jueves, 31 de diciembre de 2009

Resumen de seguridad de 2009 (III)

Termina el año y desde Hispasec continuamos con este breve resumen del año, para en esta ocasión recordar y analizar con perspectiva lo que ha sido el tercer trimestre de 2009 en cuestión de seguridad informática. Estas son las que consideramos las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Julio 2009:

* Se revela la posibilidad de llegar ejecuta código a través de SMS en iPhone, mientras Apple trabaja en un parche para arreglar el problema que podría permitir la ejecución de código arbitrario en el iPhone al recibir un SMS especialmente manipulado.

* Este es el mes de los fallos en Twitter, centrado en la API del popular servicio de "la nube".

* Se da a conocer un nuevo "0 day" en un ActiveX de Microsoft. A finales de mes Adobe también se ve afectada por un "0-day" en Reader, Acrobat y Flash Player. Posteriormente se descubre que ambas compañías conocían los fallos desde 2008.

* Tras la publicación de Security Essentials el antivirus gratuito de Microsoft, el jefe de producto de Symantec realiza unas declaraciones en contra de las soluciones antivirus gratuitas, afirmando que "No son suficientes para mantener al usuario seguro". Sin embargo el problema no radica en la gratuidad o no de las soluciones antivirus.

Agosto 2009:

* Dos investigadores japoneses mejoran un ataque ya conocido sobre WPA, acelerando el proceso de 15 minutos a 1. El ataque es muy limitado y solo permite inyectar paquetes de información pequeños bajo ciertas circunstancias.

* Publicamos unos documentos técnicos (White Papers) sobre una vulnerabilidad en Asterisk investigada por nuestro compañero Hugo. Permitía provocar una denegación de servicio sin necesidad de autenticarse.

* A finales de mes los servidores de la fundación Apache sufren un ataque, durante un tiempo gran parte de su infraestructura permanece detenida para evaluar los daños causados por los atacantes. Se sabe que el problema surge por una llave SSH comprometida.

Septiembre 2009:

* Se anuncia un fallo de seguridad en Windows Vista y 7 que podría permitir a un atacante provocar un BSOD (pantallazo azul, una denegación de servicio) con solo enviar algunos paquetes de red manipulados a una máquina que tenga activos los servicios de compartición de archivos (protocolo SMB). El ataque es tan sencillo que recuerda a los "pings de la muerte" que hicieron estragos a finales de los 90 en los sistemas Windows. Poco después de descubriría que el ataque permitía la ejecución de código arbitrario.

* Cisco y Microsoft, seguida posteriormente de Check Point, fueron los primeros fabricantes en publicar parche para la vulnerabilidad "Sockstress" (revelada en octubre de 2008) del protocolo TCP. El problema residía en un error en la implementación TCP al no realizar de forma correcta la limpieza de la información de estado y llegaba a afectar a todos los sistemas y dispositivos que implementaran una pila TCP.

* Hispasec publica el estudio comparativo: "¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?". En el que analizamos el tiempo que tarda un fabricante en hacer pública una solución para una vulnerabilidad cuando solo es conocida por ellos y quien la ha descubierto. Se analizaron 449 vulnerabilidades y los fabricantes estudiados fueron HP, Computer Associates, Adobe, Apple, Microsoft, Novell, Symantec, Oracle, IBM y Sun. Una de las conclusiones del estudio fue que la media de los grandes fabricantes para solucionar una vulnerabilidad es de seis meses, independientemente de su gravedad.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (29/12/2009) Resumen de seguridad de 2009 (I)
http://www.hispasec.com/unaaldia/4084/

una-al-dia (30/12/2009) Resumen de seguridad de 2009 (II)
http://www.hispasec.com/unaaldia/4085/

miércoles, 30 de diciembre de 2009

Resumen de seguridad de 2009 (II)

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva lo que ha sido el segundo trimestre de 2009 en cuestión de seguridad informática. Estas son las que consideramos las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Abril 2009:

* meses después de su aparición, el gusano Conficker sigue dando que hablar. Se dijo que el 1 de abril Conficker se activaría y colapsaría muchas webs. Como era de esperar no ocurrió nada.

* Mozilla publica luz la versión 3.0.10 del navegador Firefox, tan solo una semana después de publicar la 3.0.9. La nueva versión soluciona un fallo de seguridad crítico introducido por una de las actualizaciones anteriores.

* Microsoft publica la versión 2.0 de "La protección de datos personales. Soluciones en entornos Microsoft.". Una guía práctica, gratuita en formato electrónico, que ayuda a aplicar una parte de la Ley orgánica de Protección de Datos (LOPD) para quien trabaje con software de Microsoft.

* Adobe confirmó la existencia de otra grave vulnerabilidad en Adobe Reader, que estaba siendo aprovechada por atacantes para ejecutar código en el sistema ("0 day").

Mayo 2009:

* Hispasec participa en el BDigital Global Congress 2009, un congreso de referencia sobre los avances de las Tecnologías de la Información y las Comunicaciones (TIC) y su aplicación en el ámbito empresarial, tecnológico y social.

* Al igual que Microsoft y otros fabricantes, Adobe se suma a las actualizaciones programadas. Tras diversos exploits "0-day" y críticas vertidas hacía su política de seguridad, Adobe decide publicar actualizaciones los segundos martes de cada mes.

* Microsoft reconoce una vulnerabilidad en DirectX que podría permitir a un atacante ejecutar código arbitrario, que estaba siendo aprovechada en esos momentos por atacantes, lo que la convierte en un "0 day".

Junio 2009:

* Se crea el Consejo Nacional Consultor sobre CyberSeguridad (CNCCS), una organización privada que tiene, como miembros fundadores, a Panda Security, S21Sec, Hispasec Sistemas y Secuware. El CNCCS apoya la iniciativa parlamentaria que propone la creación del Plan Europeo de CyberSeguridad en la Red, que es posteriormente aprobada en el Senado por unanimidad.

* Se publica una nueva combinación de métodos para provocar colisiones en el algoritmo de hash SHA1 de forma mucho más rápida. Se reduce la complejidad para provocar colisiones en SHA1 a 2^52 intentos.

* La versión 3.0 del sistema operativo del iPhone soluciona 46 fallos de seguridad.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (29/12/2009) Resumen de seguridad de 2009 (I)
http://www.hispasec.com/unaaldia/4084/

martes, 29 de diciembre de 2009

Resumen de seguridad de 2009 (I)

Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2009 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Enero 2009:

* Se encuentra una copia pirata y troyanizada de iWork 09 (para Mac OS X) circulando por las redes de pares. Los atacantes parecen que cada vez tienen más interés en el sistema operativo de Apple.

* El gusano Conficker logra cotas de infección relevantes y consigue activar todas las alarmas y aparecer hasta en medios de comunicación generalistas.

* Publicamos dos documentos técnicos sobre algunas vulnerabilidades descubiertas por nuestro compañero Matthew en IrfanView y SDL_Image.

Febrero 2009:

* BeyondTrust publica un informe en el que revela que el impacto del 92% de las vulnerabilidades críticas en Windows se minimizaría si no se usasen los privilegios de administrador.

* Apple publica una actualización que corrige más de 50 problemas.

* Durante las conferencias Black Hat un investigador demostró cómo eludir la autenticación y el cifrado SSL de las páginas supuestamente seguras mediante la combinación de técnicas ya conocidas. Se crea un gran revuelo ante la posibilidad de que el SSL pueda ser vulnerable, sin embargo el SSL sigue siendo un protocolo en que que podemos confiar.

Ante la tardanza por parte de Adobe de publicar una actualización para Adobe Reader por una vulnerabilidad de ejecución de código remoto, aparece un parche no oficial para evitarlo. Adobe cada vez se asemeja más a Microsoft.

Marzo 2009:

* Tras más de 10 años sin un fallo reconocido en el servidor DNS djbdns, su autor premió con 1.000 dólares al descubridor de una pequeña vulnerabilidad en este servidor DNS.

