actualización para corregir una vulnerabilidad (de la que no ha especificado detalles) en TFTP, del conjunto de servicios de CiscoWorks Common Services. El fallo podría permitir a un atacante remoto no autenticado efectuar un ataque de escalada de directorios y obtener o modificar información sensible y potencialmente causar una denegación de servicio.

La vulnerabilidad solo afecta a CiscoWorks sobre plataformas Microsoft Windows.

Cisco ha publicado la actualización cwcs3.x-win-CSCsx07107-0.zip disponible desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cw2000-cd-one


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: CiscoWorks TFTP Directory Traversal Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090520-cw.shtml

viernes, 22 de mayo de 2009

"Gumblar" en los medios

Gumblar es un espécimen de origen chino que llevaba cierto tiempo circulando, se detectó y comenzó a seguir desde finales de marzo. Los medios se han fijado en él (siempre recordando que la noticia origen es de una casa antivirus) por el preocupante y rápido aumento de infectados que se ha contabilizado en las últimas semanas. Ha llegando a doblar el número de victimas semanalmente; también se le atribuye el 42 por ciento de las nuevas infecciones detectadas en sitios web.

El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.

La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.

En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.

Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en VirusTotal.com.

El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.


David García
dgarcia@hispasec.com


Más información:

Malicious JSRedir-R script found to be biggest malware threat on the web
http://www.sophos.com/blogs/gc/g/2009/05/14/malicious-jsredir-javascript-biggest-malware-threat-web/

Inside the Massive Gumblar Attack
http://www.martinsecurity.net/2009/05/20/inside-the-massive-gumblar-attacka-dentro-del-enorme-ataque-gumblar/

Unmask Parasites
http://blog.unmaskparasites.com/2009/05/18/martuz-cn-is-a-new-incarnation-of-gumblar-exploit/

ScanSafe
http://blog.scansafe.com/journal/2009/5/14/gumblar-qa.html

jueves, 21 de mayo de 2009

Adobe se compromete a mejorar su política de seguridad

Durante los últimos meses la sucesión de graves vulnerabilidades, exploits 0-day y críticas vertidas hacía la política de seguridad de Adobe han sido determinantes para que la compañía tome medidas al respecto.

A ello habría que sumar el auge en el uso del formato pdf y flash por los creadores de malware, los cuales contribuyeron aun más a una percepción negativa hacia los productos de la compañía. Incluso se llegó a promocionar el uso de alternativas a Reader frente a la incapacidad manifiesta de ofrecer una respuesta rápida.

De aquí a tres meses comenzará a aplicar un ciclo de publicación de actualizaciones de seguridad igual al de Microsoft, es decir, los segundos martes de cada mes y fuera de ese ciclo aquellas que por su importancia o gravedad precisen de una actuación inmediata y liberación en el menor tiempo posible. Además se liberarán de manera simultanea para todas las versiones y no de forma escalonada desde la más reciente a la más antigua como hasta ahora venía siendo la norma.

Aunque ya contaba con un plan de mantenimiento de seguridad y buenas prácticas de programación, Adobe va a reorientar la perspectiva desde el programador hacia el atacante, esforzándose en encontrar las vulnerabilidades antes de que sean descubiertas y explotadas, pasando, sin omitirla, de una programación defensiva (también necesaria, cuando no vital) a una investigación activa.

Adobe se une así a Microsoft, Oracle y Cisco en una coincidencia intencionada en el ciclo de parches, pudiendo darse el caso de una alineación cronológica de gigantes que se intuye los administradores de sistemas van a señalar en sus respectivos calendarios.


David García
dgarcia@hispasec.com


Más información:

Adobe - ASSET
http://blogs.adobe.com/asset/2009/05/adobe_reader_and_acrobat_secur.html

miércoles, 20 de mayo de 2009

Mac OS X no corrige una grave vulnerabilidad en Java Runtime Environment solucionada hace 6 meses

A pesar de que en la última macro-actualización de Mac OS X se han corregido 67 vulnerabilidades, al parecer han dejado sin solución un grave problema en el JRE (Java Runtime Environment) que puede ser aprovechado por atacantes para ejecutar código con solo visitar una página web.

Sami Koivu encontró un problema de seguridad que permitía la ejecución de código en JRE a principios de agosto de 2008. Avisó a Sun, pero no lo corrigieron hasta diciembre de ese mismo año en su Java 6 Update 11. Poco a poco el resto de sistemas que incluyen el motor de Java fueron actualizando, excepto Mac OS X. En su segunda macro-actualización del año (en la que corrige 67 vulnerables, no todas afectan a software que use el usuario medio, pero sí una buena mayoría) no ha cabido una solución para este fallo crítico.

JRE viene activado por defecto en el sistema operativo de Apple. El navegador Safari, por tanto, lo llamará para interpretar páginas que contengan applets. Si se manipula especialmente uno de ellos (el error tiene su origen en la clase java.util.Calendar), se podría ejecutar código en el sistema vulnerable. Los detalles son públicos, existe prueba de concepto (en el apartado de "más información") y por las características de la vulnerabilidad, (el exploit se podría escribir completamente en Java) es portable a casi todas las plataformas y navegadores sin necesidad de que sea modificado. Todos los usuarios pueden actualizar su sistema operativo para estar protegidos, excepto los de Mac OS X.

Mac OS X sigue teniendo mucho que avanzar en cuestión de seguridad y el tratamiento que hace sobre sus actualizaciones y parches. Su política es aglutinar actualizaciones en parches mastodónticos lanzados sin periodicidad fija. Tampoco se caracteriza (ni Sun, todo sea dicho) por ser especialmente rápida a la hora de ofrecer soluciones a sus usuarios. Lo demostró (entre otros ejemplos) en 2008 con la vulnerabilidad en el protocolo DNS descubierta por Kaminsky. Apple fue el último gran fabricante en publicar un parche. Todos los grandes (Microsoft, Cisco, BIND...) sacaron el 8 de julio una solución coordinada a un problema que se había mantenido en secreto desde principios de año. Pero Apple no. Dejó a los usuarios de Mac OS X sin solución hasta casi tres semanas después.

