sábado, 31 de octubre de 2009

Once boletines de seguridad para Mozilla Firefox

La Fundación Mozilla ha publicado once boletines de seguridad para solucionar diversas vulnerabilidades en Mozilla Firefox que podrían ser aprovechadas por un atacante remoto para manipular o revelar información sensible, saltarse restricciones de seguridad o comprometer un sistema vulnerable.

A continuación se detallan las vulnerabilidades publicadas:

El primero de los problemas reside en un error en la forma en la que Firefox maneja el historial de formularios. Esta vulnerabilidad podría permitir a un atacante remoto robar los datos guardados y hacer que el explorador rellene automáticamente los formularios a través de una página web especialmente manipulada.

Otro error se presenta en la forma en que Firefox nombra a los ficheros temporales de descarga. Un atacante local podría aprovechar este problema para ejecutar código arbitrario a través de un cambio del contenido de los ficheros temporales de descarga.

La creación recursiva de web-workers en JavaScript puede ser empleada para crear un conjunto de objetos cuya memoria puede ser liberada antes de su uso. Estas condiciones habitualmente producen una denegación de servicio, que potencialmente podrían permitir a un atacante la ejecución de código arbitrario.

Múltiples vulnerabilidades se deben a la forma en que Firefox procesa el contenido web incorrecto, un atacante remoto podría provocar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una página web especialmente manipulada.

Otro boletín trata un error en el procesador de imágenes GIF de Firefox que podría causar un desbordamiento de memoria basada en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una imagen GIF especialmente manipulada.

Otro error corregido se presenta en las rutinas de conversión de cadena a coma flotante de Firefox, que podría provocar un desbordamiento de memoria basado en heap. Un atacante remoto podría aprovechar este problema para causar una denegación de servicio y potencialmente ejecutar código arbitrario con los permisos del usuario a través de una pagina web con código JavaScrip especialmente manipulado.

Otro boletín se refiere a un error en la forma en que Firefox maneja la selección de texto. Un atacante remoto podría aprovechar este problema para ver el texto seleccionado por el usuario desde un dominio diferente a través de un sitio web especialmente manipulado.

Un error se presenta en la forma en que Firefox muestra el nombre cuando se descarga un archivo, lo que permitiría mostrar nombres diferentes en la barra de título y en el cuerpo de dialogo. Un atacante remoto podría realizar un ataque de hombre en el medio y ejecutar código arbitrario a través de un fichero especialmente manipulado.

Mozilla también ha actualizado diversas librerías de terceras partes para corregir fallos en el tratamiento de la memoria y bugs de estabilidad.

Se recomienda actualizar a Mozilla Firefox versiones 3.5.4 o 3.0.15 :
http://www.mozilla.com/firefox/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Mozilla Foundation Security Advisory 2009-52
Form history vulnerable to stealing
http://www.mozilla.org/security/announce/2009/mfsa2009-52.html

Mozilla Foundation Security Advisory 2009-53
Local downloaded file tampering
http://www.mozilla.org/security/announce/2009/mfsa2009-53.html

Mozilla Foundation Security Advisory 2009-54
Crash with recursive web-worker calls
http://www.mozilla.org/security/announce/2009/mfsa2009-54.html

Mozilla Foundation Security Advisory 2009-55
Crash in proxy auto-configuration regexp parsing
http://www.mozilla.org/security/announce/2009/mfsa2009-55.html

Mozilla Foundation Security Advisory 2009-56
Heap buffer overflow in GIF color map parser
http://www.mozilla.org/security/announce/2009/mfsa2009-56.html

Mozilla Foundation Security Advisory 2009-57
Chrome privilege escalation in XPCVariant::VariantDataToJS()
http://www.mozilla.org/security/announce/2009/mfsa2009-57.html

Mozilla Foundation Security Advisory 2009-59
Heap buffer overflow in string to number conversion
http://www.mozilla.org/security/announce/2009/mfsa2009-59.html

Mozilla Foundation Security Advisory 2009-61
Cross-origin data theft through document.getSelection()
http://www.mozilla.org/security/announce/2009/mfsa2009-61.html

Mozilla Foundation Security Advisory 2009-62
Download filename spoofing with RTL override
http://www.mozilla.org/security/announce/2009/mfsa2009-62.html

Mozilla Foundation Security Advisory 2009-63
Upgrade media libraries to fix memory safety bugs
http://www.mozilla.org/security/announce/2009/mfsa2009-63.html

Mozilla Foundation Security Advisory 2009-64
Crashes with evidence of memory corruption (rv:1.9.1.4/ 1.9.0.15)
http://www.mozilla.org/security/announce/2009/mfsa2009-64.html

viernes, 30 de octubre de 2009

Denegación de servicio a través de disectores en Wireshark

Se han anunciado diversas vulnerabilidades de denegación de servicio en Wireshark versiones 0.10.10 a 1.2.2.

Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Los problemas residen en errores en los disectores RADIUS, DCERPC/NT, SMB y Paltalk a la hora de procesar tráfico en estos protocolos. Los fallos podrían permitir a un atacante remoto provocar una denegación de servicio a través de paquetes especialmente manipulados.

Se recomienda actualizar a Wireshark 1.2.3 desde:
http://www.wireshark.org/download.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Wireshark 1.2.3, 1.0.10, and 1.3.1 Released
http://www.wireshark.org/news/20091027.html

jueves, 29 de octubre de 2009

Tres vulnerabilidades en el navegador Opera

Se han identificado y corregido tres vulnerabilidades que afectan al navegador Opera (versiones anteriores a 10.01). Un atacante podría hacer uso de ellas para evitar restricciones de seguridad, falsificar o conseguir información o llegar a comprometer los sistemas afectados.

La primera de las vulnerabilidades se trata de un error de degradación de memoria al procesar nombres de dominio específicamente construidos, esto podría provocar la ejecución de código arbitrario a través de una
página creada con propósitos maliciosos.

El segundo de los problemas está provocado por errores de validación de entrada en la página de suscripción a feed al procesar determinados scripts, esto podría dar lugar a la suscripción automática a feeds, o leer otros feeds.

Por último, un error provocado por el tratamiento de fuentes Web al generar partes del interfaz de usuario, esto podría permitir que un sitio web malicioso mostrara un dominio falso en el campo de dirección. Un atacante podría usar esta vulnerabilidad para falsificar sitios web, crear ataques de phishing, etc.

Se recomienda actualizar a Opera versión 10.01 disponible desde:
http://www.opera.com/browser/


Antonio Ropero
antonior@hispasec.com


Más información:

Opera 10.01 for Windows Changelog
http://www.opera.com/docs/changelogs/windows/1001/

Advisory: Certain domain names can allow execution of arbitrary code
http://www.opera.com/support/search/view/938/

Advisory: Opera may allow scripts to access feeds
http://www.opera.com/support/search/view/939/

Advisory: Web fonts can be used to spoof the page address
http://www.opera.com/support/search/view/940/

miércoles, 28 de octubre de 2009

Una-al-día cumple 11 años y libro gratis de regalo

Hoy, 28 de octubre, se cumple el undécimo aniversario de "una-al-día", primer diario de información técnica sobre seguridad informática en español. Sobrepasamos la década informando sobre virus, vulnerabilidades, fraudes, alertas, y reflexiones sobre la seguridad en Internet. Más de 4.000 noticias. El año anterior, lo celebramos poniendo a la venta un libro que festejaba la primera década. Este año, regalamos el libro en formato digital.

Seguimos peleándonos con la saturación de información que proporciona la web 2.0, intentado diferenciarnos en cuestión de calidad técnica e independencia de los artículos. Sigue intacta la capacidad de decir lo que queramos cuando queramos, sin ningún tipo de presiones. Lo que nos resulta mucho más complicado en estos días, es ser los primeros (o a veces incluso puntuales) a la hora de ofrecer la información. Existen ahí fuera excelentes blogs, cuentas en twitter, facebook y páginas dedicadas a la seguridad, y nos parece estupendo porque es el lector el que finalmente sale ganando con tanta oferta. Estamos muy orgullosos de seguir produciendo una-al-día y poder ofrecerlas a nuestros suscriptores, que entre todos los canales de distribución, suman muchas decenas de miles.

Hoy vamos a regalar en formato PDF el libro que publicamos el año pasado. Además, lo hemos complementado, ampliado y corregido. Ahora abarca desde 1998 hasta 2009. Durante todo un año se ha podido comprar solo en papel. Nuestra idea no era hacer negocio con él, sino que fue concebido como un detalle para todos los seguidores de una-al-día que querían conservar un recuerdo físico del décimo aniversario. Ahora, pasado un año, todo el que lo desee puede descargarlo desde esta URL:

http://www.hispasec.com/uad/index_html

Convertido en una reedición que abarca un año más que la edición del año pasado. Por supuesto, también quien lo desee puede seguir comprándolo en papel.

Gracias a todos. En especial, a nuestros fieles suscriptores: desde la primera persona que leyó el boletín en octubre de 1998, hasta el usuario del último correo que se ha suscrito al servicio hace apenas unos
minutos.


Sergio de los Santos
ssantos@hispasec.com



martes, 27 de octubre de 2009

Vulnerabilidad de Cross Site Scripting en IBM Lotus Connections

IBM ha confirmado una vulnerabilidad en IBM Lotus Connections 2.5.0.0, que podría permitir a un atacante ejecutar ataques de Cross Site Scripting.