* Tras más de un mes esperando que Adobe publicara una actualización para evitar una grave vulnerabilidad en Adobe Reader, se publica un parche pero sólo para algunas versiones.

* La universidad de Toronto publicó un documento de investigación sobre "GhostNet", una pequeña botnet concebida para el espionaje.


Antonio Ropero
antonior@hispasec.com



lunes, 28 de diciembre de 2009

Denegación de servicio en routers 3Com OfficeConnect

Se ha anunciado una vulnerabilidad de denegación de servicio remota en routers 3Com OfficeConnect ADSL Wireless 11g Firewall cuando maneja peticiones http específicamente construidas.

Existe un error a la hora de procesar el campo "Authorization" de cabeceras HTTP que podría provocar una denegación de servicio. Un atacante remoto podría enviar peticiones HTTP con el campo "Authorization" especialmente manipulado y hacer que el sistema deje de responder o que la conexión de red falle.

Se ha publicado un exploit público de demostración del problema. Hasta el momento no existe parche oficial.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

3Com OfficeConnect ADSL Wireless 11g Firewall Router Denial of Service Vulnerability
http://www.securityfocus.com/bid/37421/

# Title: 3Com OfficeConnect Routers Remote DoS Exploit
http://www.exploit-db.com/exploits/10553

domingo, 27 de diciembre de 2009

Denegación de servicio en Kerberos KDC

Se ha anunciado una vulnerabilidad en Kerberos (krb5-1.7) que podría ser empleada por un atacante remoto sin autenticar para provocar condiciones de denegación de servicio.

Kerberos es un protocolo de autenticación de red diseñado para ofrecer un sistema de autenticación fuerte para aplicaciones cliente/servidor utilizando criptografía de clave secreta. El Instituto Tecnológico de Massachusetts (MIT) ofrece una versión gratuita de la implementación de este protocolo.

La vulnerabilidad reside en un error en el manejo de punteros en la implementación de autenticación interdominios (cross-realm). Un atacante remoto no autenticado podría explotar este problema mediante peticiones especialmente construidas para provocar la caída del KDC (Key Distribution Center).

Se ha confirmado que se trata de un error en la implementación de MIT krb5 (que solo afecta a krb5-1.7), y no es una vulnerabilidad del protocolo Kerberos. Se ha publicado un parche para corregir este problema disponible desde:
http://web.mit.edu/kerberos/advisories/2009-003-patch.txt


Antonio Ropero
antonior@hispasec.com


Más información:

MIT krb5 Security Advisory 2009-003
Topic: KDC denial of service in cross-realm referral processing
http://web.mit.edu/kerberos/www/advisories/MITKRB5-SA-2009-003.txt

sábado, 26 de diciembre de 2009

Vulnerabilidades remotas en Sun Java System Directory Server

Se han detectado tres vulnerabilidades en Sun Java System Directory Server. Un atacante remoto podría aprovecharlas para provocar denegaciones de servicio o saltar restricciones de seguridad.

El primero de los problemas reside en un error en el Directory Proxy Server, y podría permitir que las operaciones de un cliente se ejecuten temporalmente con los privilegios de otro cliente.

La segunda vulnerabilidad está provocada por un error en Directory Proxy Server al procesar paquetes mal construidos. Un atacante podría aprovechar este problema para provocar una denegación de servicio al hacer que el servidor deje de aceptar nuevas conexiones de clientes.

Por último, otro error en Directory Proxy Server, podría permitir a un atacante evitar que el servidor envíe resultados a otros clientes "psearch" mediante el uso de un cliente "psearch" específicamente diseñado.

Se ven afectadas las versiones de Sun Java System Directory Server Enterprise Edition versiones 6.0 a la 6.3.1. Se recomienda actualizar a la versión 6.3.1 y aplicar el parche 141958-01 disponible desde:
http://sunsolve.sun.com/search/document.do?assetkey=urn:cds:docid:1-21-141958-01-1


Antonio Ropero
antonior@hispasec.com


Más información:

Directory Proxy Server Provided with Directory Server Enterprise Edition 6 is Subject to Denial of Service (DoS) and May Allow Unauthorized Access to Certain Data
http://sunsolve.sun.com/search/document.do?assetkey=1-66-270789-1

viernes, 25 de diciembre de 2009

Ejecución remota de código ASP en Internet Information Server 6.x

Se ha publicado recientemente un error de seguridad en IIS 6.x que permite eludir restricciones de seguridad y ejecutar código ASP arbitrario mediante el uso de una múltiple extensión. Tercer susto del año para Microsoft y su IIS.

Internet Information Services (IIS), es un servidor de aplicaciones implementado por Microsoft que permite montar distintos servicios como FTP, SMTP, NNTP y HTTP/HTTPS. Está basado en varios módulos que permiten procesar distintos lenguajes web, por ejemplo ASP y ASP.NET. También pueden ser incluidos los de otros como PHP o Perl.

El error (de nuevo extremadamente simple) se provoca al no filtrar correctamente el carácter ";" en el nombre de un fichero. De este modo un atacante remoto podría subir al servidor un fichero ASP y ejecutar su contenido suplantando, por ejemplo, una imagen. Aunque IIS incorpora una medida de seguridad que evita ejecutar código cuando un fichero tiene múltiple extensión, el fallo permite que si se consigue subir un fichero llamado "foto.asp;.jpg" al servidor, la aplicación lo tome como una inocente imagen, pero en realidad se ejecute su código ASP ("Active Server Page") al invocarlo.

El hecho de que un atacante pueda ejecutar código ASP arbitrario en un servidor, abre un amplio abanico de posibilidades. Dependiendo de la configuración, quedará comprometida no solo la página, sino todo el servidor que lo aloja.

Para poder explotar esta vulnerabilidad es necesario que el servidor permita subir ficheros. El atacante solo debe realizar un simple cambio en la extensión del nombre del archivo. Dado que muchas aplicaciones web permiten subir archivos fotográficos (por ejemplo a modo de "avatar") el impacto en estos servidores es importante.

Tercera vulnerabilidad grave para IIS en lo que va de año, después de mucho tiempo de tranquilidad en este aspecto. En mayo, se encontró un fallo en IIS 6.x a la hora de procesar peticiones HTTP especialmente manipuladas con la cabecera "Translate:f" y con caracteres Unicode que permitía a un atacante eludir la autenticación al disparar un problema de validación en WebDAV. En septiembre, el mismo investigador que descubrió el fallo anterior, publicó un exploit funcional que permitía a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x.

Microsoft no ha publicado parche ni "advisory" oficial al respecto. Si es imprescindible permitir la subida de archivos, se recomienda eliminar los permisos de ejecución sobre los directorios donde se permita.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Microsoft IIS 0Day Vulnerability in Parsing Files (semi-colon bug)
http://soroush.secproject.com/downloadable/iis-semicolon-report.pdf

New Reports of a Vulnerability in IIS
http://blogs.technet.com/msrc/archive/2009/12/27/new-reports-of-a-vulnerability-in-iis.aspx

jueves, 24 de diciembre de 2009

Elevación de privilegios en IBM AIX 6.1

Se ha confirmado la existencia de diversas vulnerabilidades en IBM AIX 6.1. Un atacante local podría aprovechar estos problemas para conseguir elevar sus permisos en los sistemas afectados.

Los problemas se deben a varios problemas de desbordamiento de búfer en los comandos "qoslist" y "qosmod" al procesar argumentos de gran longitud, de forma que un usuario local podría llegar a ejecutar código arbitrario con privilegios elevador.

El comando "qoslist" se emplea para listar Categorías de Servicio o Reglas de la política de Calidad de Servicio (Quality of Service, QoS). Por su parte el comando "qosmod" se emplea para modificar dichas reglas y políticas.

Se recomienda instalar los APAR IZ66917, IZ66918, IZ66966, y IZ66967.


