lunes, 30 de noviembre de 2009

Elevación de privilegios en FreeBSD

Nikolaos Rangos o más conocido como Kingcope, ha publicado en la lista de seguridad Full Disclosure un exploit 0-day para FreeBSD que podría permitir a un atacante local elevar privilegios.

El objetivo consiste en evitar la restricción que poseen ciertas variables de entorno usadas por el cargador dinámico "ld-elf.so", cuando el ejecutable tiene el bit setuid o setgid asignado. Esta restricción se aplica llamando a la función "unsetenv" de la librería estándar sobre estas variables para evitar que existan en el entorno creado.

El exploit crea un ejecutable y una librería dinámica. El ejecutable asigna al array que representa el entorno, un valor que apunta a una zona no inicializada del heap, y otro valor que inicia la variable de entorno "LD_PRELOAD" -la cual indica las librerías que han de cargarse antes que cualquier otra referenciada- a la ruta hacia la librería dinámica creada por el exploit.

Tras ello, se efectúa una llamada a la función del sistema "execl" con el objeto de reemplazar el proceso con un ejecutable que posea el setuid de root. Al proceder a limpiar las variables de entorno que están restringidas, el cargador dinámico no chequea el valor de retorno de las llamadas a "unsetenv".

Esto último se aprovecha para crear un error en dichas llamadas y evitar que se borren las variables de entorno. Dentro de ese contexto se crea una shell –con una simple llamada a la función estándar "system" dentro de la librería enlazada- que tendrá permisos efectivos de root.

El equipo de seguridad de FreeBSD ha publicado un parche, aunque como indican, es posible que no se trate de una versión final y no está suficientemente testeado.

Aunque aun no se ha producido un comunicado oficial de FreeBSD, el exploit ha sido probado con éxito en las versiones 8.0, 7.1 y 7.0.


David García
dgarcia@hispasec.com


Más información:

Exploit publicado en Full Disclosure:
http://seclists.org/fulldisclosure/2009/Nov/379

Parche del equipo de seguridad de FreeBSD:
http://people.freebsd.org/~cperciva/rtld.patch

FreeBSD LD_PRELOAD Security Bypass:
http://xorl.wordpress.com/2009/12/01/freebsd-ld_preload-security-bypass/

domingo, 29 de noviembre de 2009

Cross-Site Scripting en Ruby on Rails

Se ha anunciado una vulnerabilidad que podría permitir la realización de ataques de cross-site scripting en Ruby on Rails.

Rails es un entorno para desarrollar aplicaciones web con base de datos de acuerdo con la estructura Model-View-Control. Desde el Ajax en la vista, a la petición y respuesta en el controlador, hasta el modelo, Rails da un entorno de desarrollo de Ruby. Ruby es un lenguaje de programación interpretado y reflexivo que combina una sintaxis inspirada en Python y Perl con características de programación orientada a objetos similares a Smalltalk.

El problema reside en la función The strip_tags() que no filtra adecuadamente de la entrada del usuario los caracteres ascii no imprimibles antes de mostrar la entrada. En las aplicaciones que usen la función strip_tags(), un atacante remoto podría crear una URL especialmente tratada para lograr la ejecución arbitraria de código script en el navegador del usuario. El código se origina desde el sitio que ejecuta Ruby on Rails en el contexto de seguridad de este sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

Se ha publicado la versión 2.3.5 que corrige este problema:


laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Ruby on Rails 2.3.5 Released
http://weblog.rubyonrails.org/2009/11/30/ruby-on-rails-2-3-5-released

XSS Weakness in strip_tags
http://groups.google.com/group/rubyonrails-security/browse_thread/thread/4d4f71f2aef4c0ab

sábado, 28 de noviembre de 2009

Denegación de servicio LDAP en Solaris 8, 9, 10 y OpenSolaris

Se ha anunciado algunas vulnerabilidades de seguridad en Sun Solaris 8, 9 y 10, que podría permitir a un atacante local provocar condiciones de denegación de servicio.

Las vulnerabilidades se deben a diversos errores en el demonio ldap_cachemgr que podrían causar la caída del demonio, lo que haría que en sistemas Solaris 9 y 10 no se acepten peticiones LDAP esto impediría que los usuarios puedan acceder a sistemas cliente LDAP. En Solaris 8 las peticiones LDAP funcionaran mucho más lento, y sin caché lo que también se puede considerar otra forma de denegación de servicio.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 9 instalar 112960-69 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=112960-69&method=h

Solaris 10 instalar 127111-07 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=127111-07&method=h

Para x86:
Solaris 9 instalar 114242-54 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=114242-54&method=h

Solaris 10 instalar 127954-04 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=127954-04&method=h

Para OpenSolaris
Solucionado en los sistemas basados en snv_78 o posterior.


laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Denial of Service Vulnerabilities in ldap_cachemgr(1M) Daemon
http://sunsolve.sun.com/search/document.do?assetkey=1-66-231402-1

viernes, 27 de noviembre de 2009

Vulnerabilidad de elevación de privilegios en IBM DB2

Se ha descubierto un error en IBM DB2, (el popular gestor de base de datos de IBM) por el cual un atacante local podría conseguir elevar sus privilegios.

El problema, que afecta a las versiones 8 y 9 del producto, se debe a errores de permisos en "DASAUTO". De forma que un atacante local sin permisos podría llegar a ejecutarlo, lo que le permitiría elevar sus privilegios.

Se recomienda actualizar a IBM DB2 versión 9.7 Fix Pack 1, V9.5 Fix Pack 4, 9.1 Fix Pack 8 o 8 Fix Pack 18:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053


laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.5 Fix Pack 4
http://www-01.ibm.com/support/docview.wss?uid=swg21386689

IBM DB2 dasauto Command Lets Local Users Deny Service
http://securitytracker.com/alerts/2009/Nov/1023242.html

jueves, 26 de noviembre de 2009

Envenenamiento de cache DNS en BIND 9

Se ha anunciado una vulnerabilidad en BIND por la que en determinadas circunstancias un atacante remoto podría añadir registros a la caché DNS.

BIND 9 es el servidor DNS más extendido en Internet. Creado originalmente por cuatro estudiantes de la universidad de Berkeley (California), en los años 80, actualmente es mantenido por el consorcio ISC. El código de BIND se reescribió desde cero en parte debido a las numerosas vulnerabilidades que fueron apareciendo y la dificultad para implementar mejoras con la base de código anterior.

El problema reside en un error de validación en DNSSEC cuando recibe consultas recursivas. Esto podría ser aprovechado por un atacante remoto para enviar consultas recursivas y agregar una dirección arbitraria para un determinado dominio. Un atacante podría emplear este problema para conducir a usuarios a un servidor malicioso.

Se ven afectados los servidores DNS BIND con la validación DNSSEC habilitada.

ISC ha publicado una actualización para evitar este problema (9.4.3-P4, 9.5.2-P1, 9.6.1-P2), disponible desde:
https://www.isc.org/downloadables/11


laboratorio Hispasec
laboratorio@hispasec.com


Más información:

BIND 9 Cache Update from Additional Section
https://www.isc.org/node/504

miércoles, 25 de noviembre de 2009

Mitos y leyendas: UAC, ese gran incomprendido III (UAC y la ley del mínimo privilegio)

UAC se puede entender como una forma de llevar la ley del mínimo privilegio al extremo. Aunque técnicamente es un gran avance, esta radicalización del concepto ha podido ser mal entendida por los usuarios.

La ley del mínimo privilegio

Es una de las piedras angulares de la seguridad: realiza las tareas que necesites con los mínimos privilegios, así cualquier fallo, accidente o vulnerabilidad tendrán también un impacto mínimo. UAC consiste en respetar esta ley al máximo. Cuando un administrador inicia sesión, para el sistema será en realidad un usuario estándar (mínimo privilegio) hasta que necesite su "poder". Cuando esto ocurra, se interpone el UAC. Un error común es entender el UAC como recordatorio innecesario de una acción que el administrador (ya sabe que) desea realizar (las ilustradas con un escudo). No es un recordatorio banal. Se trata de un aviso de que se están usando unos privilegios elevados y que cualquier acción derivada de ese uso podrá tener un impacto considerable en el sistema. Lo que en realidad se le recuerda al administrador es que sus acciones pueden tener consecuencias graves.