Mac OS X quizás no tenga en estos momentos la seguridad como prioridad en su desarrollo. Lo demuestra a través de varias vías: la gravedad de las vulnerabilidades que se encuentran en su software, cómo y cuándo las soluciona y la información que ofrece sobre ellas. A corto plazo, es muy posible que se arrepienta de no invertir desde ya, en una gestión mucho más eficaz de la seguridad en su sistema operativo. Es necesario (y urgente) que se la tome en serio. Microsoft no lo hizo hasta 2002 y todavía está pagando las consecuencias.

Con respecto a la vulnerabilidad, se recomienda deshabilitar el JRE en Mac OS X.


Sergio de los Santos
ssantos@hispasec.com


Más información:

About the security content of Security Update 2009-002 / Mac OS X v10.5.7
http://support.apple.com/kb/HT3549

Calendar bug
http://slightlyrandombrokenthoughts.blogspot.com/2008/12/calendar-bug.html

Critical Mac OS X Java Vulnerabilities
http://landonf.bikemonkey.org/code/macosx/CVE-2008-5353.20090519.html

Mac OS X Includes Known Vulnerable Version of Java
http://www.us-cert.gov/current/index.html#java_vulnerability_affects_mac_os

martes, 19 de mayo de 2009

Elevación de privilegios a través de libc.a en IBM AIX 5 y 6

IBM ha publicado una actualización para AIX 5 y 6 que soluciona un fallo que podría permitir a un atacante elevar sus privilegios en los sistemas afectados.

Se ha detectado un error de condición de carrera en el componente de depuración MALLOCDEBUG en la librería libc.a cuando se ejecutan programas con setuid. Esto podría permitir a un atacante local elevar privilegios y ejecutar código arbitrario con los permisos del usuario root.

Las actualizaciones publicadas están disponibles desde:
http://aix.software.ibm.com/aix/efixes/security/libc_fix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX libc MALLOCDEBUG file overwrite vulnerability
http://aix.software.ibm.com/aix/efixes/security/libc_advisory.asc

lunes, 18 de mayo de 2009

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa dos vulnerabilidades que podrían ser aprovechadas por un atacante para conseguir elevar sus privilegios o provocar denegaciones de servicio.

Los problemas corregidos son:

La primera de las vulnerabilidades corregidas reside en el fichero "fs/nfs/client.c" para versiones del kernel anteriores a 2.6.23. El fallo se origina al no sanear correctamente el campo que almacena la longitud máxima de nombre de archivos en NFS. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través de nombres especialmente largos en la función "encode_lookup".

También se ha corregido un fallo en la función "exit_notify" localizada en el archivo "kernel/exit.c" que podría permitir a un atacante local enviar una señal arbitraria que modifique el campo "exit_signal" y a continuación lanzar la aplicación "seguid". Lo que podría permitir a un usuario local elevar sus privilegios en el sistema.

Además se han solucionado cientos de fallos de menor importancia y se han añadido ciertas mejoras.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: Red Hat Enterprise Linux 4.8 kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2009-1024.html

domingo, 17 de mayo de 2009

Grave vulnerabilidad en IIS. De vuelta a fallos de principios de década


Desde hace unos días, estamos viviendo una especie de desafortunada vuelta a principios de esta década por culpa de un grave fallo de seguridad en Internet Information Server, el servidor web de Microsoft. Se ha descubierto una vulnerabilidad "como las de antes" y, lo peor, aprovechando fallos y problemas que parecían pertenecer ya al pasado, como de otro tiempo. Al parecer, el fallo está disparando el número de "desfiguraciones" (defaces) en servidores web con IIS en los últimos días.

A cualquiera que esté al tanto de las noticias sobre seguridad le sonará que las palabras IIS, WebDAV, unicode y la cabecera "Translate:f" (parte del protocolo WebDAV) son términos que juntos, no han traído nunca nada bueno al servidor de Microsoft en los últimos años. La vulnerabilidad que acaba de ser descubierta combina todos esos elementos. Se ha encontrado un fallo en IIS 6.x a la hora de procesar peticiones http especialmente manipuladas con la cabecera "Translate:f" y con caracteres Unicode. Esto puede permitir a un atacante eludir la autenticación (y subir ficheros si lo permiten los permisos) al disparar un problema de validación en WebDAV.

Vamos a dar un pequeño repaso a las vulnerabilidades que se basaban en alguno de los elementos que Microsoft nunca manejó (ni maneja, por lo visto) demasiado bien.

Antecedentes (1999)

En 1999 se descubrió un fallo clásico en IIS. Introduciendo un punto al final de los archivos ASP en servidores web IIS 3.0 se podía visualizar el código fuente del archivo. Por ejemplo:

http://servidor.iis.afectado/ejemplo.asp.

La actualización desarrollada para solventar este problema cumplió su trabajo y la "vulnerabilidad del punto" desapareció. Pero el parche obvió la representación hexadecimal del carácter "." (0x2e), por lo que sustituyéndolo en la URL de esta forma:

http://www.direccion.com/code/ejemplo.asp0x2e

aún se podía descargar el código fuente del archivo ASP. Un parche para el parche solucionó el problema.

Antecedentes (2000)

Se descubrió un error relacionado con el protocolo estándar de Internet WebDAV (Web Distributed Authoring and Versioning) mayoritariamente usado por Microsoft en IIS (venía activado por defecto). WebDAV se trata de un conjunto de extensiones de HTTP que proporciona el estándar para editar y manejar ficheros y atributos a través de web (lo que ya de por sí lo convierte en un potencial problema de seguridad). El problema consistía (como el que acaba de ser descubierto) en enviar una petición HTTP mal formada, aprovechando el protocolo WebDAV y algunas otras circunstancias, como el mal comportamiento del servidor ante ciertos caracteres. Explotar el problema era muy sencillo, tan solo había que usar la cabecera "Trasnlate: f" (que es lo que indica al servidor que la petición tiene que ser manejada con WebDAV) y añadir un carácter "\" al final de la petición GET del archivo ASP del que se quería ver el código fuente.