IBM Lotus Connections es un software social específicamente diseñado para el entrono empresarial. Permite utilizar los conocimientos de la organización, socios y clientes al establecer de forma dinámica
conexiones entre las personas, la experiencia que éstas tienen y las tareas que ejecutan.

El problema se debe a un error de validación de entradas en las páginas de "Actividades " para móviles. Un atacante podría explotar este problema para lograr la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se recomienda aplicar el Interim Fix LO43637 disponible desde:
http://www.ibm.com/eserver/support/fixes/fixcentral/swgquickorder?apar=LO43637&vrmf=2.5.0.0&productid=Lotus%20Connections&brandid=2


Antonio Ropero
antonior@hispasec.com


Más información:

LO43637 Mobile: Mandatory iFix: XSS fixes for mobile Activities pages
http://www-01.ibm.com/support/docview.wss?uid=swg24024303

lunes, 26 de octubre de 2009

Salto de políticas de seguridad en Asterisk

Se ha confirmado la existencia de una vulnerabilidad en Asterisk 1.6, que podría permitir a un atacante evitar restricciones de seguridad.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El problema se debe a que no se realiza una comprobación ACL cuando se tramitan SIP INVITEs, un atacante podría emplear esto para que un dispositivo realice llamadas en redes destinadas a ser prohibidas tal y como se hayan defino en las líneas "deny" y "permit" de "sip.conf".

Se recomienda actualizar a Asterisk Open Source versión 1.6.1.8 :
ftp://ftp.digium.com/pub/telephony/asterisk

O aplicar el parche :
http://downloads.digium.com/pub/security/AST-2009-007-1.6.1.diff.txt


Antonio Ropero
antonior@hispasec.com


Más información:

Asterisk Project Security Advisory - AST-2009-007
http://downloads.asterisk.org/pub/security/AST-2009-007.html

domingo, 25 de octubre de 2009

Actualización de XScreenSaver para Sun Solaris 10

Se ha detectado un problema de seguridad en XScreenSaver para Sun Solaris 10 que podría permitir a un atacante local obtener información sensible en los sistemas protegidos por este protector de pantalla.

El problema reside en una regresión introducida en los parches 120094-27 para plataforma SPARC y en el 120095-27 para la plataforma x86. Un atacante local podría obtener información sensible protegida por el
protector XScreenSaver cuando la función de accesibilidad se encuentra activada.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 10 instalar 120094-29 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=120094-29&method=h

Para x86:
Solaris 10 instalar 120095-29 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=120095-29&method=h


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Regression in the Solaris 10 Gnome-XScreenSaver (see xscreensaver(1)) may Allow Pop-up Windows to Appear through XScreenSaver when the Accessibility Feature is On
http://sunsolve.sun.com/search/document.do?assetkey=1-66-268288-1

sábado, 24 de octubre de 2009

Denegación de servicio en WordPress

Se ha confirmado la existencia de una vulnerabilidad en WordPress por la que un atacante remoto podría realizar ataques de denegación de servicio de forma sencilla.

WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. WordPress es uno de los gestores de blogs más extendido en la blogosfera.

El problema, descubierto por Jose Carlos Norte, reside en que un usuario remoto puede enviar una serie de peticiones especialmente construidas que contengan codificaciones multibyte para provocar que el script
"wp-trackbacks.php" consuma grandes recursos de CPU.

Se ha publicado la versión 2.8.5 que corrige este problema, disponible desde:
http://wordpress.org/development/2009/10/wordpress-2-8-5-hardening-release/
Aunque también se recomienda la lectura de la descripción de la vulnerabilidad en:
http://rooibo.wordpress.com/2009/10/17/agujero-de-seguridad-en-wordpress/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Agujero de seguridad muy grave en WordPress
http://rooibo.wordpress.com/2009/10/17/agujero-de-seguridad-en-wordpress/

WordPress 2.8.5: Hardening Release
http://wordpress.org/development/2009/10/wordpress-2-8-5-hardening-release/

viernes, 23 de octubre de 2009

Denegación de servicio a través de paquetes IPv6 en Snort

Se ha descubierto un fallo de seguridad en Snort 2.8.5 que podría permitir a un atacante remoto efectuar ataques de denegación de servicio.

Snort es uno de los IDS (Sistema de Detección de Intrusiones) más extendidos. Distribuido de forma gratuita como Open Source, Snort puede detectar muchos de los patrones de ataque conocidos basándose en el
análisis de los paquetes de red según unas bases de datos de firmas, además de reglas genéricas. Habitualmente la función de estos detectores es la de alertar sobre actividades sospechosas a través de cualquier mecanismo, aunque en ocasiones puede usarse para lanzar medidas destinadas a mitigar de forma automática el posible problema descubierto por el sensor.

El error anunciado se presenta cuando snort se ha compilado con la opción --enable-ipv6 y se ejecuta en modo detallado (-v). Un atacante remoto podría provocar una denegación de servicio a través de paquetes
IPv6 especialmente manipulados.

Se ha publicado la versión 2.8.5.1 que corrige este problema y se encuentra disponible desde :
http://www.snort.org/downloads


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Snort 2.8.5 IPv6 Remote Denial of service
http://g-laurent.blogspot.com/

jueves, 22 de octubre de 2009

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa dos vulnerabilidades que podrían ser aprovechadas por un atacante para obtener información sensible.

Los problemas corregidos son:

El primero de los problemas se produce al inicializar campos de estructura en el "subsistema netlink". La segunda vulnerabilidad reside en un error al inicializar un campo de la estructura "tcm__pad1" y un campo de la estructura "tcm__pad2" en la función "tc_fill_tclass" de "net/sched/sch_api.c".

Ambos fallos podrían ser aprovechados por un atacante local para obtener información de la memoria del núcleo a través de vectores no determinados.

También se han corregido otros ocho fallos no relacionados con problemas de seguridad.

Se recomienda actualizar a través de las herramientas automáticas
up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Moderate: kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2009-1522.html

miércoles, 21 de octubre de 2009

Corregidas dos vulnerabilidades en Websense Email Security

Se ha publicado un "HotFix" para Websense Email Security v7.1 destinado a corregir dos vulnerabilidades, la primera de ellas podría permitir la realización remota de ataques de denegación de servicio, mientras que la segunda podría permitir la construcción de ataques de cross-site scripting.

El primero de los problemas anunciados reside en la posibilidad de provocar la caída y reinicio del servicio "stemwadm.exe" si un usuario remoto envía datos específicamente construidos al interfaz de administración web.

Una segunda vulnerabilidad reside en que el interfaz de administración no filtra adecuadamente el código HTML introducido por el usuario antes de mostrarlo. De esta forma, un atacante remoto podría crear una URL que al ser cargada por un usuario permita la ejecución de código script arbitrario en el navegador del usuario. El código se origina desde el sitio que ejecuta Websense en el contexto de seguridad de este sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Websense ha publicado el Hotfix 4 para Websense Email Security v7.1 disponible desde:
http://kb.websense.com/pf/12/webfiles/KB%20Attachments/WES/KBA4786/WES_7.1_HF4.zip


Antonio Ropero
antonior@hispasec.com


Más información:

About Hotfix 4 for Websense Email Security v7.1
http://kb.websense.com/display/4/kb/article.aspx?aid=4786

martes, 20 de octubre de 2009

Grupo de parches de octubre para diversos productos Oracle

Oracle ha publicado un conjunto de 38 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden provocar denegaciones de servicio, ejecutar código arbitrario, tener acceso de escritura y lectura a datos sensibles, perpetrar ataques de inyección SQL y eludir restricciones de seguridad.

Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
* Oracle Database 10g, versión 10.1.0.5
* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.4.0, 10.1.3.5.0
* Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
* Oracle Business Intelligence Enterprise Edition, versiones 10.1.3.4.0, 10.1.3.4.1
* Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* AutoVue, versión 19.3
* Agile Engineering Data Management (EDM), versión 6.1
* PeopleSoft PeopleTools & Enterprise Portal, versión 8.49
* PeopleSoft Enterprise HCM (TAM), versión 9.0
* JDEdward Tools, versión 8.98
* Oracle WebLogic Server 10.0 hasta MP1 y 10.3
* Oracle WebLogic Server 9.0 GA, 9.1 GA y 9.2 hasta 9.2 MP3
* Oracle WebLogic Server 8.1 hasta 8.1 SP5
* Oracle WebLogic Server 7.0 hasta 7.0 SP6
* Oracle WebLogic Portal, versiones 8.1 hasta 8.1 SP6, 9.2 hasta 9.2 MP3, 10.0 hasta 10.0MP1, 10.2 hasta 10.2MP1 y 10.3 hasta 10.3.1
* Oracle JRockit R27.6.4 y earlier (JDK/JRE 6, 5, 1.4.2)
* Oracle Communications Order y Service Management, versiones 2.8.0, 6.2.0, 6.3.0 y 6.3.1

De las 38 correcciones:

* 16 afectan a Oracle Database. Seis de las cuales no requieren un usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Core RDBMS, Network Authentication, Data Mining, Oracle Spatial, PL/SQL, Application Express, Workspace Manager, Net Foundation Layer, Authentication, Advanced Queuing, Oracle Text, Data Pump y Auditing.

