miércoles, 30 de septiembre de 2009

Troyano bancario falsea el balance de las cuentas robadas para evitar ser detectado

Se ha detectado una familia de troyanos que, además de todas las técnicas habituales que usa el malware 2.0 para pasar desapercibido, falsea el balance del usuario víctima una vez ha sido robado. Así, el afectado no puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador, o le sea devuelto algún recibo.

Es común hoy en día que los troyanos inyecten campos adicionales en las páginas de los bancos para "capturar" la tarjeta de coordenadas o las contraseñas secundarias que permiten el movimiento del dinero. Es común que se salten restricciones de todo tipo impuestas por los bancos (teclados virtuales, ofuscación, OTP...), destinadas a detener su avance. Casi todos tienen técnicas de ocultación sofisticadas que hacen que a pesar de los esfuerzos de las casas antivirus, no sean detectados en su mayor parte. La mayoría también ofusca su código para dificultar el análisis de los investigadores... Lo que no es tan común es que los troyanos, al robar, falseen el balance de las cuentas del usuario, para que el usuario no detecte que el dinero ha sido traspasado a otro lugar.

La técnica que utiliza esta muestra observada es la misma que se suele usar para monitorizar qué página está siendo visitada e inyectar los campos. Esto habitualmente se realiza a través de BHO (Browser Helper Objects) en Internet Explorer. Los BHO, al tener completo control sobre el DOM (Document Object Model) de la página, pueden eludir entre otras restricciones el cifrado, e inyectar en las páginas los campos que estimen oportuno. Ocurre de forma totalmente transparente y sobre la página real al ser visitada por un sistema troyanizado. Este mismo método se utiliza para falsear el balance real de la cuenta. Así, el usuario no percibe que está siendo robado. El troyano también se cuida de no dejar la cuenta en números rojos, para evitar igualmente ser detectado.

Cuanto más tiempo pase desapercibido el robo para la víctima, más veces podrá transferir pequeñas cantidades y pasar así también desapercibido para el banco. Los bancos, hoy en día, tienen sistemas de alerta que avisan al usuario cuando se detectan movimientos que se salen del patrón habitual de su usuario. Esto empezaba a ser un problema para ciertos troyanos que realizaban grandes transferencias, pues los bancos advertían al usuario víctima de una posible estafa. Con estos métodos consiguen no hacer sonar ninguna alarma ni en el usuario ni en su banco.

Se ha informado de la difusión de este malware en toda Europa. Algunos lo han llamado URLZone, aunque parece una variante de SilentBanker. El método de infección (esto sí es habitual) suele ser la visita a páginas web legítimas infectadas, que intentan aprovechar diferentes vulnerabilidades del navegador o del sistema operativo Windows para ejecutar código y realizar su función.


Sergio de los Santos
ssantos@hispasec.com


Más información:

New Malware Re-Writes Online Bank Statements to Cover Fraud
http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/

martes, 29 de septiembre de 2009

Nueva versión de Apache Lucene

Existen varios errores en Apache Lucene Java que pueden provocar distintas denegaciones de servicio. Lucene es un API de código abierto para recuperación de información, originalmente implementada en Java aunque también existe en otros lenguajes como Delphi, Perl, C#, C++, Python, Ruby y PHP.

El centro de la arquitectura lógica de Lucene se encuentra el concepto de Documento (Document) que contiene Campos (Fields) de texto. Esta flexibilidad permite a Lucene ser independiente del formato del fichero. Es útil para cualquier aplicación que requiera indexado y búsqueda a texto completo. Se distribuye bajo la Apache Software License.

Entre los fallos, destacamos:

LUCENE-1611: Existe un error en función IndexWriter que provoca una denegación de servicio por consumo de disco.

LUCENE-1658: Existe un error en la clase MMapDirectory que puede provocar un desbordamiento de buffer. Este error está causado por un bug de Sun.

LUCENE-1681: Un error en las funciones getMinValue, getMaxValue, getAverageValue de cálculo de estadísticas produce un bucle infinito a causa de no incrementar una de las variables internas.

LUCENE-1899: Debido a un error en la asignación de espacio se produce un consumo excesivo de CPU que podría causar una denegación de servicio.

Ya está disponible la versión 2.9.0 que soluciona estos problemas en:
http://www.apache.org/dyn/closer.cgi/lucene/java/


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

ChangeLog de Lucene
http://lucene.apache.org/java/2_9_0/changes/Changes.html#2.9.0.bug_fixes

lunes, 28 de septiembre de 2009

Sobreescritura de archivos en SAP GUI

Se han identificado múltiples vulnerabilidades en SAP GUI (versiones 6 y 7), que podría permitir a un atacante sobreescribir cualquier archivo.

El problema se debe a errores de diseño en los Controles ActiveX EAI WebViewer2D (WebViewer2D.dll) y WebViewer3D (WebViewer3D.dll) al procesar argumentos de los métodos "SaveToSessionFile()" y "SaveViewToSessionFile()". Esta vulnerabilidad podría permitir a un atacante sobreescribir y corromper archivos de los sistemas afectados, cuando el usuario visite una página web maliciosa.

Se recomienda instalar el parche disponible desde:
https://service.sap.com/sap/support/notes/1372153


Antonio Ropero
antonior@hispasec.com


Más información:

[DSECRG-09-043] SAP GUI 7.1 WebViewer2D ActiveX - Insecure Methods
http://dsecrg.com/pages/vul/show.php?id=143

[DSECRG-09-044] SAP GUI 7.1 WebViewer3D ActiveX - Insecure Methods
http://dsecrg.com/pages/vul/show.php?id=144

SAP note 1372153
https://service.sap.com/sap/support/notes/1372153

domingo, 27 de septiembre de 2009

Incorporaciones al Consejo Nacional Consultor sobre CyberSeguridad (CNCCS)

El Consejo Nacional Consultor sobre CyberSeguridad (CNCCS), fundado por Panda Security, Hispasec Sistemas, S21sec y Secuware, anuncia la incorporación de 8 nuevos miembros y el lanzamiento de su página web (http://www.cnccs.es), a través de la cual se pueden consultar sus estatutos y solicitar nuevas adhesiones.

El CNCCS es una organización privada cuya misión es poner a disposición de las diversas organizaciones que operan en España, gubernamentales o no, el conocimiento y experiencia de sus miembros en
asuntos relacionados con la cyberseguridad nacional o global, con el fin de hacer más segura Internet y las redes de Información, a la vez que potenciar la innovación y el crecimiento económico.