Antonio Ropero
antonior@hispasec.com


Más información:

IZ66917: QOSLIST GENERATING SEGMENTATION FAULT
http://www-01.ibm.com/support/docview.wss?uid=isg1IZ66917

IZ66918: QOSMOD COMMAND DUMPING CORE
http://www-01.ibm.com/support/docview.wss?uid=isg1IZ66918

IZ66966: QOSLIST GENERATING SEGMENTATION FAULT
http://www-01.ibm.com/support/docview.wss?uid=isg1IZ66966

IZ66967: QOSMOD COMMAND DUMPING CORE
http://www-01.ibm.com/support/docview.wss?uid=isg1IZ66967

miércoles, 23 de diciembre de 2009

Diversas vulnerabilidades en Winamp

Se han anunciado múltiples vulnerabilidades en Winamp (versiones 5.56 y anteriores). Un atacante podría emplear estos problemas para comprometer los sistemas vulnerables.

Winamp es seguramente el reproductor de archivos multimedia más famoso para plataformas Windows. Entre sus cualidades está el soportar múltiples formatos, ser ligero, aceptar infinidad de plugins y la posibilidad de descarga de versiones gratuitas.

Los primeros problemas se deben a un desbordamiento de enteros al procesar datos PNG o JPEG. Un atacante podría provocar la ejecución de código arbitrario si un usuario abre un archivo multimedia (p.ej. MP3) especialmente manipulado.

Otros problemas residen en desbordamiento de búfer y enteros en el Module Decoder Plug-in (IN_MOD.DLL) al procesar archivos Impulse Tracker, Ultratracker o Oktalyzer mal construidos. Un atacante podría provocar la ejecución de código arbitrario si un usuario abre un archivo especialmente manipulado.

Se recomienda actualizar a Winamp versión 5.57, que además incluye otra serie de mejoras y se encuentra disponible desde:
http://www.winamp.com/media-player


Antonio Ropero
antonior@hispasec.com


Más información:

Winamp 5.571 Released (5.57 Revised, Build 2810)
http://forums.winamp.com/showthread.php?threadid=315355

martes, 22 de diciembre de 2009

Actualización del kernel para diversos productos SuSE Linux

SuSE ha publicado la actualización del kernel para diversos productos, en la que se corrigen varios fallos de seguridad que podrían permitir a un atacante causar denegaciones de servicio, escalar privilegios o incluso ejecutar código arbitrario en un sistema vulnerable.

Los productos actualizados son SLE SDK 10 SP2, SUSE Linux Enterprise Desktop 10 SP2, SUSE Linux Enterprise 10 SP2 DEBUGINFO, SUSE Linux Enterprise Server 10 SP2.

De forma resumida, las principales vulnerabilidades corregidas son:

Varias de las vulnerabilidades están asociadas a un error en los permisos asignados a ciertos atributos expuestos por el driver "megaraid_sas" en "sysfs". Un atacante local podría elevar privilegios a través de la modificando de atributos del driver "megaraid".

Otro problema reside en la función "collect_rx_frame" del fichero "hfc_usb.c". Esto podría se aprovechado por un atacante local para ejecutar código arbitrario con privilegios de superusuario a través de un paquete "HDLC" especialmente manipulado.

Otra vulnerabilidad del kernel corregida reside al procesar el argumento "eindex" de la función "gdth_read_event" en "drivers/scsi/gdth.c". Esto podría ser aprovechado por un atacante local para causar una denegación de servicio y, potencialmente, elevar privilegios a través de una llamada IOCTL especialmente manipulada.

También se ha corregido un error al procesar el argumento "req" de la función "fuse_direct_io" en "fs/fuse/file.c". Un atacante local podría aprovechar este problema para causar una denegación de servicio a través de vectores no especificados.

Un error de fuga de memoria a la hora de procesar determinados datagramas de "AppleTalk-IP" en el kernel de Linux. Un atacante local podría provocar una denegación de servicio a través del envío de muchos datagramas "AppleTalk-IP" especialmente manipulados. La explotación solo es posible si están cargados y asociados a la misma interfaz los módulos "appletalk" y "ipddp".

Existe un error de comprobación de estado de los sockets en la función "unix_stream_connect". Un atacante remoto podría aprovechar este problema para causar una denegación de servicio, a través de reiterados intentos de conexión a un socket que está siendo cerrado mediante una llamada a shutdown.

Se ha corregido un error de comprobación en la inicialización en las rutinas de manejo de IOCTL. Un atacante local podría aprovechar esto para provocar una denegación de servicio aprovechando las dereferencias a NULL de estructuras no inicializadas.

Existe un error de puntero nulo en las función "nfs4_proc_lock". Un atacante local podría aprovechar este problema para causar una denegación de servicio (Kernel panic) a través de un fichero NFSv4 especialmente manipulado.

Se recomienda actualizar a la última versión del kernel, disponible
a través de la herramienta automática YaST.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2009:064)
http://lists.opensuse.org/opensuse-security-announce/2009-12/msg00005.html

lunes, 21 de diciembre de 2009

Dos vulnerabilidades en Adobe Flash Media Server

Se han anunciado dos nuevas vulnerabilidades en Adobe Flash Media Server 3.5.2 (y anteriores). Un atacante remoto podría emplear estos fallos para provocar condiciones de denegación de servicio o llegar a ejecutar código arbitrario en los sistemas afectados.

El primero de los problemas permitiría a un atacante remoto enviar datos específicamente manipulados para consumir todos los recursos del sistema atacado. La segunda vulnerabilidad permitiría a un atacante remoto subir al servidor atacado DLLs arbitrarias, las cuales podrían ser posteriormente ejecutadas.

Adobe ha publicado la versión 3.5.3 que corrige estos problemas disponible desde:
http://www.adobe.com/support/flashmediaserver/downloads_updaters.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security update available for Flash Media Server
http://www.adobe.com/support/security/bulletins/apsb09-18.html

domingo, 20 de diciembre de 2009

Diversas vulnerabilidades en Wireshark

Se han anunciado diversas vulnerabilidades de desbordamiento de búfer y denegación de servicio en Wireshark versiones 0.9.0 a 1.2.4.

Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Se han confirmado tres problemas el más grave reside en un desbordamiento de búfer en el analizador de archivos Daintree SNA al procesar datos mal construidos. Un atacante podría aprovechar este problema para ejecutar código arbitrario en el sistema afectado.

Otros problemas residen en errores en los disectores IPMI, SMB y SMB2 a la hora de procesar tráfico en estos protocolos. Los fallos podrían permitir a un atacante remoto provocar una denegación de servicio a través de datos especialmente manipulados.

Se recomienda actualizar a Wireshark 1.2.5 desde:
http://www.wireshark.org/download.html


Antonio Ropero
antonior@hispasec.com


Más información:

Multiple vulnerabilities in Wireshark® version 0.9.0 to 1.2.4
http://www.wireshark.org/security/wnpa-sec-2009-09.html

sábado, 19 de diciembre de 2009

Abierto periodo de inscripción para RootedLabs

RootedLabs es un conjunto de actividades formativas que se llevarán a cabo en marzo de 2010 en Madrid, durante los tres días previos al congreso de seguridad informática RootedCON. Estos laboratorios de alto nivel técnico y enfoque inminentemente práctico, impartido por reputados profesionales del sector, abarcarán las disciplinas de Reverse Engineering , Digital Forensics, Malware Analysis, Secure Enterprise WiFi Networks, Pentesting y Técnicas de Inyección en Aplicaciones Web.

Agenda RootedLabs:

Lunes, 15 de Marzo

* Lab: Reverse Engeering
o Trainer: Rubén Santamarta de 48bits
* Lab: Digital Forensics
o Trainer: Juan Garrido “silverhack” de Informática64

Martes, 16 de Marzo

* Lab: Malware Analysis
o Trainer: Ero Carrera, de Hispasec - VirusTotal
* Lab: Secure Enterprise WiFi Networks
o Trainer: Alejandro Martín de Informática64

Miércoles, 17 de Marzo

* Lab: Pentesting
o Trainer: Alejandro Ramos “dab” de SecurityByDefault
* Lab: Técnicas de Inyección en Aplicaciones Web
o Trainer: Chema Alonso de Informática64

Para asegurar la calidad y el dinamismo de las actividades formativas, las plazas de cada uno de los laboratorios están limitadas a un máximo de 15 asistentes. Dado que la inscripción se hará por estricto orden de realización de la reserva, recomendamos a los interesados premura a la hora de registrarse.