Antecedentes (2001)

Cuando se publicó IIS, Microsoft no tuvo en cuenta la potencial escalada de directorios que podría permitir el acceso a los archivos de sistema del servidor web. Durante años, entrar en un servidor IIS era tan sencillo como realizar la siguiente petición a través de cualquier navegador:

http://servidor.iis.afectado/scripts/../../../winnt/system32/cmd.exe?/c+dir+c:\

El problema fue corregido, aunque durante mucho tiempo la mayoría de los servidores no parchearon (no existía WindowsUpdate) y la fama negra del navegador se iba forjando. Durante 2001, cuando Microsoft introdujo soporte para la codificación Unicode en Internet Information Server, cometió un terrible error. La conversión a Unicode se realizaba después de la comprobación de la existencia de los caracteres "../..". Por tanto el problema volvió a surgir, y de nuevo, era posible entrar en un servidor gracias a peticiones del tipo:

http://servidor.iis.afectado/scripts/..%c1%1c../winnt/system32/cmd.exe?/c+dir+c:\

Muchos años después, seguiría siendo la forma más sencilla y predilecta de muchos de burlar la seguridad de servidores web de Microsoft.

Antecedentes (2003)

En marzo de 2003 se descubrió un error relacionado con WebDAV que montó un buen revuelo. Un búfer no controlado ponía a los servidores con IIS instalado en un compromiso. Fue uno de los últimos grandes escándalos de IIS. A partir de ahí, las sucesivas versiones del servidor mejoraron sustancialmente la seguridad.

Y en 2009...

Se descubre que de nuevo un atacante puede eludir las restricciones de seguridad y descargar o subir ficheros de directorios WebDAV protegidos con contraseña. Para perpetrar el ataque, solo es necesario realizar una petición PROPFIND a una carpeta, añadiendo caracteres Unicode en su nombre, y por supuesto, con la cabecera "Translate:f".

De vuelta 10 años atrás

En esta vulnerabilidad, se repiten muchos de los elementos de las vulnerabilidades descritas más arriba y que se creían ya "olvidados". El problema se da en IIS 6.0 y anteriores. Las versiones posteriores no se ven afectadas, además de que no traen WebDAV activado por defecto. Por tanto nos encontramos ante un panorama que no recordábamos desde hacía años: una vulnerabilidad directa contra un servidor web (actualmente utilizado, según Netcraft por el 30% de los servidores web) que permite controlar el sistema. Precisamente una mayor concienciación sobre la seguridad, una mejora en la calidad del código, la aplicación de parches de Microsoft (motivada en gran parte por errores como los descritos) y otra serie de factores, hicieron que el objetivo se trasladase bien al cliente (navegadores, lectores de PDF, Flash...), bien a aplicaciones web (principalmente en PHP) pero cada vez menos contra el servidor web en sí.

Microsoft no ha reconocido oficialmente todavía la vulnerabilidad. Se recomienda por tanto deshabilitar WebDAV hasta que exista solución y comprobar los permisos NTFS de los directorios públicos. Existe exploit disponible.


Sergio de los Santos
ssantos@hispasec.com


Más información:

07/10/2000 Listado de directorios no autorizado en IIS 5.0
http://www.hispasec.com/unaaldia/713

14/03/2001 Parche para el problema de IIS 5.0 con WebDAV
http://www.hispasec.com/unaaldia/871

18/03/2003 Desbordamiento de búfer en el componente de WebDAV de
Internet Information Server
http://www.hispasec.com/unaaldia/1605

Microsoft IIS 6.0 WebDAV Remote Authentication Bypass
http://www.milw0rm.com/exploits/8704

sábado, 16 de mayo de 2009

Ejecución de código arbitrario en Xerox WorkCentre

Se ha anunciado una vulnerabilidad en diversos productos de la gama Xerox WorkCentre, por la que un atacante remoto podrá podría ejecutar código arbitrario en los sistemas atacados.

El problema reside en la posibilidad de inyectar comandos en el servidor web de los productos afectados, esto podría permitir la ejecución remota de código arbitrario mediante peticiones especialmente construidas en la página web afectada.

Se ven afectados los productos WorkCentre 232, 238, 245, 255, 265, 275, 5632, 5638, 5645 , 5655, 5665, 5675, 5687, 7655, 7665, 7675 y los WorkCentre Pro 232, 238, 245, 255, 265 y 275.

Xerox ha publicado una actualización disponible en:
http://www.xerox.com/downloads/usa/en/c/cert_P38v1_WCP275_WC7675_WC5687_Patch.zip


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Xerox Security Bulletin XRX09-002
Software update to address Command Injection Vulnerability
http://www.xerox.com/downloads/usa/en/c/cert_XRX09-02_v1.0.pdf

viernes, 15 de mayo de 2009

Denegación de servicio a través de fstat en Sun Solaris 9

Sun ha publicado una actualización para Solaris 9, para evitar una vulnerabilidad en fstat.

Se ha detectado un fallo de seguridad no especificado en la llamada a sistema fstat que podría permitir a un atacante local provocar un system panic en el kernel y, por tanto, causar una denegación de servicio.

Las actualizaciones publicadas por Sun son:
Para plataforma Sparc:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122300-40-1
Para plataforma x86:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-122301-40-1


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Solaris 9 fstat(2) System Call May Lead to a System Panic, Resulting in a Denial of Service (DoS)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-257988-1

jueves, 14 de mayo de 2009

Dos vulnerabilidades en Nortel Contact Center Manager Administration

Se han anunciado dos vulnerabilidades en Nortel Contact Center Manager Administration (CCMA) versión 6.0, que podrían ser explotadas por un atacante para evitar restricciones de seguridad o conseguir información sensible.

El primero de los problemas está provocado por un error en la autenticación en la interfaz SOAP proporcionada por la aplicación del servidor CCM, esto podría permitir a un atacante descubrir la contraseña de la cuenta "sysadmin" mediante una petición SOAP específicamente construida.

La segunda vulnerabilidad está causada por un error de diseño en la aplicación web del CCMA Server, debido a que confía en las cookies del cliente para comprobar los roles de los usuarios autenticados. Un atacante podría ubicar de forma manual las cookies requeridas y de esa forma saltarse la autenticación y acceder a administración web del CCMA.

