lunes, 31 de agosto de 2009

Mitos y leyendas: El Directorio Activo (V) (Métodos para la restauración de datos replicados)

La restauración de datos replicados en un entorno de directorio activo plantea un serio problema de coordinación. Todos los controladores de dominio deben tener su información replicada entre ellos, de forma que sea consistente. Una restauración puede insertar cambios que produzcan más daños que beneficios a la hora de ser replicados a otros sistemas, e incluso puede que se pierda más información que la ganada con la restauración. Para controlar el proceso existen tres métodos para restaurar datos que serán replicados.

Respaldar los datos

Lo más rápido, es programar una tarea en el controlador que realice una copia de seguridad de los datos del registro, del Directorio Activo y de su SYSVOL.

NTBACKUP backup systemstate /F "z:\Respaldo\DC1_SysState_ 2009-08-01.bkf"

Cuando ocurra un desastre, estas copias serán necesarias... ¿cómo usarlas?

Métodos para la restauración de datos replicados

Los tres métodos (en realidad dos) para restaurar datos que serán replicados son:

* Autoritativa
* No Autoritativa
* Primaria

La restauración primaria es en realidad un caso concreto de "autoriativa". En el caso de que sea el primer controlador el restaurado, la estauración sería “restauración primaria” y el resto (si los hay) no autoritativos.

Restauración de Active Directory en modo no autoritativo

Los datos de esta restauración pueden estar desfasados, y serán sincronizados con la información de otros controladores que existan en el dominio. O sea, los datos de controladores de sistema que estén activos se propagarán a este nuevo sistema restaurado. Proporciona un punto de partida más avanzado a la hora de empezar de nuevo en un sistema del que existen réplicas. Se supone que el sistema que se ha mantenido en pie (el que no estamos restaurando) contendrá la información más actualizada, y sólo lo que haya sido modificado desde que se hizo la copia de seguridad será transferido y replicado de uno a otro. En realidad no recupera información, sino que ayuda a la instauración de un controlador de dominio cuando todavía existen otros funcionando.

Lo primero es conseguir que la base de datos de direcciones no esté operativa para poder restaurarla. Esto se consigue iniciando el sistema en modo seguro, pulsando F8 durante el arranque y eligiendo "Modo de restauración de SD". Se debe arrancar la utilidad ntbackup y restaurar de forma normal el estado del sistema.

Una vez realizada esta restauración con éxito, es necesario elegir si se necesitará una restauración autoritativa o no. En caso afirmativo, NO se debe reiniciar la máquina en modo normal, pues se necesitará otro paso. Si la restauración es no autoritativa, el proceso ha terminado.

Restauración de Active Directory en modo autoritativo

Es un tipo de restauración más "agresiva" y provoca que los datos restaurados se repliquen al resto de sistemas que pudiesen existir. Hace que la red entera vuelva al estado en el que se encuentran los datos que van a ser restaurados.

El proceso es idéntico al anterior, pero ANTES de arrancar en modo normal, se debe ejecutar ntdsutil. Esta herramienta permitirá marcar los objetos como autoritativos. Ntdsutil es una herramienta muy completa, compleja y potente. Permite múltiples acciones a bajo nivel y es mejor tener que enfrentarse con ellos.

Por ejemplo si se ha borrado una OU por error este sistema permite también marcar sólo este objeto como autoritativo y para replicación al resto de controladores. Si el nombre de la OU es "usuarios" y el dominio hispasec.com.

Desde una consola se ejecuta Ntdsutil y una vez en su contexto:

authoritative restore

En el prompt que aparece (que indica que estamos en el contexto adecuado) ejecutar

restore subtree OU=Usuarios, DC=Hispasec,DC=Com

El mensaje debería ser que la restauración se ha completado con éxito. Si en lugar de una rama se quiere especificar que toda la base de datos del AD es la copia debe replicarse al resto (la autoritativa), entonces se podría escribir:

restore database

Solo queda reiniciar.

Restauración de SYSVOL

SYSVOL contiene datos replicados en todos los controladores, como las políticas y scripts de inicio.

La restauración de SYSVOL en modo Restauración no autoritativa es una simple restauración del estado del sistema a través de la utilidad ntbackup.

La restauración de SYSVOL en modo Restauración primaria: Cuando se necesita recuperar un dominio desde el principio, se debe utilizar esta técnica. Se debe arrancar ntbackp y restaurar el estado del sistema, pero en la casilla de opciones avanzadas de restauración, se debe señalar "marcar los datos restaurados como datos primarios" para todas las réplicas cuando se restauren datos replicados.

Restauración de SYSVOL en modo Restauración autoritativa: Si se ha borrado un dato importante de SYSVOL y ya han sido replicados los cambios, entonces es necesario realizar este tipo de restauración. Se debe arrancar ntbackup para restaurar el estado del sistema a un lugar alternativo. De esta forma se consigue una carpeta con la información y esta no es sobreescrita en la base de datos de AD. Se debe ahora reiniciar el sistema en modo normal y permitir que SYSVOL se replique. Luego, copiar el SYSVOL restaurado sobre el que ahora existe. Se recomienda utilizar el método anterior cuando se realice una restauración en modo autoritativo del controlador de dominio, puesto que esto es necesario para mantener SYSVOL y el Directorio Activo sincronizados.



Sergio de los Santos
ssantos@hispasec.com


domingo, 30 de agosto de 2009

Vulnerabilidad de Cross-Site Scripting en IBM Tivoli Identity Manager

Se ha anunciado una vulnerabilidad en IBM Tivoli Identity Manager 5.0 por la que un atacante remoto podría construir ataques de cross-site scripting.

Tivoli Identity Manager es un producto de IBM destinado a realizar una gestión de la información de usuarios automatizada y basada en políticas que permite gestionar con eficacia cuentas de usuario, permisos de acceso y contraseñas desde su creación hasta su caducidad, en entornos y recursos de IT heterogéneos.

El problema, reside en un error en la consola de autoservicio en el tratamiento del parámetro LAST y que podría ser aprovechado por un atacante remoto para lograr la ejecución de código script arbitrario.

Para corregir esta vulnerabilidad IBM ha publicado el Interim Fix Interim Fix 5.0.0.6-TIV-TIM-IF0031.


Antonio Ropero
antonior@hispasec.com


Más información:

IZ54747: SSUI SHOULD NOT PERFORM INPUT VALIDATION
http://www-01.ibm.com/support/docview.wss?rs=0&uid=swg1IZ54747

sábado, 29 de agosto de 2009

Atacan los servidores de la fundación Apache

Este viernes los servidores de la fundación Apache presentaron durante unas cuantas horas una escueta página informando que se encontraban investigando un incidente en sus servidores.

Aclaraban que no se trataba de un exploit que afectase al popular servidor web, producto de la propia fundación, sino de una llave SSH comprometida.

La llave en cuestión permitía el acceso a una cuenta para efectuar copias de respaldo automáticas del sitio web "ApacheCon", en una máquina situada en un alojamiento externo a la fundación. Dicha máquina fue usada para subir archivos a un servidor de su infraestructura, denominado minotaur.apache.org, con funciones notables, como proveer de cuentas para los "comitters" -cuentas con acceso de escritura a los repositorios de código- y de entrada a los distintos sitios web de la fundación Apache.

Según las primeras investigaciones, fueron creados varios archivos dentro del dominio "www.apache.org", incluyendo varios scripts CGI, que fueron usados para sincronizar dichos archivos con varios servidores en producción e inyectar procesos en los servicios web funcionales.

Tras detectar los procesos que inyectaron los atacantes procedieron a detener los sistemas afectados, de esta manera, por algunos instantes, no se podía acceder a ninguno de los sitios web de Apache, hasta que se procedió a cambiar los DNS hacia una máquina no afectada para mostrar un mensaje informativo indicando la situación en la que se encontraban.

Después de asegurarse de que la infraestructura que la fundación posee en Europa no estaba afectada -los atacantes llegaron a subir los archivos pero no fueron ejecutados-, usaron las copias de respaldo no comprometidas para restaurar los servicios en lo posible, permaneciendo gran parte de su infraestructura detenida para evaluar los daños causados por los atacantes.