Cada laboratorio tendrá una duración de un día completo y en él está incluido el desayuno y la comida. El precio es de 200 € + IVA por cada uno. Instrucciones para inscribirse en
https://sites.google.com/a/rootedcon.es/rootedlabs/registro

Información adicional sobre cada uno de los laboratorios, objetivos, requisitos, temario, etc:

Reverse Engineering - Rubén Santamarta
https://sites.google.com/a/rootedcon.es/rootedlabs/labs-y-trainers/reverse-engineering

Digital Forensics - Juan Garrido
https://sites.google.com/a/rootedcon.es/rootedlabs/labs-y-trainers/digital-forensics

Malware Analysis - Ero Carrera
https://sites.google.com/a/rootedcon.es/rootedlabs/labs-y-trainers/malware-analysis

Secure Enterprises WiFi Networks - Alejandro Martín Bailón
https://sites.google.com/a/rootedcon.es/rootedlabs/labs-y-trainers/secure-enterprises-wifi-networks

Pentesting - Alejandro Ramos
https://sites.google.com/a/rootedcon.es/rootedlabs/labs-y-trainers/pentesting

Técnicas de Inyección en Páginas Web - Chema Alonso
https://sites.google.com/a/rootedcon.es/rootedlabs/labs-y-trainers/tecnicas-de-inyeccion-en-paginas-web


Bernardo Quintero
bernardo@hispasec.com


Más información:

RootedLabs 2010
https://sites.google.com/a/rootedcon.es/rootedlabs/

viernes, 18 de diciembre de 2009

Nuevo PHP 5.2.12 soluciona varios fallos de seguridad

El pasado 17 diciembre PHP.net actualizó su versión estable a la 5.2.12. En esta versión ha solucionado varios fallos de seguridad.

PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.

CVE-2009-3557: Existe un error de validación de permisos en la función "tempnam" cuando está activo "safe_mode". Esto permitiría a un atacante local saltar las restricciones de "safe_mode" y escribir ficheros arbitrarios en el sistema cuando se tiene permiso de escritura en la carpeta. Esto es debido a que la función sólo comprueba el valor de "open_basedir".

CVE-2009-3558: Existe un error de validación de permisos en la función "posix_mkfifo". Esto permitiría a un atacante local saltar las restricciones y escribir ficheros arbitrarios en el sistema cuando se tiene permiso de escritura en la carpeta. Esto es debido a que la función solo comprueba el valor de "safe_mode" y no de "open_basedir".

CVE-2009-4017: Existe un error de diseño en PHP cuando se suben archivos. Esto permitiría a un atacante remoto causar una denegación de servicio remota por consumo excesivo de memoria mediante la subida de varios archivos simultáneos. Para solucionar este fallo se ha añadido una directiva llamada "max_file_upload" por defecto 20 que limita el número de archivos simultáneos que se permiten subir.

CVE-2009-4142: Existe un error en el filtro de la función "htmlspecialchars". Esto permitía a un atacante remoto evitar que se codifiquen correctamente ciertos caracteres pudiendo causar errores de codificación o fallos de "cross site scrpting".

CVE-2009-4143: Existe un error de falta de comprobación en "session.save_path". Esto podría ser aprovechado por un atacante para causar un impacto no especificado.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

PHP release:
http://www.php.net/releases/5_2_12.php

Sobre CVE-2009-3557:
http://svn.php.net/viewvc/php/php-src/branches/PHP_5_2/ext/standard/file.c?r1=288706&r2=288945

Sobre CVE-2009-3558:
http://svn.php.net/viewvc/php/php-src/branches/PHP_5_2/ext/posix/posix.c?r1=286880&r2=288943

Sobre CVE-2009-4017:
http://bugs.php.net/bug.php?id=50528

Sobre CVE-2009-4142:
http://bugs.php.net/bug.php?id=49785

Sobre CVE-2009-4143:
http://svn.php.net/viewvc/php/php-src/branches/PHP_5_2/ext/session/session.c?r1=290190&r2=291681

jueves, 17 de diciembre de 2009

Graves vulnerabilidades remotas en HP OpenView Storage Data Protector

Se han anunciado dos vulnerabilidades en OpenView Data Protector Application Recovery Manager v5.50 y v6.0 (y anteriores) por las que un atacante remoto podrá tomar el control de los sistemas afectados.

HP OpenView Storage Data Protector es un software utilizado principalmente para automatizar la realización y recuperación de copias de seguridad y respaldos de alto rendimiento en discos o cintas a través de distancias ilimitadas y en entornos 24x7. Consta de un servidor central y un agente de backup instalado en los sistemas que van a ser respaldados.

El primero de los problemas está provocado por un desbordamiento de búfer en el servicio OmniInet al tratar paquetes "MSG_PROTOCOL" enviados al puerto 5555/TCP. Un atacante remoto podría explotar este problema para provocar la ejecución de código arbitrario con privilegios elevados.

La segunda vulnerabilidad también reside en un desbordamiento de búfer en el servicio Cell Manager Database Service (rds.exe) cuando procesa paquetes mal construidos enviados al puerto 1530/TCP. De forma similar, un atacante remoto podría explotar este problema para provocar la ejecución de código arbitrario con privilegios elevados.

Se recomienda intalar las actualizaciones publicadas por HP disponibles desde:
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01124817


Antonio Ropero
antonior@hispasec.com


Más información:

HPSBMA02252 SSRT061258, SSRT061259 rev.1 - HP OpenView Storage Data Protector, Remote Arbitrary Code Execution
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01124817

HP OpenView Data Protector Cell Manager Heap Overflow Vulnerability
http://dvlabs.tippingpoint.com/advisory/TPTI-09-15

Hewlett-Packard OpenView Data Protector Backup Client Service Buffer Overflow Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-09-099/

miércoles, 16 de diciembre de 2009

Boletines de seguridad de la Fundación Mozilla

La Fundación Mozilla ha publicado siete boletines de seguridad (del MFSA2009-65 al MFSA2009-71) para solucionar diversas vulnerabilidades en Mozilla Firefox. Según la propia clasificación de Mozilla tres de los boletines presentan un nivel de gravedad "crítico", uno es de gravedad alta, dos son "moderados" y un último considerado bajo.

Los boletines publicados son:

* MFSA2009-65: En este boletín crítico se cubren múltiples fallos de estabilidad en Firefox, Thunderbird, SeaMonkey que podrían llegar a permitir la ejecución remota de código arbitrario.

* MFSA2009-66: Trata de múltiples problemas críticos relacionados con liboggplay y que afectan a Firefox, SeaMonkey y que pueden llegar a permitir la ejecución remota de código arbitrario.

* MFSA2009-67: Otro boletín crítico relacionado con un desbordamiento de entero el la librería de vídeo Theora. Afecta a Firefox, SeaMonkey.

* MFSA2009-68: Boletín considerado de gravedad "alta" en el que se refiere a una vulnerabilidad en la implementación NTLM de Mozilla en Firefox, SeaMonkey. El problema podría permitir que las credenciales NTLM de una aplicación sean reenviadas a otra aplicación arbitraria a través del navegador.

* MFSA2009-69: En este boletín considerado de carácter moderado se trata un problema que podría permitir la falsificación de URLs, en el que una página http podría aparecer como https.

* MFSA2009-70: Otro boletín moderado que afecta a Firefox y SeaMonkey, en el que se trata un problema de escalada de privilegios.

* MFSA2009-71: El último boletín, considerado de gravedad baja, hace relación a un problema en el objeto GeckoActiveXObject por el que se podrían listar los objetos COM instalados en el sistema del usuario.