Ningún otro sistema operativo funciona de esta forma. En sistemas basados en el kernel de Linux, cuando alguien se presenta en el sistema como "root", es "root" con todas las consecuencias desde el momento en el que se presenta como tal. Con UAC en Windows, se evita que se usen los privilegios elevados si no son absolutamente necesarios y cuando lo son, lo advierte. Respeta al máximo la ley de mínimo privilegio.

UAC es la tecnología que consigue que los privilegios elevados estén en segundo plano listos para ser usados cuando se necesiten. Permite que un usuario administrador trabaje como usuario raso sin tener que cambiar de cuenta, al alcance de un clic. Pero esto, a veces y según el usuario, no es buena idea. Técnicamente, UAC funciona. Según la percepción de usuario no concienciado con la seguridad, probablemente no. Lo que ha perjudicado al UAC es la mala interpretación de este concepto.

¿Es lo mismo ser usuario estándar que pertenecer al grupo de
administradores?

Sí, prácticamente. Pero Microsoft encontró así en el UAC una forma de evitar un cambio radical de la filosofía que históricamente venía arrastrando (incentivar el uso de todos los privilegios) y a la vez intentar proteger al usuario. Con UAC, el usuario pertenece al grupo de administradores (como siempre) pero internamente se usan los permisos de usuario raso (como debería ser).

UAC o no UAC

Siempre es recomendable el uso de los mínimos privilegios. Ya sea con un uso "responsable" de UAC o con la utilización de un usuario que pertenezca al grupo de usuarios estándar. La elección quizás dependa de cómo se esté acostumbrado a interactuar con el sistema. Usuarios que históricamente han utilizado XP y 2000 en modo administrador, encontrarán toda recomendación sobre seguridad como una traba y quizás acepten mejor UAC como método para estar protegidos... o no, y terminen desactivándolo. Microsoft nunca pensó que alguien querría desactivar el UAC, y no incluyó herramienta gráfica para llevarlo a cabo en Vista (en Windows 7, sin embargo, ha facilitado la tarea de desactivarlo). Los usuarios que han usado siempre cuentas limitadas, se sentirán más cómodos si sus usuarios pertenecen al grupo de usuarios estándar, y UAC no les aportará mucho.

Lo que está claro, es que los problemas de seguridad han llegado a un punto en el que la protección clásica no es suficiente. Se impone el uso del mínimo privilegio. Windows, que llevaba años de retraso en este aspecto, ha encontrado en UAC una buena solución.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mitos y leyendas: UAC, ese gran incomprendido I (Introducción)
http://www.hispasec.com/unaaldia/4040

Mitos y leyendas: UAC, ese gran incomprendido II (UAC de forma útil)
http://www.hispasec.com/unaaldia/4041

martes, 24 de noviembre de 2009

Problemas de seguridad en Internet Explorer

Esta semana se han dado a conocer dos problemas de seguridad relacionados con Internet Explorer. Un fallo es muy grave y permite la ejecución de código arbitrario en el sistema con solo visitar una página web. El otro fallo es mucho más leve, y solo permite que un atacante obtenga información confidencial a través de archivos PDF impresos desde el navegador.

De la primera vulnerabilidad, la más grave, se han dado todos los detalles de forma pública. No se han observado de forma masiva ataques que la aprovechen, pero dadas las circunstancias, parece que no tardarán en aparecer. El fallo está en el manejo de punteros en la función "getElementsByTagName" de mshtml.dll al procesar objetos CSS. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que corra Internet Explorer con solo visitar una página especialmente manipulada.

Microsoft ya ha reconocido el fallo y está trabajando en un parche para solucionarlo. Solo afecta a las versiones 6 y 7 del navegador. Si no es posible usar la versión 8, como contramedida, se recomienda elevar la seguridad de las zonas de Internet Explorer a "Alta" para las páginas no confiables. O desactivar directamente el "Active Scripting" en las "Opciones de Internet", pestaña de "seguridad", "nivel personalizado".

El otro problema de seguridad encontrado en el navegador es mucho menos peligroso. Cuando se abren en Internet Explorer páginas web almacenadas en el disco duro y se imprimen con cualquier impresora virtual en formato PDF, el navegador añade en el archivo información que no debería estar ahí, como la ruta local de la página que se ha impreso en PDF. Lo añade en el interior del archivo de forma que no se ve a simple vista. Es necesario abrir el archivo PDF con un editor para observarlo. Un atacante con acceso al documento PDF podría obtener así información sensible a partir de esas rutas locales, como por ejemplo los nombres de usuario y versión del sistema operativo analizando el archivo con un editor.

La persona que ha alertado sobre este último problema, advierte que con el buscador Google, es muy sencillo encontrar ficheros PDF que han sido impresos en este formato a través del navegador y que contienen la ruta del disco duro donde estaban alojados. En la mayoría de las ocasiones si esta ruta es la de "Mis documentos" en Windows, podrían incluir el nombre de usuario que las generó.

Este fallo afecta a todas las versiones incluida la 8. Microsoft no lo considera un problema de seguridad, así que aunque ha reconocido el problema, no parece que vaya a aplicar un parche. Lo más probable es que posteriores versiones del navegador, o bien un posible futuro Service Pack, anulen este comportamiento. Mientras tanto, se recomienda que si se imprimen con impresoras virtuales páginas HTLM interpretadas con Internet Explorer, se abra posteriormente el archivo PDF con cualquier editor, se busque la información sensible y se elimine.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Millions of PDF invisibly embedded with your internal disk paths
http://securethoughts.com/2009/11/millions-of-pdf-invisibly-embedded-with-your-internal-disk-paths/

Microsoft Security Advisory (977981)
http://www.microsoft.com/technet/security/advisory/977981.mspx

lunes, 23 de noviembre de 2009

Lunes 30 de noviembre: transmisión del DISI 2009 por videostreaming

Como en ediciones previas del Día Internacional de la Seguridad de la Información, DISI 2009 se transmitirá en directo a través de videostreaming por medio del Gabinete de Tele-Educación GATE de la Universidad Politécnica de Madrid en la url:
mms://amon.gate.upm.es/campus-sur
El horario de transmisión será desde las 08:45 hasta las 15:15 horas del lunes 30 de noviembre de 2009.

Como se puede comprobar en la página Web de la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información que lo organiza www.capsdesi.upm.es, de 09:30 a 10:30 horas se realizará la conferencia inaugural "Randomized Hashing: Secure Digital Signatures without Collision Resistance" a cargo del Dr. Hugo Krawczyk de IBM Research, Estados Unidos.

De 10:30 a 12:00 horas se celebrará el coloquio "Tendencias en Malware" con la participación de D. José Bidot, Director de Segurmática (Cuba), D. Ero Carrera, Chief Research Officer - Collaborative Security Virus Total (España) y D. Emilio Castellote, Director de Marketing de Panda Security (España), moderado por D. Justo Carracedo, Catedrático de la EUITT.

De 12:45 a 14:45 horas, el segundo coloquio "Mitos y Realidades en Hacking" cuenta con la participación de D. Luis Guillermo Castañeda, Director de Servicios Profesionales de Rusoft (México), D. Chema Alonso, Consultor de Seguridad de Informática64 (España), D. Alejandro Ramos, Manager de TigerTeam SIA (España) y D. Fermín Serna, Security Software Engineer MSRC Microsoft (España), moderado por D. Daniel Calzada, Profesor de la EUI.

Se incluye un breve CV de cada uno de los ponentes en DISI 2009.

Dr. Hugo Krawczyk (Estados Unidos)
Investigador en el campo de la criptografía en IBM. Además de una amplia lista de publicaciones académicas, el Dr. Krawczyk es conocido por sus contribuciones a la seguridad informática, incluyendo la invención de la función de autenticación HMAC y de varios diseños criptográficos en estándares internacionales como por ejemplo IPsec y TLS.