Aunque, según Apache, no tienen conocimiento de usuarios finales afectados, ni de que las descargas fueran afectadas, enfatizan efectuar la verificación de la firma digital de los archivos.


David García
dgarcia@hispasec.com


Más información:

apache.org downtime - initial report
https://blogs.apache.org/infra/entry/apache_org_downtime_initial_report

Apache.org hack
http://www.f-secure.com/weblog/archives/00001757.html

viernes, 28 de agosto de 2009

El ataque a WPA se reduce a un minuto

Dos investigadores japoneses han descubierto un ataque sobre WPA que permitiría romper el cifrado en un minuto. Toshihiro Ohigashi de la universidad de Hiroshima y Masakatu Morii de la universidad de Kobe presentaran los detalles del ataque en una conferencia que tendrá lugar en Hiroshima el próximo 25 de septiembre.

Como ya comentamos en "Una al día" en la pasada conferencia PacSec 2008, los investigadores alemanes Mark Tew y Martin Beck presentaron un ataque que permitía romper parcialmente el cifrado usado por WPA en un tiempo de 12 a 15 minutos usando una técnica similar a "Chopchop", empleada en los ataques al protocolo WEP.

Dicho ataque estaba limitado a implementaciones que soportan características de QoS, mientras que con esta nueva aproximación, basada en el trabajo de Tew y Beck, cualquier implementación WPA es susceptible de ser vulnerable y en un tiempo bastante más reducido.

Ambos ataques se limitan a WPA usando TKIP -Temporal Key Integrity Protocol- una versión modificada de WEP, con lo cual no afectaría a WPA usando AES ni al protocolo WPA2.

Aclarar también que el ataque no tiene como objetivo extraer la llave PSK, fundamental para emplearla en la negociación de conexiones con el punto de acceso. De momento, los ataques a WPA tan solo se pueden emplear para inyectar un determinado número de paquetes falsificados en el tráfico.


David García
dgarcia@hispasec.com


Más información:

10/11/2008 Ahora sí, TKIP usado en WPA parece estar herido de muerte
http://www.hispasec.com/unaaldia/3670

A Practical Message Falsification Attack on WPA [PDF]
http://jwis2009.nsysu.edu.tw/location/paper/A%20Practical%20Message%20Falsification%20Attack%20on%20WPA.pdf

New attack cracks common Wi-Fi encryption in a minute
http://www.thestandard.com/news/2009/08/26/new-attack-cracks-common-wi-fi-encryption-minute

jueves, 27 de agosto de 2009

Actualización del kernel para Debian Linux 4.x

Debian ha publicado una actualización del kernel 2.6 que corrige múltiples fallos de seguridad que podrían causar denegaciones de servicio, elevación de privilegios o pérdidas de información sensible.

Los problemas corregidos son:

Un error en la función "udp_sendmsg" cuando se usa la bandera "MSG_MORE" en sockets UDP. Un atacante local sin privilegios podría causar una denegación de servicio o elevar privilegios a través de vectores no especificados.

Un segundo problema reside en una falta de validación de argumentos en el driver eisa-eeprom para la arquitectura hppa. Esto podría permitir a un atacante local obtener información sensible.

Existe un error en el tratamiento de bytes de alineamiento en la función "do_sigaltstack" en sistemas 64 bits. Esto podría ser empleado por un atacante local para obtener información sensible.

Otro problema se presenta al liberar el puntero "current->clear_child_tid" en la función "execre". Esto podría permitir a un atacante local causar una denegación de servicio a través de llamadas al sistema especialmente manipuladas.

Por ultimo, un error de referencia a puntero nulo en el driver md de "drivers/md/md.c". Esto podría permitir a un atacante local causar una denegación de servicio a través de llamadas especialmente manipuladas a ciertas funciones de la familia "suspend_*".

Se recomienda actualizar a través de las herramientas automáticas apt-get.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[DSA 1872-1] New Linux 2.6.18 packages fix several vulnerabilities
http://lists.debian.org/debian-security-announce/2009/msg00189.html

miércoles, 26 de agosto de 2009

Denegación de servicio a través del servicio de impresión en Sun Solaris

Sun ha confirmado una vulnerabilidad de denegación de servicio en el servicio de impresión de Solaris 8 y 9.

El problema reside en in.lpd(1M) y podrá ser empleado por un atacante local o remoto sin privilegios para provocar un enlentecimiento del sistema y que deje de responder.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para plataforma SPARC:

Solaris 8 instalar el parche 109320-23 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=109320-23&method=h

Solaris 9 instalar el parche 113329-07 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=113329-07&method=h

Para plataforma x86:

Solaris 8 instalar el parche 109321-23 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=109321-23&method=h

Solaris 9 instalar el parche 114980-09 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=114980-09&method=h


Antonio Ropero
antonior@hispasec.com


Más información:

A Security Vulnerability in the Solaris Print Service (in.lpd(1M)) May Lead to a Denial of Service (DoS) Condition
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264608-1

martes, 25 de agosto de 2009

Vulnerabilidad al visualizar archivos Excel desde diferentes programas

Se ha anunciado una vulnerabilidad de desbordamiento de búfer en una librería empleada por diversos programas para la visualización de archivos en formato Excel por la que un usuario remoto podría provocar la ejecución de código arbitrario en los sistemas afectados. El problema se ha confirmado que afecta a IBM Lotus Notes (versiones 6.5, 7.0, 8.0 y 8.5) y en múltiples productos Symantec.

El problema reside en el Autonomy KeyView SDK un SDK comercial que proporciona múltiples librerías para el tratamiento de archivos en diferentes formatos, entre los que se incluye el formato Microsoft Excel 97 (XLS). Son muchos los productos que hacen uso de esta librería, entre los programas confirmados como afectados se encuentran IBM Lotus Notes y múltiples productos Symantec, aunque la lista puede ser más extensa.

Un atacante remoto podría crear un archivo malicioso con formato de hoja de calculo Microsoft Excel para posteriormente enviarlo como adjunto. En el caso de Lotus Notes se requiere que el usuario abra el adjunto lo que provocaría un desbordamiento de búfer con posibilidad de ejecución de código arbitrario. Sin embargo en otros casos, el proceso puede realizarse de forma automática por la aplicación cuando examina el documento. Las circunstancias específicas dependen de la aplicación atacada.

Los privilegios que el atacante conseguirá también dependerán de la aplicación que hace uso de la librería. En Lotus Notes el código se ejecutará con los privilegios del usuario atacado, mientras que en Symantec Mail Security permite obtener privilegios del sistema.

IBM ha publicado un parche que corrige este problema en Lotus Notes, disponible mediante una petición de servicio en el soporte de IBM:
http://www.ibm.com/software/support/probsub.html

Symantec también ha publicado un parche que corrige esta problema. Dada la diversidad de productos y versiones afectadas se recomienda consultar el aviso de Symantec, disponible en:
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090825_00


Antonio Ropero
antonior@hispasec.com


Más información:

Autonomy KeyView Excel File SST Parsing Integer Overflow Vulnerability
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=823

Potential security issue with Lotus Notes file viewer for Microsoft Excel
http://www-01.ibm.com/support/docview.wss?uid=swg21396492

Security Advisories Relating to Symantec Products - Symantec Products Autonomy KeyView Module Vulnerability
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2009&suid=20090825_00

lunes, 24 de agosto de 2009

Ekoparty Security Conference - Argentina

La quinta edición de Ekoparty Security Conference se celebrará del 14 al 18 de septiembre en el Centro Cultural Konex, un evento anual de seguridad informática que, por sus características únicas y estilo, se ha convertido en referente para toda Latinoamérica.

Ekoparty Security Conference permite a consultores, oficiales de seguridad, investigadores, programadores, técnicos, administradores de sistemas, nerds y entusiastas de la tecnología reunirse y disfrutar de los descubrimientos más importantes en seguridad informática. En esta nueva edición se espera convocar a más de 400 asistentes y ofrece traducción simultánea inglés-español y español-inglés.

Como Ekoparty se caracteriza por sus conferencias y ambiente relajado, brinda a los asistentes el GetTogheter luego de la primera jornada de conferencias y un AlterCon Party de cierre al terminar la semana. Este año la actividad de lockpick la va a hacer la organización reconocida a nivel internacional, Toool (http://toool.us/), marcando la diferencia con las ediciones anteriores del encuentro.