Se han publicado las versiones 3.5.6 y 3.0.16 del navegador Firefox que corrige todas estas vulnerabilidades.
La versión 3.5.6 se encuentra disponible desde:
http://www.mozilla-europe.org/es/firefox/
La versión 3.0.16 puede descargarse desde:
http://www.mozilla.com/en-US/firefox/all-older.html


Antonio Ropero
antonior@hispasec.com


Más información:

Mozilla Foundation Security Advisory 2009-65
Crashes with evidence of memory corruption (rv:1.9.1.6/ 1.9.0.16)
http://www.mozilla.org/security/announce/2009/mfsa2009-65.html

Mozilla Foundation Security Advisory 2009-66
Memory safety fixes in liboggplay media library
http://www.mozilla.org/security/announce/2009/mfsa2009-66.html

Mozilla Foundation Security Advisory 2009-67
Integer overflow, crash in libtheora video library
http://www.mozilla.org/security/announce/2009/mfsa2009-67.html

Mozilla Foundation Security Advisory 2009-68
NTLM reflection vulnerability
http://www.mozilla.org/security/announce/2009/mfsa2009-68.html

Mozilla Foundation Security Advisory 2009-69
Location bar spoofing vulnerabilities
http://www.mozilla.org/security/announce/2009/mfsa2009-69.html

Mozilla Foundation Security Advisory 2009-70
Privilege escalation via chrome window.opener
http://www.mozilla.org/security/announce/2009/mfsa2009-70.html

Mozilla Foundation Security Advisory 2009-71
GeckoActiveXObject exception messages can be used to enumerate installed COM objects
http://www.mozilla.org/security/announce/2009/mfsa2009-71.html

martes, 15 de diciembre de 2009

Diversas vulnerabilidades en Cisco WebEx WRF Player

Cisco ha confirmado la existencia de múltiples vulnerabilidades de desbordamiento de búfer en el reproductor Cisco WebEx Recording Format (WRF).

Cisco WebEx WRF Player es una aplicación que se emplea para reproducir grabaciones de reuniones WebEx registradas en el ordenador de un asistente a la reunión en línea. WebEx Recording Format (WRF) es el formato de archivo en que se almacenan dichas grabaciones.

El reproductor WRF puede ser instalado automáticamente cuando el usuario accede a un archivo WRF alojado en un servidor WebEx. También puede ser instalado manualmente para su uso sin conexión descargándolo desde www.webex.com.

Las vulnerabilidades anunciadas afectan al reproductor Cisco WebEx WRF en plataformas Microsoft Windows, Apple Mac OS X y Linux. Se han confirmado hasta seis problemas de desbordamiento de búfer en el reproductor de WRF, que pueden llegar a permitir a un atacante remoto la ejecución de código arbitrario. Para explotar las vulnerabilidades, es necesario abrir un archivo WRF malicioso con la aplicación.

Si el reproductor WRF fue instalado de forma automática, se actualizará de igual forma a la última versión no vulnerable cuando los usuarios accedan a un archivo WRF alojado en un servidor WebEx. En cambio si se instaló de forma manual, los usuarios deberán instalar también manualmente la nueva versión actualizada descargándola desde www.webex.com.


Antonio Ropero
antonior@hispasec.com


Más información:

Multiple Cisco WebEx WRF Player Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20091216-webex.shtml

lunes, 14 de diciembre de 2009

Nuevo "0-day" en Adobe Acrobat y Reader

Adobe ha confirmado la existencia de una nueva vulnerabilidad en Adobe Acrobat y Reader reportada como "0-day" que se está explotando en estos momentos de forma activa para conseguir la ejecución remota de código arbitrario.

Cuando una vulnerabilidad se reporta en forma de "día cero" (0-day) quiere decir que se divulga o conoce cuando ya se están efectuando ataques y se aprovecha de forma activa. Esto implica que cuando se da a conocer no hay parche disponible, por lo que generalmente el fabricante debe trabajar contrarreloj para corregir el problema.

En general, todos los ataques a través de archivos pdf detectados en la actualidad basados en la instalación de un troyano se conocen como Trojan.Pidief.X (donde X especifica la versión de turno), por lo que la mayoría de los antivirus que lo detecten lo clasificarán bajo este nombre.

Adobe ha publicado un aviso de seguridad en el que confirma el problema (calificándolo de crítico) en Adobe Reader y Acrobat 9.2 (y versiones anteriores). Adobe recomienda emplear "JavaScript Blacklist Framework" o desactivar JavaScript en los documentos PDF para mitigar en la medida de lo posible los ataques. Otra contramedida disponible pasa por activar el sistema DEP (Prevención de Ejecución de Datos) disponible en algunas versiones de Windows lo que podrá mitigar el ataque a una denegación de servicio.

Recomendamos, si es posible, usar otro lector de archivos PDF hasta que se solucione el fallo. Aunque no estén exentos de contener problemas de seguridad, al menos por ahora no son objetivo claro de atacantes. Existen múltiples opciones para elegir para todas las plataformas en: http://pdfreaders.org/


En cualquier caso se recomienda precaución al abrir archivos pdf provenientes de fuentes desconocidas. Como opción y ante cualquier duda también puede ser recomendable enviar cualquier archivo sospechoso a VirusTotal (http://www.virustotal.com) para su análisis. Otra de nuestras recomendaciones habituales también es válida en este caso: no usar la cuenta de administrador para leer archivos PDF.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa09-07.html


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4069/comentar


domingo, 13 de diciembre de 2009

Vulnerabilidades en PostgreSQL

Se han corregido dos nuevas vulnerabilidades en PostgreSQL (versiones 8.x y 7.4) que podrían ser empleadas por un atacante para evitar restricciones de seguridad o elevar sus privilegios.

PostgreSQL es una base de datos relacional "Open Source", bastante popular en el mundo UNIX, junto a MySQL.

El primero de los problemas se debe a un error al procesar bytes NULL en certificados SSL. Un atacante podría aprovechar este fallos para falsificar autenticaciones de cliente o servidor. La segunda vulnerabilidad reside en un error relacionado con los cambios de estado de sesión en una función de indexado, esto podría permitir una escalada de privilegios.

Se recomienda actualizar a PostgreSQL versión 8.4.2, 8.3.9, 8.2.15, 8.1.19, 8.0.23 o 7.4.27 disponibles desde:
http://www.postgresql.org/download


Antonio Ropero
antonior@hispasec.com


Más información:

PostgreSQL Security Information
http://www.postgresql.org/support/security

sábado, 12 de diciembre de 2009

Denegación de servicio remota en productos SAP

Se ha anunciado una vulnerabilidad en diversos productos SAP que podría permitir a un atacante remoto realizar ataques de denegación de servicio.

El problema reside en un error al tratar peticiones mal construidas por el servicio "sapstartsrv" que proporciona un interfaz de administración remota para Web SAP Management Console. Un atacante remoto podría aprovechar este fallo para provocar la caída del servicio vulnerable, lo que causaría la condición de denegación de servicio.

Se ven afectadas todas las aplicaciones SAP con versiones de Kernel 6.40, 7.00, 7.01, 7.10, 7.11 y 7.20. Se recomienda aplicar los parches publicados en:
https://service.sap.com/sap/support/notes/1302231


Antonio Ropero
antonior@hispasec.com


Más información:

SAP sapstartsrv Denial of Service
http://www.cybsec.com/vuln/CYBSEC_SAP_sapstartsrv_DoS.pdf

viernes, 11 de diciembre de 2009

Actualizaciones de seguridad de Adobe para Flash Player

En su ciclo, ya habitual, de boletines de seguridad Adobe ha publicado una actualización para corregir siete vulnerabilidades en Adobe Flash Player y AIR, que podrían permitir a un atacante tomar el control de los sistemas afectados.

Esta actualización soluciona una vulnerabilidad en el tratamiento de datos jpeg que podría dar lugar a una ejecución de código arbitrario. También soluciona una vulnerabilidad de divulgación de información, que solo afecta a sistemas Windows, en el acceso local a nombres de archivo en el control ActiveX de Flash. También soluciona otras vulnerabilidades de ejecución de código a través de desbordamiento de enteros, inyección de datos, o modificación de datos en memoria.

