domingo, 31 de enero de 2010

Vulnerabilidad de acceso a información sensible en Adobe ColdFusion

Se ha anunciado una vulnerabilidad en Adobe ColdFusion 9.0, que podría permitir a un atacante remoto conseguir acceder a información sensible.

El problema está provocado por un error no detallado en la validación de accesos lo que podría permitir a un atacante conseguir acceder a las colecciones creadas por el servicio Solr mediante el uso de una URL específicamente construida, así como buscar o indexar la información contenida en estas colecciones.

Adobe recomienda limitar el acceso a las colecciones Solr:
http://kb2.adobe.com/cps/807/cpsid_80719.html


Antonio Ropero
antonior@hispasec.com


Más información:

Solution available for potential ColdFusion information disclosure issue
http://www.adobe.com/support/security/bulletins/apsb10-04.html

sábado, 30 de enero de 2010

Microsoft celebrará un nuevo "Security Day"

Como ya viene siendo habitual, Microsoft Technet ofrecerá dos eventos, en Madrid y Barcelona, dedicados íntegramente a la seguridad. Con el título de MS Technet Security Day, desde hace ya más de 5 años, un evento en el que se proponen diversas demostraciones y conferencias, que mostrarán aspectos prácticos de la seguridad informática así como las últimas tecnologías de Microsoft para mantener la seguridad de una red corporativa.

Este año las sesiones están dedicadas al trabajo remoto, así, estará divido en tres grandes bloques orientados de la siguiente forma:
La primera sesión estará centrada en las conexiones remotas mediante sistemas de Redes Privadas Virtuales (VPN). Esta sesión mostrará los problemas de las conexiones PPTP con contraseñas débiles, permitiendo decodificar el tráfico generado, para más tarde centrarse en los sistemas L2TP, SSTP, DirectAccess y Forefront UAG para la publicación de aplicaciones.

La segunda sesión está centrada en los sistemas de mensajería. Así se analizarán las soluciones de identidad, filtrado de spam, y sistemas antimalware en los servidores de correo electrónico y de comunicación instantánea. En esta parte se verán demostraciones con Forefront Threat Management Gateway como rol de perímetro de sistemas de correo electrónico.

La última sesión se verá dedicada a la seguridad en los gestores documentales. Para ello, con la colaboración de Hispasec Sistemas, se verá algún ejemplo de exploits utilizados para aprovechar vulnerabilidades en documentos ofimáticos, como pueden ser difundidos a través de los gestores de trabajo colaborativo y como protegerse con las tecnologías Forefront.

Serán dos sesiones nada más, el día 23 de febrero en Barcelona y el día 25 en Madrid y participarán los IT Pro Evangelists del programa MS Technet Paulo Días y Fernando Guillot, además de los MS MVP Raúl Moros y Chema Alonso.

Puedes registrarte en la siguiente URL:

Barcelona:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032439823&culture=es-ES

Madrid:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032439822&EventCategory=1&culture=es-ES&CountryCode=ES

Y tienes más información en:
http://www.forefront-es.com/post/2010/01/15/MS-Forefront-sera-el-protagonista-en-el-Technet-Security-Day-2010.aspx


Laboratorio Hispasec
laboratorio@ hispasec.com



viernes, 29 de enero de 2010

Ejecución remota de código a través de "mod_proxy" en Apache HTTP Server

Se ha encontrado un error de desbordamiento de entero en el módulo "mod_proxy" que afecta a la rama 1.3 del servidor web Apache sobre arquitecturas de 64 bits.

El módulo "mod_proxy" dota al servidor web de capacidades para actuar de proxy FTP, CONNECT (para SLL) y para el protocolo de aplicación HTTP en sus versiones 0.9, 1.0 y 1.1.

El fallo reside en la función "ap_proxy_send_fb" de "src/modules/proxy/proxy_util.c". Cuando se leen datos del socket, el tamaño de la cantidad recibida se convierte al tipo de entero "int" desde "long". En arquitecturas de 64 bits se pierden los 4 bytes de menor peso en la operación, el resultado es un valor entero negativo, que se pasa como argumento a la función "memcpy", indicando erróneamente que copie un tamaño de búfer con valor negativo. Esto podría provocar un desbordamiento de memoria intermedia basada en heap.

Este fallo puede ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de peticiones especiales manipuladas.

La vulnerabilidad tiene asignado el CVE-2010-0010 y sólo afecta a las versiones 1.3.41 e inferiores que corran sobre una arquitectura de 64 bits. Apache publicará una corrección en la versión 1.3.42.


David García
dgarcia@hispasec.com


Más información:

Changelog de la rama 1.3:
http://httpd.apache.org/dev/dist/CHANGES_1.3.42

Advisory original:
http://site.pi3.com.pl/adv/mod_proxy.txt

jueves, 28 de enero de 2010

Múltiples vulnerabilidades en Cisco Unified MeetingPlace

Cisco ha publicado una actualización para Cisco Unified MeetingPlace y MeetingTime (de Comunicaciones Unificadas) que corrige múltiples fallos de seguridad que podrían permitir que un atacante conseguir acceso a información sensible, manipular datos o elevar los privilegios del usuario en los sistemas afectados.

Cisco Unified MeetingPlace -miembro de la familia de Comunicaciones Unificadas de Cisco- es una solución de conferencias multimedia que permite realizar reuniones remotas. La solución integra conferencias de voz, vídeo y Web con capacidades de configuración y control.

El primero de los problemas corregidos reside en un error de validación de entradas que podría permitir a un atacante no autenticado realizar ataques de inyección SQL y manipular la base de datos de MeetingPlace.

Un segundo problema está provocado por un error en la validación de acceso en la interfaz interna, lo que podría permitir que un atacante no autenticado pueda crear cuentas de usuario o administrador de MeetingPlace.