Los nuevos 8 miembros incorporados al CNCCS son: Cybex, Amper, Telefónica, TBSecurity, Barcelona Digital Centro Tecnológico, Universidad de Deusto Laboratorio S3Lab, Colegio Oficial de Ingenieros de Telecomunicación (COIT) y AEDEL.

Los requisitos para formar parte del CNCCS son:

+ Ser una compañía o institución española, cuya empresa matriz o central resida en nuestro país

+ Tener actividades de I+D+i en materia de seguridad informática en España

+ Desarrollar actividades representativas dentro del ámbito de la seguridad informática

Para solicitar su adhesión, que debe ser aprobada por el Comité de Dirección del Consejo, deben hacerlo a través de su página web, http://www.cnccs.es .




Más información:

Consejo Nacional Consultor sobre CyberSeguridad
http://www.cnccs.es

sábado, 26 de septiembre de 2009

Vulnerabilidad de Cross Site Scripting en IBM Lotus Connections

IBM ha confirmado una vulnerabilidad en IBM Lotus Connections 2.0.1, que podría permitir a un atacante ejecutar ataques de Cross Site Scripting.

IBM Lotus Connections es un software social específicamente diseñado para el entrono empresarial. Permite utilizar los conocimientos de la organización, socios y clientes al establecer de forma dinámica conexiones entre las personas, la experiencia que éstas tienen y las tareas que ejecutan.

El problema está provocado por un error de validación de entradas en el script "profiles/html/simpleSearch.do" al procesar el parámetro "name". Un atacante podría explotar este problema para lograr la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se recomienda aplicar el Interim Fix LO34540 disponible desde:
http://www-01.ibm.com/support/docview.wss?uid=swg24024414


Antonio Ropero
antonior@hispasec.com


Más información:

LO44244 Profiles: Application is vulnerable to reflective Cross-site scripting
http://www-01.ibm.com/support/docview.wss?uid=swg24024414

viernes, 25 de septiembre de 2009

Salto de restricciones a través de Samba en Sun Solaris

Se ha detectado un problema de seguridad en la implementación Samba en Sun Solaris 9, 10 y OpenSolaris que podría permitir a un atacante remoto evitar los controles de seguridad del sistema.

Existe un error de desreferencia a memoria no inicializada en la función "acl_group_override" de "smbd/posix_acls.c". Esto podría permitir a un atacante remoto modificar las listas de control de acceso a archivos a través de vectores no especificados.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 10 instalar 119757-16 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=119757-16&method=h

Para x86:
Solaris 10 instalar 119758-16 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=119758-16&method=h

OpenSolaris:
Solucionado en los sistemas basados en snv_119 o posterior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in Samba (SAMBA(7)) May Allow Unauthorized Changes to Access Control Lists (ACL)
http://sunsolve.sun.com/search/document.do?assetkey=1-66-267628-1

jueves, 24 de septiembre de 2009

Cisco publica sus actualizaciones de septiembre para IOS

Cisco ha publicado, como cada último miércoles de septiembre, once boletines de seguridad que solucionan 12 vulnerabilidades en su sistema operativo Cisco IOS, que podrían ser aprovechadas por un atacante para causar una denegación de servicio, escalar privilegios e incluso llegar a ejecutar código arbitrario.

De forma breve, las vulnerabilidades son:

* Existen múltiples errores no especificados en el manejador de conexiones TCP. Esto podría ser aprovechado por una atacante remoto para causar una denegación de servicio a través del envío de paquetes TCP especialmente manipulados.

* Un fallo en el software de NTP podría causar que los dispositivos se reinicien. Un atacante remoto podría causar una denegación de servicio mediante la repetición de esta vulnerabilidad.

* Otra vulnerabilidad reside en el Control de Listas de Acceso (ACLs) y podría permitir a un atacante remoto saltarse estas restricciones de seguridad.

* Otro boletín hace referencia a un problema en la implementación de H.323 podría causar que el dispositivo se reinicie. Un atacante remoto podría aprovechar esta vulnerabilidad para causar una denegación de servicio mediante la repetición de la explotación de este fallo.

* Un fallo en la implementación del protocolo SIP podría permitir a un atacante remoto causar una denegación de servicio cuando este activo "Cisco Unified Border Element".

* Otro de los problemas corregidos reside en un fallo en un dispositivo configurado con sslVpn o ssh que podría causar que el dispositivo se reinicie mediante un paquete TCP especialmente manipulado.

* Un fallo en la autenticación proxy https podría permitir a un atacante remoto eludir la autenticación del servidor proxy o eludir la página web de consentimiento.

* Existe un error no especificado en la implementación del protocolo IKE. Esto podría ser aprovechado por un atacante remoto, que consumiera todas las asociaciones disponibles, para causar una denegación de servicio que evitara nuevas conexiones IPSec a través de vectores no especificados.

* Existen dos fallos en dispositivos configurados con túneles IP y Cisco Express Forwarding.

* Otro problema corregido se presenta en la implementación del protocolo SIP cuando está configurado con la opción "Cisco IOS Zone-Based Policy Firewall SIP Inspection" activada. Esto podría permitir a un atacante remoto causar una denegación de servicio cuando a través del envío de un paquete SIP especialmente manipulado.


* Por último, un fallo en la autenticación de la sección "Extension Mobility" podría permitir a un atacante remoto ejecutar código arbitrario siempre que este activa la función "auto-registration".

Dada la diversidad de versiones y sistemas afectados se recomienda consultar los boletines publicados por Cisco, disponibles en:
http://www.cisco.com/warp/public/707/cisco-sa-20090923-bundle.shtml


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Summary of Cisco IOS Software Bundled Advisories, September 23, 2009
http://www.cisco.com/warp/public/707/cisco-sa-20090923-bundle.shtml

Cisco IOS Software Object-group Access Control List Bypass Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-acl.shtml

Cisco IOS Software Authentication Proxy Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-auth-proxy.shtml

Cisco Unified Communications Manager Session Initiation Protocol Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-cm.shtml

Cisco Unified Communications Manager Express Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-cme.shtml

Cisco IOS Software H.323 Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-h323.shtml

Cisco IOS Software Zone-Based Policy Firewall Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-ios-fw.shtml

Cisco IOS Software Internet Key Exchange Resource Exhaustion Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-ipsec.shtml

Cisco IOS Software Network Time Protocol Packet Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-ntp.shtml

Cisco IOS Software Session Initiation Protocol Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-sip.shtml

Cisco IOS Software Crafted Encryption Packet Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-tls.shtml

Cisco IOS Software Tunnels Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20090923-tunnels.shtml

miércoles, 23 de septiembre de 2009

Ejecución de código en iTunes 9

Existe un error de desbordamiento de memoria en iTunes 9. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio o ejecutar código arbitrario a través de un fichero pls especialmente diseñado.

iTunes es una aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además permite sincronizar un iPod, iPhone o Apple TV.