Adobe recomienda a los usuarios de Adobe Flash Player 10.0.32.18 (y versiones anteriores) actualizar a la nueva versión 10.0.42.34 desde http://get.adobe.com/flashplayer/ o mediante el sistema de actualización automática.

Para los usuarios que no puedan actualizar a Adobe Flash Player 10, se ha publicado una actualización de Adobe Flash Player 9, Adobe Flash Player 9.0.260, que puede descargarse desde http://www.adobe.com/go/kb406791

Para los usuarios de Adobe AIR 1.5.2 y anteriores se recomienda actualizar a la versión 1.5.3 desde http://get.adobe.com/air/


Antonio Ropero
antonior@hispasec.com


Más información:

Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb09-19.html

jueves, 10 de diciembre de 2009

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de diciembre publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-072) de una actualización acumulativa para Internet Explorer 5.01, 6, 7 y 8; que además solventa cinco nuevas vulnerabilidades.

La primera de las vulnerabilidades corregidas se trata de una ejecución remota de código en un control ActiveX compilado con los encabezados vulnerables de Microsoft Active Template Library (ATL).

Las otras cuatro vulnerabilidades corregidas residen en errores de desbordamiento de memoria al acceder a objetos no inicializados o borrados en Internet Explorer. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada.

Este parche, al ser acumulativo, incluye todas las actualizaciones
anteriores. Se recomienda actualizar el navegador mediante Windows
Update o descargando los parches según plataforma desde la página del
boletín de seguridad:
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-072.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-072 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (976325)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-072.mspx

miércoles, 9 de diciembre de 2009

Boletines de seguridad de Microsoft en diciembre

Este pasado martes Microsoft ha publicado seis boletines de seguridad (del MS09-069 y MS09-074) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de doce vulnerabilidades. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que los tres restantes son "importantes".

Los boletines "críticos" son:

* MS09-071: Actualización destinada a corregir dos vulnerabilidades en el Servicio de autenticación de Internet al tratar los intentos de autenticación PEAP. Sólo están afectados los servidores con el Servicio de Autenticación de Internet cuando usan PEAP con la autenticación MS-CHAP v2. Estos problemas que afectan a Windows 2000, XP, Vista, Server 2003 y Server 2008, podrían permitir la ejecución remota de código.

* MS09-072: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6, 7 y 8.

* MS09-074: Actualización de seguridad para evitar una vulnerabilidad Microsoft Office Project, que podría permitir la ejecución remota de código si un usuario abre un archivo de Project especialmente creado. Afecta a Project 2000, 2002 y Office Project 2003.

Los boletines clasificados como "importantes" son:

* MS09-069: Actualización destinada a corregir una vulnerabilidad de denegación de servicio, si en un sistema afectado un usuario remoto autenticado envía mediante protocolo IPSEC un mensaje ISAKMP especialmente diseñado al Servicio LSASS (Subsistema de Autenticación de la Autoridad de Seguridad Local).

* MS09-070: Actualización que soluciona dos vulnerabilidades en Servicios de federación de Active Directory (ADFS, Active Directory Federation Services). Un usuario remoto autenticado podría lograr la ejecución remota de código si envía una petición http especialmente diseñada a un servidor web habilitado para ADFS.

* MS09-073: Actualización que soluciona una vulnerabilidad en Microsoft WordPad y Office Word, que podría permitir la ejecución remota de código si un usuario abre un archivo Word 97 específicamente manipulado.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS09-071 - Crítico
Vulnerabilidades en el Servicio de autenticación de Internet podría permitir la ejecución remota de código (974318)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-071.mspx

Boletín de seguridad de Microsoft MS09-072 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (976325)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-072.mspx

Boletín de seguridad de Microsoft MS09-074 - Crítico
Una vulnerabilidad en Microsoft Office Project podría permitir la ejecución remota de código (967183)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-074.mspx

Boletín de seguridad de Microsoft MS09-069 - Importante
Una vulnerabilidad en el servicio del subsistema de autoridad de seguridad local podría permitir la denegación de servicio (974392)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-069.mspx

Boletín de seguridad de Microsoft MS09-070 - Importante
Vulnerabilidades en Servicios de federación de Active Directory podrían permitir la ejecución remota de código (971726)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-070.mspx

Boletín de seguridad de Microsoft MS09-073 - Importante
Una vulnerabilidad en los convertidores de texto de WordPad y Office podría permitir la ejecución remota de código (975539)
http://www.microsoft.com/spain/technet/security/Bulletin/ms09-073.mspx

martes, 8 de diciembre de 2009

Internet made in China

"Vais a hacer que internet en España sea como China?" pregunta @iescolar responden "Ya lo es" #manifiesto. Ese comentario en Twitter es de Jesús Encinar, uno de los asistentes a la reunión con el Ministerio de Cultura en relación a la polémica surgida con la Sección Segunda de la Comisión de Propiedad Intelectual al que hace referencia el proyecto de Ley de Economía Sostenible. La anécdota dio incluso para titulares en diversos medios, si bien al final todo se achacó a un problema de conceptos. La realidad es que en España existen a diario bloqueos de webs de forma masiva y sin autorización judicial, aunque no son ordenados desde ningún Ministerio y en un contexto bien diferente al que cita el comentado proyecto de Ley.

A estas alturas es difícil que alguien no haya oído hablar del asunto, por si acaso un pequeño resumen: en el proyecto de Ley de Economía Sostenible el Gobierno ha incluido una modificación de la Ley de Servicios de la Sociedad de la Información y de Comercio Electrónico, por la cual se permitiría a un órgano administrativo dependiente del Ministerio de Cultura la competencia para decidir la desconexión de servicios en Internet que, según sus propios criterios, atentara contra la propiedad intelectual. Publicado el texto se produjo una reacción en la Internet española contraria a ese proyecto de bypass de la figura de los jueces -únicos competentes hasta la fecha para tomar la decisión de cierre de un sitio web-, lo que provocó una reunión de urgencia entre representantes del Ministerio de Cultura y algunos de los altavoces (personas) que se habían posicionado en contra de dicha medida publicando el manifiesto "En defensa de los derechos fundamentales en Internet".

Durante la reunión-discusión se desveló a grandes rasgos el modus operandi de como se procedería al cierre o suspensión de esos sitios webs, diferenciando entre los servidores que estuvieran físicamente alojados en España y los que quedaran fuera de nuestro ámbito de influencia legal. Fue el segundo escenario el que dio lugar a la famosa pregunta de si Internet en España sería como en China.

Así lo contaba a posteriori el propio autor de la pregunta, Ignacio Escolar de escolar.net: "Hasta aquí la cosa es fea. Pero, ¿qué pasaría si el servidor no está en España? En ese caso, según Corral, el protocolo previsto pasaría porque la comisión ordenase a los proveedores de acceso a Internet, a los del ADSL o el cable, que bloqueasen a los internautas españoles el acceso a estas páginas extranjeras. De hacerse tal cosa, el Internet en España no sería el mismo que en Francia, o en Estados Unidos, y las listas negras de sitios bloqueados no sería orden de un juez, sino una comisión nombrada por el Gobierno. Eso es algo que, por el momento, sólo sucede en países como China, Corea del Norte o Cuba y que además es muy complicado de realizar técnicamente."

Alvy, de microsiervos.com, contextualizaba la respuesta: "Lo más desmotivante fue llegar a la conclusión final en la que preguntamos: «pero entonces, ¿esto sería como en China, que si vives allí el gobierno te deja ver unos contenidos sí pero otros no?». A eso respondieron con un escueto «En España ya estamos como en China». Su clara confusión al respecto, por las explicaciones que intentaron dar, se refiere a que sitios como Spotify, iTunes YouTube ofrecen catálogos distintos para distintos países. Pero la gran diferencia es que en esos ejemplos son las propias empresas las que deciden qué ofrecer en cada lugar, algo en lo que están en todo su derecho como negocios privados: no son una mano invisible ni una comisión quien decide qué datos pueden verse y qué datos no verse."