* Tres afectan a Oracle Application Server. Dos de las cuales no requieren usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Business Intelligence Enterprise Edition y Portal.

* Ocho afectan a Oracle E-Business Suite. Cinco de las cuales no requieren usuario y contraseña válidos para poder ser aprovechadas. Los componentes afectados son: Oracle Advanced Benefits, Agile Engineering Data Management (EDM), Oracle Application Object Library, Oracle Applications Framework, Oracle Applications Technology Stack y AutoVue.

* Cuatro afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Todas requieren estar autenticado en el sistema para poder aprovecharlas. Los componentes afectados son: PeopleSoft PeopleTools & Enterprise Portal, PeopleSoft Enterprise HCM (TAM) y JD Edwards Tools.

* Seis afectan a BEA Products Suite. Todas puedes ser explotadas de forma remota sin autenticación. Los componentes afectados son: Jrockit, WebLogic Portal y WebLogic Server.

* Por último una vulnerabilidad para Oracle Industry Applications que afecta a Oracle Communications Order y Service Management.

Dada la diversidad de productos afectados y el número de vulnerabilidades se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponible desde la notificación oficial:

Oracle Critical Patch Update Advisory - October 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html


Antonio Ropero
antonior@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - October 2009
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuoct2009.html

lunes, 19 de octubre de 2009

Rumorología antivirus

"A una colectividad se le engaña siempre mejor que a un hombre". A bote pronto esta afirmación de Pío Baroja puede parecer errónea, pero enseguida cobra sentido si pensamos en el fenómeno de la rumorología, cómo una información falsa puede expandirse con gran fuerza en un colectivo, donde los individuos actúan como cadenas propagando el rumor de forma inconsciente.

El origen de un rumor puede ser intencionado e interesado, de hecho es una de las técnicas bien conocidas para la manipulación de masas de cara a influir en el comportamiento voluntario de los individuos. "Miente, miente, que algo quedará. Una mentira repetida mil veces se convierte en una realidad", que decía Joseph Goebbels, ministro encargado de la propaganda nazi en tiempos de Hitler. En otras ocasiones el origen de un rumor no es intencionado, pero no por ello deja de ser menos efectivo.

¿Por qué se propaga un rumor?. Probablemente se pueda encontrar mucha literatura sobre la psicología del rumor, si bien una de las causas palpables es la falta de crítica y criterio propio de los individuos a la hora de dar por buena y propia la información que reciben. Hay que analizar y contrastar la noticia, que dirían los periodistas.

Otro aspecto interesante del rumor es que evoluciona y se intensifica al transmitirse. Cada uno de los individuos puede añadir elementos a la información para dotarla de mayor credibilidad de cara a terceros, por lo que el bulo crece con fuerza a medida que se propaga aprovechando las relaciones de confianza entre individuos. Una misma historia puede sonar más o menos convincente dependiendo del grado de confianza que tengas en el transmisor.

¿Pero que tiene todo esto que ver con los antivirus? ¿Vamos a hablar de los mensajes sobre falsos virus que pueden llegar a nuestro buzón y que la gente reenvía? Pues no, vamos a ver como los propios antivirus pueden verse afectados por la rumorología, como partiendo de una información falsa no analizada y contrastada pueden propagar y aumentar un error de forma inconsciente.

En el 2002 se llevó a cabo en España la II Campaña de Seguridad en la Red, encabezada por la Asociación de Internautas con la colaboración de diversas instituciones, desde el Ministerio de Ciencia y Tecnología hasta medios de comunicación. Entre otras actuaciones se facilitó de forma gratuita diverso software de seguridad: Antivirus de Panda, CheckDialer de Hispasec o una pequeña utilidad desarrollada por la propia Asociación de Internautas denominada "AlertVir". Es esta última la protagonista de nuestra historia.

AlertVir es una especie de "avisador", tipo cliente RSS para Windows, que muestra información sobre malware de nueva aparición. Un programa tan pequeño como legítimo e inofensivo. Algunas heurísticas de varios motores antivirus empezaron a detectar de forma errónea esta utilidad, es lo que llamamos "falso positivo":

CAT-QuickHeal: (Suspicious) - DNAScan
Fortinet: PossibleThreat
Norman: W32/Suspicious_U.gen
Sophos: Mal/Packer
Sunbelt: VIPRE.Suspicious

Como puede observarse las primeras detecciones eran muy genéricas, en los nombres dados se hace mención a "sospechoso" ó "posible amenaza". La clave sin embargo la podemos encontrar en la firma de Sophos que lo identifica como "Mal/Packer", lo que nos da una pista de porque algunos motores antivirus empezaron a detectarlo. El ejecutable de AlertVir está comprimido con la utilidad "UPack" para hacerlo más pequeño. Algunos creadores de malware también utilizan este tipo de utilidades para ofuscar sus especímenes, por lo que algunos antivirus optaron por el camino más fácil: identificar directamente como sospechoso cualquier software que utilice alguno de estos packers.

Lo que en principio fue un caso más de falso positivo y heurísticas paranoicas ha ido degenerando con el tiempo a medida de que otros antivirus detectaban la utilidad como malware, probablemente llevados a equívoco por alguna de esas primera detecciones. El caso es que ya no se trataba de heurísticas paranoicas basadas en el packer, sino que los motores empezaron a crear una firma específica para detectar a AlertVir identificándolo como malware con nombre propio:

AntiVir: PHISH/FraudTool.AlertVir.A
AhnLab-V3: Win-AppCare/Alertvir.46788
Authentium: W32/Alertvir.A
Comodo: ApplicUnsaf.Win32.FraudTool.AlertVir
eTrust-Vet: Win32/Tarliver.A
F-Prot: W32/Alertvir.A
F-Secure: FraudTool.Win32.AlertVir.a
VBA32: FraudTool.AlertVir.a
ViRobot: Adware.AlertVir.46788

Por las denominaciones antivirus podemos apreciar que en estos casos se trata de una identificación unívoca (AlertVir), no por heurística, y por los prefijos la mayoría lo cataloga como herramienta para llevar a cabo algún tipo de fraude (FraudTool).

¿Cómo es posible que distintos análisis llevados a cabo por laboratorios antivirus independientes lleguen a una misma conclusión errónea?. La respuesta es simple, porque no se han llevado a cabo esos análisis independientes, sino que se han dejado arrastrar e influenciar unos por otros (eufemismos aparte, porque se copian entre ellos).

Con el transcurso del tiempo la bola de nieve ha ido creciendo cual rumor, ya que cada uno de esos motores que identificaron erróneamente a la aplicación hacían más creíble que se trataba de un malware, y el resultado a día de hoy es que, nada más y nada menos, 31 motores antivirus identifican a AlertVir:

a-squared: Win32.SuspectCrc!IK
AntiVir: PHISH/FraudTool.AlertVir.A
Antiy-AVL: FraudTool/Win32.AlertVir.gen
Authentium: W32/Alertvir.A
Avast: Win32:Trojan-gen
AVG: Suspicion: unknown virus
BitDefender: Trojan.Small.AVB
CAT-QuickHeal: FraudTool.AlertVir.a (Not a Virus)
Comodo: Heur.Packed.Unknown
DrWeb: Trojan.Fakealert.380
eSafe: Win32.Trojan
eTrust-Vet: Win32/Tarliver.A
F-Prot: W32/Alertvir.A
F-Secure: Trojan.Small.AVB
Fortinet: PossibleThreat
GData: Trojan.Small.AVB
Ikarus: Win32.SuspectCrc
Jiangmin: TrojanDropper.Agent.aehe
K7AntiVirus: not-a-virus:FraudTool.Win32.AlertVir
Kaspersky: not-a-virus:FraudTool.Win32.AlertVir.a
McAfee-GW-Edition: Phish.FraudTool.AlertVir.A
nProtect: Trojan/W32.Small.46788
PCTools: FraudTool.AlertVir!sd5
Sophos: Sus/ComPack-C
Sunbelt: Trojan.Win32.Packer.Upack0.3.9 (v)
Symantec: Trojan Horse
TheHacker: Aplicacion/AlertVir.a
TrendMicro: TROJ_SMALL.FCY
VBA32: FraudTool.AlertVir.a
ViRobot: Adware.AlertVir.46788
VirusBuster: Packed/Upack

¿Es lícito que los antivirus se copien? Desde mi punto de vista, dado el aluvión de malware que sufrimos hoy día, es necesaria la colaboración entre antivirus. Es materialmente imposible que un solo laboratorio tenga capacidad suficiente para analizar al detalle todos los especímenes que surgen a diario. El caso "AlertVir" es un efecto colateral no deseado, pero en general la colaboración es beneficiosa para todos los antivirus y por ende para la seguridad global.

Para minimizar situaciones similares sí sería deseable establecer mejores controles antes de dar como buena la detección de otro motor, por muy reputado que nos parezca, y siempre evitando la copia de firmas indiscriminadas sin algún tipo de análisis independiente adicional (evitar el plagio sin más). Como con los rumores en el boca a boca, es necesario cierto sentido crítico antes de dar por buena la información que recibimos y hacernos eco de ella.

Otra área de oportunidad interesante es la colaboración de la industria para la gestión de los falsos positivos. Los errores son inevitables en cualquier actividad, y el determinar si un software es malintencionado o legítimo es una tarea más complicada cada día, no existe un algoritmo perfecto. Si a eso le sumamos que, dada la cantidad de malware, la industria se ha visto obligada de pasar de los analistas humanos a la automatización a la hora de discernir el goodware del malware, el ratio de errores se ha incrementado considerablemente.