Entre los expositores del evento se encuentran:

Alfredo Ortega/Anibal Sacco: Deactivate The Rootkit
Cesar Cerrudo: Opening Intranets to attacks by using Internet Explorer
Charlie Miller: iPhone Hacking: Fuzzing and Payloads
Chema Alonso: Connection String Attacks
Deviant Ollam: Ten Things Everyone Should Know About Lockpicking & Physical Security
Leonardo Nve: Playing in a Satellite environment 1.2
Luis Miras: Attacking SMS
Moxie Marlinspike: More Tricks For Defeating SSL In Practice
Nicolás Economou: Heurísticas aplicadas a la comparación (diffeo) de binarios
Philippe Langlois: SCCP hacking, attacking the SS7 & SIGTRAN applications one step further and mapping the phone system
Sebastián N. Fernandez: POSIX Meterpreter

Al igual que en las ediciones anteriores, previos a los dos días de conferencias (del 14 al 16 de septiembre) se dictarán trainings por los más importantes disertantes del sector. El programa de conferencias y trainings, registro de asistencia, y más información, se encuentran disponible en la web del evento:
http://www.ekoparty.com.ar/





domingo, 23 de agosto de 2009

Vulnerabilidades de denegación de servicio en Cisco IOS XR

Cisco ha confirmado la existencia de tres vulnerabilidades de denegación de servicio en el software Cisco IOS XR cuando manejan determinadas actualizaciones BGP (Border Gateway Protocol).

El primero de los problemas reside en un error al procesar mensajes de actualización BGP no válidos lo que provocaría un reinicio de la sesión. Esto podría ser aprovechado por un atacante remoto para causar un ataque de denegación de servicio a través de el envío continuado de mensaje BGP especialmente manipulados.

La segunda vulnerabilidad consiste en una caída del proceso BGP cuando Cisco IOS XR envía un paquete de actualización BGP de gran tamaño.

Por último el proceso BGP se detendrá cuando se construye una actualización BGP con un gran número de Sistemas Autónomos (Autonomous System, AS) al comienzo de la ruta AS.

En todos los casos las vulnerabilidades solo afectan a dispositivos Cisco IOS XR configurados para enrutamiento BGP.

Cisco, ha puesto a disposición de sus clientes software para solucionar el problema. Se encuentran disponibles desde:
http://www.cisco.com/public/sw-center/sw-usingswc.shtml
Dada la gran diversidad de versiones del software existentes, se
aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090818-bgp.shtml


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS XR Software Border Gateway Protocol Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090818-bgp.shtml

sábado, 22 de agosto de 2009

Actualización del kernel para múltiples productos SuSE Linux

SuSE ha publicado la actualización del kernel para múltiples productos, en la que se corrigen varios fallos de seguridad que podrían permitir a un atacante causar denegaciones de servicio, escalar privilegios o incluso ejecutar código arbitrario en un sistema vulnerable.

Los productos actualizados son openSUSE 10.3, openSUSE 11.0, openSUSE 11.1, SUSE SLES 9, Novell Linux Desktop 9, Open Enterprise Server, Novell Linux POS 9, SLE SDK 10 SP2, SUSE Linux Enterprise Desktop 10 SP2, SUSE Linux Enterprise 10 SP2 DEBUGINFO, SUSE Linux Enterprise Server 10 SP2, SLE 11 High Availability Extension, SLE 11 SERVER Unsupported Extras, SLES 11 DEBUGINFO, SLE 11 EC2, SLE 11, SLED 11 ySLES 11.

De forma resumida, las principales vulnerabilidades corregidas son:

* Existe un fallo en la función "nfs_permission" localizado en el fichero "fs/nfs/dir.c" cuando "atomic_open" está disponible, el fallo elude la comprobación del bits de permiso. Un atacante local podría eludir ciertas restricciones de seguridad y llegar a ejecutar archivos.

* Existe un desbordamiento de memoria intermedia en la función "parse_tag_11_packet" (y otro en "parse_tag_3_packet") de "fs/ecryptfs/keystore.c" a la hora de manejar contenidos con datos literales. Esto podría ser aprovechado por un atacante para ejecutar código arbitrario si un usuario abre un fichero eCryptfs especialmente manipulado.

* Existe un fallo de desbordamiento de memoria intermedia en el driver "RTL8169 NIC" localizado en el fichero "drivers/net/r8169.c", esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de paquetes especialmente largos.

* Existe un error de segmentación en la función "hypervisor_callback" de Xen. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través un vector no especificado.

* Existe un error de diseño en "socket.c" que podría provocar una referencia a puntero nulo. Esto podría permitir a un atacante local elevar privilegios a través de una llamada especialmente manipulada a, por ejemplo, la función "sock_sendpage".

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2009:045)
http://lists.opensuse.org/opensuse-security-announce/2009-08/msg00007.html

viernes, 21 de agosto de 2009

Actualizaciones para ColdFusion y JRun

Adobe ha publicado múltiples actualizaciones para corregir diversas vulnerabilidades críticas en ColdFusion v8.0.1 (y versiones anteriores), y JRun 4.0. Estos problemas podrían permitir a un atacante comprometer las cuentas de usuario o los sistemas afectados.

Los problemas anunciados y corregidos son de diversa índole:

Una primera actualización corrige dos vulnerabilidades de cross-site scripting en ColdFusion que podrían permitir la ejecución de código. Afecta a ColdFusion 7.0.2, 8 y 8.0.1.

Igualmente se ha publicado otra actualización para JRun que resuelve diversos problemas:
Una vulnerabilidad de escalada de directorios en la consola de administración que podría dar lugar a una revelación de información sensible.
La misma actualización corrige múltiples vulnerabilidades de cross-site scripting en la consola de administración que podrían permitir la ejecución de código:

Otra tercera actualización está destinada a evitar múltiples vulnerabilidades de cross-site scripting en ColdFusion que podrían permitir la ejecución de código. Afecta a ColdFusion 7.0.2, 8 y 8.0.1.

De igual forma, se ofrece otra actualización para resolver
múltiples vulnerabilidades de cross-site scripting en ColdFusion que podrían permitir la ejecución de código en ColdFusion 7.0.2, 8 y 8.0.1.

Otra de las actualizaciones publicadas resuelve una vulnerabilidad de carácter nulo doblemente codificado que podría dar lugar a una revelación de información sensible. Solo afecta a instalaciones de ColdFusion configuradas con Apache.

La última de las actualizaciones publicadas está destinada a corregir una vulnerabilidad de tratamiento de sesiones en ColdFusion que podría dar lugar a una escalada de privilegios. Afecta a ColdFusion 7.0.2, 8 y 8.0.1.

Dada la diversidad de parches y versiones afectadas se recomienda consultar el boletín publicado por Adobe en:
http://www.adobe.com/support/security/bulletins/apsb09-12.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security Update: Hotfixes available for ColdFusion and JRun
http://www.adobe.com/support/security/bulletins/apsb09-12.html

jueves, 20 de agosto de 2009

Malware infecta código fuente de programas en el entorno de desarrollo Delphi

Investigadores han hallado un virus -bautizado W32/Induc-A- que afecta al popular entorno de desarrollo Delphi, en concreto en las versiones de la 4.0 a la 7.0. El ejemplar fue enviado a varias casas Antivirus por un testeador independiente, tras su análisis observaron que el malware no afectaba a los ejecutables sino que inyecta líneas de código al código fuente de los proyectos, produciendo al compilar un ejecutable infectado.

Delphi es un popular entorno de desarrollo creado originalmente por la empresa Borland. Se caracteriza por un desarrollo rápido de aplicaciones visuales y el uso del lenguaje Object Pascal.

Cuando el binario infecto detecta una versión de Delphi instalada busca el archivo fuente "SysConst.pas" y lo reemplaza por una versión maliciosa. Guarda una copia de "SysConst.dcu" y compila una nueva con el fuente anterior. Es entonces cuando el entorno de desarrollo está preparado para producir proyectos con una copia del virus por cada ejecutable compilado.

No posee carga alguna más allá de propagarse y como curiosidad han hallado bankers -troyanos especializados en capturas de datos bancarios- creados con Delphi que han sido infectados encontrándonos con malware infectados con malware y con ambos infectores funcionales.