Otro problema se desde a un error en el protocolo de autenticación de MeetingTime, lo que podría permitir a los atacantes acceder a información sensible en la base de datos de usuarios lo que incluiría nombres de usuarios y contraseñas.

Por último, un error en el protocolo de autenticación de MeetingTime, podría permitir a un atacante elevar sus privilegios de usuario normal a administrador.

Cisco ha publicado actualizaciones (MR5, 6.0.639.3 y 7.0(2.3) hotfix 5F disponibles para descarga desde:
http://tools.cisco.com/support/downloads/go/Redirect.x?mdfid=278785523

La tabla de versiones afectadas y actualizaciones se encuentra disponible en el aviso de Cisco:
http://www.cisco.com/warp/public/707/cisco-sa-20100127-mp.shtml


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco Unified MeetingPlace
http://www.cisco.com/warp/public/707/cisco-sa-20100127-mp.shtml

miércoles, 27 de enero de 2010

Denegación de servicio a través del disector LWRES en Wireshark

Se han anunciado una vulnerabilidades de denegación de servicio en Wireshark versiones 0.9.0 hasta 1.2.5.

Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

El problema, del que no se han facilitado detalles técnicos, reside en el disector LWRES que podría permitir a un atacante remoto causar una denegación de servicio a través de un fichero de traza de paquetes especialmente manipulado.

Se recomienda actualizar a la versión 1.2.6 de Whireshark desde:
http://www.wireshark.org/download.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

LWRES vulnerability in Wireshark® version 0.9.0 to 1.2.5
http://www.wireshark.org/security/wnpa-sec-2010-02.html

martes, 26 de enero de 2010

Corregidas tres vulnerabilidades en Apache Tomcat

Se han corregido tres nuevas vulnerabilidades en Apache Tomcat (versiones 6.0.0 a 6.0.20 y 5.5.0 a 5.5.28), que podrían permitir a un atacante evitar restricciones de seguridad, conseguir información sensible o manipular datos.

El primero de los problemas está provocado por un error de validación de entrada cuando despliega archivos WAR, que podría permitir a un atacante crear contenido arbitrario fuera de la carpeta raiz de la web mediante una escalada de directorios.

Una segunda vulnerabilidad se debe a un error cuando se despliegan archivos tras un despliegue fallido, lo que podría provocar que se desplieguen archivos arbitrarios sin restricciones de seguridad, haciéndolos accesibles sin autenticación.

Un último problema está provocado por un error de validación de entrada al desplegar y replegar archivos WAR con nombres específicamente creados, lo que podría permitir a un atacante borrar los contenidos del directorio de trabajo del host.

Se recomienda actualizar a Apache Tomcat versión 6.0.24:
http://tomcat.apache.org/download-60.cgi
o aplicar las actualizaciones para Tomcat 5.x disponibles desde:
http://svn.apache.org/viewvc?rev=902650&view=rev


Antonio Ropero
antonior@hispasec.com


Más información:

Apache Tomcat 6.x vulnerabilities
http://tomcat.apache.org/security-6.html

Apache Tomcat 5.x vulnerabilities
http://tomcat.apache.org/security-5.html

[Full-disclosure] [SECURITY] CVE-2009-2901 Apache Tomcat insecure partial deploy after failed undeploy
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0476.html

[Full-disclosure] [SECURITY] CVE-2009-2693 Apache Tomcat unexpected file deletion and/or alteration
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0477.html

[Full-disclosure] [SECURITY] CVE-2009-2902 Apache Tomcat unexpected file deletion in work directory
http://archives.neohapsis.com/archives/fulldisclosure/2010-01/0478.html

lunes, 25 de enero de 2010

Seminario sobre la Ley de Economía Sostenible: Derechos, obligaciones y libertades en Internet

La Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI, se hace eco del debate social que ha originado la propuesta de Ley de Economía Sostenible, en la cual se tratan temas que presentan infinidad de inquietudes en la sociedad en torno al futuro de Internet.

Conscientes de ello y contando con la colaboración de expertos, y en especial de la plataforma Red SOStenible, invita a participar en el Seminario "Ley de Economía Sostenible: derechos, obligaciones y libertades en Internet", que se celebrará en el Salón de Actos del Campus Sur de la Universidad Politécnica de Madrid el miércoles 3 de marzo de 2010.

Fecha: miércoles 3 de marzo de 2010
Lugar: Salón de Actos del Campus Sur de la UPM, Madrid
Hora: 09:00 a 14:30 horas - Carácter gratuito
Madrid, 26 de enero de 2010

Con fecha 14 de enero de 2010 se ha cursado invitación a la Sra. Ministra Dña. Ángeles González Sinde para que inaugure el evento y participe además el Ministerio de Cultura en el Coloquio y Mesa Redonda que tendrá lugar en el Seminario, así como a directivos de la Sociedad General de Autores y Editores SGAE con fecha 19 de enero de 2010, no habiendo recibido respuesta en ambos casos y por tal motivo no se incluyen en este primer programa. No obstante, dada la importancia y el interés en conocer sus puntos de vista, si confirman posteriormente su asistencia esto se verá reflejado en el programa final del Seminario.

La asistencia es gratuita pero se recomienda realizar una preinscripción en el sitio Web de la cátedra, siguiendo las indicaciones que allí encontrará:
http://www.capsdesi.upm.es/course/view.php?id=13

Puede realizar también su preinscripción por teléfono 91 336 7842 o email bmiguel@euitt.upm.es, con Dña. Beatriz Miguel de 09.30 a 11:00 hrs.