D. José Bidot (Cuba)
Licenciado en Ciencias de la Computación. Único delegado latinoamericano a la Primera Conferencia Internacional para combatir los Virus informáticos en 1991. Autor del Proyecto UNESCO Laboratorio Latinoamericano para la Protección contra los Virus Informáticos. Organizador de los 9 Seminarios Iberoamericano de Seguridad en las TI en Cuba.

D. Luis Guillermo Castañeda (México)
Director de Servicios Profesionales de Rusoft México. Trabajó para KasperskyLab como Chief Research Officer para la región de América y más tarde formó su propia compañía de consultoría de seguridad informática. Se ha dedicado principalmente al estudio del código malicioso y la ingeniería inversa.

D. Ero Carrera (España)
Ejerce actualmente como Chief Research Officer de Collaborative Security en VirusTotal y como investigador en zynamics GmbH. En el pasado también trabajó para la respetada compañía de Anti-Virus F-Secure.

D. Emilio Castellote (España)
Director de Marketing de Producto de Panda Security. Ha trabajado como responsable de productos de telecomunicación, seguridad y sistemas profesionales, participando en proyectos de I+D en la UPM y colaborando como profesor asociado en la EUITT.

D. Chema Alonso (España)
Ingeniero Informático, premiado con el galardón de Most Valuable Professional en Enterprise Security por Microsoft y consultor de seguridad en Informática 64. Escribe el blog de Un Informático en el Lado del Mal.

D. Alejandro Ramos (España)
Manager del Tiger Team en SIA, responsable de realizar auditorías de seguridad, test de intrusión, fortificación y análisis forense. Actualmente es uno de los editores del blog Security By Default.

D. Fermín Serna (España)
Security Software Engineer en el MSRC Engineering React Team en Microsoft. Trabajó 7 años en España como Penetration Tester y fundando su propia compañía en el campo de la seguridad. Ha colaborado con el US-CERT en diferentes vulnerabilidades que él mismo descubrió, tal como US-CERT-CA-2002-12 (ISC-DHCP). También ha publicado artículos en la explotación de fallos de seguridad en arquitecturas poco conocidas como SPARC y PA-RISC.


Jorge Ramió Aguirre
Cátedra UPM Applus+ de Seguridad y Desarrollo Sociedad Información
http://www.capsdesi.upm.es/



domingo, 22 de noviembre de 2009

Vulnerabilidad en impresoras HP Color LaserJet

Se ha anunciado una vulnerabilidad en algunas impresoras de la gama HP Color LaserJet, que podría permitir la realización de ataques de denegación de servicio o evitar restricciones de seguridad y permitir el acceso no autorizado a datos.

En múltiples ocasiones hemos hablado de la importancia de mantener los sistemas actualizados, pero también hay que recordar que elementos hardware también pueden verse afectados por problemas de seguridad que pueden afectar de forma importante al continuidad del negocio. Son frecuentes actualizaciones por vulnerabilidades en routers, switches y dispositivos de red similares, pero las impresoras son elementos importantes en la operativa de trabajo diaria y también pueden verse afectadas por graves problemas. Especialmente impresoras de centros de trabajo con múltiples funcionalidades.

El problema está provocado por un error del que HP no ha facilitado detalles, pero ha confirmado que se ven afectadas las impresoras HP Color LaserJet M3530 Multifunction Printer con firmware 53.021.2 y HP Color LaserJet CP3525 Printer con firmware 05.058.4. Solo se ven afectadas las impresoras con esas versiones concretas de firmware.

HP ha publicado actualizaciones del firmware para corregir estos problemas:
HP Color LaserJet M3530 Multifunction Printer 53.031.4 o posterior.
HP Color LaserJet CP3525 Printer 05.059.3 o posterior.
Disponibles desde la web de HP en: www.hp.com

Este problema es una muestra de lo importante que puede ser prestar atención a todos los sistemas y dispositivos que integran nuestra red, incluso aquellos que pensemos que no pueden tener problemas como una impresora.


Antonio Ropero
antonior@hispasec.com


Más información:

HPSBPI02472 SSRT090196 rev.1 - Certain HP Color LaserJet Printers, Remote Unauthorized Access to Data, Denial of Service
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01886100

sábado, 21 de noviembre de 2009

Vulnerabilidad de denegación de servicio en Linksys WAP4400N

Se ha anunciado una vulnerabilidad de de denegación de servicio en los puntos de acceso inalámbrico Linksys WAP4400N (Wireless N Access Point).

El problema se debe a un error al tratar peticiones de asociación mal construidas, lo que podría dar lugar a que el dispositivo se reinicie o quede bloqueado lo que provoca que no pueda utilizarse la red inalámbrica con la consiguiente condición de denegación de servicio.

Se ha publicado el firmware versión 1.2.19 para corregir este problema.


Antonio Ropero
antonior@hispasec.com


Más información:

Marvell Driver Multiple Information Element Overflows
http://seclists.org/bugtraq/2009/Nov/73

viernes, 20 de noviembre de 2009

Denegación de servicio en HP OpenView Network Node Manager

HP ha publicado una actualización para corregir un problema de seguridad en HP OpenView Network Node Manager (OV NNM) versiones 7.51 y 7.53 (para HP-UX, Linux, Solaris y Windows) que podría permitir a un atacante remoto provocar condiciones de denegación de servicio.

HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes, posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP.

El problema reside en un error en el motor de base de datos (ovdbrun.exe) cuando procesa paquetes con un código de campo no válido enviados al puerto 2690/TCP. Un atacante remoto podría aprovechar esta vulnerabilidad para provocar la caída del servicio afectado lo que causaría la condición de denegación de servicio.

Se recomienda aplicar la actualización disponible desde el boletín de seguridad de HP:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01926980


Antonio Ropero
antonior@hispasec.com


Más información:

HPSBMA02477 SSRT090177 rev.2 - HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01926980

jueves, 19 de noviembre de 2009

Actualización de seguridad para PHP

Se ha publicado la versión 5.3.1 de PHP, que corrige seis vulnerabilidades de seguridad en el popular lenguaje, que podrían ser aprovechadas por un atacante remoto para saltarse restricciones de seguridad o provocar denegaciones de servicio.

El primero de los problemas solucionados se debe a que PHP no limitaba el número máximo de subidas de archivo por petición, con la actualización queda limitado a 20 por defecto. Un atacante podría explotar este problema para provocar una denegación de servicio mediante el consumo de archivos temporales.

Un segundo problema está provocado por la ausencia de controles de seguridad en el tratamiento de exif.

Un atacante podría emplear otro de los errores en "tempnam()" para evitar el modo "safe_mode".

Otra de las vulnerabilidades reside en un error en "posix_mkfifo()", que podría permitir evitar las restricciones "open_basedir". También se ha corregido un problema en "safe_mode_include_dir".

El último de los problemas corregidos se debe a un error en popen al manejar un modo no válido, lo que podría provocar una denegación de servicio.

Se recomienda actualizar a PHP versión 5.3.1 disponible en:
http://www.php.net/downloads.php


Antonio Ropero
antonior@hispasec.com


Más información:

PHP 5.3.1 Release Announcement
http://www.php.net/releases/5_3_1.php

miércoles, 18 de noviembre de 2009

Vulnerabilidad de Cross Site Scripting en IBM WebSphere Application Server

Se ha encontrado una vulnerabilidad en IBM WebSphere Application Server (versiones 6.1.x y 7.x) que podría ser explotada por un atacante remoto para conducir ataques de cross-site scripting.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

La vulnerabilidad está causada por un error de validación de entradas cuando procesa los datos introducidos por el usuario en la Consola de Administración. Esto podría ser explotado por un atacante remoto para ejecutar código arbitrario HTML y JavaScrip en el contexto de la sesión del navegador de un usuario que visita un sitio afectado.

Para WebSphere Application Server 6.1 se recomienda instalar el último Fix Pack (6.1.0.29 o posterior) o el APAR PK92057.
Para WebSphere Application Server 7.0 se recomienda instalar el último Fix Pack (7.0.0.7 o posterior) o el APAR PK92057.