La realidad es que no es algo muy complicado de realizar técnicamente, existen proveedores de Internet en España que llevan ya bastante tiempo con esa funcionalidad implantada y es de uso muy frecuente. Por deformación profesional la parte que mejor conozco es la aplicada a los sitios de phishing, hay proveedores de Internet que directamente incluyen en sus listas negras ciertas páginas fraudulentas. El modelo es sencillo: entidades financieras contratan el servicio (es de pago) y el proveedor de Internet, bien a demanda de la entidad financiera o de forma proactiva, va incluyendo en su lista negra las URLs identificadas como phishing que atacan a esa entidad. El resultado es que la página en cuestión deja de estar disponible de forma masiva para todos los usuarios que conecten a través del proveedor de Internet, sin ningún tipo de aviso.

A diferencia de los filtros web en software donde recibes un aviso y en última instancia el usuario puede decidir si accede haciendo caso omiso a la advertencia, como en navegadores u otras soluciones de seguridad, en el caso de las listas negras de los proveedores de acceso en España el contenido filtrado es simplemente como si no existiera. Es una especie de versión de la Internet China pero con una aplicación ética. Es complicado que algún usuario se queje por no dejarle acceder a un sitio de phishing, igualmente no nos imaginamos al creador del phishing pidiendo explicaciones.

Dicho lo cual, si nos ponemos quisquillosos, podríamos asegurar que a día de hoy Internet en España no es al 100% el mismo que en otros países y que las listas negras de sitios bloqueados no las decide un juez, o al menos no sólo un juez, sino también el propio proveedor de acceso. Es más, la visibilidad de Internet no depende tanto del país sino del proveedor, de forma que a día de hoy un usuario de Internet en España puede acceder a según que páginas dependiendo por ejemplo de si su proveedor es Telefónica (uno de los que aplica este servicio) o cualquier otro.

No se hasta que punto este tipo de funcionalidades son conocidas, si bien dudo que alguien se sienta molesto por ello mientras que se enfoque a la protección del usuario. Llegado el caso el proveedor de servicios lo podría hasta presentar como un valor añadido de seguridad en su oferta de conexión (particularmente me gustaría que mi conexión fuera transparente a todos los efectos, sin ningún filtro de seguridad, aunque soy consciente de que no soy un usuario tipo).

Otro escenario bien diferente es la reacción que podría provocar este tipo de filtros, y su efectividad real, cuando el usuario tiene la voluntad de ver el contenido censurado. En entornos corporativos está a la orden del día utilizar proxies para evitar los filtros de contenidos perimetral, anonimizadores, túneles http para acceder a protocolos capados, VPNs, etc.

En el caso de China se han detectado varios tipos de técnicas de filtrado web. Filtrado por IP en routers fronterizos que conectan con las redes internacionales, descartando directamente los paquetes relativos a las IPs censuradas. Como efecto colateral a veces terminan censurando otros dominios webs cuando el objetivo del filtro se hospeda en un hosting compartido, y también terminan bloqueando cualquier otro protocolo en esas IPs (correo, FTP, etc). Filtrado por DNS, evitando que se resuelvan los nombres de dominios censurados a sus IPs. Filtrado por contenidos en URLs, se bloquean los accesos a páginas que incluyan ciertas palabras claves en su URL. Filtrado por contenidos en la respuesta HTML, al parecer también se ha podido demostrar que existen filtros de contenidos basados en la información por la que se navega independientemente de su origen.

Como era de esperar, la gran muralla China virtual hace aguas en el momento que alguien se toma algunas molestias para evitarla, aunque supongo que cumplirá su cometido con un porcentaje importante de la población. En una nueva vuelta de tuerca, el gobierno Chino decidió que la censura sería más efectiva llevándola a cabo desde la propia máquina, y desde el 1 de julio de 2009 todos los ordenadores que se venden en China deben facilitar o llevar preinstalado el software "Green Dam Youth Escort" que, con la excusa de evitar la pornografía en Internet, es también un filtro de todo tipo de contenidos que se actualiza periódicamente.

Al final resultó ser peor el remedio que la enfermedad al menos en lo que a seguridad se refiere, ya que se detectaron vulnerabilidades en "Green Dam" que permitirían la ejecución de código de forma remota, de hecho existen diversos exploits para atacar a los sistemas que lo tengan instalado
(http://www.virustotal.com/analisis/cc9a22faa7fbff860b2c319337852e176b751053ccd348fc7db1242e30a945e7-1258811582).

Volviendo a España, y dejando claro que la comparación con China fue anecdótica, las últimas declaraciones desde el Gobierno, Presidente incluido, se alejan de la redacción del proyecto de Ley de Economía Sostenible y apuntan a que los cierres o bloqueos de sitios webs seguirán siendo exclusivamente vía autorización judicial. Que así sea.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Anteproyecto de Ley de Economía Sostenible
http://www.economiasostenible.gob.es/wp-content/uploads/2009/12/2_4_anteproyecto.pdf

Manifiesto: En defensa de los derechos fundamentales en Internet
http://www.escolar.net/wiki/index.php/Manifiesto:_En_defensa_de_los_derechos_fundamentales_en_Internet

En la reunión con el Ministerio de Cultura, mi opinión personal
http://www.microsiervos.com/archivo/internet/reunion-ministerio-cultura-opinion-personal.html

Zapatero garantiza que no se va a cerrar nada en Internet
http://www.google.com/hostednews/epa/article/ALeqM5iAxB1F5g_ElclwQmaBksM2DXVisA

lunes, 7 de diciembre de 2009

Nuevos contenidos en la Red Temática CriptoRed (noviembre de 2009)

Breve resumen de las novedades producidas durante el mes de noviembre de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN ESTE MES
* Actas V Congreso Iberoamericano de Seguridad Informática CIBSI 2009
(varios autores, PDF, 530 páginas, Uruguay)
http://www.criptored.upm.es/descarga/ActasCIBSI2009.zip
* Solución Detallada a un Examen Práctico sobre Algoritmos DES y RSA con safeDES y genRSA (Jorge Ramió, PDF, 6 páginas, España)
http://www.criptored.upm.es/examen/ge_m001a.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES
* Informe de la Red de Sensores de INTECO del mes de octubre de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200910.pdf
* Documento Fraude y Fuga de Información: Inseguridad en dos sectores críticos en Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2009/11/fraude-y-fuga-de-informacion.html

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Diciembre 9 al 11 de 2009: 8th International Information and Telecommunication Technologies Symposium I2TS 2009 (Santa Catarina Island - Brasil)
* Diciembre 10 al 11 de 2009: Iberic Web Application Security Conference IBWAS '09 de OWASP Spain (Madrid - España)
* Enero 25 al 28 de 2010: Fourteenth International Conference Financial Cryptography and Data Security (La Laguna, Tenerife - España)
* Febrero 15 al 18 de 2010: 3rd Workshop on Privacy and Security by Means of Artificial Intelligence PSAI 2010 (Cracovia - Polonia)
* Marzo de 2010: Congreso de Seguridad Informática Rooted CON 2010 (Madrid - España)
* Marzo 18 al 20 de 2010: IADIS International Conference Information Systems 2010 (Oporto - Portugal)
* Abril 7 al 10 de 2010: 6th International Conference on Web Information Systems and Technologies WEBIST (Valencia - España)
* Junio 16 al 19 de 2010: V Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2010 (Santiago de Compostela - España)
* Julio 26 al 28 de 2010: International Conference on Security and Cryptography SECRYPT (Atenas - Grecia)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y Seguridad de la Información RECSI 2010 (Tarragona - España)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú - Grecia)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. NOTICIAS PUBLICADAS EN EL MES DE NOVIEMBRE DE 2009
* INTECO abre Nuevos Canales en las Principales Redes Sociales (España)
* CFP Iberic Web Application Security Conference IBWAS '09 de OWASP Spain (España)
* II Jornada del Estado del Arte de la Seguridad El Rol del CSO (Argentina)
* Actas del V Congreso Iberoamericano de Seguridad Informática CIBSI 2009 (Uruguay)
* Bucaramanga sede del VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Colombia)
* VI Jornada Internacional de ISMS Forum Spain en Sevilla (España)
* Mesa Redonda y Charla Informativa del Posgrado en Seguridad Informática de la UBA (Argentina)
* Tertulia de Hackers en la EUI UPM con Chema Alonso y Luis Guillermo Castañeda (España)
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#nov09

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 801
214 universidades y 298 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 29.531 visitas, con 96.303 páginas solicitadas y 34,33 GigaBytes servidos en noviembre de 2009
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

noviembre 2009
http://www.criptored.upm.es/paginas/historico2009.htm#nov09

domingo, 6 de diciembre de 2009

Actualizaciones de seguridad de Java para Apple Mac OS X

Apple ha lanzado recientemente nuevas actualizaciones de seguridad de Java para su sistema operativo Mac OS X versiones 10.5 y 10.6 que solventan un gran número de vulnerabilidades que podrían ser aprovechadas con diversos efectos.