Hasta la fecha los errores por falsos positivos se suelen gestionar de forma individual. En el propio caso "AlertVir" hubo al menos dos casas antivirus que rectificaron y eliminaron sus firmas de detección, si bien ese conocimiento no se propagó al resto de laboratorios. En la actualidad existen canales de colaboración para el intercambio de muestras de malware y amenazas en general, sería beneficioso que se establecieran mecanismos similares para corregir errores por ese "exceso de celo". La industria del desarrollo de software, cada vez más golpeada por los falsos positivos, lo agradecerá.


bernardo@hispasec.com
Bernardo Quintero


Más información:

Detección de alertvir.exe en VirusTotal
http://www.virustotal.com/analisis/ffb1db59eca78eceb66365d5dd4605a3a0e69c92f
bbb30e5b3e0e7b147b9a079-1255884096

Alertvir, paradojas antivirus
http://blog.hispasec.com/laboratorio/303

AlertVir
http://www.alertvir.es

domingo, 18 de octubre de 2009

Actualización para múltiples vulnerabilidades en productos VMWare ESX

Se han corregido múltiples vulnerabilidades en VMWAre ESX, que podrían ser aprovechadas por un atacante para descubrir información sensible, causar una denegación de servicios o comprometer los sistemas afectados.

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales.

Se han corregido un total de 48 vulnerabilidades que residen en DHCP, JRE y en el kernel del VMware ESX 3.5 y 3.0.3.

Las actualizaciones están disponibles desde:
Para ESX 3.5
Consola de Servicio DHCP
http://download3.vmware.com/software/vi/ESX350-200910406-SG.zip

Librería DHCP y kernel
http://download3.vmware.com/software/vi/ESX350-200910401-SG.zip

JRE
http://download3.vmware.com/software/vi/ESX350-200910403-SG.zip

Para ESX 3.0.3
Consola de Servicio DHCP
http://download3.vmware.com/software/vi/ESX303-200910402-SG.zip


Antonio Ropero
antonior@hispasec.com


Más información:

[Security-announce] VMSA-2009-0014 VMware ESX patches for DHCP, Service Console kernel, and JRE resolve multiple security issues
http://www.vupen.com/english/reference-2009-2955-1.php

sábado, 17 de octubre de 2009

Salto de restricciones a través de ZFS en Solaris

Se ha detectado un problema de seguridad en el sistema de archivos ZFS en Sun Solaris 10 y OpenSolaris que podría permitir a un atacante local elevar sus privilegios en los sistemas afectados.

La vulnerabilidad, que afecta al sistema de ficheros ZFS, podría ser aprovechada por un atacante local con el privilegio "file_chown_self" para saltar restricciones y obtener los privilegios de otro usuario.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 10 instalar 141444-09 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=141444-09&method=h

Para x86:
Solaris 10 instalar 141445-09 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=141445-09&method=h

OpenSolaris:
Solucionado en los sistemas basados en snv_118 o posterior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in the ZFS Filesystem May Allow An Unprivileged User to Take Ownership of Files Belonging to Another User
http://sunsolve.sun.com/search/document.do?assetkey=1-66-265908-1

viernes, 16 de octubre de 2009

Cross site scripting e inyección SQL en PhpMyAdmin 2.x y 3.x

Existen dos vulnerabilidades en phpMyAdmin que permiten inyectar código SQL y realizar ataques Cross site scripting (XSS).

PhpMyAdmin es una popular herramienta escrita en PHP de administración de MySQL a través de un navegador. Este software permite crear y eliminar bases de datos, crear, eliminar y alterar tablas, borrar, editar y añadir campos, administrar privilegios y claves en campos, exportar datos en varios formatos; y en general ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL.

El primero de los errores tiene su origen en una la falta de validación de ciertos parámetros en pmd_pdf.php. Esto podría ser aprovechado por un atacante para inyectar código SQL y ejecutar sentencias no autorizadas.

Por otro lado, existen varios errores en db_operations.php y pdf_pages.php provocados por no usar la función "htmlspecialchars" cuando se muestran ciertos datos. Esto podría ser aprovechado por una atacante para insertar código HTML o JavaScript. Si un administrador visualiza esos datos, un atacante podría usar JavaScript para robar su cookie de sesión, por ejemplo. En la versión 3.x este error también se encuentra en db_structure.php

Estas vulnerabilidades ya han sido solucionadas y se puede descargar la nueva versión desde el sitio phpmyadmin.net.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

phpMyAdmin Advisory
http://www.phpmyadmin.net/home_page/security/PMASA-2009-6.php

phpMyAdmin SVN
http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=13034

jueves, 15 de octubre de 2009

Adobe soluciona 29 fallos de seguridad en Acrobat y Adobe Reader

Adobe entra de lleno en el mundo de las actualizaciones de seguridad programadas solucionando en este ciclo nada menos que 29 problemas de seguridad en su software más popular: los lectores y editores de PDF Adobe Reader y Acrobat. Rivaliza con Microsoft, que en este ciclo ha resuelto también 34 fallos.

Los administradores de sistemas deben andar todavía ocupados intentando actualizar sus productos Microsoft y Adobe. Adobe emitió en mayo un comunicado por el que se comprometía a mejorar su política de seguridad. Básicamente, decía que mejoraría el código de desarrollo centrándose en la seguridad, que mejoraría los procesos de respuesta a incidentes, y que programaría regularmente las actualizaciones de sus productos. En concreto, cada tres meses, lo segundos martes de cada mes. Con un criterio discutible, coincidiría con los días de actualización que hace años eligió Microsoft.

Estas promesas recuerdan inevitablemente a la Trustworthy Computing que Microsoft tuvo que implantar a principios de 2002 (a través de un comunicado del propio Bill Gates) para intentar encarar los continuos reveses en seguridad que sufría. Se puso en marcha la Strategic Technology Protection Program (STPP) que más tarde daría sus frutos en proyectos que se han demostrado eficaces como el Windows Software Update Services, Microsoft Operations Manager, la política de actualización periódica, sistemas fortificados "por defecto", etc. Aun así lo peor estaría por llegar en 2003 con Blaster, pero eso ya pertenece a la "prehistoria", y los esfuerzos de Microsoft comenzaron a dar resultados años después.

Adobe acaba de publicar uno de sus primeros ciclos de actualizaciones con nada menos que 29 vulnerabilidades resueltas. Entre ellas la que estaba siendo aprovechada por atacantes desde hace semanas, y que permitía la ejecución de código arbitrario a través de archivos PDF especialmente manipulados. El mismo día Microsoft corregía 34, pero en una mucha mayor gama de productos.

Adobe comienza así a mejorar su seguridad, siete años más tarde que Microsoft (que aún lo está adaptando y asumiendo)... De hecho, ya se empieza a conocer a Adobe como "la nueva Microsoft", heredando sus problemas logísticos a la hora de mejorar la seguridad, teniendo que rediseñar su estrategia (cuando quizás sea tarde), y actuando de forma reactiva en vez de haber aprendido de otros fabricantes. Ahora que Adobe se toma en serio su seguridad, esperamos que no sean necesarios tantos años para, como le está costando a Microsoft, materializar los resultados, puesto que el mundo del malware no es el mismo que en 2002, y las consecuencias de los problemas de seguridad de hoy son mucho más serias.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Adobe Reader and Acrobat Security Initiative
http://blogs.adobe.com/asset/2009/05/adobe_reader_and_acrobat_secur.html

Security Updates Available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb09-15.html

miércoles, 14 de octubre de 2009

Ya están abiertas las inscripciones al DISI 2009

El Día Internacional de la Seguridad de la Información DISI es una iniciativa que parte de la ACM, Association for Computing Machinery, en 1988 bajo el nombre de Computer Security Day CSD con la misión de celebrar todos los 30 de noviembre un evento en el que se recuerde la importancia de la seguridad y protección de la información y se conciencie a la población en el uso seguro de las Nuevas Tecnologías de la Información.

Desde el año 2006 en España ha sido la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI quien se ha hecho cargo de su organización, congregando a más de 400 personas en torno a conferencias, mesas redondas, coloquios y debates con distinguidos expertos invitados internacionales y de nuestro país.

DISI 2009 en su cuarta edición, se celebrará el lunes 30 de noviembre de 2009 desde las 09:00 hasta las 15:00 horas en el Salón de Actos del Campus Sur de la UPM, Universidad Politécnica de Madrid, en España, contando en esta ocasión con la destacada presencia del Dr. Hugo Krawczyk de IBM Research Estados Unidos, investigador de reconocido prestigio internacional quien nos presentará la conferencia de título “Randomized Hashing: Secure Digital Signatures without Collision Resistance”, si bien la char
la se hará en español, idioma que conoce perfectamente el Dr. Krawczyk.

DISI 2009 contará también con dos Coloquios en los que, tras una breve presentación e introducción al tema realizada por el invitado internacional, se procederá al debate entre el público y los invitados a la mesa. Es decir, se huye de la tradicional Mesa Redonda en la que tras el turno de intervenciones de cada uno de sus miembros, siempre queda un escaso tiempo para preguntas por parte del público.