David García
dgarcia@hispasec.com


Más información:

Win32/Induc.A (blog de Ontinet.com)
http://blogs.protegerse.com/laboratorio/?p=692

Win32/Induc.A (blog de ESET Latinamérica)
http://blogs.eset-la.com/laboratorio/2009/08/20/win32-induc-infecta-archivos-delphi/

Preguntas frecuentes sobre Induc
http://blogs.eset-la.com/laboratorio/2009/08/20/preguntas-frecuentes-sobre-induc/

Induc, the innovative file infector
http://www.viruslist.com/en/weblog?weblogid=208187826

W32/Induc-A virus being spread by Delphi software houses
http://www.sophos.com/blogs/gc/g/2009/08/19/w32induca-spread-delphi-software-houses/

Win32:Induc, new concept of file infector?
http://blog.avast.com/2009/08/19/win32induc-new-concept-of-file-infector/

miércoles, 19 de agosto de 2009

Denegación de servicio a través de mensajes ICMP en Cisco FWSM

Se ha anunciado una vulnerabilidad de denegación de servicio en el módulo de servicios de firewall (Cisco Firewall Services Module, FWSM) para switches de la serie Catalyst 6500 y routers de la serie Cisco 7600.

El Cisco FWSM es un módulo que integra servicios de firewall para switches de la serie Catalyst 6500 y routers de la serie Cisco 7600. Cisco FWSM ofrece servicios de firewall con filtrado por estado de paquetes e inspección profunda de paquetes.

El problema reside en un error cuando el sistema procesa múltiples mensajes ICMP específicamente creados, lo que podría provocar que el FWSM deje de redirigir el tráfico entre interfaces, o deje de procesar el tráfico directo al FWSM (tráfico administrativo), creando una condición de denegación de servicio.

Cisco, ha puesto a disposición de sus clientes software para solucionar el problema. Se encuentran disponibles desde:
http://www.cisco.com/public/sw-center/


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Firewall Services Module Crafted ICMP Message Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090819-fwsm.shtml

martes, 18 de agosto de 2009

Acceso no autorizado y denegación de servicio en IBM DB2

Se han corregido dos vulnerabilidades en bases de datos IBM DB2 (versiones anteriores a 8.2 Fixpak 18), que podrían ser explotadas por atacantes para provocar denegaciones de servicio o comprometer los sistemas afectados.

El primero de los problemas está provocado por un error en el uso del comando DAS, que podría permitir a un atacante conseguir acceso no autorizado a las bases de datos vulnerables.

La segunda vulnerabilidad reside en el tratamiento de paquetes específicamente construidos, que un atacante podría explotar para provocar la caída de DB2JDS con la consiguiente condición de denegación de servicio.

Se recomienda actualizar a IBM DB2 versión 8.2 Fixpak 18 :
http://www-01.ibm.com/support/docview.wss?rs=71&uid=swg24024075


Antonio Ropero
antonior@hispasec.com


Más información:

APAR fixes included in Fixpak 18
ftp://ftp.software.ibm.com/ps/products/db2/fixes/english-us/aparlist/db2_v82/APARLIST.TXT

IBM DB2 Unauthorized Access and Denial of Service Vulnerabilities
http://www.vupen.com/english/advisories/2009/2293

lunes, 17 de agosto de 2009

Denegación de servicio en el kernel de Solaris 8, 9, 10 y OpenSolaris

Sun ha publicado una actualización para los sistemas operativos Solaris 8, 9, 10 y OpenSolaris, para evitar una vulnerabilidad en el kernel que podría provocar condiciones de denegación de servicio.

Existe un error, no especificado, relacionado con la interacción de los subsistemas de memoria virtual y sistema de ficheros en el kernel de Solaris. Esto podría ser aprovechado por un atacante local autenticado para causar una denegación de servicio a través de vectores no especificados.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para plataforma SPARC:

Solaris 8 instalar el parche 127721-02 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=127721-02&method=h

Solaris 9 instalar el parche 122300-41 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=122300-41&method=h

Solaris 10 instalar el parche 139555-08 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=139555-08&method=h

OpenSolaris: compilación snv_103 o posterior

Para plataforma x86:

Solaris 8 instalar el parche 127722-02 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=127722-02&method=h

Solaris 9 instalar el parche 122301-41 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=122301-41&method=h

Solaris 10 instalar el parche 139556-08 o superior disponible desde
http://sunsolve.sun.com/pdownload.do?target=139556-08&method=h

OpenSolaris: compilación snv_103 o posterior


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in the Solaris Kernel Involving the Interaction of the Filesystem and Virtual Memory Subsystems
http://sunsolve.sun.com/search/document.do?assetkey=1-66-257848-1

domingo, 16 de agosto de 2009

Elevación de privilegios en el kernel Linux desde el año 2001

Existen varios errores de validación en los valores de la estructura de datos "proto_ops". Esto podría ser aprovechado por un atacante local para elevar privilegios a través de llamadas a funciones con una estructura de datos "proto_ops" especialmente manipuladas. Esta vulnerabilidad existe desde el año 2001, y afecta a los kernel 2.4 y 2.6 de Linux.

La estructura "proto_ops" está definida en la librería net.h de Linux. Los protocolos usan esta estructura para realizar distintas funciones: bind, connect, etc.

Cuando un protocolo no va a implementar una de estas funciones debería asignar la función "sock_no_*" adecuada. Por ejemplo en el caso del puntero "sendpage" cuando este valor no va a ser usado debería de ser inicializado a la función "sock_no_sendpage" que está definida e implementada en sock.h y sock.c respectivamente.

La estructura "proto_ops" debería ser inicializada por completo por los distintos protocolos implementados en Linux, pero no siempre es así; por ejemplo en "bnep_sock_ops" (el tipo "proto_ops" de bluetooth) el campo "connect" entre otros, sí apunta a "sock_no_connect" sin embargo los campos "getsockopt", "compat_setsockopt", "sendpage" y "splice_read" no son definidos haciendo referencia a un puntero nulo.

Se hecho público un exploit que aprovecha esta vulnerabilidad.

Parche para la rama 2.6:
http://git.kernel.org/?p=linux/kernel/git/stable/linux-2.4.37.y.git;a=commitdiff_plain;h=c18d0fe535a73b219f960d1af3d0c264555a12e3

Parche para la rama 2.4:
http://git.kernel.org/linus/e694958388c50148389b0e9b9e9e8945cf0f1b98


Victor Antonio Torre
vtorre@hispasec.com


Más información:

CVE:
CVE-2009-2692

Red Rat bugzilla:
https://bugzilla.redhat.com/show_bug.cgi?id=516949#c10

struct proto_ops:
http://lxr.linux.no/linux+v2.6.30.4/include/linux/net.h#L150

struct proto_ops bnep_sock_ops
http://lxr.linux.no/linux+v2.6.30.4/net/bluetooth/bnep/sock.c#L169

sábado, 15 de agosto de 2009

Actualización para Windows Media

Dentro del conjunto de boletines de seguridad de agosto publicado este pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-038) de una actualización crítica para el reproductor multimedia Windows Media destinada a resolver dos vulnerabilidades de ejecución remota de código.

Los dos problemas residen en el tratamiento de archivos .avi especialmente manipulados, y podrían permitir a un atacante remoto conseguir el control del sistema afectado si el usuario abre un archivo .avi malicioso con Windows Media.

El primero de los problemas corregidos reside en un desbordamiento de enteros en el controlador de ficheros AVI al validar los datos. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de un fichero .avi especialmente manipulado.

El otro problema corregido consiste en un error en el controlador de cabeceras de ficheros AVI. Esto podría ser aprovechado por una atacante remoto para ejecutar código arbitrario a través de un fichero .avi con la cabecera manipulada.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/technet/security/bulletin/ms09-038.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin MS09-038 - Critical
Vulnerabilities in Windows Media File Processing Could Allow Remote Code Execution (971557)
http://www.microsoft.com/technet/security/bulletin/ms09-038.mspx

una-al-dia (11/08/2009) Boletines de seguridad de Microsoft en agosto
http://www.hispasec.com/unaaldia/3944

viernes, 14 de agosto de 2009

Última actividad de la cuenta Gmail

Al entrar en tu cuenta de Gmail, en la parte inferior de cualquier página (en el pie), aparece una línea de "Última actividad de la cuenta" que incluye un enlace "Detalles" para acceder a la información sobre las últimas veces que se accedió al correo, enumerando direcciones IP así como fecha y hora.