Antonio Ropero
antonior@hispasec.com


Más información:

IBM WebSphere Application Server Administration Console cross-site scripting
http://xforce.iss.net/xforce/xfdb/54229

martes, 17 de noviembre de 2009

Denegación de servicio en VirtualBox a través de "Guest Additions"

Existe un error en los complementos de VirtualBox "Guest Additions" que permitirían a un atacante local sin privilegios del sistema virtualizado causar una denegación de servicio.

VirtualBox es un software de virtualización para arquitecturas x86 y AMD64/x86_64, disponible como Open Source y sujeto a licencia GPL. Está disponible para Windows, Linux, MacOS X y OpenSolaris y permite virtualizar sistemas Windows, Linux, Solaris, OpenSolaris, y OpenBSD.

Los "Guest Additions" permiten intercomunicar, mediante la instalación de unos drivers, a las máquinas virtuales con el sistema host. Con estos controladores el sistema virtual puede tener mejor acceso a los recursos del sistema host y optimizar su funcionamiento.

El fallo se produce al no validar correctamente los tamaños de memoria que se van a copiar. Esto permite a un atacante crear una llamada IOCTL especialmente diseñada para causar un consumo excesivo de memoria del kernel, provocando una denegación de servicio en dicho sistema. El sistema anfitrión, desde donde corre VirtualBox, no se vería afectado por la vulnerabilidad, dado que el fallo se produce en los drivers instalados en la máquina virtual.

Todas las versiones de VirtualBox se ven afectadas por este error que ha sido solucionado por Sun en una nueva versión disponible para su descarga.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Advisory:
http://sunsolve.sun.com/search/document.do?assetkey=1-66-271149-1

Parches:
http://download.virtualbox.org/virtualbox/vboxdownload.html

xorl:
http://xorl.wordpress.com/2009/11/16/sun-xvm-virtualbox-guest-additions-memory-consumption-on-guest-os/

lunes, 16 de noviembre de 2009

Mitos y leyendas: UAC, ese gran incomprendido II (UAC de forma útil)

La potencia del UAC se muestra realmente cuando se utiliza una cuenta con privilegios limitados. Con UAC bien configurado, Windows se comporta de forma parecida a otros sistemas operativos que llevan años obligando al usuario (con éxito) a utilizar cuentas de usuario estándar: GNU/Linux y Mac OS.

Por defecto, el primer usuario creado cuando se instala Vista es una cuenta de administrador en "modo de aprobación". En este modo de UAC no se pide credenciales, sino que simplemente, ante una acción potencialmente peligrosa, se pregunta si realmente se quiere hacer. Lo que ha dado mala fama al UAC y probablemente un gran error de Windows Vista (corregido al parecer en Windows 7) ha sido obligar a responder preguntas de si realmente se quiere realizar una acción a un usuario que ya de por sí es administrador.

Para usar de forma útil el UAC el usuario debe ser usuario raso y preferiblemente, configurarlo para que pida las credenciales. En XP, cada vez que se quería elevar privilegios para realizar tareas de administrador, había que utilizar herramientas incómodas como "runas" o realizar ciertos trucos para que el proceso "explorer.exe" heredara el token de administrador. Esto era un suplicio. Con UAC, cada vez que el usuario desee realizar una acción como administrador, el diálogo aparecerá mágicamente, y solo será necesario aprobar la acción o introducir las credenciales. Todo es mucho más cómodo. Pero para conseguir esto, hay que manipular y entender algunos aspectos del UAC.

La pantalla gris

A muchos usuarios les molesta que la pantalla se oscurezca cuando aparece el diálogo del UAC. Incluso, algunas tarjetas gráficas no lo soportan y se obtienen resultados extraños cuando UAC se interpone en su camino. Esto no es un capricho de Microsoft, de hecho, es bastante útil. Básicamente, el diálogo del UAC se ejecuta en otro contexto al que el fondo de escritorio normal, "no puede llegar". Si no fuera así, un malware alojado en el sistema, podría acceder a esa pantalla de diálogo y aprobar por él mismo las acciones sin que el usuario pudiese evitarlo. Claro está que para que esto ocurriera, el sistema debería, ya de por sí, estar infectado, pero no está de más prevenir. Es una medida interesante y útil. Aun así, es posible deshabilitarla.

Aprobando todo el rato

Como comentamos, si un usuario quiere usar Vista como XP bajo su cuenta y riesgo, es fácil deshabilitar el UAC para la cuenta de administrador. A muchos choca que, aun siendo administrador, se le pregunte si quiere realizar ciertas acciones. Simplemente hay que desactivar el "Modo de aprobación de administrador" para la cuenta de Administrador.

Aprobar o introducir la contraseña.

Esto se configura con el "comportamiento del indicador de elevación para los usuarios estándar". Si se configura para pedir credenciales, cada vez que un usuario estándar necesite realizar una acción con privilegios deberá introducir la contraseña de un administrador. Especialmente útil para no tener que realizar los viejos trucos de XP con el fin de elevar privilegios. Esto, unido a la capacidad de detectar qué programas requieren privilegios y cuáles no, es lo que acerca a Vista y 7 al mundo de gestión multiusuario de Mac OS o GNU/Linux.

Todos estos cambios pueden realizarse en el registro o desde la consola de modificación de políticas, y ayudan a aprovechar realmente UAC. Windows 7, tras la desastrosa experiencia, ha limitado el número de acciones que necesitan de elevación de privilegios, y además, eliminado el modo de aprobación para el primer usuario, en un intento de contentar a todo sus clientes.

Si bien UAC no es ninguna panacea (como no lo es ninguna solución de seguridad por sí misma) usado junto a un usuario estándar, resulta muy útil. Microsoft no se atreve todavía a dar el salto y a obligar al uso de cuentas limitadas, sin embargo, parece que tarde o temprano tendrá que hacerlo. Y solo entonces los usuarios deberán aprender a moverse en el entorno limitado en el que siempre debieron hacerlo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mitos y leyendas: UAC, ese gran incomprendido I (Introducción)
http://www.hispasec.com/unaaldia/4040

domingo, 15 de noviembre de 2009

Mitos y leyendas: UAC, ese gran incomprendido I (Introducción)

Una de las tecnologías que Microsoft introdujo en Vista, el UAC (User Account Control), ha sido especialmente criticada y rechazada por la mayoría de los usuarios. Sin embargo, si se presta un poco de atención, se puede usar UAC como un gran adelanto en la seguridad y comodidad de Windows. Microsoft ha dado un paso interesante en la dirección correcta con UAC, pero los usuarios que se empeñan en usar el administrador no han sabido valorarlo. UAC es un incomprendido porque en realidad, hay que entenderlo como una bendición para los que usan una cuenta limitada en Vista y 7. Un complemento ideal para lo que sigue siendo la mejor defensa: evitar el uso del administrador.

El qué y el porqué del UAC

Microsoft no tenía ningún control de usuario real para su gama de escritorio hasta Windows XP. Su introducción supuso un enorme paso adelante para la seguridad. Utilizar Windows XP en modo usuario estándar era, por fin, el mejor antídoto contra el malware y todo tipo de amenazas. Pero de nada sirvió. Por miedo a que los usuarios (después de años de MS-DOS, 3.11 y 9x) no supieran lidiar con NTFS, permisos, derechos y privilegios, decidió que usar la cuenta de administrador todo el tiempo era lo "menos malo". Sacrificaron todas las mejoras que ellos mismos habían introducido con tal de que se entendiera su flamante sistema operativo. Los programadores se relajaron entonces, y dieron por hecho que el usuario debía ser administrador, y no se preocuparon por comprobar dónde podían escribir, a qué zonas del sistema podían acceder, etc. De hecho, pocos son los virus que se preocupan hoy en día de si pueden escribir o no en "system32", zona favorita donde se esconde la inmensa mayoría del malware actual. Si el usuario no fuese administrador, esa inmensa mayoría del malware no sería hoy efectiva, porque no serían capaces de escribir archivos donde presuponen que pueden.