PLS es un formato de lista de reproducción similar a M3U. La sintaxis de este formato es similar a la sintaxis de un archivo .ini .

Apple ha solucionado este error en la versión 9.0.1 que ya está disponible en su sitio oficial.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

About the security content of iTunes 9.0.1
http://support.apple.com/kb/HT3884

APPLE-SA-2009-09-22-1 iTunes 9.0.1
iTunes 9.0.1 is now available and addresses the following
http://lists.apple.com/archives/security-announce/2009/Sep/msg00006.html

martes, 22 de septiembre de 2009

Ejecución de código en StarOffice/StarSuite 8 y 9

Sun ha solucionado varios errores relacionado con el interprete de xml en StarOffice/StarSuite. Esta vulnerabilidad está relacionada con un error publicado por el CERT-FI el 6 de agosto de este año, y que en este caso permiten ejecutar código arbitrario o causar una denegación de servicio a través de un xml especialmente manipulado.

Existen varios errores de escritura fuera de limites y uno de desbordamiento de memoria intermedia basado en pila en libxml2 y libxml. Estos errores permitirían a un atacante remoto ejecutar código arbitrario o causar una denegación de servicio a través de un fichero XML especialmente manipulado. También se podría aprovechar estas vulnerabilidades para realizar un ataque de dependencia de contexto.

El desbordamiento de memoria intermedia es provocado por un error en las llamadas recursivas usadas típicamente en los interpretes de este tipo de ficheros.

Algo que se hace notar en la alerta de Sun es el hecho de que esta vulnerabilidad también puede ser explotada a través de ficheros ODT, esto es porque ODT contiene ficheros XML para almacenar información como cabeceras, estilos y otros datos.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Sun blog:
http://blogs.sun.com/security/entry/sun_alert_266088_security_vulnerability

Cert-Fi:
http://www.cert.fi/en/reports/2009/vulnerability2009085.html

CVEs:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2414
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-2416

lunes, 21 de septiembre de 2009

Estudio comparativo: ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?

El tiempo que un fabricante tarda en hacer pública una solución para una vulnerabilidad es una de las métricas más importantes para conocer cómo maneja la seguridad. Suele existir cierta controversia en este aspecto. Se achaca a los fabricantes que tardan demasiado en disponer de una solución efectiva que ofrecer a sus clientes o usuarios. Mucho más cuando la vulnerabilidad es conocida y por tanto sus clientes "perciben" el peligro de utilizar ese software. Hemos realizado un estudio sobre 449 vulnerabilidades con la intención de representar y comparar algunas cifras al respecto.

Existen dos escenarios muy diferentes a la hora de solucionar una vulnerabilidad: que sea conocida públicamente, o que no. Esto es determinante para los grandes fabricantes. En el segundo caso, el ritmo de solución es muy distinto al primero. Su imagen no está en entredicho, los clientes no se sienten en peligro... pueden tomarse la solución con más calma, y centrarse en asuntos mucho más urgentes (que seguro que existen). En Hispasec nos hemos preguntado cuánto tardan los grandes fabricantes en solucionar una vulnerabilidad cuando no sufren la presión de los medios, cuando la vulnerabilidad es solo conocida por ellos y quien la ha descubierto. Cómo reaccionan ante esta situación "ideal" (desde su punto de vista), en la que la vulnerabilidad les ha sido comunicada en secreto, y ambas partes acuerdan no hacerlo público hasta que exista una solución.

Este es un escenario relativamente sencillo de evaluar, puesto que podemos tomar la fecha en la que el fabricante fue informado como inicio del contador, y la fecha en la que se publica una solución como final. El tiempo que haya transcurrido nos permitirá saber de forma precisa cuánto tardan los fabricantes en solucionar una vulnerabilidad que no es pública. Los fabricantes estudiados son HP, Computer Associates, Adobe, Apple, Microsoft, Novell, Symantec, Oracle, IBM y Sun.

Algunas de las conclusiones del estudio son que la media de los grandes fabricantes es de seis meses para solucionar una vulnerabilidad, independientemente de su gravedad. Encontramos ejemplos en los que una vulnerabilidad crítica es solucionada un año después de ser descubierta, y otros en los que se tardan apenas unos días.

Todos los datos y el informe completo, están disponibles de forma totalmente gratuita y sin necesidad de registro desde:
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf


Sergio de los Santos
ssantos@hispasec.com


Más información:

iDefense Labs
http://labs.idefense.com

Zero Day Initiative
http://www.zerodayinitiative.com

domingo, 20 de septiembre de 2009

Nueva versión de PHP

El pasado 16 septiembre PHP.net actualizó su versión estable a la 5.2.11. En esta versión ha solucionado varios fallos de seguridad.

Un error de validación de los certificados X509 en la función "php_openssl_apply_verification_policy" permitiría a un atacante remoto validar un certificado manipulando los valores de CN.

En la función "exif_process_APP1" se han corregido varios errores que podrían causar distintos impactos. Esta función se usa para obtener datos con información extra como la que incluyen las cámaras digitales.

Existe un error de desbordamiento de memoria intermedia en la función "gdImageColorTransparent". Esto podía ser aprovechado por una atacante remoto para causar una denegación de servicio a través de un valor de color igual al máximo permitido.

Existe un error en la comunicación entre las funciones de Windows para crear "pipes" (tuberías) y la función 'popen' de php. Esto podría ser aprovechado por una atacante remoto para causar una denegación de servicio en sistemas Windows a través de la llamada a esta función con valores de modo erróneos.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Release PHP 5.2.11:
http://www.php.net/releases/5_2_11.php

Diff del error de exif:
http://svn.php.net/viewvc/php/php-src/trunk/ext/exif/exif.c?r1=286426&r2=287372&pathrev=287372

Diff del error de imagecolortransparent:
http://svn.php.net/viewvc/php/php-src/trunk/ext/gd/libgd/gd.c?r1=286466&r2=287979&pathrev=287979

Diff del error de php_openssl_apply_verification_policy:
http://svn.php.net/viewvc/php/php-src/trunk/ext/openssl/openssl.c?r1=286551&r2=288329&pathrev=288329

Fallo de seguidad #44683:
http://bugs.php.net/bug.php?id=44683

sábado, 19 de septiembre de 2009

Vulnerabilidad de Cross Site Scripting en Novell GroupWise

Se ha confirmado una vulnerabilidad en Novell GroupWise versiones 7.03 y 8.0.0 que podría permitir a un atacante ejecutar ataques de Cross Site Scripting.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc.