Aunque supongo que a algunos usuarios de Gmail está información les esté resultando obvia, sirve como fe de errata para rectificar un error que cometí en la noticia anterior de una-al-día y que sólo se ha podido leer en la versión distribuida por correo. En el último párrafo de la noticia decía "También ganaríamos en confianza si Google hiciera aparecer algo tan simple como los datos de la última conexión a la cuenta (fecha, hora, IP)". Si bien un compañero me advirtió del error inmediatamente, de que Google ya hacía lo que yo pedía, sólo dio tiempo a rectificar la versión web/RSS. Lo cierto es que tras años teniendo cuenta en Gmail nunca había visto esa información, tal vez quede un poco escondida en el pie, tal vez sea un despistado sin remedio, en cualquier caso no tengo excusa (pido disculpas por el error).

En la ayuda en línea de Google se explica perfectamente la idea a la que hacía referencia para ganar en confianza comprobando estos datos:

"Si te preocupa el acceso no autorizado a tu correo, podrás utilizar estos datos para saber si alguien ha accedido al mismo y cuándo lo ha hecho. En caso de producirse actividad no autorizada en tu cuenta, utilizaríamos esta información que ya tienes a tu disposición para solucionar el problema. ¿Muestra la columna 'Tipo de acceso' algún acceso inusual? Si no utilizas POP para recopilar tu correo, pero la tabla de 'Actividad reciente' muestra algún acceso POP, puede significar que tu cuenta se encuentra comprometida."

"La columna 'Dirección IP' también es útil. Si siempre, o casi siempre, accedes a Gmail desde el mismo equipo, tu dirección IP debería ser la misma o comenzar con el mismo conjunto de dos números (por ejemplo, 172.16.xx.xx). Si ves una dirección IP que es muy diferente de tu dirección IP habitual, puede significar dos cosas: o bien has accedido recientemente a tu correo desde otra ubicación, o alguien ha accedido a tu correo. Tu dirección IP se muestra debajo de la tabla 'Actividad reciente'."

Sin duda es una buena práctica comprobar estos datos regularmente, como lo es revisar nuestros extractos bancarios, por ejemplo. En el caso de la banca existen algunos mecanismos adicionales de comprobación más proactivos por el canal de información que utilizan. En mi caso tengo configurado el envío de un SMS al móvil cada vez que hay una compra con la tarjeta de crédito o movimiento en la cuenta, de forma que recibo los datos en tiempo real y sin necesidad de tener que acordarme explícitamente de revisar los extractos (ideal para despistados).

En definitiva, se tratan de mecanismos de seguridad pasivos, que permite identificar actividad sospechosa a posteriori, pero que pueden llegar a ser muy útil para detectar accesos no autorizados a nuestras cuentas, sean de email o cualquier otro servicio sensible.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Última actividad de la cuenta
http://mail.google.com/support/bin/answer.py?ctx=gmail&answer=45938

jueves, 13 de agosto de 2009

Cloud computing y servicios web ¿seguros?

"Su concepto de refugio de datos es bueno pero tiene limitaciones importantes. ¿Qué pasaría si el gobierno de Filipinas corta su cable? ¿O si el buen sultán cambia de opinión, decide nacionalizar todos sus ordenadores y leer todos los discos? Lo que se precisa no es UN refugio de datos sino una RED de refugios de datos; es más robusto, de la misma forma que Internet es más robusta que una única máquina. Firmado El Almirante Isoroku Yamamoto"

Supongo que algunos habéis reconocido ese mensaje dirigido a randy@tombstone.epiphyte.com, uno de los personajes de Criptonomicón (1999), la célebre novela de Neal Stephenson. Otros lo habréis recordado ahora, no es que tengáis mala memoria, es que la obra es tan extensa como buena. Para los que os siga sin sonar la obra, apuntadla como pendiente si no os asusta la lectura densa, a cambio tendréis buenas dosis de humor e ironía inteligente.

Una de las tramas de Criptonomicón gira alrededor del objetivo de la empresa de Randy de montar un paraíso electrónico, similar a un servicio en Internet, donde se asegurará la privacidad y el anonimato de los datos fuera del alcance de gobiernos y terceros: la Cripta. Por descontado no aparece en la obra ninguna referencia al esnobismo de actualidad, pero es una de las muchas cosas que se me vienen a la cabeza cuando se habla de seguridad en la nube o cloud computing.

Por ejemplo, el tema que preocupaba al almirante Isokuro Yamamoto está vigente cuando se tratan aspectos del cloud computing relativos al hospedaje de los datos, su regulación y legislación aplicada dependiendo de la localización geográfica de los servidores que sustentan el servicio, así como aspectos relacionados con la integridad, disponibilidad, o recuperación en caso de desastre.

Otros de los puntos del cloud computing que suele ser motivo de discusión está relacionado con la privacidad y el anonimato, asunto que forma parte del eje central de Criptonomicón con múltiples referencias a la criptografía y que en la novela llevan a niveles de mucha mayor exigencia que en las soluciones actuales en la nube, que básicamente se preocupan en proporcionar seguridad web estándar extremo a extremo. En la Cripta tus datos viajan y se almacenan de forma cifrada, de forma que ni el proveedor del servicio puede tener acceso a ellos, e incluso se abordan temas como el anonimato en las transacciones.

Hay otro aspecto fundamental de la seguridad que no suele ser objeto de las discusiones bizantinas sobre la nueva generación de servicios en la nube: la autenticación. Es un tema muy trillado en seguridad, y que de momento se suele salvar en los servicios generales basados en cloud computing con el mecanismo más básico: usuario y contraseña de toda la vida.

El acudir a este sistema tan simple de autenticación tiene cierto sentido si tenemos en cuenta que una de las ventajas del concepto de los servicios para masas basados en la nube es la posibilidad de acceder a tus datos y aplicaciones en cualquier momento, desde cualquier lugar, desde cualquier dispositivo. Tu correo, tus documentos, tu agenda, tus bases de datos... desde el puesto de trabajo, el ordenador de casa, desde el móvil en la playa, desde cualquier cosa que tenga navegador y conexión a Internet. Ello implica que el sistema de autenticación debe ser global y estándar, aplicable por cualquiera en cualquier dispositivo. No, de momento no puedes meter tu eDNI en el iPhone, y en todo caso sería sólo aplicable por los españoles que dispongan de él, no es una solución global.

En Criptonomicón, durante una demo a posibles inversores de Epiphyte Corp, la solución era: "Yo puedo escribir el mejor software criptográfico del mundo, pero sería inútil a menos que haya un buen sistema para verificar 1a identidad del usuario. ¿Cómo sabe el ordenador que tú eres tú? Las claves son muy fáciles de averiguar, robar u olvidar. El ordenador debe saber algo sobre ti que sea tan único como las huellas digitales. Básicamente debe mirar alguna parte de tu cuerpo, como por ejemplo la disposición de vasos sanguíneos en la retina o el sonido distintivo de tu voz, y compararlo con los valores almacenados en su memoria. Ese tipo de tecnología se llama biométrica. Epiphyte Corp. dispone de uno de los más importantes expertos en biométrica del mundo: el doctor Eberhard Föhr, que escribió el que se considera el mejor programa de reconocimiento de escritura manual del mundo. Ahora mismo tenemos reconocimiento de voz, pero el código es totalmente modular, así que lo podríamos cambiar por otro sistema, como un lector de la geometría de la mano. El cliente puede elegir."

Tal vez en el futuro veamos un despliegue masivo de soluciones biométricas como factor de autenticación complementario al usuario y contraseña, ya es usual ver lectores de huellas en algunos ordenadores portátiles, y también se están produciendo movimientos más que interesantes en la telefonía móvil: reconocimiento de caras (vFace), del iris (OKI Iris Recognition Technology for Mobile Terminals), terminales con pantalla táctil que pueden leer las huellas (Asus M53), y diversas tecnologías de reconocimiento de voz.