Así que XP permitía protegerse con el usuario estándar, pero muchos lo ignoraban y además era incómodo. Microsoft no ofrecía ninguna herramienta realmente cómoda para que un "loco" que decidiera usar su Windows como debe ser, desde una cuenta sin privilegios, pudiera administrar de forma sencilla su equipo. Todo tipo de trabas en los programas y en la propia interfaz hacía que muchos de los intentos por migrar hacia un usuario raso fracasaran. Algo había que hacer, y con la introducción de Vista era el momento adecuado.

Un cambio a medias

Con Vista, Windows podría haber tomado un rumbo radicalmente distinto (y a la vez, igual a la de cualquier otro sistema operativo): obligar a que la primera cuenta de usuario creada cuando se instala el sistema (la que todo el mundo usa habitualmente) fuera de usuario raso. Pero no. Sería demasiado chocante, así que decidió introducir un paso intermedio, el UAC. En pocas palabras, se trata de una pantalla de protección contra las acciones potencialmente peligrosas para el usuario, incluso si eres el administrador. Técnicamente hablando, es un concepto extraño.

En XP, un usuario que se presenta en el sistema, tiene un token de seguridad. Este token puede ser básicamente de administrador (puede hacer lo que quiera) o de usuario estándar (se ve limitado para escribir en ciertas zonas del sistema, o para realizar ciertos cambios). En Vista por el contrario, cuando un administrador inicia sesión se le conceden dos: uno de administrador real y otro de usuario estándar (sí, aunque se sea administrador). Por defecto, se usa el token de usuario estándar para arrancar la mayoría de programas, y esto es estupendo desde el punto de vista de la seguridad. Para realizar las acciones que requieren elevar privilegios, se usa el token de administrador, y es en este paso donde interpone el UAC. El usuario es consciente de cuándo se están realizando acciones peligrosas y debe o bien proporcionar consentimiento o bien introducir sus credenciales.

O sea, Vista prácticamente obliga al usuario a tener pocos privilegios aunque pertenezca al grupo de administradores. Pero a muchos usuarios les gusta ser "poderosos", no les apetece responder constantemente a preguntas de si realmente quieren o no realizar tal o cual acción, así que ante la incomodidad terminan por desistir. El usuario echa de menos al todopoderoso administrador del XP, y por eso UAC ha resultado un estorbo para la mayoría.

Sin embargo, UAC es una herramienta excelente para quien usa Vista como usuario estándar. UAC es lo que todo usuario de XP que lo utilizaba con una cuenta limitada estaba esperando: una forma cómoda de mantener el sistema protegido.

De cómo configurar UAC de forma útil hablaremos en la siguiente entrega.


Sergio de los Santos
ssantos@hispasec.com



sábado, 14 de noviembre de 2009

Wordpress soluciona dos errores de seguridad

Se han solucionado dos errores en Wordpress que podrían ser aprovechados por usuarios autenticados para eludir restricciones o subir ficheros al servidor.

WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL. Ofrecido a la comunidad bajo
licencia GPL, WordPress es uno de los gestores de blogs más extendido en la blogosfera.

El primero de los errores solucionados es un problema de cross site scripting en el fichero "press-this.php". Este error está causado por no filtrar correctamente las variables usadas para el título y la sección.

El otro fallo corregido permite eludir restricciones y subir al servidor de Wordpress ficheros con doble extensión. El atacante solo tendría que visitarlos posteriormente para que se ejecutasen y obtener un mayor o menor control del servidor dependiendo de los permisos obtenidos. Se ha solucionado modificando la función "sanitize_file_name" para que escriba "_" si encuentra múltiples extensiones y alguna no está soportada.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

WordPress 2.8.6 Security Release
http://wordpress.org/development/2009/11/wordpress-2-8-6-security-release/

Lista de cambios
http://codex.wordpress.org/Version_2.8.6

WordPress <= 2.8.5 Unrestricted File Upload Arbitrary PHP Code Execution
http://seclists.org/fulldisclosure/2009/Nov/141

viernes, 13 de noviembre de 2009

Crece el número de sitios vulnerados

Según ha publicado Kaspersky Lab más del 60% de los sitios que ellos mismos han monitorizado (entre 100.000 y 300.000 webs de 2006 a 2009) han sido vulnerados más de una vez por atacantes para alojar malware durante el año 2009.

Según este estudio los sitios infectados han aumentado en 100 veces con respecto a hace solo tres años. De uno de cada 20.000 en 2006 a uno de cada 150 en 2009.

Phishtank, un repositorio de páginas que alojan phishing y lugar habitual donde encontrar webs vulnerables, también ha visto cómo han aumentado el número de incidentes. Recibió en octubre de 2009 más de 23.000 avisos. En el mismo mes de 2006 se reportaron alrededor de 7.000.

Para conseguir acceso a las páginas, los atacantes usan técnicas que también aprovechan de forma automatizada malware como Gumblar, del que ya se ha hablado en una-al-día en otras ocasiones.

Aunque la industria busca métodos para evitar que el usuario visite páginas infectadas o peligrosas desarrollando herramientas como Google Safe Browsing o la barra de herramientas de Netcraft, el número no para de crecer.

En ocasiones hemos encontrado sitios vulnerados por varios grupos de atacantes y con diferentes shells alojadas (una shell es un método habitual que utiliza un atacante para controlar una página web), accesibles desde semanas o meses atrás. El descuido o la falta de conocimiento sobre cómo actuar ante estas situaciones son los errores que se cometen con mayor frecuencia.

Es muy importante que cuando se nos comunica que un sitio web del que se es responsable ha sido vulnerado, se intente investigar sobre cómo se ha producido el incidente y arreglar el fallo lo antes posible. De lo contrario es muy probable que la página vuelva a ser atacada. Es necesario revisar la existencia de shells, etiquetas iframe usadas para atacar a los visitantes, malware, etc. Es necesario detectarlos y eliminarlos. Si se da el caso, es recomendable pedir la ayuda a la compañía de hosting para la investigación, puesto que dispondrán de más datos.

Es imprescindible además, que tras haber sufrido un ataque, se cambien las contraseñas que se usan en el servidor.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Estudio de kaspersky
http://www.viruslist.com/en/analysis?pubid=204792089

una-al-dia (22/05/2009) "Gumblar" en los medios
http://www.hispasec.com/unaaldia/3863/gumblar-los-medios

Estadísticas de phishtank
http://www.phishtank.com/stats/2009/10/
http://www.phishtank.com/stats/2006/10/

jueves, 12 de noviembre de 2009

Simposio de Seguridad de la Información AMSI 2009

La asociación mexicana de seguridad informática (AMSI) celebra el próximo 21 de noviembre el simposio de Seguridad de la Información AMSI 2009. Será de 9 AM a 7 PM en el edificio CEDAE de la Universidad Regiomontana (UR) en Monterrey (México).

El simposio contará con los siguientes ponentes:

David Treviño: "Seguridad en la nube".

Jesús Torrecillas: "Ya estamos en problemas. ¿Y ahora qué hacemos?"

Isreael Sotelo: "Seguridad de la información. Más allá de firewalls y mejores prácticas".

Romeo Sánchez: "¿Seguro que estás seguro? La seguridad falsa en las aplicaciones web"

Además, Ivonne Muñoz y Pablo Oyervides.

La entrada general son 100 pesos y 80 para estudiantes con credencial.

Toda la información en http://amsi.org.mx/


Laboratorio Hispasec
Laboratorio@hispasec.com



miércoles, 11 de noviembre de 2009

Boletines de seguridad de Microsoft en noviembre

Tal y como adelantamos, este martes Microsoft ha publicado seis boletines de seguridad (del MS09-063 al MS09-068) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico" mientras que los cinco restantes son "importantes". En total se han resuelto 15 vulnerabilidades.

Los boletines "críticos" son:

* MS09-063: Actualización para corregir una vulnerabilidad en Web Services on Devices Application Programming Interface (WSDAPI), que podría permitir la ejecución remota de código si sistema Windows afectado recibe un paquete especialmente creado. Afecta a Windows Vista y Windows Server 2008.

* MS09-064: Actualización destinada a corregir una vulnerabilidad en License Logging Server en Windows 2000, que podrían permitir la ejecución remota de código arbitrario si un atacante envía un mensaje de red específicamente creado a un sistema que ejecute License Logging Server.