Se recomienda instalar las actualizaciones CCMA_6.0_DP_060229 y CCMA_6.0_DP_060224 disponibles desde: http://support.nortel.com/


Antonio Ropero
antonior@hispasec.com


Más información:

Contact Center Potential Password Disclosure
http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=905808

Contact Center Authentication Bypass
http://support.nortel.com/go/main.jsp?cscat=BLTNDETAIL&id=905698

miércoles, 13 de mayo de 2009

Actualizaciones de seguridad para Adobe Reader y Acrobat

Adobe ha publicado actualizaciones para corregir dos vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados.

El primero de los problemas, que afecta a Adobe Reader 9.1 y Acrobat 9.1 (y versiones anteriores), reside en el método getAnnots Doc en la API de JavaScript. El fallo podría permitir a un atacante remoto la ejecución de código arbitrario mediante un pdf que contenga una anotación y una entrada OpenAction con código JavaScript que llame a dicho método con argumentos enteros modificados

También se ha anunciando una segunda vulnerabilidad que afecta únicamente a Adobe Reader para UNIX. El problema, que reside en el método spell customDictionaryOpen en la API de JavaScript, podría permitir a un atacante remoto lograr la ejecución remota de código arbitrario mediante un archivo PDF con una llamada al método con una cadena de gran tamaño como segundo argumento.

Adobe recomienda a los usuarios de Adobe Reader 9.1 y Acrobat 9.1 (y versiones anteriores) actualizar a Adobe Reader 9.1.1 y Acrobat 9.1.1. Para los usuarios de Adobe Reader que no puedan actualizar a Adobe Reader 9.1.1, Adobe ha publicado las versiones actualizadas Adobe Reader 8.1.5 y Adobe Reader 7.1.2.

Las actualizaciones están disponibles desde:
Para Adobe Reader en Windows: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Windows.

Para Adobe Reader en Macintosh: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Macintosh.

Para Adobe Reader en UNIX: http://www.adobe.com/support/downloads/product.jsp?product=10&platform=Unix.

Para Acrobat Standard, Pro y Pro Extended en Windows:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Window.

Para Acrobat 3D en Windows:
http://www.adobe.com/support/downloads/product.jsp?product=112&platform=Windows.

Para Acrobat Pro en Macintosh:
http://www.adobe.com/support/downloads/product.jsp?product=1&platform=Macintosh.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-06.html

martes, 12 de mayo de 2009

Microsoft corrige 14 vulnerabilidades en PowerPoint

Tal y como adelantamos, este martes Microsoft ha publicado sólo un boletín de seguridad (el MS09-017) correspondientes a su ciclo habitual de actualizaciones. Esta actualización que corrige un total de 14 vulnerabilidades presenta, según la propia clasificación de Microsoft, un nivel de gravedad "crítico".

Las vulnerabilidades corregidas afectan a diversas versiones de PowerPoint de Microsoft Office (XP, 2000, 2002, 2003 y 2007), Office para Mac y el visor de archivos PowerPoint (PowerPoint Viewer 2003 y 2007). Entre las vulnerabilidades corregidas se incluye el problema ya comentado anteriormente que venía siendo explotado de forma activa desde primeros de abril.

Todos los problemas corregidos pueden permitir la ejecución remota de código al abrir un archivo PowerPoint maliciosamente construido. El problema se agravaba al ser PowerPoint un formato de archivo sobre el que la gente tiende a confiar, y que se usa con frecuencia para el intercambio de presentaciones de todo tipo entre usuarios (desde presentaciones profesionales hasta totalmente intrascendentes), lo que podría permitir la rápida infección debido precisamente a estos factores.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o desde el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for May 2009
http://www.microsoft.com/technet/security/bulletin/ms09-may.mspx

Microsoft Security Bulletin MS09-017 - Critical
Vulnerabilities in Microsoft Office PowerPoint Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/ms09-017.mspx

una-al-dia (03/04/2009) Microsoft confirma "0 day" en PowerPoint
http://www.hispasec.com/unaaldia/3814

lunes, 11 de mayo de 2009

Actualización de IBM AIX para OpenSSL

IBM ha publicado una actualización para OpenSSL incluido en AIX, para corregir tres vulnerabilidades que podrían ser explotadas por usuarios maliciosos para evitar restricciones de seguridad o provocar denegaciones de servicio.

El primero de los problemas corregidos reside en la función "CMS_verify" de OpenSSL debido a que no maneja correctamente las condiciones de error al procesar una estructura CMS no válida. Esto podría ser aprovechado por un atacante remoto para evadir restricciones de seguridad haciendo pasar por válido un certificado no válido.

También se ha corregido un error en la función "ASN1_STRING_print_ex" de OpenSSL que no filtra correctamente la longitud de codificación de las estructuras de datos "BMPString" y "UniversalString". Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio.

Por último, se ha corregido un error al procesar estructuras de datos del tipo ASN.1 que podría provocar un acceso a memoria no válida. Esto permitiría a un atacante remoto causar una denegación de servicio a través de datos que contengan la estructura del tipo ASN.1 especialmente manipulada.

Son vulnerables todas las versiones de OpenSSL anteriores a la 0.9.8.803 en AIX 6.1, AIX 5.3 y AIX 5.2. La actualización publicada por IBM puede descargarse desde:
https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=aixbp


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX OpenSSL 0.9.8.803 with Security Patches
http://aix.software.ibm.com/aix/efixes/security/ssl_advisory.asc

domingo, 10 de mayo de 2009

Productos F-Secure fallan al escanear archivos comprimidos

F-Secure ha publicado una actualización para evitar una vulnerabilidad en múltiples de sus productos por la cual determinados archivos comprimidos pueden evitar ser escaneados.

El problema reside en que un atacante podrá crear un archivo comprimido (por ejemplo con zip o rar) con malware en su interior, de tal forma que los productos antivirus de F-Secure no detecten la presencia del malware al escanear el archivo.