El problema reside en un error de validación de entradas al procesar el parámetro "User.Theme.index". Un atacante podría explotar este problema para lograr la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se recomienda actualizar a Novell GroupWise v7.03 Hot Patch 4 (HP4) o v8.0 Support Pack 1 (SP1) o posteriores.


Antonio Ropero
antonior@hispasec.com


Más información:

GroupWise WebAccess - Cross Site Scripting (XSS) Security Vulnerability in User.Theme.index parameter
http://www.novell.com/support/viewContent.do?externalId=7004410&sliceId=1

viernes, 18 de septiembre de 2009

Ejecución de código arbitrario en VLC Media player

Existen varios errores en la implementación de ciertos codecs de vídeo de VLC. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y posiblemente ejecutar código si la víctima reproduce un fichero multimedia especialmente manipulado.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

Esta vulnerabilidad es debida al uso de la función "sprintf", que no realiza correctamente la inicialización de la estructura. Esta función se ha sustituido por "snprintf", cuya diferencia radica en la incorporación de un parámetro que controla el tamaño.

La solución a este problema se encuentra en los "commits" del proyecto, pero aún no hay una versión estable disponible para descargar.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Commitdiff de Demux MP4:
http://git.videolan.org/?p=vlc.git;a=commitdiff;h=c5b02d011b8c634d041167f4d2936b55eca4d18d

Commitdiff para Demux AVI:
http://git.videolan.org/?p=vlc.git;a=commitdiff;h=861e374d03e6c60c7d3c98428c632fe3b9e371b2

Commitdiff para Demux ASF:
http://git.videolan.org/?p=vlc.git;a=commitdiff;h=dfe7084e8cc64e9b7a87cd37065b59cba2064823

Referencia de Gcc sobre 'snprintf':
http://gcc.gnu.org/ml/gcc/2009-05/msg00577.html

jueves, 17 de septiembre de 2009

Cross Site Scripting a través de Atom y RSS en Opera y Chrome

Existe un error en el sistema de análisis de contenido de los navegadores Opera y Google Chrome. Un atacante remoto podría explotar esto para ejecutar código JavaScript arbitrario a través de un enlace que devuelva un "mime type" del tipo "text/xml", "text/atom-xml" o "text/rss-xml" con JavaScript incrustado. Estos navegadores lo procesarían sin motivo.

El sistema de análisis de contenido de un navegador web debería comprobar qué tipo de datos son los que va a mostrar y activar o desactivar ciertas funcionalidades dependiendo del tipo; por ejemplo, no tendría sentido que un navegador ejecutara código JavaScript si accede a un fichero cuyo "mime type" en el servidor es "image/jpeg", puesto que en teoría, no debería existir ningún tipo de código JavaScript en un fichero de ese formato.

Google ya ha solucionado esta vulnerabilidad y ha publicado un parche para su versión 3 que se puede aplicar desde el propio Chrome.

En este momento Opera no ha actualizado ni notificado oficialmente esta vulnerabilidad en su sitio oficial, pero al parecer su equipo de desarrollo y seguridad están trabajando para solucionar este problema.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Prueba de concepto:
http://securethoughts.com/2009/09/exploiting-chrome-and-operas-inbuilt-atomrss-reader-with-script-execution-and-more/

Advisory de Chrome:
http://googlechromereleases.blogspot.com/2009/09/stable-channel-update.html

Sitio de Advisories de Opera:
http://www.opera.com/support/kb/advisory/page1/

miércoles, 16 de septiembre de 2009

Ejecución de código en nginx

Existe un error de buffer underflow en nginx cuando trabaja sobre HTTP seguro (https). Esto podría ser aprovechado por un atacante remoto sin autenticar para ejecutar código arbitrario con los privilegios del usuario que corra la aplicación.

Nginx es un programa que puede ser utilizado como servidor http independiente y como servidor proxy. Puesto que es bastante ligero, se utiliza como proxy inverso delante de algunos servidores de producción (como Apache u otros) para reducir la carga de éstos cuando trabajan con muchas sesiones simultáneas.

El buffer underflow se produce al escribir los datos de la URI antes de asignar la memoria. Este error en concreto se encuentra en la función "ngx_http_parse_complex_uri()" en "http/ngx_http_parse.c" y puede ser aprovechado al enviar datos especialmente manipulados.

La vulnerabilidad puede darse cuando tanto cuando funciona como servidor web, como cuando trabaja como servidor proxy.

El parche está disponible desde el sitio oficial (www.nginx.net).


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Ngix Ghangelog:
http://nginx.net/CHANGES

CVE-2009-2629:
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2009-2629

Nginx ngx_http_parse_complex_uri() buffer underflow vulnerability:
http://www.kb.cert.org/vuls/id/180065

martes, 15 de septiembre de 2009

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa cuatro vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, acceder a información sensible o saltarse determinadas protecciones de seguridad.

Los problemas corregidos son:

* Un fallo en la máscara PER_CLEAR_ON_SETID que no incluye MMAP_PAGE_ZERO y ADDR_COMPAT_LAYOUT. Este fallo podría ser aprovechado por un usuario local para saltarse ciertas restricciones y protecciones de seguridad.

* También se ha corregido una vulnerabilidad en el tratamiento de bytes de alineamiento, en ciertas estructuras, en la función "do_sigaltstack" de "kernel/signal.c". Esto podría permitir a un atacante local obtener información sensible a través de vectores no especificados.

* Un error al liberar el puntero "current->clear_child_tid" en la función "execre". Esto podría permitir a un atacante local causar una denegación de servicio a través de llamadas al sistema especialmente manipuladas.

* Por último, una falta de comprobación en el controlador z90crypt en el kernel de Linux. Esto podría permitir a un atacante local con un "effective user ID" (euid) de valor 0 eludir restricciones.

Además se han solucionado cientos de fallos de menor importancia y se han añadido ciertas mejoras.

Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2009-1438.html

lunes, 14 de septiembre de 2009

Inyección SQL y obtención de información sensible en Bugzilla 3.x

Se han publicado varios parches que solucionan dos errores de inyección SQL y otra que permite obtener información sensible. Salvo uno de los errores que afecta a todas las ramas, los otros dos solo afectan a la versión 3.4.x.