El primer coloquio estará dedicado a las “Tendencias en el Malware” con la participación de D. José Bidot, Director de Segurmática de Cuba; D. Ero Carrera, Chief Research Officer - Collaborative Security Virus Total de España y D. Emilio Castellote, Director de Marketing de Panda Security de España, con una duración de 90 minutos.

El segundo coloquio se centrará en “Mitos y Realidades en Hacking” con la participación de D. Luis Guillermo Castañeda, Director de Servicios Profesionales de Rusoft de México, D. Chema Alonso, Consultor de Seguridad de Informática64 de España; D. Alejandro Ramos, Director de TigerTeam SIA de España y D. Fermín Serna, Security Software Engineer MSRC Microsoft de España, con una duración de 120 minutos.

Al igual que en las citas anteriores y como viene siendo habitual en todas las actividades de la Cátedra UPM Applus+, la asistencia al evento es totalmente gratuita. No obstante, se requiere (y se recomienda encarecidamente por motivos logísticos dado que el programa contempla un cóctel ofrecido por la cátedra) hacer la preinscripción en la plataforma Moodle del servidor Web de la cátedra http://www.capsdesi.upm.es, sitio donde podrá encontrar también toda la información relativa a DISI 2009. Si tuviese cualquier impedimento para realizar la inscripción mediante este medio o bien prefiere hacerla vía telefónica, por favor contacte con Dña. Beatriz Miguel Gutiérrez al teléfono +34 913367842
preferentemente por las mañanas.

El evento se transmitirá por videostreaming a través del GATE, Gabinete de Tele-educación de la UPM, para aquellos interesados que no tengan la oportunidad de asistir al congreso en Madrid y en especial para países de Iberoamérica. El enlace de conexión se dará a conocer unos días antes de DISI 2009, entre otros en el sitio Web de la Cátedra y en el servidor de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed http://www.criptored.upm.es. Con posterioridad,
todas las actividades de DISI 2009 se subirán al canal de la UPM en YouTube http://www.youtube.com/user/UPM.

Una nueva ocasión para ser partícipes de interesantes conferencias y debates por parte de expertos invitados de Estados Unidos, México, Cuba y España en un área de constante crecimiento y desarrollo, la seguridad de la información.


Jorge Ramió Aguirre
Director Cátedra UPM Applus+
www.capsdesi.upm.es/



martes, 13 de octubre de 2009

Boletines de seguridad de Microsoft en octubre

Tal y como adelantamos, este martes Microsoft ha publicado trece boletines de seguridad (del MS09-050 al MS09-062) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft ocho de los boletines presentan un nivel de gravedad "crítico" y los cinco restantes son "importantes". En total se han resuelto 34 vulnerabilidades.

Los boletines "críticos" son:

* MS09-050: Actualización para corregir tres vulnerabilidades en Server Message Block Version 2 (SMBv2), en la que la más grave podría permitir la ejecución remota de código si un atacante envía un paquete SMB especialmente creado a un sistema que corra el servicio Servidor (Server).

* MS09-051: Actualización destinada a corregir dos vulnerabilidades en Windows Media Runtime, que podrían permitir la ejecución remota de código arbitrario si un usuario abre archivos asf o de audio especialmente manipulados.

* MS09-051: Actualización destinada a corregir una vulnerabilidad en Windows Media Player, que podrían permitir la ejecución remota de código arbitrario si un usuario abre archivos asf especialmente manipulados.

* MS09-054: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cuatro nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7.

* MS09-055: Actualización destinada a corregir una vulnerabilidad en múltiples controles ActiveX de Microsoft, debido a que se compilaron con una versión vulnerable de Microsoft Active Template Library. Esta vulnerabilidad podría permitir la ejecución remota de código arbitrario si un usuario visita una página web especialmente creada.

* MS09-060: Actualización que soluciona tres vulnerabilidades en controles ActiveX, debido a que se compilaron con una versión vulnerable de Microsoft Active Template Library (ATL). Afecta a Microsoft Outlook 2002, Microsoft Office Outlook 2003, Microsoft Office Outlook 2007, Microsoft Visio 2002 Viewer, Microsoft Office Visio 2003 Viewer y Microsoft Office Visio Viewer 2007.

* MS09-061: Actualización que soluciona tres vulnerabilidades en en Microsoft .NET Framework y Microsoft Silverlight. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visualiza una página web especialmente diseñada mediante un navegador que pueda ejecutar aplicaciones XAML o aplicaciones Silverlight, o si un atacante consigue convencer a un usuario para que ejecute una aplicación Microsoft .NET especialmente diseñada.

MS09-062: Actualización destinada a corregir ocho vulnerabilidades en GDI+, que podrían permitir la ejecución remota de código arbitrario si un usuario abre una imagen especialmente manipulada con un programa afectado o visita un sitio web con contenido especialmente creado.

Los boletines clasificados como "importantes" son:

* MS09-053: Actualización destinada a solucionar dos vulnerabilidades de ejecución remota de código en el servicio FTP de IIS 5.0, o de denegación de servicio en el servicio FTP de IIS 5.0, IIS 5.1, IIS 6.0 o IIS 7.0.

* MS09-056: En este boletín se ofrece una actualización para resolver dos vulnerabilidades en Windows CryptoAPI que podrían ser aprovechadas por un atacante para suplantar la identidad de un usuario. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS09-057: En este boletín se corrige una vulnerabilidad de ejecución remota de código en el Servicio Index Server. Afecta a Microsoft Windows 2000, Windows XP y Windows Server 2003.

* MS09-058: Esta actualización de seguridad resuelve tres vulnerabilidades en el kernel de Windows. Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008

* MS09-058: Esta actualización resuelve tres vulnerabilidades en el kernel de Windows. Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008

* MS09-059: Actualización publicada para evitar una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la denegación de servicio si un atacante envía un paquete maliciosamente creado durante el proceso de autenticación NTLM. Afecta a Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-050 - Crítico
Vulnerabilidades en Smbv2 podrían permitir la ejecución remota de código (975517)
http://www.microsoft.com/technet/security/bulletin/ms09-050.mspx

Boletín de seguridad de Microsoft MS09-051 - Crítico
Vulnerabilidades en el módulo de tiempo de ejecución de Windows Media podrían permitir la ejecución remota de código (975682)
http://www.microsoft.com/technet/security/bulletin/ms09-051.mspx

Boletín de seguridad de Microsoft MS09-052 - Crítico
Una vulnerabilidad en el Reproductor de Windows Media podría permitir la ejecución remota de código (974112)
http://www.microsoft.com/technet/security/bulletin/ms09-052.mspx

Boletín de seguridad de Microsoft MS09-053 - Importante
Vulnerabilidades en el servicio FTP de Internet Information Services podrían permitir la ejecución remota de código (975254)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-053.mspx

Boletín de seguridad de Microsoft MS09-054 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (974455)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-054.mspx

Boletín de seguridad de Microsoft MS09-055 - Crítico
Actualización de seguridad acumulativa de bits de interrupción de ActiveX (973525)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-055.mspx

Boletín de seguridad de Microsoft MS09-056 - Importante
Vulnerabilidades en Windows CryptoAPI podrían permitir la suplantación de identidad (spoofing) (974571)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-056.mspx

Boletín de seguridad de Microsoft MS09-057 - Importante
Una vulnerabilidad en Servicios de Index Server podría permitir la ejecución remota de código (969059)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-057.mspx

Boletín de seguridad de Microsoft MS09-058 - Importante
Vulnerabilidades en el kernel de Windows podrían permitir la elevación de privilegios (971486)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-058.mspx

Boletín de seguridad de Microsoft MS09-059 - Importante
Vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la denegación de servicio (975467)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-059.mspx

Boletín de seguridad de Microsoft MS09-060 - Crítico
Vulnerabilidades en los controles ActiveX de Microsoft Active Template Library (ATL) podrían permitir la ejecución remota de código en Microsoft Office (973965)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-060.mspx

Boletín de seguridad de Microsoft MS09-061 - Crítico
Vulnerabilidades en Microsoft .NET Common Language Runtime podrían permitir la ejecución remota de código (974378)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-061.mspx

Microsoft Security Bulletin MS09-062 - Critical
Vulnerabilities in GDI+ Could Allow Remote Code Execution (957488)
http://www.microsoft.com/technet/security/bulletin/ms09-062.mspx

lunes, 12 de octubre de 2009

Ejecución de código a través de archivos RAR en múltiples productos de CA

Se han encontrado dos fallos de seguridad en el componente arclib de múltiples productos de CA (Computer Associates) que podría permitir a un atacante ejecutar código arbitrario en el sistema afectado.

El componente arclib contiene dos problemas de seguridad al procesar archivos RAR. Uno podría provocar un desbordamiento de memoria intermedia basado en pila y otro, basado en heap. Un atacante podría crear un archivo RAR especialmente manipulado y provocar una denegación de servicio y potencialmente, ejecutar código arbitrario en el servidor con el software instalado.

Aunque el componente se encuentra principalmente en el antivirus de CA, según el fabricante los productos afectados abarcan casi toda la gama soluciones de CA: CA Anti-Virus (antes eTrust Antivirus) en todas sus variantes, CA ARCserve Backup en todos los sistemas y plataformas, CA Protection Suites, CA Internet Security Suite, CA Network and Systems Management, etc.

Los fallos han sido reportados por Thierry Zoller (habitual investigador de este tipo de problemas de antivirus al procesar archivos comprimidos) y no se han dado los detalles técnicos.