Mientras tanto parece que no nos quedará más remedio que seguir con los usuarios y contraseñas en los servicios web para masas desplegados en la nube, más expuestos a sufrir ataques que en cualquier otro servicio que utilice este mecanismo de autenticación. Si alguien quiere forzar el usuario y contraseña de inicio de tu ordenador, o el pin de tu móvil, requiere acceso físico (los potenciales atacantes se reducen a las pocas personas que te rodean), si bien cualquiera puede probar a adivinar tu contraseña de correo web (el usuario es público, está en tu dirección de correo, y el servicio espera que te puedas conectar desde cualquier lugar del mundo). Eso sin hablar de la cantidad de malware especializado en robar credenciales de autenticación web.

Así que la próxima vez que accedas a tu cuenta en Gmail pregúntate quién más está viendo tu correspondencia, tal vez entonces te animes a cambiar la contraseña regularmente. Hasta el más pintado se puede llevar un disgusto, que se lo digan a Dan Kaminsky.


Bernardo Quintero
bernardo@hispasec.com



miércoles, 12 de agosto de 2009

Fallo de seguridad en Wordpress permite bloquear el acceso al administrador

Se ha detectado un problema de seguridad en Wordpress que permite a un atacante bloquear el acceso al administrador a través de una simple llamada a un parámetro. Afecta a Wordpress con versiones menor o igual a 2.8.3. La rama 2.7.x no se ve afectada.

WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. WordPress es uno de los gestores de blogs más extendido en la blogosfera.

El fallo permite en la práctica bloquear el acceso a un administrador de Wordpres, debido a una falta de comprobación en el código y aprovechando la funcionalidad de confirmación de cambio de contraseña. En estos momentos, http://wordpress.org/ permite ya la descarga de la versión 2.8.4 que no es vulnerable. La versión 2.8.3 apareció hace apenas una semana precisamente para corregir varios fallos de seguridad.

El parche aplicado añade una simple comprobación. En wp-login.php:

if ( empty( $key ) )

pasa a:

if ( empty( $key ) || is_array( $key ) )

El problema era que si el atacante realizaba el ataque, se podría eludir la comprobación de cambio de contraseña que se envía por email cuando se solicita. Así, se podría enviar una contraseña nueva al correo de la primera cuenta de la base de datos (que suele ser la de administrador) sin necesidad de que el propio administrador confirmara el cambio. Por tanto, se bloquearía temporalmente el acceso al administrador hasta que comprobase la nueva contraseña en su correo. Si el ataque se repite en bucle, el bloqueo podría ser más o menos permanente.


Sergio de los Santos
ssantos@hispasec.com


Más información:

WordPress <= 2.8.3 Remote admin reset password
http://seclists.org/fulldisclosure/2009/Aug/0113.html

martes, 11 de agosto de 2009

Boletines de seguridad de Microsoft en agosto

Tal y como adelantamos, este martes Microsoft ha publicado nueve boletines de seguridad (del MS09-036 al MS09-044) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico" mientras que los cuatro restantes son "importantes". En total se han resuelto 19 vulnerabilidades.

Los boletines "críticos" son:

* MS09-037: Actualización destinada a solucionar una vulnerabilidad en Microsoft Active Template Library (ATL) que podría permitir la ejecución remota de código si un usuario si un usuario abre un componente o control específicamente creado y alojado en una página web maliciosa.

* MS09-038: En este boletín se solucionan dos vulnerabilidades en el tratamiento de archivos de Windows Media que podrían permitir la ejecución remota de código arbitrario si el usuario abre un archivo avi maliciosamente manipulado. Afecta a Windows XP, 2000, Vista, Server 2003 y Server 2008.

* MS09-039: Actualización de seguridad para evitar dos vulnerabilidades en WINS (Windows Internet Name Service), cada una de las cuales podría permitir la ejecución remota de código arbitrario. Afecta a sistemas Windows 2000 y Server 2003 con WINS instalado.

* MS09-043: Actualización para corregir cuatro vulnerabilidades en los Componentes Web de Microsoft Office (Microsoft Office Web Components), que podrían permitir la ejecución remota de código si el usuario accede a una página web creada de forma maliciosa. Afecta a Microsoft Office XP, Office 2003, Microsoft Office 2000 Web Components, Office XP Web Components, Office 2003 Web Components, Microsoft Internet Security and Acceleration Server 2004 y 2006, BizTalk Server 2002, Visual Studio .NET 2003 y Microsoft Office Small Business Accounting 2006.

* MS09-044: Actualización destinada a corregir dos vulnerabilidades en la conexión a Escritorio Remoto (Microsoft Remote Desktop Connection) que podrían permitir la ejecución remota de código si un atacante consigue convencer a un usuario de los Servicios de Terminal para conectar a un servidor RDP malicioso o si el usuario visita un sitio web específicamente creado para explotar esta vulnerabilidad. Afecta a Windows XP, 2000, Vista, Server 2003 y Server 2008.

Los boletines clasificados como "importantes" son:

* MS09-036: Actualización que resuelve una vulnerabilidad de denegación de servicio en el componente Microsoft .NET Framework de Windows. Afecta a Microsoft Vista y Windows Server 2008.

* MS09-040: En este boletín se ofrece una actualización para resolver una vulnerabilidad de elevación de privilegios a través del servicio Windows Message Queuing Service (MSMQ). Afecta a Windows XP, 2000, Vista y Server 2003.

* MS09-041: En este boletín se corrige una vulnerabilidad de elevación de privilegios a través del servicio "Estación de Trabajo" (Windows Workstation Service). Afecta a Windows XP, Vista, Server 2003 y Server 2008.

* MS09-042: Actualización destinada a solucionar una vulnerabilidad en el servicio de Telnet que podría permitir a un atacante obtener credenciales para acceder a los sistemas afectados. Afecta a Windows XP, 2000, Vista, Server 2003 y Server 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for August 2009
http://www.microsoft.com/technet/security/bulletin/ms09-aug.mspx

Microsoft Security Bulletin MS09-036 - Important
Vulnerability in ASP.NET in Microsoft Windows Could Allow Denial of Service (970957)
http://www.microsoft.com/technet/security/bulletin/MS09-036.mspx

Microsoft Security Bulletin MS09-037 - Critical
Vulnerabilities in Microsoft Active Template Library (ATL) Could Allow Remote Code Execution (973908)
http://www.microsoft.com/technet/security/bulletin/ms09-037.mspx

Microsoft Security Bulletin MS09-038 - Critical
Vulnerabilities in Windows Media File Processing Could Allow Remote Code Execution (971557)
http://www.microsoft.com/technet/security/bulletin/ms09-038.mspx

Microsoft Security Bulletin MS09-039 - Critical
Vulnerabilities in WINS Could Allow Remote Code Execution (969883)
http://www.microsoft.com/technet/security/bulletin/ms09-039.mspx

Microsoft Security Bulletin MS09-040 - Important
Vulnerability in Message Queuing Could Allow Elevation of Privilege (971032)
http://www.microsoft.com/technet/security/bulletin/ms09-040.mspx

Microsoft Security Bulletin MS09-041 - Important
Vulnerability in Workstation Service Could Allow Elevation of Privilege (971657)
http://www.microsoft.com/technet/security/bulletin/ms09-041.mspx

Microsoft Security Bulletin MS09-042 - Important
Vulnerability in Telnet Could Allow Remote Code Execution (960859)
http://www.microsoft.com/technet/security/bulletin/MS09-042.mspx

Microsoft Security Bulletin MS09-043 - Critical
Vulnerabilities in Microsoft Office Web Components Could Allow Remote Code Execution (957638)
http://www.microsoft.com/technet/security/bulletin/ms09-043.mspx

Microsoft Security Bulletin MS09-044 - Critical
Vulnerabilities in Remote Desktop Connection Could Allow Remote Code Execution (970927)
http://www.microsoft.com/technet/security/bulletin/MS09-044.mspx

lunes, 10 de agosto de 2009

Denegación de servicio a través de paquetes SIP en Asterisk

Se ha confirmado la existencia de una vulnerabilidad en Asterisk, que podría permitir a un atacante remoto provocar una denegación de servicio en los sistemas vulnerables.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El problema reside en el tratamiento de paquetes SIP específicamente creados, que podría provocar el consumo de toda la memoria disponible para la red SIP con la consiguiente caída del servicio. Aunque la vulnerabilidad se presenta en múltiples versiones de Asterisk, solo es potencialmente explotable en las versiones 1.6.1 y superiores, ya que esas versiones son las primeras que han permitido superar los paquetes SIP de 1.500 bytes.