Bugzilla es una aplicación web diseñada para crear un sistema de seguimiento de errores y se distribuye bajo la licencia de Mozilla (Mozilla Public License). Esta aplicación es utilizada por un gran número de proyectos de software libre, entre los que se encuentran proyectos como Apache, Linux Kernel o Eclipse entre otros muchos.

El primer problema de inyección SQL esta causado por un error en la función de búsqueda.

El otro problema de inyección SQL esta causado por un error en la función que crea bugs. Esta vulnerabilidad se encuentra en las ramas 3.0.x, 3.2.x y 3.4.x

Debido al comportamiento del núcleo de Bugzilla no es posible insertar varias sentencias SQL separadas por ';' ya que este carácter es filtrado. Este comportamiento atenúa la peligrosidad de un posible ataque.

El último error solucionado se produce cuando se cambia la contraseña de este programa. La nueva contraseña aparece en la url generada para conectarse inmediatamente después. Estos datos podrían ser capturados tanto en el log del propio Bugzilla como en la etiqueta Referrer de http.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

3.4.1, 3.2.4, and 3.0.8 Security Advisory
http://www.bugzilla.org/security/3.0.8/

domingo, 13 de septiembre de 2009

Actualización de Check Point para denegación de servicio "Sockstress"

Check Point ha publicado actualizaciones necesarias para diversos productos para corregir los ataques de denegación de servicio descubiertos por la compañía Outpost24 en octubre de 2008.

Los productos afectados son: Check Point VPN-1 Power/UTM, Connectra, IPSO, VPN-1 Power VSX, Integrity, UTM-1 Edge, IPS-1, Security Management y SmartCenter.

El problema englobado dentro del conocido como Sockstress reside en un error en la implementación TCP que no realiza de forma correcta la limpieza de la información de estado. Básicamente afectaba a todos los dispositivos que implementaran una pila TCP, y también fue corregido recientemente por Cisco y Microsoft.

Un atacante podría emplear este problema para consumir todos los recursos disponibles que llevaría a la condición de denegación de servicio.

Se recomienda instalar las actualizaciones disponibles desde:
http://supportcontent.checkpoint.com/solutions?id=42723
http://supportcontent.checkpoint.com/solutions?id=42725


Antonio Ropero
antonior@hispasec.com


Más información:

03/10/2008 Algunas preguntas frecuentes sobre la supuesta vulnerabilidad en el protocolo base de la Red
http://www.hispasec.com/unaaldia/3632

Soporte Check Point
http://supportcontent.checkpoint.com/solutions?id=42723
http://supportcontent.checkpoint.com/solutions?id=42725

CERT-FI Advisory on the Outpost24 TCP Issues
https://www.cert.fi/haavoittuvuudet/2008/tcp-vulnerabilities.html

sábado, 12 de septiembre de 2009

Elevación de privilegios a través de la utilidad w(1) de Solaris

Se ha publicado una actualización para corregir un problema de seguridad en la utilidad "w" de Sun Solaris 8, 9, 10 y OpenSolaris que podría permitir a un atacante elevar sus privilegios.

La utilidad w muestra un resumen de la actividad actual del sistema, incluyendo los usuarios conectados y lo que están realizando.

El problema reside en un desbordamiento de memoria intermedia basado en heap en la utilidad w(1) que podría permitir a un atacante local sin privilegios conseguir la ejecución de código arbitrario con privilegios de root.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:

Solaris 9 parche 113718-04 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=113718-04&method=h

Solaris 10 instalar 142286-01 desde:
http://sunsolve.sun.com/pdownload.do?target=142286-01&method=h

Para x86:
Solaris 9 instalar 113718-04 desde:
http://sunsolve.sun.com/pdownload.do?target=113718-04&method=h

Solaris 10 instalar 142285-01 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=142285-01&method=h

OpenSolaris:
Solucionado en los sistemas basados en snv_123 o posterior.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in the w(1) Utility may Lead to Execution of Arbitrary Code
http://sunsolve.sun.com/search/document.do?assetkey=1-66-266348-1

viernes, 11 de septiembre de 2009

Actualización de seguridad para Apple Mac OS X

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X versiones 10.5.8 y 10.4.11 que solventa 33 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto con diversos efectos.

Esta es la quinta gran actualización del año (con el código 2009-005). Los componentes y software afectados son: Alias Manager, CarbonCore, ClamAV, ColorSync, CoreGraphics, CUPS, plug-in de Flash Player, ImageIO, Launch Services, MySQL, PHP, SMB y Wiki Server.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

About Security Update 2009-005
http://support.apple.com/kb/HT3865

jueves, 10 de septiembre de 2009

Actualización de seguridad para Quicktime

Apple ha publicado una nueva versión de QuickTime (la 7.6.4), que solventa cuatro problemas de seguridad en sus versiones para Windows y OS X.

Dos de las vulnerabilidades afectan al tratamiento de la codificación H.264, de forma que un atacante podría llegar a provocar la ejecución remota de código arbitrario si un usuario visualiza una película codificada maliciosamente en este estándar.

Las otras dos vulnerabilidades, que afectan a los formatos FlashPix y MPEG-4, también podrían permitir la ejecución remota de código arbitrario al visualizar archivos en dichos formatos.

La actualización puede ser instalada a través de las funcionalidades de actualización automática (Software Update) de Apple, o según versión y plataforma, descargándolas directamente desde:
http://www.apple.com/quicktime/download/


Antonio Ropero
antonior@hispasec.com


Más información:

Acerca del contenido de seguridad de QuickTime 7.6.4
http://support.apple.com/kb/HT3859?viewlocale=es_ES

miércoles, 9 de septiembre de 2009

Cisco y Microsoft publican parche para la vulnerabilidad "Sockstress", revelada en octubre de 2008

Cisco y Microsoft han sido los primeros fabricantes en publicar parche para esta sonada vulnerabilidad en el propio protocolo TCP. Fue descubierta por la compañía Outpost24 en octubre de 2008 causando un gran revuelo. Desde entonces poco más se aportó al respecto. En un movimiento coordinado entre Microsoft y Cisco, ambos han publicado parches para su implementación TCP.