La vulnerabilidad afecta a toda la familia de antivirus de F-Secure, tanto para clientes y servidores como para gateways. El problema se considera de mayor gravedad en las versiones para gateways (F-Secure Internet Gatekeeper) dado que podrá saltarse la detección en los sistemas perimetrales, sin embargo cualquier muestra al descomprimirse en local será detectado evitando la ejecución del malware.

F-Secure ha publicado actualizaciones para los productos afectados, disponibles desde:
http://www.f-secure.com/en_EMEA/support/security-advisory/fsc-2009-1.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security Advisory FSC-2009-1
http://www.f-secure.com/en_EMEA/support/security-advisory/fsc-2009-1.html

sábado, 9 de mayo de 2009

Actualización de Google Chrome corrige dos vulnerabilidades

Google ha publicado una actualización de su navegador Google Chrome, para corregir dos vulnerabilidades que podrían llegar a permitir a un atacante remoto la ejecución de código arbitrario.

El primero de los problemas reside en un error de validación de entrada en el proceso del navegador. Un usuario remoto podría crear código HTML de forma que al ser cargado por el navegador provocaría un desbordamiento de búfer en InitSkBitmapFromData() y ejecutar código arbitrario en el sistema atacado.

El segundo de los problemas corregidos permitiría a un usuario remoto crear una imagen o un archivo canvas de forma específica para que al ser cargado por el navegador provoque un desbordamiento de búfer y la ejecución de código arbitrario dentro de la sandbox de Google Chrome.

Se recomienda comprobar que el navegador está actualizado a la última versión disponible.


Antonio Ropero
antonior@hispasec.com


Más información:

Stable Update: Security Fix
http://googlechromereleases.blogspot.com/2009/05/stable-update-security-fix.html

viernes, 8 de mayo de 2009

Microsoft publicará un boletín de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se espera un sólo boletín de seguridad. La actualización afecta a su suite ofimática Office, en concreto a PowerPoint.

Si en abril se publicaron ocho boletines de seguridad, este mes Microsoft prevé publicar solo una actualización el martes 12 de mayo. Actualizará la suite Office con un parche que alcanza la categoría de crítico y además PowerPoint Viewer con un parche que probablemente corrige la misma vulnerabilidad y alcanza la categoría de importante.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que Microsoft corregirá en esta mes el grave problema en PowerPoint que Microsoft reconoció a principios de abril. En una nota oficial Microsoft reconoció que estaban investigando la existencia de una nueva vulnerabilidad en PowerPoint que podría permitir la ejecución remota de código si un usuario abre un archivo en este formato especialmente manipulado. El fallo está siendo aprovechado por atacantes.

En enero de 2009, fue la última vez que Microsoft publicaba un solo boletín de seguridad. Si corrige la vulnerabilidad mencionada este martes, no constará a partir de entonces ninguna vulnerabilidad grave y pública en su sistema operativo que Microsoft todavía no haya
solucionado. Aunque sí que existen todavía ciertos fallos más o menos leves en Internet Explorer y Windows, que Microsoft no ha corregido. Se supone lo hará en sucesivos Service Packs o actualizaciones acumulativas.

Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for May 2009
http://www.microsoft.com/technet/security/Bulletin/MS09-may.mspx

jueves, 7 de mayo de 2009

Hispasec participa en el BDigital Global Congress 2009

El BDigital Global Congress es el congreso de referencia sobre los avances de las Tecnologías de la Información y las Comunicaciones (TIC) y su aplicación en el ámbito empresarial, tecnológico y social.

En las ponencias relativas al área de seguridad, además de Hispasec Sistemas que hablaremos sobre el malware en una conferencia el día 19, participarán: Josep Domingo-Ferré de la Universitat Rovira i Virgili, Ruben Mora de la Cos de Mossos d'Esquadra, Mario Maawad de La Caixa, Carsten Marcos de IBM... entre otros.

Un espacio de reflexión abierta al mundo digital

Se pretende ser un espacio de reflexión abierta al mundo digital y un referente en la divulgación y promoción de tendencias y avances tecnológicos. Además, el congreso volverá a ser el punto de encuentro donde los grandes tractores de servicios tecnológicos pondrán en cuestión las carencias y necesidades del mercado y compartirán los retos de soluciones y oportunidades con las empresas de la oferta TIC.

Conferencias y sesiones temáticas

El congreso se organiza en la edición de 2009 en ocho sesiones y tratará especialmente temas vinculados a la seguridad, la salud y la movilidad. Dedicará, como en cada edición, una sesión a debatir los avances en la sociedad de la información desde un punto de vista transversal. Cada una de las sesiones profundizará en un determinado tema y contará con la presencia de expertos nacionales e internacionales seleccionados por un Comité de Programa. De esta manera, cada una de las sesiones busca captar la atención de un público específico. Como en cada edición, el BDigital Global Congress tiene el compromiso de ofrecer contenidos actualizados y presentados de manera rigurosa, evitando los aspectos comerciales.

¿A quién se dirige?

El congreso está dirigido a empresas de la oferta y la demanda TIC, tecnólogos, personal del mundo universitario y profesionales independientes. El éxito y la relevancia del BDigital Global Congress se constata a partir de los datos extraídos en las encuestas postcongreso. Un 96% del asistentes del año pasado se mostró satisfecho con la organización del evento y un 92% valoró el contenido de las sesiones como nuevo y útil.

¿Qué perfil tienen los asistentes al congreso?

Atendiendo el cargo profesional, en la edición de 2008 los asistentes en el BDigital Global Congress eran mayoritariamente altos cargos: el 45% eran directivos. La presencia de product managers y coordinadores de proyectos también fue bastante destacable. El público del congreso es, por lo tanto, un público profesional con un alto grado de exigencia hacia los contenidos del congreso. Por franja de edad, el 43% de los participantes tenía entre 26 y 35 años y el 35% se situaba entre los 36 y los 46 años.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

BDigital Global Congress
http://www.bdigitalglobalcongress.net/media/0000000500/0000000566.pdf

miércoles, 6 de mayo de 2009

Vulnerabilidades Cross Site Scripting en Sun GlassFish Enterprise Server

Se ha anunciado la existencia de múltiples vulnerabilidades en Sun GlassFish Enterprise Server 2.1 (y anteriores), que pueden ser explotadas por un atacante para lograr la ejecución de código script.