El problema se encuentra solucionado en las versiones 1.2.34, 1.4.26.1, 1.6.0.12 y 1.6.1.4.


Antonio Ropero
antonior@hispasec.com


Más información:

Asterisk Project Security Advisory - AST-2009-005
Remote Crash Vulnerability in SIP channel driver
http://downloads.asterisk.org/pub/security/AST-2009-005.html

domingo, 9 de agosto de 2009

Nuevos contenidos en la Red Temática CriptoRed (julio de 2009)

Breve resumen de las novedades producidas durante el mes de julio de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN ESTE MES
* Estado del Arte en Tecnologías RFID (Eva Gotor, dirección Jorge Ramió, PDF, 181 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m001s.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES
* Informe de la Red de Sensores de INTECO del mes de junio de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200906.pdf
* Documentos de seguridad en Web Shutdown (Antonio Villalón, España)
http://www.shutdown.es/
* White Paper sobre Gobierno Corporativo de TI de Atos Origin (España)
http://www.es.atosorigin.com/es-es/business_insights/thought_leadership/container/wp_gob_corporativo_ti.htm
* Vídeos de la Jornada sobre la Privacidad del Menor en las Redes Sociales de la Fundación Solventia (España)
http://campusuniv.campusred.net/vod-publico2/show.asp?numero=2130
* White Paper de Infosecurity: Spam, Viruses, Data Loss, Use Policy, Where to Begin?
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qUVSG09/x56CP09
* Identidad Digital (Foro de la Gobernanza de Internet en España)
http://www.gobernanzainternet.es/doc/archivos/Documento_Base_-_Identidad_Digital.pdf

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Agosto 4 al 6 de 2009: Second International Conference on the Applications of Digital Information and Web Technologies (Londres – Reino Unido)
* Agosto 5 al 6 de 2009: Tercer Congreso Internacional de Seguridad de la Información CISI 2009 (Cartagena de Indias - Colombia)
* Septiembre 14 al 17 de 2009: Sixth International Conference on Broadband Communications, Networks and Systems BROADNETS 2009 (Madrid - España)
* Septiembre 17 al 20 de 2009: 23rd International Conference SAER 2009 y Workshop eGovernance and Data Protection eG&DP 2009 (Varna - Bulgaria)
* Septiembre 23 al 26 de 2009: Workshop on Computational Intelligence for Security in Information Systems CISIS 09 (Burgos - España)
* Septiembre 24 al 25 de 2009: Fourth International Workshop on Data Privacy Management DPM 2009 (Saint Malo - Francia)
* Octubre 11 al 14 de 2009: IEEE 9th International Conference on Computer and Information Technology (Xiamen - China)
* Octubre 14 al 16 de 2009: 14th Nordic Conference in Secure IT Systems NordSec 2009 (Oslo - Noruega)
* Octubre 19 al 21 de 2009: 3rd International Conference on Network and System Security NSS 2009 (Gold Coast - Australia)
* Octubre 21 al 23 de 2009: Conferencia Ibero Americana WWW Internet 2009 IADIS (Alcalá de Henares - España)
* Noviembre 4 al 6 de 2009: 31 Conferencia Internacional de Protección de Datos y Privacidad (Madrid - España)
* Noviembre 16 al 18 de 2009: V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Montevideo - Uruguay)
* Noviembre 19 al 22 de 2009: IADIS International Conference WWW Internet 2009 (Roma - Italia)
* Noviembre 30 a diciembre 4 de 2009: IEEE Globecom 2009 Ad Hoc, Sensor and Mesh Networking Symposium (Hawaii - USA)
* Enero 25 al 28 de 2010: Fourteenth International Conference Financial Cryptography and Data Security (La Laguna, Tenerife - España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. OTRAS NOTICIAS SELECCIONADAS DEL MES DE JULIO DE 2009
Para ampliar estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#jul09
* Abiertas las inscripciones al congreso CIBSI '09 (Uruguay)
http://www.fing.edu.uy/inco/eventos/cibsi09/index.php?page=inscripcion&locale=es
* Talleres de Protección de Datos en CIBSI '09 (Uruguay)
http://www.fing.edu.uy/inco/eventos/cibsi09/index.php?page=workshops&locale=es
* Próximas Ediciones del Congreso Infosecurity en Latinoamérica en 2009
http://www.infosecurityonline.org/
* Seminario Herramientas de Management de Seguridad de la Información de CYBSEC (Argentina)
http://www.cybsec.com/ES/servicios/cursos/sem09_4ar.php
* Blog PSI Asignatura Protección y Seguridad de la Información de Antonino Santos en Universidade da Coruña (España)
http://psi-udc.blogspot.com/
* Nace el Data Privacy Institute DPI (España).
https://www.ismsforum.es/img/a22/na202_NP_HOY_SE_HA_PRESENTADO_EL_DPI-_DATA_PRIVACY_INSTITUTE.pdf
* Convocada la XIII Edición de los Premios Protección de Datos Personales por la AEPD (España)
https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/premios_2009/BOE-A-2009-11121.pdf
https://www.agpd.es/portalweb/canaldocumentacion/publicaciones/common/premios_2009/BOE-A-2009-11122.pdf
* Curso Analista de Riesgos en Seguridad de la Información de ISMS Forum Spain (España)
https://www.ismsforum.es/noticia.php?noticia=183
* Primera Jornada de Continuidad del Negocio y Crisis Management en Buenos Aires (Argentina)
http://cxo-community.com.ar/index.php?option=com_jevents&task=icalrepeat.detail&evid=203&Itemid=0&year=2009&month=08&day=12&uid=1246067565evt123
* Creada la Oficina de Seguridad del Internauta OSI de INTECO (España)
http://osi.gob.es/
* Especialización en Seguridad, Auditoría y Peritaje Informático en el CPCIPC (Argentina)
http://www.esapi.cpcipc.org/index.html
* Nuevo Máster en Auditoría, Seguridad, Gobierno y Derecho de las TICs en la UAM (España)
http://www.uam.es/masgdtic/

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 783
211 universidades y 293 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 23.500 visitas, con 75.000 páginas solicitadas y 29,00 GigaBytes servidos, estimados al 31 de julio de 2009
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

julio 2009
http://www.criptored.upm.es/paginas/historico2009.htm#jul09

sábado, 8 de agosto de 2009

Microsoft publicará nueve boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan nueve boletines de seguridad. Ocho de las actualizaciones afectan a Windows en general y otra a Office, Visual Studio, ISA Server y BizTalk Server.

Si en julio se publicaron seis boletines dentro del ciclo habitual y otros dos fuera de ciclo, este mes Microsoft prevé publicar nueve actualizaciones el martes 11 de agosto. Cinco de los boletines se consideran críticos, y el resto importantes.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. ´

Por otra parte, Microsoft recuerda que el 1 de agosto de 2009 se finalizó de soporte de Office Update y de Office Update Inventory Tool, por lo que para la obtención de las actualizaciones de los productos de Office se recomienda la utilización de Micrrosoft Update.

Los parches anunciados están sujetos a cambios, en cualquier caso, con lo que no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for August 2009
http://www.microsoft.com/technet/security/bulletin/ms09-aug.mspx

viernes, 7 de agosto de 2009

Vulnerabilidad de elevación de privilegios en IBM AIX

IBM ha confirmado la existencia de una vulnerabilidad en AIX 5.3 y 6.1 que soluciona un fallo que podría permitir a un atacante local elevar sus privilegios en los sistemas afectados.

El problema reside en el tratamiento de las variables de entorno _LIB_INIT_DBG y _LIB_INIT_DBG_FILE en un componente de depuración de la librería XL C++ runtime. Esto podría permitir a un atacante local elevar sus privilegios mediante la ejecución de programas enlazados con la librería XL C++ runtime que tengan el bit setuid activo.