La compañía sueca Outpost24 anunció a principios de octubre de 2008 que conocía una vulnerabilidad en el propio protocolo TCP que afectaba (en mayor o menor medida) a todo dispositivo que implementase una pila TCP. Se dio a conocer como Sockstress. Algunos apuntaban que era necesario bombardear de forma continuada y con un cierto tipo de paquetes al servidor. Otros que con sólo unos minutos de tráfico se puede hacer que el sistema quede sin recursos. Según Robert E. Lee de Outpost24, dependía del dispositivo. Lo normal es que permaneciesen caídos mientras durase el ataque (como ocurre con un DDoS, por ejemplo), pero se habían dado casos en que se agotan sus recursos y se necesita un reinicio con una mínima cantidad de tráfico.

Outpost24 decían conocer el problema desde 2005, pero no fue hasta 2008 que se decidió a hacerlo público. Una vez avisados todos los fabricantes, han necesitado un año para publicar un parche que lo soluciona. El CVE de la vulnerabilidad es el CVE-2008-4609. Ni Microsoft ni Cisco han dado demasiados detalles al respecto, y han publicado parches para sus sistemas operativos (Windows y IOS). En el boletín que corrige entre otros, este problema, Microsoft describe el fallo como un error en la forma en que Windows maneja un alto número de conexiones TCP establecidas que podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través del envío masivo de peticiones TCP especialmente manipuladas. Puede incrementarse el alcance si se establece el "window size" de una petición TCP a un valor muy bajo incluso a cero.

En un futuro cercano, veremos a nuevos fabricantes que tendrán que solucionar este mismo fallo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

03/10/2008 Algunas preguntas frecuentes sobre la supuesta vulnerabilidad en el protocolo base de la Red
http://www.hispasec.com/unaaldia/3632

TCP State Manipulation Denial of Service Vulnerabilities in Multiple Cisco Products
http://www.cisco.com/en/US/products/products_security_advisory09186a0080af511d.shtml

Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)
http://www.microsoft.com/technet/security/bulletin/ms09-048.mspx

martes, 8 de septiembre de 2009

Boletines de seguridad de Microsoft en septiembre

Tal y como adelantamos, este martes Microsoft ha publicado cinco boletines de seguridad (del MS09-045 al MS09-049) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft todos ellos presentan un nivel de gravedad "crítico". En total se han resuelto ocho vulnerabilidades.

Los boletines publicados son:

* MS09-045: Actualización destinada a solucionar una vulnerabilidad en el motor JScript al procesar scripts especialmente manipulados. Este fallo podría permitir a un atacante remoto ejecutar código arbitrario bajo el contexto del usuario al visitar una página web maliciosa.

* MS09-046: Actualización destinada a corregir una vulnerabilidad en el control ActiveX DHTML Editing Component que podrían permitir la ejecución remota de código si el usuario visita un sitio web específicamente creado para explotar esta vulnerabilidad. Afecta a Windows XP, 2000 y Server 2003.

* MS09-047: Actualización de seguridad para evitar dos vulnerabilidades de ejecución remota de código en Windows Media, una en reside en el tratamiento de archivos asf y otra en el de archivos mp3. Afecta a Windows 2000, XP, Vista, Server 2003 y Server 2008.

* MS09-048: Actualización para corregir tres vulnerabilidades en el tratamiento de TCP/IP, que podrían permitir denegaciones de servicio o la ejecución remota de código arbitrario a través del envío a un sistema de paquetes TCP/IP especialmente manipulados. Afecta a Windows 2000, Vista, Server 2003 y Server 2008.

* MS09-049: En este boletín se soluciona una vulnerabilidad de ejecución remota de código en el servicio Wireless LAN AutoConfig, explotable si un sistema con interfaz de red inalámbrica habilitado recibe paquetes especialmente manipulados. Afecta a Windows Vista y Server 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

La publicación de estos boletines ha coincidido precisamente en el día en que se ha anunciado una nueva vulnerabilidad (de la que ya hemos informado anteriormente) que en principio podría permitir ataques de denegación de servicio de forma sencilla en sistemas Windows Vista y 7. Pero según ciertas investigaciones sobre la vulnerabilidad todo parece indicar que también podría permitir la ejecución de código, aunque de forma algo más compleja. Evidentemente esta nueva vulnerabilidad está aun pendiente de corregir.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for September 2009
http://www.microsoft.com/technet/security/bulletin/ms09-sep.mspx

Microsoft Security Bulletin MS09-045 - Critical
Vulnerability in JScript Scripting Engine Could Allow Remote Code Execution (971961)
http://www.microsoft.com/technet/security/Bulletin/MS09-045.mspx

Microsoft Security Bulletin MS09-046 - Critical
Vulnerability in DHTML Editing Component ActiveX Control Could Allow Remote Code Execution (956844)
http://www.microsoft.com/technet/security/bulletin/MS09-046.mspx

Microsoft Security Bulletin MS09-047 - Critical
Vulnerabilities in Windows Media Format Could Allow Remote Code Execution (973812)
http://www.microsoft.com/technet/security/bulletin/MS09-047.mspx

Microsoft Security Bulletin MS09-048 - Critical
Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)
http://www.microsoft.com/technet/security/Bulletin/MS09-048.mspx

Microsoft Security Bulletin MS09-049 - Critical
Vulnerability in Wireless LAN AutoConfig Service Could Allow Remote Code Execution (970710)
http://www.microsoft.com/technet/security/bulletin/MS09-049.mspx

lunes, 7 de septiembre de 2009

"Pantallazo azul" (BSOD) en Windows Vista y 7 a través de unidades compartidas

Laurent Gaffié ha detectado un fallo de seguridad en Windows Vista que podría permitir a un atacante provocar un BSOD (pantallazo azul, una denegación de servicio) con solo enviar algunos paquetes de red manipulados a una máquina que tenga activos los servicios de compartición de archivos (protocolo SMB).

El fallo (incomprensiblemente simple) está en el intérprete de las cabeceras SMB, concretamente en el driver srv2.sys. Como los controladores operan en el "ring0", la capa de abstracción del sistema operativo más cercana al hardware (en contraste con el "ring3", la capa de usuario que no interactúa directamente con él) un fallo en cualquier driver provoca que el sistema se bloquee por completo, al no poder manejar la excepción correctamente. Se trata del temido pantallazo azul, o BSOD. Los Windows anteriores a Windows 2000 no realizaban esta separación de seguridad entre capas, por lo que todo operaba en el mismo espacio de memoria y los fallos en el espacio de usuario podían causar un bloqueo total del sistema. De ahí que los pantallazos azules fuesen mucho más comunes en Windows 9x y Me.