El seminario será transmitido por videostreaming a través de los servicios del Gabinete de Tele-educación GATE de la UPM y los vídeos, una vez editados, se subirán al canal YouTube de la UPM. La información del enlace para el seguimiento en directo del Seminario y de los videos ya editados, estará disponible en su momento en el sitio Web de la Cátedra: http://www.capsdesi.upm.es/

Ley Orgánica de Protección de Datos de Carácter Personal: como el seminario se grabará en vídeo y posteriormente se difundirá por los canales de la UPM, la presencia de los asistentes en el aula en la cual se desarrolla el Seminario implica la autorización a la grabación y posterior difusión de las imágenes por aquellos medios que esta Cátedra considere oportunos.

Ponentes invitados al seminario LES 2010:
* D. Víctor Domingo (Asociación de Internautas, Red SOStenible)
* D. Carlos Sánchez Almeida (Bufet Almeida, Red SOStenible)
* D. Javier Maestre (Bufet Almeida, Red SOStenible)
* Dña. Simona Levi (exGAE, Red SOStenible)
* D. Olof Sandstrom (Arsys)

PROGRAMA

SEMINARIO LEY DE ECONOMÍA SOSTENIBLE: DERECHOS, OBLIGACIONES Y LIBERTADES
EN INTERNET

Miércoles 3 de marzo de 2010 - EUITT - Campus Sur UPM

09:00 - 09:30
Inauguración
* Directivo de la Universidad Politécnica de Madrid
* Directivo de Applus+
* Representante de la Plataforma Red SOStenible
* Director de la Cátedra UPM Applus+

Sesiones
Modera D. Jorge Ramió, Director Cátedra UPM Applus+

09:30 - 10:00
Política (punto) cero
Ponente: D. Víctor Domingo, Asociación de Internautas, Red SOStenible

10:00 - 10:30
Artistas y ciudadanos plantean soluciones legales y prácticas: la carta por la innovación, la creatividad, el acceso al conocimiento y otras herramientas
Ponente: Dña. Simona Levi, exGAE, Red SOStenible

10:30 - 11:00
Propiedad intelectual versus derechos de los internautas: un problema global, no local
Ponente: D. Olof Sandstrom, Arsys

11:00 - 11:30
¿Libertad o propiedad? Antorchas en la Biblioteca
Ponente: D. Carlos Sánchez Almeida, Bufet Almeida, Red SOStenible

11:30 - 12:00
DESCANSO Y PAUSA PARA CAFÉ

12:00 - 14:00
Coloquio - Mesa Redonda
Tema: Ley de Economía Sostenible e Internet
Modera D. Justo Carracedo, Catedrático EUITT, Cátedra UPM Applus+
Participan:
* D. Víctor Domingo, Asociación de Internautas, Red SOStenible
* D. Javier Maestre, Bufet Almeida, Red SOStenible
* D. Olof Sandstrom, Arsys

14:00 - 14:30
Conclusiones y clausura


Jorge Ramió Aguirre
Cátedra UPM Applus+ de Seguridad y Desarrollo Sociedad Información
http://www.capsdesi.upm.es/



domingo, 24 de enero de 2010

Actualización de seguridad para Apple Mac OS X

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X versiones 10.5.8 y 10.6.2 que solventa 12 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto con diversos efectos.

Esta es la primera gran actualización del año (con el código 2010-001).
Los componentes y software afectados son: CoreAudio, CUPS, Flash Player plug-in, ImageIO, ImageRAW y OpenSSL.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

About Security Update 2010-001
http://support.apple.com/kb/HT4004

sábado, 23 de enero de 2010

BIND 9.x introduce dos vulnerabilidades al corregir un fallo de noviembre

ISC (Internet System Consortium) ha publicado una actualización para BIND que corrige varios problemas de seguridad. Uno de ellos es nuevo, pero otros dos han sido introducidos al intentar corregir una vulnerabilidad de noviembre. Los fallos se centran en DNSSEC que, tras la vulnerabilidad descubierta en el protocolo DNS por Kaminsky en 2008, está más de actualidad que nunca por la necesidad de autenticar las consultas DNS.

BIND 9 es el servidor DNS más extendido en Internet. Creado originalmente por cuatro estudiantes de la universidad de Berkeley (California), en los años 80, actualmente es mantenido por el consorcio ISC. El código de BIND se reescribió desde cero en parte debido a las numerosas vulnerabilidades que fueron apareciendo y la dificultad para implementar mejoras con la base de código anterior. BIND 8 fue descontinuado en 2007. Contuvo numerosos problemas de seguridad que fueron aprovechados durante toda la década de los 90.

El día 19 de enero, ISC publicaba una nueva versión de BIND, que entre otros problemas, corregía tres vulnerabilidades, todas relacionadas con DNSSEC.

El primero se trata de un problema de validación en DNSSEC NSEC/NSEC3 que podía hacer que se "cachearan" respuestas NXDOMAIN falsas como si fueran correctas (criptográficamente validadas). Aunque reconocen que este fallo podría ser difícil de aprovechar por atacantes para envenenar una caché, sí que podría llevar a denegaciones de servicio.

Los otros dos problemas corregidos vienen por una regresión introducida en una actualización de BIND de noviembre. Uno de los problemas se trata de un error de verificación en el manejador de respuestas. Podría ser aprovechado por un atacante remoto para causar un impacto no especificado a través de una respuesta especialmente manipulada.

El otro error se trata de un salto de restricciones. Un fallo al almacenar ciertas respuestas en la caché sin realizar una validación DNSSEC adecuada. Podría ser aprovechado por un atacante remoto para eludir restricciones en la comprobación DNSSEC y perpetrar un ataque de envenenamiento caché.

Estos fallos solo afectan a BIND si se mantiene activado DNSSEC, cosa que, hoy por hoy, pocos servidores utilizan. A raíz de la vulnerabilidad descubierta en el protocolo DNS por Kaminsky en 2008, se ha visto clara la necesidad de usar criptografía para validar las comunicaciones DNS, pero todavía se está lejos de una adopción masiva. El problema de DNSSEC es básicamente, la necesidad de crear una PKI alrededor que ampare resoluciones DNS validadas criptográficamente.