Sun GlassFish Enterprise Server es un servidor de aplicaciones compatible con la plataforma JavaTM Enterprise Edition (Java EE) 5 que se utiliza para el desarrollo y la implementación de aplicaciones Java EE y servicios web de Java. El uso de este servidor para la producción no supone ningún coste, es gratuito si se utiliza para el desarrollo, la implementación y la redistribución.

Los problemas anunciados están provocados por errores de validación de entradas en diversos scripts cuando procesa URLs introducidas por el usuario, lo que puede ser empleado por un atacante para ejecutar código script arbitrario que se ejecutará en el navegador del usuario en el contexto de seguridad del sitio web afectado.

Se encuentran disponibles actualizaciones a través de CVS:
https://glassfish.dev.java.net/servlets/ReadMsg?list=cvs&msgNo=29669
https://glassfish.dev.java.net/servlets/ReadMsg?list=cvs&msgNo=29668
https://glassfish.dev.java.net/servlets/ReadMsg?list=cvs&msgNo=29675


Antonio Ropero
antonior@hispasec.com


Más información:

[DSECRG-09-034] Sun Glassfish Enterprise Server - Multiple Linked XSS vulnerabilies
http://dsecrg.com/pages/vul/show.php?id=134

martes, 5 de mayo de 2009

Diversas vulnerabilidades en IBM Tivoli Storage Manager 5

Se han anunciado la existencia de cinco vulnerabilidades en el cliente de IBM Tivoli Storage Manager 5 (TSM), que podrían ser explotadas por atacantes remotos para evitar restricciones de seguridad y comprometer los sistemas afectados.

Tivoli Storage Manager, es un producto de IBM para la gestión de almacenamiento que automatiza las funciones de restauración y copia de seguridad, y permite centralizar las operaciones de gestión de backups.

Existen dos desbordamientos de búfer basados en pila en el agente "dsmagent.exe" que podrían ser explotados para provocar una denegación de servicio del cliente o ejecutar código arbitrario.

Un tercer problema se debe a un desbordamiento de búfer en la interfaz del cliente Web, que podría ser empleado para provocar la caída del cliente TSM o ejecutar código arbitrario.

La cuarta vulnerabilidad reside en un error del que no se han facilitado detalles en la interfaz gráfica Java, que podría permitir a un atacante leer, copiar, modificar o eliminar archivos en el sistema del cliente.

Por último, un error en los clientes AIX y Windows que hagan uso de SSL (Secure Socket Layer), podría ser empleado para llevar a cabo ataques de "hombre en el medio" y leer o copiar archivos desde el sistema del cliente.

Se ver afectados las versiones 5.1, 5.2, 5.3, 5.4 y 5.5 de IBM Tivoli Storage Manager. IBM ha publicado versiones actualizadas del cliente, por lo que se recomienda actualizar a las versiones 5.5.2, 5.4.2.7, 5.3.6.6, 5.2.5.4, o 5.1.8.3 desde:
http://www-01.ibm.com/support/docview.wss?uid=swg21384389


Antonio Ropero
antonior@hispasec.com


Más información:

Security fixes for the IBM Tivoli Storage Manager (TSM) client
http://www-01.ibm.com/support/docview.wss?uid=swg21384389

lunes, 4 de mayo de 2009

Ejecución remota de código en HP OpenView Network Node Manager

Se ha descubierto un problema de seguridad en HP OpenView Network Node Manager que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados

HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes, posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP.

El problema, del que HP no ha facilitado detalles, afecta a las versiones 7.01, 7.51, 7.53 de HP OpenView Network Node Manager que se ejecuten en plataformas HP-UX, Linux, Solaris o Windows.

HP ha publicado actualizaciones para solucionar este problema para las versiones 7.01 y 7.53 de network Node Manager, para la versión 7.51 es preciso actualizar primero a la 7.53 y aplicar la actualización publicada.

Se recomienda consultar el aviso de HP en:
http://www13.itrc.hp.com/service/cki/docDisplay.do?docId=emr_na-c01728300


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

HPSBMA02425 SSRT080091 rev.1 - HP OpenView Network Node Manager (OV NNM), Remote Execution of Arbitrary Code
http://www.securityfocus.com/archive/1/503212

domingo, 3 de mayo de 2009

Microsoft mejora la "autoejecución" de Windows 7. ¿Gracias, Conficker?

Microsoft ha decidido mejorar la seguridad de la funcionalidad de "autoejecución" de los medios extraíbles en los que se pueda escribir. Lo hará en Windows 7 y anteriores (a través de actualización se supone). Un nuevo paso en la dirección correcta, pero como siempre, demasiado tarde. ¿Nadie aprende de las lecciones pasadas? Ha tenido que ocurrir un desastre como el Conficker para que Microsoft reaccione. No es la primera vez que un golpe vírico acelera el proceso de fortificación de Windows.

Por fin. A pesar de que no era muy complicado adivinar que la popularidad de las memorias USB en combinación con la autoejecución de Windows traería problemas, esta venía activada por defecto. Los creadores de malware se han venido aprovechando de esta circunstancia desde hace varios años. El uso cada vez mayor de memorias USB no ha hecho más que agravar la situación, transportándonos a tiempos pasados, en los que el disquete era el medio de propagación natural para los virus.

Ahora Windows 7 mejora esta funcionalidad, evitando el diálogo de ejecución automática en memorias USB. Esto no es una desactivación total. Para los dispositivos que en los que se supone no se puede escribir (medios ópticos), seguirá preguntando qué hacer y entre esas opciones permitirá la ejecución automática. Los atacantes encontrarán una forma de aprovechar esto (por ejemplo a través de memorias USB que montan automáticamente una unidad óptica virtual...), pero al menos se da un paso en la dirección correcta.

¿Por qué ahora?