* MS09-065: Actualización destinada a corregir tres vulnerabilidades en el kernel de Windows, que podrían permitir la ejecución remota de código arbitrario. Afecta a Windows 2000, XP, Vista, Server 2003 y Server 2008.

Los boletines clasificados como "importantes" son:

* MS09-066: Actualización destinada a corregir una vulnerabilidad de denegación de servicio en el servicio de Directorio Activo, Active Directory Application Mode (ADAM), y Active Directory Lightweight Directory Service (AD LDS).

* MS09-067: Actualización que soluciona ocho vulnerabilidades en Microsoft Excel. Los problemas podrían llegar a permitir la ejecución remota de código si un usuario abre un archivo Excel específicamente manipulado.

* MS09-068: Actualización que soluciona una vulnerabilidad en Microsoft Word, que podría permitir la ejecución remota de código si un usuario abre un archivo Word específicamente manipulado.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-063 - Crítico
Una vulnerabilidad en la API de servicios web en dispositivos podría permitir la ejecución remota de código (973565)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-063.mspx

Boletín de seguridad de Microsoft MS09-064 - Crítico
Una vulnerabilidad en el servidor de registro de licencias podría permitir la ejecución remota de código (974783)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-064.mspx

Boletín de seguridad de Microsoft MS09-065 - Crítico
Vulnerabilidades en los controladores modo kernel de Windows podrían permitir la ejecución remota de código (969947)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-065.mspx

Boletín de seguridad de Microsoft MS09-066 - Importante
Una vulnerabilidad en Active Directory podría permitir la denegación de servicio (973309)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-066.mspx

Boletín de seguridad de Microsoft MS09-067 - Importante
Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código (972652)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-067.mspx

Boletín de seguridad de Microsoft MS09-068 - Importante
Una vulnerabilidad en Microsoft Office Word podría permitir la ejecución remota de código (976307)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-068.mspx

martes, 10 de noviembre de 2009

Instalación insegura de Tomcat bajo Windows

El instalador de Windows de Tomcat deja la contraseña en blanco para el usuario administrativo de la aplicación, lo que puede resultar en un grave problema de seguridad para los que hayan instalado Tomcat bajo Windows con el instalador.

Las versiones afectadas son Tomcat de 5.5.0 a 5.5.28 y de 6.0.0 a 6.0.20, aunque las que ya no son soportadas también podrían verse afectadas. El fallo es que el Windows Intaller deja la contraseña en blanco y no es cambiada después del proceso de instalación. El usuario admin tiene roles de admin y manager, con lo que posee completos poderes sobre Tomcat.

Los usuarios que hayan instalado Tomcat directamente desde un archivo zip o tar.gz no se ven afectados. Es posible eliminar el usuario del archivo de configuración tomcat-users.xml tras la instalación para no verse afectado por el problema, o establecerle en el mismo fichero una contraseña robusta.

Se corregirá este error en las próximas publicaciones 6.0.x y 5.5.x.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Windows distribution vunerability
http://markmail.org/thread/wfu4nff5chvkb6xp

Apache Tomcat Security Updates
http://tomcat.apache.org/security.html

lunes, 9 de noviembre de 2009

Denegación de servicio a través del driver SDP en Solaris

Se ha anunciado un problema de seguridad en el controlador SDP de Sun Solaris 10 y OpenSolaris, que podría permitir a provocar condiciones de denegación de servicio.

El problema del que no se han ofrecido detalles reside en el driver SDP (Sockets Direct Protocol) que podría causar el consumo de toda la memoria del kernel. Un atacante remoto podría causar una denegación de servicio a través de peticiones SDP especialmente manipuladas.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 10 instalar 141444-09 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=141444-09&method=h

Para x86:
Solaris 10 instalar 141445-09 o superior desde:
http://sunsolve.sun.com/pdownload.do?target=141444-09&method=h

Para OpenSolaris
Solucionado en los sistemas basados en snv_95 o posterior.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

A Security Vulnerability in Solaris Sockets Direct Protocol (SDP) Driver (sdp(7D)) may Allow Users to Exhaust Kernel Memory
http://sunsolve.sun.com/search/document.do?assetkey=1-66-264730-1

domingo, 8 de noviembre de 2009

Primeros ataques en forma de gusano contra el iPhone


En Australia se ha detectado el primer ataque en forma de gusano contra el iPhone de Apple. Como suele ser habitual en estas primeras etapas, se trata de un ejemplar muy sencillo y que no provoca daños, pero que abre la veda para posibles consecuencias más graves. Aun así, las características del ataque y el tipo de dispositivo hacen que las oportunidades de esparcir un gusano se vean muy limitadas.

Ikee es el nombre que algunas casas antivirus le han dado a este prototipo de gusano para el iPhone. Busca teléfonos con el puerto SSH abierto, aprovecha la contraseña por defecto y se copia a sí mismo en el sistema. Modifica el fondo de pantalla con una fotografía de Rick Astley (famoso cantante de finales de los 80, intérprete del éxito "Never gonna give you up" y desde hace algún tiempo, protagonista de un extraño movimiento nacido en la red: el "Rickrolling"). Luego deshabilita el SSH del teléfono. Se trata de un ejemplar muy simple, programado por un aficionado, del que se ha publicado el código fuente (por lo que se prevén nuevos ataques basados en él). Este tipo de infección abre algunas cuestiones que nos resultan interesantes.

Si hablamos de SSH, nos restringimos a los teléfonos a los que se le ha practicado el "jailbreak", esto es: permiten la ejecución de programas no firmados por Apple. Estos suelen tener el SSH abierto, escuchando en el puerto 22 y con una contraseña de root por defecto conocida: "alpine". Un atacante en la misma red solo tiene que conectarse al puerto y entrar si el usuario no la ha modificado. No se trata de ninguna vulnerabilidad. Aquí entran en juego dos factores interesantes que no ayudan precisamente a un atacante: Primero que el servidor SSH del teléfono solo se encuentra activo mientras el teléfono está activo. O sea, si se encuentra en "stand by" con la pantalla apagada, el servicio no está disponible. Esto limita enormemente las posibilidades de que cualquier atacante, en cualquier momento, acceda a él.

Segundo, las posibilidades de ataque (fuera de una red local) dependen igualmente de la operadora a través de la que se conecte a Internet. Habitualmente, al menos en España, las operadoras realizan NAT sobre la conexión para ahorrar direcciones IP públicas y a su vez no exponer el dispositivo directamente a Internet. O sea, el teléfono tendrá una dirección IP "interna" única, pero una externa que puede ser compartida por varios dispositivos. Por tanto, desde el exterior, no sería posible acceder a un servicio concreto de un iPhone a no ser que la operadora "mapeara" los puertos correspondientes. Podríamos decir que así los dispositivos están protegidos del acceso directo a Internet. Optus por el contrario, la operadora bajo la que funcionaban los iPhone atacados por el gusano, no usa NAT.

Este ataque del gusano Ikee está relacionado con el que se dio a conocer hace unos días en Holanda. Un adolescente realizó exactamente la misma acción: buscó dispositivos con el puerto 22 abierto, se conectó por SSH con la contraseña por defecto y mostró un mensaje en la pantalla pidiendo 5 euros por las instrucciones para abandonar su teléfono (que consistía en simplemente, cambiar la contraseña). El chaval consiguió engañar a algunas decenas de usuarios.

Aunque curiosos, este tipo de ataques se encuentran muy limitados por las circunstancias ya expuestas, aunque si son propicias, es posible que puedan causar un daño considerable. Los peores ataques, sin embargo podrían venir por vulnerabilidades como las encontradas no hace mucho en el propio terminal. Contenía un error a la hora de interpretar los SMS que permitía a un atacante enviar un mensaje y ejecutar código arbitrario en el iPhone que lo recibiese. Esto abarcaría todos los iPhone, con el "jailbreak" realizado o no e independientemente de su operadora, por lo que resultaría bastante más peligroso un gusano basado en este esquema. Además, el iPhone hoy en día es un ordenador muy potente que a medio plazo puede resultar interesante para las mafias del malware.

Para protegerse de estos tipos de ataques, es necesario mantener el iPhone actualizado y modificar la contraseña de root.