Se recomienda actualizar a la última versión de BIND desde:
https://www.isc.org/


Sergio de los Santos
ssantos@hispasec.com


Más información:

BIND 9 DNSSEC validation code could cause bogus NXDOMAIN responses
https://www.isc.org/advisories/CVE-2010-0097

BIND 9 Cache Update from Additional Section (Updated 19Jan2010)
https://www.isc.org/advisories/CVE2009-4022

26/11/2009 Envenenamiento de cache DNS en BIND 9
http://www.hispasec.com/unaaldia/4051

viernes, 22 de enero de 2010

Actualización de seguridad para Real Player

RealNetworks ha publicado actualizaciones de Real Player 10 y 11 en plataformas Windows, Mac y Linux debido a que se ve afectado por hasta once vulnerabilidades de seguridad.

Las vulnerabilidades corregidas consisten en diferentes desbordamientos de búfer en distintos puntos del reproductor: en el ASM Rulebook, en un archivo GIF, en la codificación de bloque http, en el procesamiento de archivo IVR, en el por códec SIPR, en el análisis de SMIL o en el tratamiento de temas (skins) entre otros.

RealNetworks ha publicado versiones actualizadas del reproductor disponibles para descarga desde:
Para Windows XP, Vista o Windows 7:
http://client-software.real.com/free/windows/installer/stubinst/stub/rp12/R51ESR/RealPlayerSPGold_es.exe
Para RealPlayer Enterprise:
http://www.realnetworks.com/support/login.html
Para Mac OS X:
http://spain.real.com/realplayer/mac/?lang=es
Para Linux:
http://www.real.com/linux


Antonio Ropero
antonior@hispasec.com


Más información:

RealNetworks, Inc. lanza una actualización de seguridad para resolver puntos vulnerables
http://service.real.com/realplayer/security/01192010_player/es/

RealNetworks RealPlayer Skin Parsing Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-010

RealNetworks RealPlayer IVR Format Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-009

RealNetworks RealPlayer SIPR Codec Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-008

RealNetworks RealPlayer SMIL getAtom Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-007

RealNetworks RealPlayer GIF Handling Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-006

RealNetworks RealPlayer ASMRulebook Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-005

jueves, 21 de enero de 2010

Microsoft conocía el fallo de Internet Explorer desde hace cinco meses, publica hoy la actualización con carácter de urgencia

Tras la grave vulnerabilidad detectada en Internet Explorer, y que tanto ha dado que hablar en los últimos días, Microsoft ha publicado una actualización para su navegador fuera de ciclo destinada a corregir este problema. Para añadir más polémica a todo lo tratado, Microsoft ha reconocido que conocía la existencia de este fallo desde hace cinco meses.

Sin ser el segundo martes de mes, Microsoft acaba de publicar un boletín de seguridad (con identificador MS10-002). Debido a su gravedad, los fallos podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable.

La actualización para Internet Explorer, acumulativa como suele ser habitual en las actualizaciones del navegador, está destinada a cubrir un total de ocho vulnerabilidades, si bien no todas son de carácter crítico ni afectan a todas las versiones del navegador. La gravedad de las vulnerabilidades varía en función de la versión del navegador y plataforma Windows sobre la que corre.

La razón de la publicación del boletín fuera de ciclo es debido a la vulnerabilidad del navegador, de la que ya hablamos en un boletín anterior y que estaba siendo explotada de forma activa. Este fallo ya conocido como "Aurora" (asignado al CVE-2010-0249), junto con otras cinco vulnerabilidades, son de naturaleza similar y en muchos casos pueden permitir la ejecución remota de código.

Pero lo más polémico puede surgir tras el reconocimiento por la propia firma de Redmond de que conocía de la existencia del fallo empleado en los ataques contra Google y Adobe (entre otras) desde el pasado mes de agosto. Meron Sellen, un investigador de la firma israelí BugSec había reportado el fallo el pasado mes de agosto y la propia Microsoft confirmó su gravedad en septiembre. Otros fallos similares corregidos en esta actualización también habían sido reportados a Microsoft hace seis meses por Zero Day Initiative. Microsoft tenía planeada la distribución de este boletín para su ciclo habitual de actualizaciones de febrero, sin embargo los ataques han obligado a adelantar su publicación.

Las otras dos vulnerabilidades corregidas son un cross-site scripting y una vulnerabilidad de validación de URLs que también podría dar lugar a la ejecución remota de código a través de una URL maliciosamente construida.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS10-002 - Critical
Cumulative Security Update for Internet Explorer (978207)
http://www.microsoft.com/technet/security/Bulletin/ms10-002.mspx

Microsoft knew of IE zero-day flaw since last September
http://blogs.zdnet.com/security/?p=5324

una-al-dia (15/01/2010) 0-day en Internet Explorer: Detrás de los ataques a grandes compañías
http://www.hispasec.com/unaaldia/4101

Microsoft Internet Explorer item Object Memory Corruption Remote Code Execution Vulnerabilityf
http://www.zerodayinitiative.com/advisories/ZDI-10-014/

Microsoft Internet Explorer Table Layout Reuse Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-013/

Microsoft Internet Explorer Baseline Tag Rendering Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-012/

Microsoft Internet Explorer Table Layout Col Tag Cache Update Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-011/

miércoles, 20 de enero de 2010

Grave vulnerabilidad en Windows permite elevar privilegios

Se han publicado los detalles de una grave vulnerabilidad en todas las versiones de Windows que permite elevar privilegios en el sistema. No existe parche disponible y el exploit está al alcance de cualquiera, lo que lo convierte en un serio "0 day" para Microsoft.

Tavis Ormandy, reputado investigador de seguridad que ha encontrado numerosos fallos de seguridad en diferentes programas, ha publicado un exploit para una vulnerabilidad que permite elevar privilegios en Windows. Se trata de un fallo de diseño que arrastran todos los Windows de 32 bits (basados en tecnología NT) desde 1993. Esto va desde el NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista.