La respuesta corta es Conficker. A pesar de que se sigue diciendo en los medios que el método preferido de este gusano es aprovechar una vulnerabilidad en el servicio RPC de Windows parcheada a finales de 2008, no es del todo cierto. Conficker ha aprovechado como nadie el autorun.inf de Windows, poniendo en jaque a Microsoft y a las casas antivirus. Encontró la forma de ofuscar el contenido de manera que pasara desapercibido para los motores antivirus. También consiguió saltarse la protección del autorun propia de Microsoft, por lo que tuvieron que corregir el fallo a través de un parche porque la medida no se mostraba demasiado efectiva. Conficker además consiguió engañar a muchos usuarios modificando el diálogo de autoplay que muestra el autorun: parecía que ibas a explorar la carpeta cuando en realidad ejecutabas el archivo... ingeniería social bastante sofisticada. Esto es, principalmente, lo que se ha buscado evitar con el cambio introducido en Windows 7.

Aunque el autorun está siendo aprovechado por una buena cantidad de malware desde hace años, desde finales de 2008 Conficker ha conseguido, como ningún otro, encontrar todos los puntos débiles de la funcionalidad y explotarlos con éxito.

También ha influido el hecho de que en los reportes de Microsoft se han materializado, en los últimos meses, escalofriantes cifras sobre malware que a su vez ha aprendido de Conficker y ha potenciado este vector de ataque.

La misma piedra, la misma reacción

A finales de 2001, cuando apareció el sistema operativo XP, Microsoft introdujo de serie una estupenda funcionalidad que cada vez se mostraba más necesaria en aquellos momentos: un cortafuegos. Lo traía deshabilitado por defecto. Es cierto que hubiese resultado un cambio demasiado drástico teniendo en cuenta que se venía de un "sistema operativo" como Windows 98.

Con el Service Pack 2 en verano de 2004, Windows activó el cortafuegos por defecto. Entonces, los culpables fueron en buena parte otros gusanos: Blaster y Sasser. El verano anterior (2003) causaron una terrible epidemia. Blaster fue "culpable" de muchas otras mejoras de seguridad, pero la más clara fue la activación del cortafuegos, que hubiera evitado buena parte del problema que el propio Blaster causó. Y la medida fue efectiva. De un plumazo desaparecieron la mayoría de los gusanos de propagación masiva que accedían a los servicios que escuchaban en los puertos de Windows. La respuesta de los creadores de malware fue el uso de conexiones inversas (que van desde el sistema infectado hacia servidores nodriza) eludiendo así la protección de un cortafuegos entrante. Windows Vista incluye un cortafuegos para las conexiones salientes que podría mitigar un poco el problema pero una vez más, viene desactivado por defecto.

Es una pena que Microsoft no se anticipe a estas catástrofes (en ocasiones previsibles), y suela reaccionar con posterioridad, a base de golpes, cuando el daño ya está hecho. La parte positiva, es que poco a poco, las malas costumbres heredadas de sus "sistemas operativos" excesivamente permisivos y de una Internet mucho menos agresiva, se van corrigiendo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

AutoRun changes in Windows 7
http://blogs.technet.com/srd/archive/2009/04/28/autorun-changes-in-windows-7.aspx

sábado, 2 de mayo de 2009

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa diferentes vulnerabilidades que podrían ser aprovechadas por un atacante para conseguir diversos resultados.

Los problemas corregidos son:

Un error de lógica en la implementación de NFS, en la función do_setlk. Bajo ciertas circunstancias se crea un POSIX lock incorrectamente. Esto podría provocar una denegación de servicio si se cierra un descriptor antes de que lock correspondiente sea devuelto.

En sistemas de 64 bits, un fallo en la implementación de la llamada al sistema de auditoría, podría permitir a un atacante sin privilegios evitar la llamada.

Se ha corregido un problema en la implementación de señales. Cuando la llamada a sistema clone se realiza con la bandera CLONE_PARENT un atacante podría enviar una señal enviada al proceso incorrecto y provocar una denegación de servicio.

Por último, un fallo al inicializar la estructura de datos en la función sock_getsockopt podría permitir a un atacante obtener información sensible de la memoria.

Además se han solucionado numerosos fallos de menor importancia.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2009-0459.html

viernes, 1 de mayo de 2009

Nuevos contenidos en la Red Temática CriptoRed (abril de 2009)

Breve resumen de las novedades producidas durante el mes de abril de
2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED

* Documento Sun Tzu: Estrategias para la Seguridad de la Información
(Guido Rosales Uriona, PDF, 100 páginas, Bolivia)
http://www.criptored.upm.es/guiateoria/gt_m526a.htm

* Presentación Experiencias de Seguridad en SAP (Julio César Ardita, PDF, 26 diapositivas, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m241e.htm

* Presentación Experiencias en el Manejo de Incidentes de Seguridad
(Julio César Ardita, PDF, 60 diapositivas, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m241f.htm

* Presentación ¿Cómo Organizar el Departamento de Seguridad?
(Julio César Ardita, PDF, 49 diapositivas, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m241g.htm

2. NUEVOS DOCUMENTOS Y SOFTWARE RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES

* Informe de la Red de Sensores de INTECO del mes de marzo de 2009 (España)
https://ersi.inteco.es/informes/Informe_Mensual_200903.pdf

* Information Security Management Maturity Model ISM3 v2.1
http://www.ism3.com/index.php?option=com_docman&task=doc_download&gid=17&Itemid=9

* WIFI - Lo Que Saben Los Hackers y Tú No (Eduardo Tabacman, VirusProt, España)
http://www.virusprot.com/WIFI-tecnicas-hacking.htm

* Vídeo con Reportaje sobre Redes Sociales en Programa 30 Minutos de Telemadrid (18-03-2009 España)
http://www.madrid.org/cs/Satellite?c=CM_Texto_FA&cid=1142521802649&idPage=1109266885515&language=es&pagename=APDCM%2FCM_Texto_FA%2FmuestraTextoFA_APDCM

* Presentaciones de las Conferencias FIST Celebradas en Febrero de 2009 en la UPM
http://www.fistconference.org/?s=2

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Mayo 6 al 10 de 2009: 7th International Workshop on Security In Information Systems (Milán - Italia)
http://www.iceis.org/Workshops/wosis/wosis2009-cfp.htm