Sergio de los Santos
ssantos@hispasec.com


Más información:

iPhone worm in the wild
http://isc.sans.org/diary.html?storyid=7549&rss

Dutch hacker holds jailbroken iPhones "hostage" for ?5 (Updated)
http://arstechnica.com/apple/news/2009/11/dutch-hacker-holds-jailbroken-iphones-hostage-for-5.ars

Posible ejecución de código a través de SMS en iPhone
http://www.hispasec.com/unaaldia/3905

sábado, 7 de noviembre de 2009

Actualización del kernel 2.6.24 para Debian Linux 4.x

Debian ha publicado una actualización del kernel 2.6 que corrige un total de 18 vulnerabilidades de seguridad que podrían causar denegaciones de servicio, elevación de privilegios o pérdidas de información sensible.

Entre otros se han corregido problemas de fuga de información a través del driver eisa-eeprom para arquitectura hppa, acceso a la memoria del kernel en sistemas 64-bit, diversos problemas de denegación de servicio local a través de llamadas al sistema especialmente manipuladas, una denegación de servicio local a través del envío de muchos datagramas "AppleTalk-IP" especialmente manipulados.

Otros problemas corregidos residen en la ejecución local de código arbitrario a través de una carpeta Mutt temporal montada con eCryptfs; una denegación de servicio local por un error en la implementación del protocolo AX.25; fugas de memoria en las implementaciones ANSI/IEEE 802.2 LLC, IrDA, X.25 PLP (Rose), NET/ROM, Acorn Econet/AUN y Controller Area Network (CAN).

Se recomienda actualizar a través de las herramientas automáticas
apt-get.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

DSA-1928-1 linux-2.6.24 -- privilege escalation/denial of service/sensitive memory leak
http://www.debian.org/security/2009/dsa-1928

viernes, 6 de noviembre de 2009

Microsoft publicará seis boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad. Afectan a toda la gama de sistemas operativos Microsoft y Office.

Si en octubre se publicaron trece boletines dentro del ciclo habitual (rompiendo todos los récords), este mes Microsoft prevé publicar seis actualizaciones el martes 10 de noviembre. Tres se consideran críticos y tres importantes.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Solucionados los graves problemas que surgieron en SMBv2 e IIS, Microsoft no tiene ahora mismo ninguna "deuda pendiente" en forma de grave vulnerabilidad reciente por resolver. Sin contar con el hecho de que ha dejado sin resolver para Windows 2000 la vulnerabilidad "sockstress" descubierta a finales de 2008 y que ha afectado a la mayoría de pilas TCP de casi todos los fabricantes de software. En su política de intentar forzar la migración de sus clientes, ha asegurado que la actualización "supondría un importante cambio estructural" en el sistema operativo. Para Windows XP, también afectado, tampoco ha ofrecido parche. Alega que su configuración por defecto no sería vulnerable y recomienda el uso del cortafuegos integrado para mitigar el problema, que en todo caso sería de riesgo bajo.

No se publican en esta ocasión parches para Windows 7. Recordemos que en los boletines emitidos en octubre, ya aparecían actualizaciones de seguridad específicas para este nuevo sistema operativo.

Los parches anunciados están sujetos a cambios, en cualquier caso, no se garantiza que se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for November 2009
http://www.microsoft.com/technet/security/bulletin/ms09-nov.mspx

jueves, 5 de noviembre de 2009

Controversia con el potencial fallo de seguridad en SSL y TLS

Marsh Ray y Steve Dispensa dicen haber descubierto una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico. El fallo se encontraría en el protocolo en sí, y por tanto afectaría a prácticamente todas las implementaciones de todos los sistemas. Sin embargo otras voces indican que quizás el fallo no sea tan grave.

Es importante aclarar que el fallo no permite descifrar las comunicaciones. Al parecer es posible inyectar tráfico en texto plano como prefijo en una sesión TLS si el atacante es capaz de interceptar el tráfico. Dado que el cifrado TLS y SSL es usado por gran variedad de aplicaciones para cifrar todo tipo de tráfico (HTTP, FTP, POP3...), el impacto depende mucho del escenario donde nos movamos. Se han demostrado ataques prácticos contra autenticación basada en certificados usando servidores Apache y Microsoft IIS. Se podría reproducir la vulnerabilidad sin autenticación por certificado de cliente pero de esta forma resulta incluso más complejo.

Los dos investigadores piden una movilización de la industria para solucionar el fallo y para ello han trabajado con la ICASI (Industry Consortium for Advancement of Security on the Internet) desde agosto. Pensaban mantenerlo en secreto, hasta que un miembro de la Internet Engineering Task Force (IETF) ha descubierto esta semana independientemente el mismo fallo y lo ha hecho público.

Moxie Marlinspike, por otro lado, le resta importancia al error. Argumenta que inyectar tráfico realmente no revela nada al atacante. Marlinspike es el autor de la herramienta SSLStrip, que presentó en febrero de 2009 en la Black Hat. También afirma que para HTTP, el problema es menor aún. "No afecta al correo web, banca online o compras. Para otros protocolos, puede ser algo más que académico, pero todavía no hay propuestas de cómo podría ser".

El criptógrafo Karsten Nohl, sin embargo, dice que el problema es comparable en gravedad al fallo en DNS encontrado por Kaminsky. Cabría la posibilidad de inyectar comandos como texto plano y realmente acceder a información sensible durante la comunicación.

Marsh Ray y Steve Dispensa defienden que deben parchearse todos los productos que usen TLS y SSL, tanto clientes como servidores. Afirman que además debería incluirse la función de cortar una comunicación si en una de las partes no está solucionado el problema.

En cualquier caso, se le ha asignado el código CVE-2009-3555 a la vulnerabilidad. Grandes compañías como Sun ya han anunciado que están investigando el impacto que este descubrimiento podría tener en sus productos. OpenSSL ha sacado un parche previo para deshabilitar la renegociación que origina el problema.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Renegotiating TLS
http://extendedsubset.com/Renegotiating_TLS.pdf

Expert calls SSL protocol vulnerability a non issue
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1373678,00.html?track=sy160

(CVE-2009-3555) CVE-2009-3555 TLS: MITM attacks via session renegotiation
https://bugzilla.redhat.com/show_bug.cgi?id=533125

El SSL no está roto... ¿o sí? (I)
http://www.hispasec.com/unaaldia/3775

miércoles, 4 de noviembre de 2009

Elevación de privilegios en el kernel Linux 2.6.x

Se ha descubierto un error en el kernel Linux 2.6.x que podría permitir a un atacante local provocar una denegación de servicio y potencialmente elevar privilegios. Las principales distribuciones están trabajando para solucionar el error cuanto antes.

El fallo ha sido calificado con el código CVE-2009-3547. Se trata de un error de condición de carrera que podría derivar en el control de un puntero nulo en las funciones "pipe_read_open", "pipe_write_open", y "pipe_rdwr_open" del archivo fs/pipe.c. Podría ser aprovechado por un atacante local para causar una denegación de servicio y potencialmente elevar privilegios a través de ciertas operaciones con "pipe", como por ejemplo abrir un "pipe" anónimo a través de /proc/pid/fd/. El fallo ha sido solucionado en 2.6.32-rc6, pero la última versión estable 2.6.31.5 del día 22 de octubre, contiene el error.

El problema fue encontrado en la función "pipe_rdwr_open", pero preventivamente se ha intentado solucionar en el resto de funciones que trabajan abriendo "pipes". Los primeros en solucionar el error han sido los responsables de Red Hat, que publicaron un parche el pasado día 3 de noviembre. Poco después se comprobaba que el error afectaba en realidad a todos los núcleos. Earl Chew hablaba ya del fallo en el repositorio GIT del kernel el 19 de octubre.

OpenSuSE y Novell SuSE ya han reconocido que el problema les afecta y que están trabajando en una solución. Otras distribuciones no se han pronunciado al respecto.