El ataque es tan sencillo que recuerda a los "pings de la muerte" que hicieron estragos a finales de los 90 en los sistemas Windows. Contenían un fallo en la pila TCP que hacía que, si se enviaba un ping al sistema especialmente manipulado (simplemente especificando con un parámetro, por ejemplo, un tamaño mayor del paquete) se podía hacer que el sistema dejara de responder. Esto, unido a la carencia de cortafuegos del sistema, a que en aquellos momentos las conexiones se realizaban a través de módem (que carecía de protección por cortafuegos o NAT) y el hecho de no existir servicio de actualización automático del sistema, hicieron muy popular el ataque.

Este fallo en el protocolo SMBv2 de compartición de archivos requiere igualmente del envío de una sencilla secuencia de paquetes SMB (al puerto 445) al sistema víctima con las cabeceras manipuladas. El truco está en enviar un carácter "&" en el campo "Process Id High" de las cabeceras SMBv2. Esto provoca una excepción en srv2.sys que provoca el pantallazo azul. El exploit es público y realmente sencillo.

Vista mantiene el cortafuegos activo por defecto para su perfil "público", y esto mitiga el problema. Pero todo depende del perfil. Si el usuario usa un perfil de cortafuegos (ya sea de dominio, o el perfil privado) en el que permite las conexiones a sus unidades compartidas (puerto 445, normalmente abierto en las redes locales) será vulnerable. No es necesario que comparta realmente una unidad, solo que el protocolo SMB esté activo y preparado para compartir en su sistema. Esto puede resultar especialmente grave en redes internas.

No existe parche oficial disponible. Se recomienda filtrar el puerto 445 (y los implicados también en la compartición de ficheros 137-139) a través de cortafuegos. También es posible detener el servicio "Servidor" del sistema (aunque se puede llegar a perder funcionalidad). Otra contramedida posible es desactivar la casilla "compartir archivos e impresoras" que aparece en las propiedades de las interfaces de red.

Aunque el ataque no permite ejecución de código y es poco viable que pueda propagarse por la red pública, sí que puede resultar más que molesto en redes internas donde los usuarios normalmente mantienen reglas de cortafuegos mucho más relajadas. ¿Vuelven los tiempos del "ping de la muerte"?.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Windows Vista/7 : SMB2.0 NEGOTIATE PROTOCOL REQUEST Remote B.S.O.D.
http://g-laurent.blogspot.com/2009/09/windows-vista7-smb20-negotiate-protocol.html

domingo, 6 de septiembre de 2009

Cross Site Scripting en IBM Lotus Domino Web Access

Se ha encontrado una vulnerabilidad en IBM Lotus Dominio Web Access 8.0.1 que podría permitir a un atacante ejecutar ataques de Cross Site Scripting.

La vulnerabilidad está provocada por un error de validación de entradas al procesar los datos introducidos por el usuario en algún campo no especificado en el aviso de IBM. Esto podría ser explotado por un atacante para lograr la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se recomienda instalar el Hotfix Pack 211.241 disponible desde:
http://www.ibm.com/support/fixcentral


Antonio Ropero
antonior@hispasec.com


Más información:

8.0.1 Lotus iNotes (DWA) 211.241 Cumulative Interim Fix – Readme
http://www-01.ibm.com/support/docview.wss?uid=swg27016745

sábado, 5 de septiembre de 2009

Denegación de servicio a través de IPv6 en Solaris 10 y OpenSolaris

Se ha detectado un problema de seguridad en la implementación de Ipv6 en Sun Solaris 10 que podría permitir a un atacante remoto provocar una denegación de servicio.

El fallo reside en Solaris IPv6 en la pila de red al interactuar con el driver "Cassini Gigabit-Ethernet" y tramas "jumbo" que podrían permitir a un atacante remoto causar una denegación de servicio.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 10 instalar 141414-10 desde:
http://sunsolve.sun.com/pdownload.do?target=141414-10&method=h

Para x86:
Solaris 10 instalar 141415-10 desde:
http://sunsolve.sun.com/pdownload.do?target=141415-10&method=h

OpenSolaris:
Solucionado en los sistemas basados en snv_123 o posterior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability with the Solaris IPv6 Networking Stack Involving the Cassini Gigabit-Ethernet Device Driver and Jumbo Frames
http://sunsolve.sun.com/search/document.do?assetkey=1-66-265608-1

viernes, 4 de septiembre de 2009

Microsoft publicará cinco boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan cinco boletines de seguridad. Las cinco actualizaciones afectan a toda la gama de sistemas operativos Microsoft.

Si en agosto se publicaron nueve boletines dentro del ciclo habitual, este mes Microsoft prevé publicar cinco actualizaciones el martes 8 de septiembre. Los cinco boletines se consideran críticos.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Al parecer Microsoft no ha tenido tiempo de solucionar el grave fallo de seguridad en el servidor FTP de IIS. Microsoft ha confirmado la vulnerabilidad que apareció por sorpresa como exploit, y que permite ejecución de código en IIS 5 y Windows 2000. El "advisory" publicado por Microsoft ha sido actualizado para reconocer dos vulnerabilidades, una que permite ejecución de código y otra que puede hacer que el servidor deje de responder. Dada la gravedad de la situación, se prevé que Microsoft publique un boletín fuera del ciclo habitual en cuanto disponga de un parche efectivo y comprobado.

Los parches anunciados están sujetos a cambios, en cualquier caso, con lo que no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerabilities in the FTP Service in Internet Information Services
http://www.microsoft.com/technet/security/advisory/975191.mspx

jueves, 3 de septiembre de 2009

La última actualización de Mac OS X contiene una versión de Flash vulnerable y un rudimentario "antivirus"

Snow Leopard, el nombre en clave que Apple ha dado a su Mac OS X 10.6 instala una versión antigua y vulnerable de Adobe Flash Player. Incluso si el usuario ya poseía la última versión de Flash Player, al actualizar el sistema operativo, quedaría otra vez vulnerable con la versión 10.0.23.1 de Adobe, que contiene fallos de seguridad conocidos.

La actual versión de Flash es la 10.0.32.18. Apple ha incluido en su última actualización del sistema operativo (lanzado el 28 de agosto), la 10.0.23.1 y la instala sin avisar aunque se posea una versión no vulnerable. El "downgrade" se hace de forma totalmente silenciosa para el usuario. Para solucionarlo, se debe acudir a la página oficial de Adobe y descargar la última versión a mano.