Esta es la sexta actualización de Java para Mac OS X 10.5 (Java para Mac OS X 10.5 Update 6) y la primera para MAC OS X 10.6 (Java para Mac OS X 10.6 Update 1). Se han corregido un gran número de problemas en Java, las más graves podrían llegar a permitir a un applet no confiable ejecutar código arbitrario sin la autorización del usuario.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of Java for Mac OS X 10.6 Update 1
http://support.apple.com/kb/HT3969

About the security content of Java for Mac OS X 10.5 Update 6
http://support.apple.com/kb/HT3970

sábado, 5 de diciembre de 2009

Desbordamiento de búfer con archivos PNG en Paint Shop Pro

Se ha descubierto una vulnerabilidad en el popular programa de tratamiento gráfico Paint Shop Pro 8, que podría ser aprovechada por un usuario local para provocar la ejecución de código arbitrario en el sistema.

El problema se debe a un desbordamiento de búfer en el módulo gear12d.dll del software al tratar imágenes PNG específicamente construidas. Un atacante podría emplear este problema para lograr ejecutar código arbitrario y comprometer los sistemas afectados.

Se ha publicado un exploit de demostración para aprovechar este problema para el que por el momento no existe solución, por lo que se recomienda precaución y ano abrir archivos PNG de fuentes desconocidas con Paint Shop Pro.


Antonio Ropero
antonior@hispasec.com


Más información:

Jasc Paint Shop Pro v8 Local Buffer Overflow Exploit (UNIVERSAL)
http://packetstormsecurity.org/0912-exploits/jasc-overflow.txt

viernes, 4 de diciembre de 2009

Salto de restricciones a través de wget

Se ha detectado un problema de seguridad en wget que podría permitir a un atacante remoto interceptar tráfico http cifrado (https). Se ven afectados por este problema Sun Solaris 9, 10, OpenSolaris y distribuciones Linux.

Existe un error al procesar el carácter "\0" del campo nombre (CN) de los certificados X.509. Esto podría ser aprovechado por un atacante remoto para realizar un ataque de hombre en el medio a través de un certificado X.509 especialmente manipulado. De esta forma puede llegar a interceptar el tráfico https entre el cliente wget y un servidor web.

Se han publicado actualizaciones para sistemas Sun Solaris:

Para Solaris 10 en plataforma SPARC:
http://sunsolve.sun.com/pdownload.do?target=125215-03&method=h

Para Solaries en plataforma x86,
http://sunsolve.sun.com/pdownload.do?target=125216-03&method=h

Para OpenSolaris
Solucionado en los sistemas basados en snv_126 o posterior.

Distribuciones Linux como Mandriva, Gentoo, Debian o Ubuntu también han publicado recientemente paquetes y actualizaciones para evitar este problema.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security Vulnerability in wget(1) Related to Certificate Parsing may Allow Encrypted HTTP Communication to be Intercepted Using a Man-in-the-Middle (MITM) Attack
http://sunsolve.sun.com/search/document.do?assetkey=1-66-273590-1

CVE-2009-3490
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2009-3490

Wget: Certificate validation error
http://www.gentoo.org/security/en/glsa/glsa-200910-01.xml

DSA-1904-1 wget -- insufficient input validation
http://www.debian.org/security/2009/dsa-1904

jueves, 3 de diciembre de 2009

Problemas en software BlackBerry a través de archivos pdf

BlackBerry ha confirmado la existencia de múltiples vulnerabilidades en BlackBerry Enterprise Server y BlackBerry Professional Software en el proceso de archivos pdf.

Los problemas de los que no se ha facilitado información residen en el componente BlackBerry Attachment Service al gestionar archivos pdf. Estas vulnerabilidades podrían permitir a un atacante enviar un mensaje que contenga un archivo pdf especialmente creado, de forma que cuando se abra en un terminal o teléfono BlackBerry asociada con la cuenta de usuario en un BlackBerry Enterprise Server, podrá permitir la ejecución de código en el servidor que aloja el componente BlackBerry Attachment Service del BlackBerry Enterprise Server.

Se ven afectadas las versiones BlackBerry Enterprise Server 5.0.0, BlackBerry Enterprise Server 4.1 Service Pack 3 (4.1.3) hasta Service Pack 7 (4.1.7) y BlackBerry Professional Software 4.1 Service Pack 4 (4.1.4). Según versión y plataforma se recomienda instalar las actualizaciones disponibles desde:
http://www.blackberry.com/btsc/KB19860


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerabilities in the PDF distiller of the BlackBerry Attachment Service for the BlackBerry Enterprise Server
http://www.blackberry.com/btsc/KB19860

una-al-dia (27/05/2009) De nuevo PDF, el enemigo de BlackBerry
http://www.hispasec.com/unaaldia/3868

miércoles, 2 de diciembre de 2009

Dos vulnerabilidades en IBM WebSphere Portal

Se han anunciado dos vulnerabilidades en IBM WebSphere Portal versión 6.1.0.2 (y anteriores), que podrían ser explotadas por atacantes para evitar restricciones de seguridad o conseguir acceso a información sensible.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de mashup empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El primero de los problemas se debe a un error de validación de entradas en IBM WebSphere Collaboration cuando procesa datos "People Picker Tag". Un atacante podría aprovechar este problema para construir ataques de cross site scripting. El segundo de los problemas reside en un error no especificado en "XMLACCESS".

IBM ha publicado la versión 6.1.0.3 que corrige este problema:
http://www-01.ibm.com/support/docview.wss?uid=swg27014411#6103


Antonio Ropero
antonior@hispasec.com


Más información:

Fix list for WebSphere Portal Version 6.1.0
http://www-01.ibm.com/support/docview.wss?uid=swg27014411#6103

martes, 1 de diciembre de 2009

Vulnerabilidad de desbordamiento de entero en Novell eDirectory

Se ha anunciado una vulnerabilidad en Novell eDirectory (versiones 8.8.5 ftf1 y anteriores y en la 8.7.3.10 ftf1 y anteriores) por la que un atacante remoto puede llegar a comprometer los sistemas afectados.

Novell eDirectory es el servicio de directorio LDAP de Novell, compatible con AIX, HP-UX, Linux, NetWare, Solaris y Windows, admite todo un abanico de estándares emergentes y protocolos de servicios Web: DSML, SOAP y XML, entre otros.

El problema reside en un desbordamiento de enteros al procesar peticiones de servicio NDS Verb 0x1 mal construidas, lo que podría permitir a atacantes remotos sin autenticas provocar la caída del servicio o llegar a ejecutar código arbitrario mediante peticiones específicamente construidas.

Se recomienda actualizar a Novell eDirectory versión 8.7.3.10 ftf2 o 8.8.5.2 disponibles desde:
http://download.novell.com/


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability: Novell eDirectory Heap-based Buffer Overflow
http://www.novell.com/support/viewContent.do?externalId=7004912