Aunque todavía no se ha hecho público, parece que programar un exploit para elevar privilegios puede resultar relativamente sencillo. Provocar una denegación de servicio resulta trivial.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

fs: pipe.c null pointer dereference
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=ad3960243e55320d74195fb85c975e0a8cc4466c

martes, 3 de noviembre de 2009

Seminario web sobre malware

"The Explosion of the Axis of Evil", impartida por Peter Silberman (Mandiant) y Ero Carrera (VirusTotal-Hispasec), es una charla que nos sumergirá en las tendencias y técnicas utilizadas por el malware actual enfrentando dos visiones bien diferenciadas, por un lado el malware de masas y por el otro el usado en ataques muy dirigidos. Presentado en formato de seminario web el próximo jueves día 5, los interesados podrán disfrutarlo a través de Internet previo registro de forma gratuita.

La charla aprovecha el conocimiento de Mandiant, con una visión más cerrada y especializada en el malware dirigido a las principales empresas del Fortune 500 y grandes corporaciones, junto con el de Hispasec, que recibe a través de VirusTotal todo tipo de malware de forma masiva lo que le permite obtener una imagen más global y completa de las amenazas.

Peter y Ero proporcionarán un análisis general de las tendencias y técnicas utilizadas por el malware al que tiene acceso Mandiant (ataques dirigidos) y VirusTotal (ataques en general), haciendo hincapié en que aspectos se entrecruzan y en cuales divergen. Los asistentes al seminario web podrán obtener una comprensión del volumen, características y evolución del malware, así como predicciones de hacia donde se dirige.

La presentación con carácter internacional (impartida en inglés), tendrá lugar el próximo jueves día 5 a las 2:00 p.m. EDT (20:00 hora española). Los interesados pueden registrarse para el evento en la siguiente dirección:
http://cts.vresp.com/c/?mandiant/cdd0dfe5fb/TEST/9cea2dddab/udc=dncxz4u5wfkm


Bernardo Quintero
bernardo@hispasec.com



lunes, 2 de noviembre de 2009

Denegación de servicio en Novell eDirectory

Se ha anunciado una vulnerabilidad en Novell eDirectory versiones anteriores a 8.8.5 ftf1 y anteriores a la 8.7.3.10 ftf2 por la que un usuario remoto puede provocar condiciones de denegación de servicio en los sistemas afectados.

Novell eDirectory es el servicio de directorio LDAP de Novell, compatible con AIX, HP-UX, Linux, NetWare, Solaris y Windows, admite todo un abanico de estándares emergentes y protocolos de servicios Web: DSML, SOAP y XML, entre otros.

Este problema está provocado por un error el en proceso NDSD cuando gestiona peticiones de búsqueda LDAP mal construidas con un NULL BaseDN enviado al puerto 389/TCP. Lo que podría provocar que un sistema vulnerable dejara de responder, con la consiguiente condición de denegación de servicio.

Se recomienda aplicar Novell eDirectory 8.8.5 ftf1 o 8.7.3.10 ftf2, disponibles desde:
http://download.novell.com/


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability: eDirectory LDAP Null Base DN Denial of Service
http://www.novell.com/support/viewContent.do?externalId=7004721

Novell eDirectory LDAP Null Base DN Denial of Service Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-09-075/

domingo, 1 de noviembre de 2009

Nuevos contenidos en la Red Temática CriptoRed (octubre de 2009)

Breve resumen de las novedades producidas durante el mes de octubre de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN ESTE MES
* Presentación Conferencia Expectativas de Desarrollo en Seguridad de la Información (Jorge Ramió, Power Point, 35 diapositivas, España)
http://www.criptored.upm.es/guiateoria/gt_m001t.htm
* Documento PDF de la Entrevista al Coordinador de CriptoRed en Blog de Microsoft (Jorge Ramió, PDF, 12 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m001u.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES
* Informe de la Red de Sensores de INTECO del mes de septiembre de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200909.pdf
* White Paper Web Use and the Risk to Business
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qYZWD29/xXEF429
* White Paper Image Spam: The Threat Returns
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qSWYD29/xQGAE29
* White Paper Effective Insider Threat Management
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qRZTE29/xTEAX29
* Reflexiones sobre las Métricas en Seguridad de la Información en Blog IT-Insecurity (Jeimy Cano, Colombia )
http://insecurityit.blogspot.com/2009/10/reflexiones-sobre-las-metricas-en.html
* Documento Inseguridad en la Nube Retos y Riesgos en Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2009/10/inseguridad-en-la-nube-retos-y-riesgos.html
* Libro 1998 - 2009 Una al día Once años de seguridad informática de Hispasec en PDF (Sergio de los Santos, España)
http://www.hispasec.com/uad/index_html

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Noviembre 4 al 6 de 2009: 31 Conferencia Internacional de Protección de Datos y Privacidad (Madrid - España)
* Noviembre 8 de 2009: CFP para Revista Ibérica de Sistemas y Tecnologías de la Información RISTI (Brasil)
* Noviembre 16 al 18 de 2009: V Congreso Iberoamericano de Seguridad Informática CIBSI '09 (Montevideo - Uruguay)
* Noviembre 19 al 20 de 2009: Congreso de Informática Forense INFOFOR 2009 (La Paz - Bolivia).
* Noviembre 19 al 22 de 2009: IADIS International Conference WWW Internet 2009 (Roma - Italia)
* Noviembre 30 a diciembre 4 de 2009: IEEE Globecom 2009 Ad Hoc, Sensor and Mesh Networking Symposium (Hawaii - USA)
* Diciembre 9 al 11 de 2009: 8th International Information and Telecommunication Technologies Symposium I2TS 2009 (Santa Catarina Island - Brasil)
* Enero 25 al 28 de 2010: Fourteenth International Conference Financial Cryptography and Data Security (La Laguna, Tenerife - España)
* Febrero 15 al 18 de 2010: 3rd Workshop on Privacy and Security by Means of Artificial Intelligence PSAI 2010 (Cracovia - Polonia)
* Marzo de 2010: Congreso de Seguridad Informática Rooted CON 2010 (Madrid - España)
* Marzo 18 al 20 de 2010: IADIS International Conference Information Systems 2010 (Oporto - Portugal)
* Abril 7 al 10 de 2010: 6th International Conference on Web Information Systems and Technologies WEBIST (Valencia - España)
* Junio 16 al 19 de 2010: V Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2010 (Santiago de Compostela - España)
* Julio 26 al 28 de 2010: International Conference on Security and Cryptography SECRYPT (Atenas - Grecia)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y Seguridad de la Información RECSI 2010 (Tarragona - España)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú - Grecia)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. NOTICIAS PUBLICADAS EN EL MES DE OCTUBRE DE 2009
* CFP para 6th International Conference on Web Information Systems and Technologies (España)
* CFP para Cuarto Número de la Revista Ibérica de Sistemas y Tecnologías de la Información RISTI
* CFP para IADIS International Conference Information Systems 2010 (Portugal)
* CFP para Rooted CON 2010 Congreso de Seguridad Informática en Madrid (España)
* CFP para XI Reunión Española sobre Criptología y Seguridad de la Información RECSI (España)
* CFP V Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2010 (España)
* Tercera Jornada de Derecho y Pericias Informáticas en Buenos Aires (Argentina)
* Tercer Congreso Profesional de Directores de Seguridad de Seguritecnia en Toledo (España)
* 2a Jornada de Seguridad en Tratamiento de Datos de Carácter Personal en Madrid (España)
* Congreso de Informática Forense INFOFOR 2009 en La Paz (Bolivia)
* Congreso Nacional de Auditoría, Seguridad y Gobierno de TI de ISACA Valencia (España)
* VI Jornada Internacional de la Seguridad de ISMS Forum Spain en Sevilla (España)
* FIRST Technical Colloquium y CLCERT/FIRST Security Workshop (Chile)
* Libro Cómo Protegernos de los Peligros en Internet de Gonzalo Alvarez (España)
* Se Encuentran Abiertas las Preinscripciones para el Cuarto DISI 2009 (España )
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#oct09

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 801
214 universidades y 298 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 32.471 visitas, con 97.723 páginas solicitadas y 33,00 GigaBytes servidos en octubre de 2009
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

Octubre 2009
http://www.criptored.upm.es/paginas/historico2009.htm#oct09