CA ha publicado parches para todos sus sistemas afectados. Están disponibles desde:
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=218878


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

CA20091008-01: Security Notice for CA Anti-Virus Engine
https://support.ca.com/irj/portal/anonymous/phpsupcontent?contentID=218878

domingo, 11 de octubre de 2009

Como protegernos de los peligros en Internet

"No entiendes realmente algo a menos que seas capaz de explicárselo a tu abuela", que decía Albert Einstein, y es que a veces resulta muy complicado alejar el zoom para explicar de forma sencilla y clara los conceptos básicos de la seguridad en la Red.

Ese ejercicio es el que ha realizado Gonzalo Álvarez Marañón en el libro "Como protegernos de los peligros en Internet", una obra dirigida al usuario doméstico donde se revisan los conceptos básicos de la seguridad informática, las principales amenazas y las medidas de seguridad imprescindibles.

Si eres lector habitual de "una-al-día" definitivamente este no es tu libro, pero si tal vez el adecuado para regalar o recomendar a esa persona que todos conocemos y que necesita un primer bautismo en esto de la seguridad en Internet.

Toda la información sobre el libro en cuestión, incluyendo el índice completo y enlaces con recursos gratuitos sobre seguridad en Internet, se puede consultar en http://www.protegernoseninternet.com/

Aviso: sobra decir que esta noticia está escrita con premeditación y alevosía por la amistad que me une a Gonzalo, uno de los pioneros en la divulgación sobre seguridad informática en español con su entrañable Boletín del Criptonomicón, con el que intercambiábamos contenidos en los primeros años de la una-al-día de Hispasec.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Como protegernos de los peligros en Internet
http://www.protegernoseninternet.com/

Boletín del Criptonomicón
http://www.iec.csic.es/CRIPTonOMICon/default2.html

Gonzalo Alvarez Marañón
http://gonzaloalvarez.com/

sábado, 10 de octubre de 2009

Varias vulnerabilidades de denegación de servicio en Android

Se han descubierto dos vulnerabilidades en Android por las que un atacante remoto podría causar un ataque de denegación de servicio a través de distintos vectores.

Android es un sistema operativo para móviles basado en el kernel de Linux. Inicialmente lo desarrolló Google pero luego ha pasado a pertenecer a la Open Handset Alliance (formada por alrededor de 50 empresas del sector). Android trabaja con dos licencias, GPLv2 para componentes como los parches del kernel y Apache 2 para las aplicaciones porque permite su comercialización de manera más simple.

Android está pensado para trabajar de manera similar a un Framework que además permite la intercomunicación entre distintas aplicaciones usando un interfaz propio para cada aplicación. El modelo usado por Android permite que los distintos programas informen al resto de que capacidades tienen y así el resto de programas pueden usarlas sin necesidad de implementarlas siguiendo, claro está, ciertas reglas de seguridad.

El primer error se produce en el tratamiento de los SMS recibidos por Push WAP. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de un mensaje cuyo contenido de wspData no termine en "0".

Cuando se recibe este mensaje mal formado se provoca una lectura fuera de límites que causa una excepción ArrayIndexOutOfBoundsException en "android.com.phone". Este error al no ser capturado provoca que el terminal se reinicie. Si el terminal tiene activado la petición de PIN, se quedará esperando a recibirlo.

El segundo error está causado por una serie de problemas descubiertos en Dalvik, la máquina virtual de Adroid. A causa de estos errores una aplicación podría provocar un error en la API y causar el reinicio de los procesos del sistema.

En la actualidad este sistema operativo se usa en algunos modelos de HTC, Motorola o Samsung entre otros, aunque el número de dispositivos con este sistema operativo es cada vez mayor.

Está solucionado en las versiones Android 1.5 CBDxx, CRCxx y COCxx donde xx son dígitos.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

oCERT Advisory:
http://www.ocert.org/advisories/ocert-2009-014.html

commitDiff del error de SMS:
http://android.git.kernel.org/?p=platform/frameworks/base.git;a=commitdiff;h=46e23fe762d2143d60589ab6d39c4b47c2c754d1

viernes, 9 de octubre de 2009

Microsoft publicará trece boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan trece boletines de seguridad. Afectan a toda la gama de sistemas operativos Microsoft, Internet Explorer, Office, Silverlight, Forefront, Developer Tools y SQL Server.

Si en septiembre se publicaron cinco boletines dentro del ciclo habitual, este mes Microsoft prevé publicar trece actualizaciones el martes 13 de octubre. Ocho se consideran críticos y cinco importantes.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Microsoft confirma que en esta tanda se cerrarán los dos problemas de seguridad que mantiene abiertos desde hace algunas semanas. Existe una grave vulnerabilidad en el servidor FTP de IIS, que apareció por sorpresa como exploit, y que permite ejecución de código en IIS 5 y Windows 2000. También el grave problema en el protocolo SMB2 de Vista y Windows 2008, del que igualmente existe exploit público. Microsoft publicó un "parche" que no era más que una forma automática de deshabilitar el soporte del protocolo para dejar de ser vulnerable, pero que no se considera una solución real. Al contrario de lo que se esperaba, no ha publicado boletines fuera de su ciclo habitual para solucionar estos problemas de seguridad.

Los parches anunciados están sujetos a cambios, en cualquier caso, no se garantiza que se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for October 2009
http://www.microsoft.com/technet/security/bulletin/ms09-oct.mspx

jueves, 8 de octubre de 2009

Nuevo 0 day en Adobe Reader y Acrobat

Se ha publicado un anuncio oficial de Adobe que informa sobre la existencia de un grave problema de seguridad que permite a un atacante remoto ejecutar código arbitrario a través de vectores no especificados. El fallo está siendo aprovechado activamente por atacantes.

Los productos afectados son Reader y Acrobat en las versiones 9.x y 8.x para Windows, Macintosh y UNIX y en las versiones 7.x en sistemas Windows y Macintosh.

Adobe ya ha anunciado que el CVE asignado será CVE-2009-3459 y que este error será solucionado en su siguiente boletín trimestral de actualizaciones que se espera para el 13 de este mes.

Se recomienda desactivar JavaScript en los documentos PDF para mitigar en la medida de lo posible los ataques y si se tiene Windows Vista con la versión 9.1.3, activar el sistema DEP (Prevención de ejecución de datos) puesto que aprovecha esta característica del sistema operativo.

Recomendamos, si es posible, usar otro lector de archivos PDF hasta que se solucione el fallo. Aunque no estén exentos de contener problemas de seguridad, al menos por ahora no son objetivo claro de atacantes. Hay un buen puñado donde elegir para todas las plataformas en:
http://pdfreaders.org/


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Oficial Advisory:
http://blogs.adobe.com/psirt/2009/10/adobe_reader_and_acrobat_issue_1.html
http://blogs.adobe.com/psirt/2009/10/pre-notification_-_quarterly_s.html

Boletín de seguridad de Adobe:
http://www.adobe.com/support/security/bulletins/apsb09-15.html

miércoles, 7 de octubre de 2009

El troyano URLZone desarrolla técnicas "anti-mulas"

En el mundo del malware, las mulas son las personas que se dedican a realizar el trabajo sucio: mover el dinero desde la cuenta bancaria víctima hacia la suya, y de ahí a través de traspaso de dinero en efectivo, el dinero viaja a los verdaderos atacantes (cerebros de la operación) mientras ellos se quedan con un pequeño porcentaje y corren todo el riesgo. URLZone ha desarrollado un método para evitar que los investigadores atrapen a estas mulas, y pasar así todavía más desapercibidos: Usan cuentas de mulas reales durante su comportamiento "habitual", pero, si notan que están siendo monitorizados, engañan automáticamente a los investigadores realizando transacciones legítimas a cuentas de conocidos de las víctimas que, lógicamente, en realidad no son mulas.

El llamado URLZone está siendo muy especial, por lo innovador de algunas técnicas con las que se protege. Hace algunos días nos llamaba la atención que el troyano fuese capaz de recordar el balance anterior de su víctima, y falsearlo en la cuenta una vez ha sido robado. Así, el usuario no percibe que está siendo víctima de fraude. No puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador troyanizado, o le sea devuelto algún recibo.

URLZone es una evolución de la familia de los Silentbankers que, como característica principal, realiza las transacciones de forma automática. Habitualmente las contraseñas robadas va a parar a manos de los atacantes y las transacciones ilegítimas son realizadas "a mano" desde otro ordenador. Con URLZone, las transacciones a muleros se hacen de forma automática desde el ordenador de la víctima sin que este lo sepa, lo que complica por ejemplo el demostrar jurídicamente que no ha sido la víctima la que ha realizado la transacción.

Como la mayoría de las empresas que estudiamos malware, RSA FraudAction Research Lab ejecuta en un entorno lo más real posible un troyano, y estudia su comportamiento. Observaron que en su laboratorio, como es habitual, el troyano realiza transacciones de forma automática. Pero, y aquí está lo relevante, comprobaron que las cuentas a las que se hacían transferencias eran cuentas de personas reales, conocidas o no, pero siempre a las que el usuario víctima ya habían realizado transacciones previamente. Esto quiere decir que, cuando el troyano se sabe "monitorizado", no usa las cuentas de muleros sino que almacena en una base de datos (probablemente junto con el balance anterior de la víctima) cuentas habitualmente utilizadas por el usuario para realizar transferencias "falsas" cuando le vigilan.