El fallo reside en el soporte heredado de aplicaciones de 16 bits. No se valida correctamente el cambio de contexto y pila que se efectúa al llamar al manejador GP trap. Windows comete algunos errores y asume incorrectamente que:

* Se requiere el privilegio SeTcbPrivilege para configurar un contexto VDM (Virtual DOS Machine) .
* Código en ring3 no puede instalar selectores de segmento de código arbitrarios. Usando el modo Virtual-8086, es posible.
* Código alojado en el ring3 (espacio de usuario) no puede falsificar un "trap frame".

Ormandy consigue eludir estas cuestiones, y el resultado es que un usuario puede realizar un cambio de contexto en el núcleo y ejecutar código como SYSTEM, el máximo privilegio en el sistema.

Para eludir el tercer punto, se necesita acceder a una dirección de memoria, que es siempre la misma en todos los Windows menos Vista y Windows 7 que realizan una "aleatorización" de la carga en memoria. Se supone que esto protege de este tipo de ataques. Sin embargo, usando NtQuerySystemInformation(), se puede llegar a calcular dónde está esa dirección aunque sea diferente en cada inicio, con lo que la protección ASLR (Address space layout randomization) también se ve eludida.

Ormandy avisó a Microsoft en junio de 2009, y poco después confirmaron el problema. Harto de que no publicasen una solución (que considera no muy compleja), ha decidido hacer público el fallo. Él mismo entiende que esta vulnerabilidad afecta de forma más seria a empresas y corporaciones que mantienen a sus usuarios con privilegios limitados. Por desgracia, la mayoría de usuarios caseros utilizan ya la cuenta de administrador en su Windows (no tan poderosa como SYSTEM, pero equivalente a efectos prácticos) para tareas cotidianas, con lo que la elevación de privilegios no suele ser un requisito en los ataques.

El exploit ha sido probado y funciona a la perfección. La buena noticia es que es relativamente sencillo mitigar el problema. Incluso ha publicado vídeos en Youtube de cómo hacerlo, destinados principalmente a administradores. Evitar el fallo implica deshabilitar el soporte para aplicaciones de 16 bits, que se supone no será ningún problema para la mayoría de usuarios.

Los pasos son los siguientes:

Desde la consola de políticas (gpedit.msc) abrir "Configuración de equipo", "Plantillas administrativas", "Componentes de Windows", "Compatibilidad de aplicación" y habilitar la política "Impedir el acceso a aplicaciones de 16 bits". Es importante asegurarse de que es aplicada a los sistemas que dependen del controlador de dominio, forzando una actualización de políticas.

Los vídeos publicados con cómo realizar esto (en inglés) desde la consola de políticas y aplicarlo a todos los clientes de un Directorio Activo están disponibles desde:

Windows Server 2003:
http://www.youtube.com/watch?v=XRVI4iQ2Nug

Windows Server 2008
http://www.youtube.com/watch?v=u8pfXW7crEQ

Para Windows XP:
http://www.youtube.com/watch?v=u7Y6d-BVwxk

Para sistemas más antiguos, NT4, aquí se explica cómo deshabilitar esta funcionalidad:
http://support.microsoft.com/kb/220159

Este es un grave revés para Microsoft. Si los administradores quieren mantener su red de usuarios controladas hasta que exista parche oficial, se recomienda aplicar esta solución temporal lo antes posible.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Windows NT #GP Trap Handler Allows Users to Switch Kernel Stack
http://lists.grok.org.uk/pipermail/full-disclosure/2010-January/072549.html

martes, 19 de enero de 2010

VI Ciclo de Conferencias TASSI en la UPM

Como en años pasados en estas fechas, las Escuelas Universitarias de Informática y de Ingeniería Técnica de Telecomunicación de la Universidad Politécnica de Madrid, España, anuncian la sexta edición del Ciclo de Conferencias TASSI, Temas Avanzados en Seguridad y Sociedad de la Información, un evento que cuenta con la participación de destacados ponentes, expertos en estos temas relacionados con las nuevas tecnologías de la información y las comunicaciones.

Este ciclo forma parte de las actividades patrocinadas por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI.

Cada conferencia tiene una duración de dos horas y se celebran los días martes desde el 23 de febrero hasta el 25 de mayo de 2010, de 10:00 a 12:00 horas, en el Campus Sur de la UPM según el programa que se adjunta:

Martes 23 de febrero de 2010
Conferencia: Gestión de Riesgos en Sistemas de Información
Ponente: D. José Antonio Mañas Argemí
Catedrático Dpto. de Ingeniería de Sistemas Telemáticos, ETSIT UPM

Martes 9 de marzo de 2010
Conferencia: Seguridad de las Comunicaciones en las Futuras Redes Vehiculares
Ponente: Dña. Pino Caballero Gil
Directora del Proyecto MUOVE, Universidad de La Laguna, Tenerife

Martes 23 de marzo de 2010
Conferencia: Confianza en la Sociedad de la Información en España
Ponente: D. Víctor M. Izquierdo Loyola
Director General Instituto Nacional de Tecnologías de la Comunicación INTECO

Martes 13 de abril de 2010
Conferencia: Ciberdelincuencia e Instrumentos para Combatirla
Ponente: D. Manuel Vázquez López
Comisario Brigada de Investigación Tecnológica del Cuerpo Nacional de Policía

Martes 27 de abril de 2010
Conferencia: Los Delitos Informáticos en el Proyecto de Reforma de Código Penal
Ponente: D. Carlos Sánchez Almeida
Bufet Almeida, Abogados Asociados

Martes 11 de mayo de 2010
Conferencia: Privacidad y Libertad de Expresión en la Era de Internet
Ponente: Dña. Bárbara Navarro
Directora de Relaciones Institucionales de Google España

Martes 25 de mayo de 2010
Conferencia: Hacia un Nuevo y Más Amplio Concepto de Seguridad: La Seguridad Integral
Ponente: D. José Lucio González Jiménez
Director Gerente de Cluster TIC Seguridad y Confianza

La asistencia a las conferencias es gratuita para público en general (no es necesario en este caso una preinscripción) hasta un máximo de 20 personas, dado el aforo (92 butacas) de la sala donde éstas se desarrollan y el número de alumnos de ambas escuelas ya matriculados en la asignatura correspondiente.