* Mayo 11 al 12 de 2009: V Congreso Iberoamericano de Telemática CITA 2009 (Gijón - España)
http://www.cita2009.com/

* Mayo 12 al 14 de 2009: Tercer Counter-eCrime Operations Summit CeCOS III (Barcelona - España)
http://www.antiphishing.org/events/2009_opSummit.html

* Junio 10 al 12 de 2009: 2nd International Symposium on Distributed Computing and Artificial Intelligence DCAI 09 (Salamanca - España)
http://dcai.usal.es/

* Junio 15 al 19 de 2009: Third IFIP WG 11.11 International Conference on Trust Management (West Lafayette - Estados Unidos)
http://projects.cerias.purdue.edu/IFIPTM/

* Junio 17 al 19 de 2009: IX Jornada Nacional de Seguridad Informática ACIS 2009 (Bogotá - Colombia)
http://www.acis.org.co/index.php?id=1246

* Junio 17 al 19 de 2009: Octavo Coloquio Nacional de Teoría de Códigos, Criptografía y Áreas Relacionadas (México DF - México)
http://matematicas.reduaz.mx/home/index.php?option=com_content&view=article&id=70&Itemid=110

* Junio 17 al 20 de 2009: Cuarta Conferencia Ibérica de Sistemas y Tecnologías de la Información (Póvoa de Varzim - Portugal)
http://www.aisti.eu/cisti2009/

* Junio 17 al 23 de 2009: IADIS Multi Conference on Computer Science and Information Systems 2009 (Algarve - Portugal)
http://www.mccsis.org/

* Junio 18 al 19 de 2009: Cuarta Edición de SegurYnfo 2009 (La Paz - Bolivia)
http://www.segurinfo.com.bo/

* Junio 22 al 24 de 2009: E-Activity and Leading Technologies E-ALT2009 e InterTIC 2009 (Sevilla - España)
http://www.iask-web.org/e-alt09/e-alt09.html
http://www.iask-web.org/intertic09/intertic09.html

* Junio 28 de 2009: Workshop on CyberSecurity and Intelligence Informatics CSI-KDD 2009 (París - Francia)
http://www.csi-kdd.org/

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and Communications (Sousse - Túnez)
http://www.comsoc.org/iscc/2009/

* Julio 8 al 10 de 2009: XV Jornadas de Enseñanza Universitaria de la Informática JENUI 2009 (Barcelona - España)
http://jenui2009.fib.upc.edu/

* Julio 13 al 16 de 2009: International Conference on Security and Management SAM '09 (Las Vegas - Estados Unidos)
http://www.world-academy-of-science.org/worldcomp09/ws/conferences/sam09

* Agosto 4 al 6 de 2009: Second International Conference on the Applications of Digital Information and Web Technologies (Londres - Reino Unido)
http://www.dirf.org/diwt2009/

* Septiembre 14 al 17 de 2009: VI Conference on Broadband Communications, Networks and Systems (Madrid - España)
http://www.broadnets.org/

* Septiembre 17 al 20 de 2009: 23rd International Conference SAER 2009 y Workshop eGovernance and Data Protection eG&DP 2009 (Varna - Bulgaria)
http://www.tu-sofia.bg/saer/

* Septiembre 23 al 26 de 2009: Workshop on Computational Intelligence for Security in Information Systems CISIS 09 (Burgos - España)
http://gicap.ubu.es/cisis2009/

* Septiembre 24 al 25 de 2009: Fourth International Workshop on Data Privacy Management DPM 2009 (Saint Malo - Francia)
http://dpm09.dyndns.org/

* Octubre 11 al 14 de 2009: IEEE 9th International Conference on Computer and Information Technology (Xiamen - China)
http://grid.hust.edu.cn/CIT2009/

* Octubre 14 al 16 de 2009: 14th Nordic Conference in Secure IT Systems NordSec 2009 (Oslo - Noruega)
http://nordsec2009.unik.no/

* Octubre 19 al 21 de 2009: 3rd International Conference on Network and System Security NSS 2009 (Gold Coast - Australia)
http://nss.cqu.edu.au/

* Noviembre 4 al 6 de 2009: 31a Conferencia Internacional de Protección de Datos y Privacidad (Madrid - España)
http://www.privacyconference2009.org/

* Noviembre 16 al 18 de 2009: V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Montevideo - Uruguay)
http://www.fing.edu.uy/cibsi09

* Noviembre 30 a diciembre 4 de 2009: Ad Hoc, Sensor and Mesh Networking Symposium IEEE Globecom 2009 (Honolulu - USA)
http://www.ieee-globecom.org/2009

* Enero 25 al 28 de 2010: Fourteenth International Conference Financial Cryptography and Data Security (La Laguna - España)
http://fc10.ifca.ai/

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. OTRAS NOTICIAS SELECCIONADAS DEL MES DE ABRIL DE 2009
Para ampliar estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#abr09

* Cursos Básico y Avanzado de EnCase Forensics en Madrid de Cybex (España)
http://www.criptored.upm.es/descarga/DipticoATP_EncaseCF_I.pdf
http://www.criptored.upm.es/descarga/DipticoATP_EncaseCF_II.pdf

* Primera Edición de las Conferencias ISSA de Seguridad (España)
http://www.issa-spain.org/

* CIBSI '09 Declarado de Interés Nacional por la Presidencia de la República del Uruguay (Uruguay)
http://www.presidencia.gub.uy/_web/resoluciones/2009/04/850.pdf

* 65 Trabajos Recibidos en Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Uruguay)
Argentina (13), Bélgica (1), Brasil (4), Colombia (3), Cuba (3), Ecuador (2), España (22), Estados Unidos (1), México (6), Portugal (1), Uruguay (8) y Venezuela (1)
http://www.fing.edu.uy/inco/eventos/cibsi09/

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 768
206 universidades y 287 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 25.471 visitas, con 86.691páginas solicitadas y 41,04 GigaBytes servidos en abril de 2009
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

abril 2009
http://www.criptored.upm.es/paginas/historico2009.htm#abr09