Cuando URLZone detecta que no está en su botnet "legítima", o sea, la red de sistemas infectados que reciben órdenes de uno o varios sistemas centrales, modifica su comportamiento para eludir a los investigadores. Si es instalado en un laboratorio, y la red central no "conoce" a ese sistema, simulará un comportamiento extraño, en el que toda persona que haya recibido dinero de la cuenta de la víctima, parecerá que es el mulero de turno. De paso, ocultan así las cuentas de los muleros reales, y perseguir el dinero se convierte en una tarea todavía más compleja.

Todo esto se controla desde el servidor central. Tiene un protocolo especial de comunicación con las víctimas y si, por cualquier razón, sospecha que uno de los sistemas infectados no es una víctima real, sino que ha sido infectado en un sistema de laboratorio, en vez de desconectar o no hacer nada (así actúan la mayoría de troyanos hoy día), busca en su base de datos de conocimiento de la víctima y simula transacciones que no harán más que confundir a los investigadores, bancos, víctimas y sobre todo, a las personas que recibirán dinero sin haberlo pedido y serán acusados de mulas ocasionales.

Sin duda, una inteligente vuelta de tuerca más en el mundo del fraude online.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The Arms Race between Black Hats and White Hats Steps Up with URLZone Trojan
http://rsa.com/blog/blog_entry.aspx?id=1530

martes, 6 de octubre de 2009

Análisis de la última vulnerabilidad en el kernel de Linux

El 1 de octubre Jan Beulich publicó el "advisory" y el parche de un fallo en el kernel de Linux en versiones x86-64 iguales o menores a la 2.6.32-rc1. El fallo es una fuga de información en los valores de ciertos registros de 64 bits cuando son accedidos desde un programa de 32 bits que a su vez esté ejecutando código de 64 bits, es decir que ejecute instrucciones bajo 64-bit mode.

¿Cómo es posible que en la arquitectura de x86-64 bits se pueda ejecutar código de 32 bits?

"x86-64 long mode" en el sub-modo "compatibility mode" soporta de forma nativa x86 (32 bits), es decir, las instrucciones de x86 pueden ejecutarse directamente en el sub-modo "compatibility mode". Los sub-modos son controlados por el descriptor del segmento de código (USER_CS en Linux).

¿Cómo puede un proceso de 32 bits ejecutar código de 64 bits?

Solo necesita haber sido compilado como un programa de 32 bits y después realizar lo que se llama un salto o una llamada de tipo FAR (también conocido como FAR CALL/JMP) a la rutina dónde se encuentre el código de 64 bits usando el descriptor de segmente código USER_CS.

¿Para qué usa el exploit un FAR CALL/JMP?

Para ejecutar una rutina de 64 bits desde un proceso de 32 se necesita realizar un cambio del descriptor de segmento de código actual a USER_CS. Con un FAR JMP solo se consigue saltar al sitio indicado, como interesa volver al código de x86 de forma fácil se usa un CALL FAR y después de que se haya ejecutado el código de 64 bits un RET FAR (sintaxis AT&T LRET). Resumiendo, la sintaxis del FAR CALL que necesitamos conocer en este caso es:

CALL FAR DESCRIPTOR_DEL_SEGMENTO_DE_CODIGO:DIRECCIÓN_DE_MEMORIA

Como ejemplo, si se quiere hacer un CALL FAR a la dirección de memoria 004011D0 usando el descriptor de segmento de código 38A4, la sintaxis Intel sería tal que así:

CALL FAR 38A4:004011D0

El valor del descriptor de segmento de código USER_CS en Linux es 0x33.

¿Cómo se ha solucionado el fallo?

Poniendo a 0 los registros que potencialmente podrían representan un riesgo. Son r8, r9, r10, y r11 de x86-64 y se ponen a 0 antes de volver al espacio de usuario en una llamada al sistema.

¿Qué es realmente USER_CS?

Es un descriptor del segmento de código, en este caso USER_CS representa el descriptor de segmento de código de 64 bits, para el de 32 bits se usa USER32_CS, esto quiere decir que si desde 64 bits hacemos un cambio a USER32_CS podemos ejecutar código de 32bits de forma nativa (lo contrario de lo que estamos haciendo).

¿Cómo sabe el microprocesador si está en modo de compatibilidad x86 o en 64 bits mode?

Si el descriptor de segmento de código de la GDT tiene el bit "D/B" a 0 y el bit "L" a 1 está en modo 64 bits (USER_CS), en caso contrario está en modo compatible x86 (USER32_CS).

Exploits públicos: el de Jon Oberheide

Usa un FAR JMP para pasar de x86 a 64 bit y ejecutar una rutina que básicamente lo que hace es poner los registros de 64 en pares de registros de 32 bits. Después genera una excepción para que se pueda inspeccionar el crash dump con gdb por ejemplo y ver el valor de los registros de 32 con los valores de los de 64.

Exploits públicos: el de Spender

El exploit de spender es más "avanzado", usa llamadas a sistema (syscalls) para obtener información de los registros, usa FAR CALLs y FAR RETs para ir de 64 bits y volver, además muestra los registros R8, R9, R10, R11, R12, R13, R14 y R15 usando diferentes syscalls.

En definitiva el exploit lo que hace es: llamar a llamadas al sistema desde el proceso de 32 bits, después de la llamada se cambia a 64bit-mode en el proceso y se obtiene el valor de los registros de 64 bits en registros de 32 a pares y se muestran con un printf.

¿De qué sirve realmente esta vulnerabilidad?

Este tipo de fallos pueden ser aprovechados para cuando existe un ASLR (protección por aleatoriedad de carga de librerías). Así se puede obtener alguna dirección útil para otro exploit o similar.


David Reguera
dreguera@hispasec.com


Más información:

x86: Don't leak 64-bit kernel register values to 32-bit processes
http://git.kernel.org/?p=linux/kernel/git/x86/linux-2.6-tip.git;a=commitdiff;h=24e35800cdc4350fc34e2bed37b608a9e13ab3b6

Don't leak 64-bit kernel register values to 32-bit processes
http://lkml.org/lkml/2009/10/1/164

Linux Kernel x86-64 Register Leak
http://jon.oberheide.org/blog/2009/10/04/linux-kernel-x86-64-register-leak/

Exploit de spender
http://grsecurity.net/~spender/64bit_regleak.c

Linux syscall interception technologies partial bypass
http://scary.beasts.org/security/CESA-2009-001.html

Global Descriptor Table
http://en.wikipedia.org/wiki/Global_Descriptor_Table

Exploit de Oberheide
http://jon.oberheide.org/files/x86_64-reg-leak.c

lunes, 5 de octubre de 2009

Nuevos contenidos en la Red Temática CriptoRed (septiembre de 2009)

Breve resumen de las novedades producidas durante el mes de septiembre de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN ESTE MES
* Última Actualización Archivo Exámenes Resueltos Asignatura Seguridad Informática EUI-UPM (Jorge Ramió, Word, 198 páginas, España)
http://www.criptored.upm.es/examen/e_eui_upm.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES
* Informe de la Red de Sensores de INTECO del mes de julio de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200907.pdf
* Informe de la Red de Sensores de INTECO del mes de agosto de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200908.pdf
* Cultura de Seguridad de la Información: Entendiendo una percepción, Blog IT-Insecurity de Jeimy Cano (Colombia)
http://insecurityit.blogspot.com/2009/08/cultura-de-seguridad-de-la-informacion.html
* Focalícese en la articulación de valor más que en el retorno de la inversión, Blog IT-Insecurity de Jeimy Cano (Colombia)
http://insecurityit.blogspot.com/2009/08/focalicese-en-la-articulacion-de-valor.html
* Inseguridad de la información: Gerencia en movimiento, Blog IT-Insecurity de Jeimy Cano (Colombia)
http://insecurityit.blogspot.com/2009/09/inseguridad-de-la-informacion-gerencia.html
* 12 Recomendaciones para configurar su estrategia de seguridad de la información, Blog IT-Insecurity de Jeimy Cano (Colombia)
http://insecurityit.blogspot.com/2009/09/12-recomendaciones-para-configurar-su.html
* Entrevista de Mercedes Martín al Coordinador de CriptoRed en Blog Seguridad y Privacidad de Microsoft (España)
http://blogs.technet.com/luismi/archive/2009/09/15/entrevista-a-jorge-ramio.aspx