En este nuevo Mac OS X también se ha incluido un rudimentario sistema "antivirus". Tan rudimentario que parece reconocer solo dos familias de malware que suele atacar al sistema operativo de Apple y solo comprueba las descargas por Safari. No limpia el sistema ni nada parecido, solo aconseja de la peligrosidad del archivo. Es un movimiento que ha causado cierta sorna entre la industria. Realmente es un gesto que debe valorarse positivamente, pero de poca utilidad real. Apple ha realizado por fin un movimiento claro en contra del malware que ataca a su sistema operativo, y aunque resulte un gesto infantil, casi ingenuo, puede marcar una nueva forma de afrontar la seguridad en Mac OS X a largo plazo, al asumir por fin el malware como uno de los potenciales frentes que debe combatir. El gesto tiene poca utilidad real porque resulta trivial eludir esa mínima protección, pero "algo es algo".

En este "despiste" por parte de Apple a la hora de ofrecer una versión de Flash, se unen dos de las compañías que más problemas de seguridad están sufriendo en estos tiempos: Apple y Adobe. Adobe con sus esfuerzos por gestionar la seguridad ahora que se enfrenta a ella de un modo más serio, y Apple con su eterna lucha para solucionar problemas a tiempo. Por poner algunos ejemplos de los fallos de organización que han sufrido: Hace poco, fue la propia Adobe la que ponía a disposición de los usuarios una versión vulnerable de Reader desde su sitio oficial. Subsanó el error cuando fue duramente criticada. Apple, por otro lado, en su macro-actualización de mayo corregía 67 vulnerabilidades pero dejaba sin solución un grave problema en el JRE (Java Runtime Environment) que llevaba oficialmente corregido seis meses. Lo solucionó semanas después.

Otro error de seguridad cometido por Apple, según Chester Wisniewski de Sophos, es que con esta actualización al nuevo Leopard, se deshabilita sin previo aviso la contraseña del salvapantallas, con lo que el usuario deberá activarla de nuevo a mano.


Sergio de los Santos
ssantos@hispasec.com


Más información:

How the Anti-Malware Function in Apple?s Snow Leopard Works
http://blog.intego.com/

Apple ships a known vulnerable version of Flash with Snow Leopard
http://www.sophos.com/blogs/chetw/g/2009/09/02/snow-leopard-downgrades-security-misses-opportunity-improve/

Snow Leopard downgrades security and misses opportunity to improve
http://www.sophos.com/blogs/chetw/g/2009/09/02/snow-leopard-downgrades-security-misses-opportunity-improve/

20/05/2009 Mac OS X no corrige una grave vulnerabilidad en Java Runtime Environment solucionada hace 6 meses
http://www.hispasec.com/unaaldia/3861

miércoles, 2 de septiembre de 2009

Ejecución de código en Dnsmasq a través de TFTP

Existen varios fallos en el módulo TFTP de Dnsmasq que provocan un desbordamiento de memoria intermedia basado en heap y una referencia a puntero nulo. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través del envío de paquetes especialmente manipulados.

Dnsmasq es un servidor DNS y DHCP principalmente. También incluye otras funcionalidades como TFTP y BOOTP.

Esta aplicación es muy ligera y fácil de configurar; además se distribuye bajo licencia GPL. Se encuentra integrada en algunas distribuciones de Linux y en los firmware para los routers más famosos en la comunidad opensource, OpenWRT y DD-WRT.

En muchos sistemas el módulo TFTP no está activo por defecto y ha de ser configurado y arrancado para poder ser vulnerable. Como excepción, en la versión 8.09 de OpenWRT se habilitó por defecto este modulo.

Este fallo ha sido solucionado en la versión 2.50 de DNSmasq.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Dnsmasq Heap Overflow and Null-pointer Dereference on TFTP Server
http://www.coresecurity.com/content/dnsmasq-vulnerabilities

Anuncio oficial en dnsmasq:
http://www.thekelleys.org.uk/dnsmasq/CHANGELOG

Changeset 15207 en OpenWrt:
https://dev.openwrt.org/changeset/15207

martes, 1 de septiembre de 2009

Vulnerabilidad en el FTP de Microsoft IIS 5 permite ejecución de código

Kingcope (quien también descubrió el reciente fallo Webdav en IIS) ha publicado (sin previo aviso al fabricante) un exploit funcional que permite a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tenga el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permite provocar una denegación de servicio.

Microsoft engloba dentro del "paquete" IIS, entre otros, al conocido servidor web IIS y un servidor FTP que no se instala por defecto en ningún caso. La versión 5.x de IIS se encuentra sólo en servidores Windows 2000. Windows 2003 venía con IIS 6.x y Windows 2008 con la rama 7.x. Estrictamente hablando, no se trata de un 0 day, puesto que el fallo no ha sido detectado en ataques reales a sistemas. No se tiene constancia de que esté siendo aprovechado para vulnerar servidores.

El problema es grave, puesto que permite a cualquier usuario con permisos de escritura en el FTP ejecutar código en el sistema con los máximos privilegios. Básicamente, si el atacante puede hacer un MKDIR por FTP (crear un directorio), el servidor completo podría quedar comprometido si se trata de un IIS 5.x y provocar que deje de responder si es un IIS 6.x. El fallo reside en un desbordamiento de memoria intermedia en el comando NLST del servidor FTP.

El exploit publicado por Kingcope (muy sencillo de usar) crea un usuario con privilegios de administrador, pero offensive-security.com lo ha mejorado para que enlace una consola a un puerto y poder así acceder más fácilmente al servidor comprometido. No era trivial puesto que por la naturaleza del fallo, el espacio para inyectar el shellcode (código máquina que contiene las instrucciones que el atacante ejecuta gracias a la vulnerabilidad) no es demasiado extenso (unos 500 bytes).

Se recomienda a los administradores de servidores Windows con IIS y el servidor FTP habilitado, que eliminen los permisos de escritura a todos lo usuarios que tengan acceso a él. El problema se agrava si el servidor permite escribir a usuarios anónimos. Ya existe un script de nmap que permite buscar servidores con estas características. Microsoft ha reconocido la vulnerabilidad pero aún no ha publicado ninguna nota oficial al respecto.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft IIS FTP 5.0 Remote SYSTEM Exploit
http://www.offensive-security.com/blog/vulndev/microsoft-iis-ftp-5-0-remote-system-exploit/

Microsoft Internet Information Services (IIS) FTP Service Vulnerability
http://www.us-cert.gov/current/index.html#microsoft_internet_information_services_iis1