Para mayor información, por favor contactar con el coordinador de la asignatura TASSI, profesor Jorge Ramió jramio@eui.upm.es.

Puede descargar el tríptico en formato pdf con el programa completo y más información desde esta url:
http://www.criptored.upm.es/descarga/TripticoTASSI2010.pdf


Jorge Ramió Aguirre
Cátedra UPM Applus+ de Seguridad y Desarrollo Sociedad Información
Red Temática Iberoamericana de Criptografía y Seguridad Infor


Más información:

Temas Avanzados en Seguridad y Sociedad de la Información
VI Ciclo de Conferencias UPM - TASSI
http://www.criptored.upm.es/descarga/TripticoTASSI2010.pdf

lunes, 18 de enero de 2010

Recomendaciones de los gobiernos alemán y francés sobre navegadores

Es noticia en todos los medios que el gobierno alemán y francés han recomendado no usar Internet Explorer como navegador, a raíz de los ataques perpetrados (supuestamente) desde el gobierno Chino contra Google aprovechando una vulnerabilidad desconocida del navegador de Microsoft. Realmente esta recomendación no supone nada novedoso viniendo del gobierno alemán, que ya en 2008 desaconsejó el uso del navegador Chrome, por ejemplo. Pero si la intención es, con buen criterio, disuadir del uso temporal de programas con graves vulnerabilidades hasta que sean resueltas, la lista debería ser demasiado larga.

Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. Tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos. Los laboratorios de McAfee analizaron varias muestras de malware involucrado en los ataques. Descubrieron que uno de los ejemplares aprovechaba una vulnerabilidad desconocida hasta la fecha en Internet Explorer, que permite ejecutar código arbitrario y que está reconocida pero no solucionada oficialmente.

Previamente, se especulaba con que una vulnerabilidad en Adobe Reader era el "vehículo" usado para ejecutar código en los sistemas de las víctimas. Si bien parece que también ha sido usado, se trata de vulnerabilidades ya conocidas que disponen de parche oficial, aunque no por ello menos graves.

Ahora, la Oficina Federal para la Seguridad de la Información alemana mantiene candente el asunto. Recomienda no usar Internet Explorer. ¿Tan inseguro es el navegador para que un gobierno recomiende suspender su uso? El problema es que en estos momentos, sufre una vulnerabilidad que está siendo aprovechada y para la que no hay parche. Es una situación por la que han pasado no solo todos los navegadores, sino muchísimas aplicaciones y sistemas operativos en algún momento de su historia. No es excusa, pero tampoco novedad. De hecho Internet Explorer ha vivido esta situación en muchas otras ocasiones, por ser objetivo favorito de atacantes y por retrasos en la publicación de soluciones.

Una cuestión que llama la atención, al margen de los enfrentamientos "ideológicos" sobre navegadores que suscitan este tipo de noticias, es que según El País, el gobierno recomienda a los usuarios que busquen una alternativa al navegador Internet Explorer de Microsoft, "para garantizar su seguridad". Esta afirmación es peligrosa, y puede llevar a equívocos. Evidentemente ningún navegador "garantiza la seguridad" sino que en lo posible y dada la situación (como siempre ocurre en seguridad) el uso de alternativas que no están siendo atacadas en estos momentos minimiza el riesgo. Pero también minimiza el riesgo (ahora y siempre) seguir usando Internet Explorer si se aprovechan y se entienden a las medidas de seguridad que implementa de serie, que en su versión 8 son numerosas y efectivas.

Por su parte, el portavoz de Microsoft en Alemania, Thomas Baumgaertner, ha replicado que los ataques a Google fueron llevados a cabo por "personas muy motivadas y con unos fines muy específicos". "No hubo ataques contra los usuarios comunes o los clientes de la firma. No hay amenazas para ellos, por eso no apoyamos esta recomendación". Baumgaertner olvida que el exploit no ha tardado en hacerse público, por tanto a día de hoy, cualquiera podría ser atacado.

Lo coherente, en todo caso, es practicar la defensa en profundidad ante las amenazas. Ya sea con el navegador o cualquier sistema informático, en todo momento. Se deben utilizar alternativas cuando exista un potencial riesgo mayor como el que ahora sufre el navegador de Microsoft, si es posible, pero no hay que relajarse por ello. No sabemos qué programa, ni de qué forma, puede estar siendo atacado en estos momentos

Tampoco es la primera vez que el gobierno alemán prohíbe el uso de un navegador. A principios de septiembre de 2008 Google lanza su nuevo navegador Chrome. Una semana después, Internet se inunda de comentarios sobre todos los aspectos de esta nueva aplicación y en particular sobre su seguridad. Muchos comentarios, exploits, más exploits y aclaraciones después, el gobierno alemán desaconsejó explícitamente el uso de este navegador. La Oficina Federal para la Seguridad de la Información alemana advirtió que resultaba arriesgado que los datos de un usuario fuesen acaparados por un único fabricante y desaconsejó abiertamente el uso del navegador Chrome en un importante informativo televisado.