Las actualizaciones publicadas están disponibles desde:
http://aix.software.ibm.com/aix/efixes/security/libc_fix.tar


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX libC _LIB_INIT_DBG file creation vulnerability
http://aix.software.ibm.com/aix/efixes/security/libC_advisory.asc

jueves, 6 de agosto de 2009

Elevación de privilegios en el kernel Linux 2.6.x

Se ha encontrado una vulnerabilidad en el kernel de Linux 2.6 que podría permitir a un atacante local elevar sus privilegios en los sistemas afectados.

El fallo se debe a un error a la hora de manejar el parámetro clock id con valor CLOCK_MONOTONIC_RAW en la función "clock_nanosleep" de kernel/posix-timers.c que puede provocar una referencia a puntero nulo. Esto podría permitir a un atacante provocar una denegación de servicio y potencialmente elevar privilegios.

Se ha publicado una corrección en forma de código disponible en:
http://git.kernel.org/linus/70d715fd0597f18528f389b5ac59102263067744


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Re: [PATCH] posix-timers: fix oops in clock_nanosleep() with CLOCK_MONOTONIC_RAW
http://lkml.org/lkml/2009/8/4/28
http://lkml.org/lkml/2009/8/4/40

miércoles, 5 de agosto de 2009

Actualización de seguridad para Apple Mac OS X v10.5.8

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X que solventa 18 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto con diversos efectos.

Esta es la tercera gran actualización del año (con el código 2009-003/Mac OS X v 10.5.8). Los componentes y software afectados son: bzip2, CFNetwork, ColorSync, CoreTypes, Dock, Image RAW, ImageIO, Kernel, launchd, login Window, MobileMe, Networking y XQuery.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com



martes, 4 de agosto de 2009

Varios errores en NSS permiten realizar spoofing de un certificado y ejecutar código arbitrario

Se han descubierto varias vulnerabilidades en la librería NSS que permiten suplantar un certificado digital y ejecutar código arbitrario.

NSS es una librería multi-plataforma usada para habilitar servicios de cifrado. NSS soporta SSL v2 y v3, TLS, certificados X.509 v3, y un largo etcétera. NSS usa una triple licencia, Mozilla, GPL y LGPL.

Dos de los errores en NSS permiten realizar spoofing de un certificado SSL.

Uno de los fallos es por no validar correctamente los datos de un certificado; en concreto cuando el valor CN de X.509 es nulo. Esto podría ser usado por un atacante remoto para realizar un ataque de hombre en el medio. (CVE-2009-2408)

X.509 es un estándar usado para las infraestructuras de clave pública (PKI); con él se permite validar a la autoridad certificadora y el sitio certificado.

El otro de los errores ha sido causado por usar certificados basados en MD2. De esta manera un atacante remoto podría suplantar un certificado creando uno especialmente manipulado para que colisionen los MD2 de ambos. (CVE-2009-2409)

MD2 es un algoritmo de cifrado optimizado para 8 bits. En 2004 se demostró que era vulnerable a ataques tipo preimagen. Un ataque de preimagen permite generar un documento arbitrario con un hash dado. En este caso, es sencillo generar un certificado falso cuyo hash coincida con un certificado legítimo.

Por último un error en el analizador de expresiones regulares de NSS provoca un desbordamiento de memoria intermedia basado en heap. Esto permitiría a un atacante remoto ejecutar código arbitrario a través de un certificado especialmente manipulado. (CVE-2009-2404)

Para poder explotar esta vulnerabilidad el certificado deberá estar firmado por una entidad confiable; de no ser así, antes de producirse este fallo debería de pedirse autorización al usuario que valide el certificado.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Bugzilla Red Hat:
https://bugzilla.redhat.com/show_bug.cgi?id=510251
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2009-2409
https://bugzilla.redhat.com/show_bug.cgi?id=512912

Network Security Service (NSS):
http://www.mozilla.org/projects/security/pki/nss/
https://developer.mozilla.org/en/NSS

lunes, 3 de agosto de 2009

Ejecución remota de código a través de libtiff en Solaris

Sun ha anunciado la existencia de diversas vulnerabilidades en LibTIFF de Sun Solaris 8, 9, 10 y OpenSolaris que pueden ser aprovechadas por atacantes para lograr la ejecución de código arbitrario.

La librería LibTIFF usada para leer y escribir imágenes en formato tiff se utiliza habitualmente en sistemas UNIX. Múltiples programas tanto de escritorio como en servidores web hacen uso de ella para permitir el tratamiento de este tipo de imágenes, de ahí el riesgo que generan estas vulnerabilidades.

Existen errores de desbordamiento de memoria intermedia en las funciones "LZWDecode", "LZWDecodeCompat" y "LZWDecodeVector" de "tif_lzw.c" al decodificar datos comprimidos con LZW. Un atacante remoto podría ejecutar código arbitrario a través de un archivo TIFF especialmente manipulado.

Sun ha publicado las siguientes actualizaciones para corregir este problema:

Para plataforma SPARC:
Solaris 10 aplicar parche 119900-07 o superior:
http://sunsolve.sun.com/pdownload.do?target=119900-07&method=h
OpenSolaris compilación snv_99 o posterior.

Para plataforma x86:
Solaris 10 aplicar parche 119901-07 o superior:
http://sunsolve.sun.com/pdownload.do?target=119901-07&method=h
OpenSolaris compilación snv_99 o posterior.

Está pendiente la publicación de parches para Solaris 8 y Solaris 9.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Multiple Security Vulnerabilities in libtiff(3) Handling of CODE_CLEAR Code
http://sunsolve.sun.com/search/document.do?assetkey=1-66-265030-1

domingo, 2 de agosto de 2009

Vulnerabilidad de Cross-Site Scripting en IBM Tivoli Identity Manager

Se ha anunciado una vulnerabilidad en IBM Tivoli Identity Manager 4.6 por la que un atacante remoto podría construir ataques de cross-site scripting.

Tivoli Identity Manager es un producto de IBM destinado a realizar una gestión de la información de usuarios automatizada y basada en políticas que permite gestionar con eficacia cuentas de usuario, permisos de acceso y contraseñas desde su creación hasta su caducidad, en entornos y recursos de IT heterogéneos.

El problema, del que no se han facilitado detalles, reside en un error en la interfaz de autoservicio que podría ser aprovechado por un atacante remoto para lograr la ejecución de código script arbitrario.

IBM ha publicado el Interim Fix 4.6.0-TIV-TIM-IF0093 disponible desde:
ftp://ftp.software.ibm.com/software/tivoli_support/patches/patches_4.6.0/4.6.0-TIV-TIM-IF0093/4.6.0-TIV-TIM-IF0093.zip


Antonio Ropero
antonior@hispasec.com


Más información:

IBM Tivoli Identity Manager, ver 4.6.0, Interim Fix 4.6.0-TIV-TIM-IF0093
http://www-01.ibm.com/support/docview.wss?uid=swg24023929

sábado, 1 de agosto de 2009

Dos vulnerabilidades de denegación de servicio en dispositivos Cisco IOS

Cisco ha confirmado la existencia de dos vulnerabilidades de denegación de servicio en sus productos Cisco IOS cuando manejan determinadas actualizaciones BGP (Border Gateway Protocol).

El primero de los problemas reside en un error al procesar mensajes de actualización BGP no conformes. Esto podría ser aprovechado por un atacante remoto para causar un ataque de denegación de servicio a través de un mensaje de actualización BGP especialmente manipulado.

La segunda vulnerabilidad consiste en un error de corrupción de memoria al procesar actualizaciones BGP con segmentos de nombres de ruta de AS (sistemas autónomos) compuestos por más de mil sistemas. Esto podría ser aprovechado por un atacante remoto para causar un ataque de denegación de servicio a través de un mensaje BGP especialmente manipulado.

En ambos casos las vulnerabilidades solo afectan a dispositivos configurados para enrutamiento BGP.

Cisco, ha puesto a disposición de sus clientes software para solucionar el problema. Se encuentran disponibles desde:
http://www.cisco.com/public/sw-center/sw-usingswc.shtml
Dada la gran diversidad de versiones del software existentes, se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20090729-bgp.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS Software Border Gateway Protocol 4-Byte Autonomous System Number Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20090729-bgp.shtml