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Octubre 7 al 9 de 2009: Tercer Encuentro Internacional de Seguridad Informática (Manizales - Colombia)
* Octubre 11 al 14 de 2009: IEEE 9th International Conference on Computer and Information Technology (Xiamen - China)
* Octubre 14 al 16 de 2009: 14th Nordic Conference in Secure IT Systems NordSec 2009 (Oslo - Noruega)
* Octubre 15 de 2009: Deadline papers volumen 4 del International Journal on IT and Security (Bulgaria)
* Octubre 15 de 2009: Deadline papees Special Issue on Security and Dependability Assurance of Software Architectures de JSA
* Octubre 19 al 21 de 2009: 3rd International Conference on Network and System Security NSS 2009 (Gold Coast - Australia)
* Octubre 21 al 23 de 2009: Conferencia Ibero Americana WWW Internet 2009 IADIS (Alcalá de Henares - España)
* Noviembre 4 al 6 de 2009: 31 Conferencia Internacional de Protección de Datos y Privacidad (Madrid - España)
* Noviembre 8 de 2009: Deadline papers Revista Ibérica de Sistemas y Tecnologías de la Información RISTI (Brasil)
* Noviembre 16 al 18 de 2009: V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Montevideo - Uruguay)
* Noviembre 19 al 22 de 2009: IADIS International Conference WWW Internet 2009 (Roma - Italia)
* Noviembre 30 a diciembre 4 de 2009: IEEE Globecom 2009 Ad Hoc, Sensor and Mesh Networking Symposium (Hawaii - USA)
* Diciembre 9 al 11 de 2009: 8th International Information and Telecommunication Technologies Symposium ( Florianópolis - Brasil)
* Enero 25 al 28 de 2010: Fourteenth International Conference Financial Cryptography and Data Security (La Laguna, Tenerife - España)
* Febrero 15 al 18 de 2010: 3rd Workshop on Privacy and Security by Means of Artificial Intelligence PSAI 2010 (Cracovia - Polonia)
* Julio 26 al 28 de 2010: International Conference on Security and Cryptography SECRYPT (Atenas - Grecia)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú - Grecia)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. OTRAS NOTICIAS SELECCIONADAS DEL MES DE SEPTIEMBRE DE 2009
Para ampliar estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#sep09
* Libro Computación Forense: Descubriendo Los Rastros Informáticos (Colombia)
http://www.alfaomega.com.mx/interiorProducto.php?seccion_product_id=5159
* Registrado criptored.com
http://www.who.is/whois/criptored.com/
* Primeras Jornadas de Gestión de Incidentes en Madrid de Tb-security (España)
http://www.tb-security.com/
* Quinta Edición de Ekoparty Security Conference en Buenos Aires (Argentina)
http://www.ekoparty.com.ar/
* III Encuentro Nacional de la Industria de Seguridad ENISE en León (España)
https://enise.inteco.es/
* VII Seminario de Pruebas Electrónicas de Cybex en Madrid (España)
http://www.cybex.es/es/comunicados/VII_SPE_1.htm
* Libros Análisis forense digital en entornos Windows y Aplicación de medidas para la implantación de la LOPD en las empresas (España)
http://www.informatica64.com/libros.html
* Segundo Workshop Sobre Seguridad en VANETs del Proyecto MUOVE en Madrid (España)
http://webpages.ull.es/users/cryptull/MUOVE/2Workshop.html
* Presentación del Máster en Auditoría, Seguridad, Gobierno y Derecho de las TIC en la UAM el 5 de octubre (España)
http://arantxa.ii.uam.es/~masgdtic/Inauguracion_MASGDTIC_2009_UAM.pdf
* Presentación del Libro Seguridad en Redes de Telecomunicación en la UPM el 5 de octubre (España)
http://www.criptored.upm.es/descarga/PresentacionLibroVictorVillagraUPM.pdf
* Cartel en pdf y Agenda Preliminar del V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Uruguay)
http://www.criptored.upm.es/descarga/cartelCIBSI-altacalidad.pdf
http://www.fing.edu.uy/inco/eventos/cibsi09/index.php?page=programa&locale=es

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 791
212 universidades y 294 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 28.732 visitas, con 88.281 páginas solicitadas y 34,76 GigaBytes servidos en septiembre de 2009
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.

Durante casi 10 años CriptoRed no ha faltado a esta cita mensual de su Resumen de Actualidad, cumpliendo con éste ya 100 envíos. Agradecimientos a GMV y a la Universidad Politécnica de Madrid que hacen posible con su patrocinio las actividades de esta Red Temática.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

septiembre 2009
http://www.criptored.upm.es/paginas/historico2009.htm#sep09

domingo, 4 de octubre de 2009

Desbordamiento de búfer en Novell NetWare

Se ha anunciado una vulnerabilidad en Novell NFS GateWay para NetWare 6.5 SP8 que puede ser aprovechada por un atacante local para comprometer los sistemas afectados.

El problema está provocado por un desbordamiento de búfer basado en pila en NFS Portmapper (PKERNEL.NLM) cuando procesa peticiones RPC CALLIT mal construidas. Un atacante sin autenticar podría emplear esta vulnerabilidad para lograr ejecutar código arbitrario en los sistemas afectados.

Se recomienda instalar el parche:
http://download.novell.com/protected/Export.jsp?buildid=DNxmXuyVPuY~


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Novell NetWare NFS Portmapper and RPC Module Stack Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-09-067/

sábado, 3 de octubre de 2009

Denegación de servicio a través del STREAMS Framework en Sun Solaris

Se ha detectado un problema de seguridad en STREAMS Framework en Sun Solaris 8, 9, 10 y OpenSolaris que podría permitir a un atacante remoto realizar ataques de denegación de servicio.

Existe un error no especificado en STREAMS Framework que provoca una perdida de memoria en el núcleo. Esto podría ser aprovechado por un atacante local sin privilegios para causar una denegación de servicios a través de vectores no especificados.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 9 instalar 122300-44 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=122300-44&method=h

Solaris 10 instalar 141414-09 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=141414-09&method=h

Para x86:
Solaris 9 instalar 122301-44 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=122301-44&method=h

Solaris 10 instalar 141415-09 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=141415-09&method=h

OpenSolaris:
Solucionado en los sistemas basados en snv_109 o posterior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerabilities in Solaris IP(7P) Module and STREAMS Framework May Lead to a Denial of Service (DoS) Condition
http://sunsolve.sun.com/search/document.do?assetkey=1-66-263388-1

viernes, 2 de octubre de 2009

Actualización de seguridad de Samba

Se han solucionado tres vulnerabilidades en Samba que podrían permitir a un atacante provocar una denegación de servicio, eludir restricciones y potencialmente, ejecutar código con privilegios de root.

Samba es una implementación libre del protocolo de compartición de archivos Microsoft para sistemas de UNIX. De esta manera equipos con sistemas GNU/Linux, MacOS o Unix en general pueden formar parte de la red de directorios compartidos de Windows.

Entre los sistemas tipo Unix en los que se puede ejecutar Samba, están las distribuciones GNU/Linux, Solaris y las diferentes variantes BSD entre las que podemos encontrar el Mac OS X Server de Apple.

Las vulnerabilidades corregidas son:

CVE-2009-2813: Un error al controlar las entradas de /etc/passwd cuando existe un directorio personal vacío. Un atacante podría aprovechar este problema para acceder al sistema de directorios raíz y todos los directorios.

CVE-2009-2906: Un error en el controlador de notificaciones de smbd podría provocar una denegación de servicio. Este error se produce cuando se procesa una petición no esperada que provoca el consumo total de los recursos de la CPU.

CVE-2009-2948: Un error en el programa "mount.cifs" permite obtener información sensible e incluso podrían obtenerse contraseñas si el programa se lanza con la opción --verbose o -v. Para que el problema sea aprovechable por un atacante "mount.cifs" deberá estar arrancado por root.

Las dos ultimas vulnerabilidades afectan a todas la versiones de Samba.

Los parches que solucionan estos errores están accesibles desde la web de Samba en samba.org


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Samba Advisories:
http://www.samba.org/samba/history/security.html

jueves, 1 de octubre de 2009

Se celebra en Madrid Asegúr@IT! Camp

El próximo 23 de octubre se celebra en Madrid el evento Asegúr@IT! Camp. Esta versión se diferencia de las anteriores por realizarse en un camping cerca del Escorial. Cuenta con la partición de ponentes de empresas como Microsoft, Informatica64 y Yahoo!.

Los ponentes serán Carles Martín de Quest Software, Alberto Moreno, David Cervigón, José Parada, Juan Garrido, Alejandro Ramos, Niko de NikoDemo Animation, Ricardo Varela de Yahoo! y Chema Alonso

Tras la recepción el viernes noche, la agenda del sábado será:

09:00 - 09:15 Registro

09:00-10:00. Star Wars: La alianza de los Sistemas Operativos. Por Carles Martín.

10:00-11:00. Hacking Mobile. Por Alberto Moreno.

11:00-11:45. Descanso

11:45-12:45. Análisis forense de tramas. Algo huele a podrido en la conexión a Internet. Por Juan Garrido, autor del interesante libro "Análisis Forense Digital en Entornos Windows", recientemente publicado.
http://www.informatica64.com/libros.html

12:45-13:45. Frikeando con Imágenes Virtuales. Por David Cervigón y José Parada.

14:00-15:00. Comida.

16:00-17:00. First Foca Fighting. (Chema Alonso)

17:00-18:00. Hackeos memorables. Por Alejandro Ramos, de SecuritybyDefault.

18:00-19:00. Cómo animar en Internet y no morir en el intento. Por Niko, de NikoDemo Animation, autores de Cálico Electrónico.

19:00-20:00. Técnicas de posicionamiento SEO para empresarios de moral relajada. Por Ricardo Varela de Yahoo!

El coste del evento completo es de 100 € más IVA. Incluye el alojamiento en cabañas de 4 personas en el Escorial, la cena del viernes, desayuno, comida y cena del sábado y el desayuno del domingo.

Es necesario registrarse desde:
http://www.informatica64.com/aseguraITCamp/


Laboratorio Hispasec
laboratorio@hispasec.com