Muchos ven en estas reacciones del gobierno alemán un movimiento más en contra de las grandes corporaciones americanas, que a favor de la seguridad de los usuarios. En cualquier caso, la recomendación, temporal hasta que Microsoft corrija el problema, no debe ser desatendida. No es un mal criterio aconsejar el uso de alternativas cuando no exista solución a un problema de seguridad.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Francia y Alemania recomiendan buscar alternativas a Internet Explorer por seguridad
http://www.elpais.com/articulo/tecnologia/Francia/Alemania/recomiendan/buscar/alternativas/Internet/Explorer/seguridad/elpeputec/20100117elpeputec_1/Tes

Google Chrome vulnerabilities starting to pile up
http://blogs.zdnet.com/security/?p=1858

domingo, 17 de enero de 2010

Denegación de servicio en NTP (Network Time Protocol)

Múltiples fabricantes se han visto afectados por un problema de seguridad en el protocolo estándar NTP (Network Time Protocol) que podría permitir a un atacante provocar una denegación de servicio.

NTP es el protocolo usado para mantener la exactitud del reloj de sistema. Sincroniza los relojes de los sistemas, independientemente de la latencia que exista entre ellos, y utiliza UDP como capa de transporte.

Existe un error a la hora de manejar paquetes "NTP" que podría causar un uso excesivo de la CPU y de espacio en disco. Un atacante remoto podría llegar a causar una denegación de servicio a través de paquetes "NTP" con el valor MODE_PRIVATE (también conocido como modo 7) especialmente manipulado.

Los principales fabricantes que contienen este servicio ya han publicado parches oficiales que deben ser aplicados cuanto antes.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

NTP mode 7 denial-of-service vulnerability
http://www.kb.cert.org/vuls/id/568372

sábado, 16 de enero de 2010

AIX publica actualización para el fallo de renegociación SSL/TLS

AIX ha publicado ahora la actualización para OpenSSL de sus sistemas operativos AIX 5 y 6. El fallo se debe a un problema de diseño en el protocolo a la hora renegociar la sesión, y ha afectado a casi todos los fabricantes.

AIX, sistema operativo de IBM, ha sido de los últimos fabricantes en desarrollar parches para su OpenSSL. Marsh Ray y Steve Dispensa descubrieron a finales de octubre de 2009 una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico. El fallo se encuentra en el protocolo en sí, y por tanto afecta a prácticamente todas las implementaciones de todos los sistemas.

Las actualizaciones para este sistema operativo están disponibles según versión desde:

https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=aixbp


Sergio de los Santos
ssantos@hispasec.com


Más información:

IX OpenSSL session renegotiation vulnerability
http://aix.software.ibm.com/aix/efixes/security/ssl_advisory.asc

viernes, 15 de enero de 2010

0-day en Internet Explorer: Detrás de los ataques a grandes compañías

Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando, que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.

En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail que han estado siendo accedidas de forma ilícita durante cierto tiempo, relacionadas con activistas pro derechos humanos en China de varios continentes.

Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.

McAfee y la "Operación Aurora"

Dentro del marco de investigación conjunta de las compañías afectadas y entidades públicas, los laboratorios de McAfee han analizado varias muestras de malware involucrado en los ataques. De esta forma descubrieron en uno de los ejemplares una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario.

En detalles sobre el ataque, McAfee sospecha que han sido planeados sobre objetivos muy concretos, en particular, personal con acceso a propiedad intelectual valiosa y con métodos de ingeniería social para garantizar el éxito de la infección.

Acerca del malware, utiliza un abanico de vulnerabilidades 0-day. En este punto, McAfee aclara que no han encontrado evidencias hasta el momento sobre un posible y nuevo 0-day en el lector de Adobe, tal como se ha estado especulando en los medios. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado.

Respecto del mediático nombre de "Operación Aurora", se debe a que el nombre "Aurora" aparece como parte en una ruta de archivo que McAfee halló en dos de los binarios analizados y que presumiblemente, según McAfee, sería el nombre con el que el atacante bautizó la operación.

Microsoft y el 0-day

Poco después, la reacción de Microsoft no se hizo esperar y ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer. Que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Está vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada para este fin.

Las versiones afectadas son la 6, 7 y 8 en los sistemas operativos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008.


David García
dgarcia@hispasec.com


Más información:

Googleblog - A new approach to China
http://googleblog.blogspot.com/2010/01/new-approach-to-china.html

Operation "Aurora" Hit Google, Others
http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/

Microsoft Security Advisory (979352)
http://www.microsoft.com/technet/security/advisory/979352.mspx

MSRC Blog - Security Advisory 979352 Released
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx

jueves, 14 de enero de 2010

Cross Site Scripting en una plantilla de error de Zope

Se ha anunciado una vulnerabilidad en diversas versiones de Zope que podría ser explotada por un atacante remoto para construir ataques de cross site scripting.

Zope es un servidor de aplicaciones, escrito en lenguaje Python. Su extrema flexibilidad, características novedosas (base de datos de "objetos", fácil extensibilidad, componentes) y su bajo precio (se trata de una solución "open source") lo hacen especialmente atractivo para desarrollos web.

El problema se debe a un error de validación de entradas relacionado con la plantilla "standard_error_message", que podría ser explotado por atacantes remotos para provocar la ejecución de código script arbitrario en el navegador del usuario en el contexto de seguridad del sitio afectado.

Se ven afectadas las versiones de Zope anteriores a la 2.8.12, 2.9.12, 2.10.11, 2.11.6 o 2.12.3. Se recomienda actualizar a cualquiera de estas versiones:
http://www.zope.org/Products/Zope/


Antonio Ropero
antonior@hispasec.com


Más información:

[Zope-Annce] New Zope2 releases available
https://mail.zope.org/pipermail/zope-announce/2010-January/002229.html

miércoles, 13 de enero de 2010

Actualizaciones de seguridad para Adobe Reader y Acrobat

De acuerdo a su ciclo habitual de boletines de seguridad Adobe ha publicado una actualización para corregir ocho vulnerabilidades en Adobe Reader y Acrobat, que podrían permitir a un atacante tomar el control de los sistemas afectados.

Las problemas solucionados son de diversa índole y afectan a diferentes módulos de los productos vulnerables. Problemas en el tratamiento de punteros, de desbordamiento de búfer, desbordamiento de enteros, inyección de código script o en la carga de dlls se traducen en múltiples fallos que podrían permitir la ejecución remota de código arbitrario.

Las vulnerabilidades se han confirmado en Adobe Reader 9.2 y Acrobat 9.2 para Windows, Macintosh y UNIX, y Adobe Reader 8.1.7 y Acrobat 8.1.7 para Windows y Macintosh.

Dada la gravedad de los problemas, se recomienda la actualización de Adobe Reader y Acrobat desde:
http://www.adobe.com/support/security/bulletins/apsb10-02.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-02.html

martes, 12 de enero de 2010

Ejecución remota de código en Windows a través del motor de fuentes OpenType incrustadas

Tal y como adelantamos, este martes Microsoft solo ha publicado un boletín de seguridad (el MS10-001) correspondiente a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft esta actualización presenta un nivel de gravedad "crítico".

La vulnerabilidad reside en un desbordamiento de entero en el descompresor LZCOMP del motor de fuentes empotradas OpenType, cuando procesa fuentes OpenType incrustadas (fuentes EOT o Embedded OpenType) específicamente diseñadas. Este fallo podría permitir la ejecución remota de código, si el usuario atacado abre un documento que incluya fuentes EOT especialmente manipuladas con alguna aplicación capaz de representar este tipo de fuentes, como Microsoft Internet Explorer, Microsoft Office PowerPoint o Microsoft Office Word.

Se ven afectados los sistemas Windows 2000, XP, Vista, 7 y Server 2003 y 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa según la plataforma afectada. Se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS10-001 – Crítico
Una vulnerabilidad en el motor de fuentes OpenType incrustadas podría permitir la ejecución remota de código (972270)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-001.mspx

lunes, 11 de enero de 2010

P2P distribuido y seguro

Buena parte de los protocolos P2P más utilizados a día de hoy mantienen un enfoque centralizado, bien impuesto por el propio protocolo, bien por iniciativas de la propia comunidad a la hora de recomendar y optimizar la compartición de contenidos. La nueva hornada de aplicaciones P2P apuestan por la descentralización y los filtros de recomendaciones.

Pongamos como ejemplo BitTorrent. El cliente requiere descargarse un fichero .torrent que contiene información sobre el contenido solicitado y el servidor centralizado que está coordinando la descarga del mismo. Una vez procesado el fichero .torrent, el cliente va solicitando al servidor la información sobre el resto de usuarios que están compartiendo y descargando ese mismo contenido, dando comienzo la compartición entre pares.

La compartición del fichero se realiza en trozos según una división del contenido original. El cliente irá descargando trozos del fichero desde unos usuarios y a su vez pone a disposición los trozos descargados para enviarlos al resto de usuarios. La integridad de todas estas operaciones está garantizada mediante el uso de hashes (SHA-1), evitando compartir trozos del fichero corruptos (voluntaria o involuntariamente).

El enfoque centralizado de BitTorrent viene dado por:

* necesita un servidor que coordine la descarga de contenidos (tracker)

* es necesario un archivo .torrent para iniciar la descarga, normalmente disponible a través de "páginas de descargas" que mantienen un índice de contenidos, aunque podría y es publicado y distribuido a través de otros métodos (e-mail, etc)

* a mayor número de usuarios descargando un mismo fichero coordinado desde un mismo servidor, más recursos compartiendo y potencial velocidad de descarga, y más garantías de que se podrá completar la descarga (no dependencia de una única fuente o semilla)

* el protocolo no ofrece al usuario final ninguna garantía o método sencillo de comprobación sobre el contenido compartido en un .torrent (más allá de los hashes correspondientes y el título del fichero que puede ser falso, conocido como "fake"), por ello las páginas de descargas o foros de intercambio actúan como filtros de recomendación y control de calidad (que el contenido se ajusta al título, características del mismo, etc), evitando así contenidos inadecuados, en mal estado, o peligrosos (malware).

Para evitar este tipo de dependencias las nuevas aplicaciones P2P están enfocando en el soporte y popularización de unas tecnologías ya existentes y conocidas:

* la información que antes se mantenía en un servidor central se distribuye y gestiona entre los clientes participantes en la red. No es una tecnología nueva, redes muy conocidas como Kad (e-mule), o los propios trackers distribuidos de torrents, hacen uso efectivo de las tablas de hashes distribuidas (DHT) o el Peer Exchange (PEX), permitiendo la comunicación y coordinación entre clientes sin la necesidad de un servidor centralizado.

* no será necesario las páginas web de descarga que hospedan los archivos .torrent, se utiliza en su lugar los "magnet links". Básicamente se trata de un enlace que hace referencia al contenido (mediante un hash) en vez de a la localización, es decir, el enlace no apunta a una dirección o servidor concreto, sino que tiene información sobre el fichero a localizar en la nube (en la red P2P). A través de un "magnet link" se puede descargar el archivo .torrent sin saber de antemano la dirección donde está hospedado, lo proporcionará cualquier cliente de la red P2P que lo tenga. También se abre la puerta al soporte de búsqueda de contenidos en redes distribuidas P2P mediante los buscadores tradicionales, sin necesidad de pasar por un servidor intermedio o página web que actúe como contenedor del enlace.

* el uso de DHT y PEX permite comunicarse y participar en la compartición de archivos a usuarios que hayan descargado el archivo .torrent sobre un mismo contenido desde diferentes localizaciones. Un servidor no coordina la descarga por grupos, sino que participa toda la red dotando al sistema de mayor garantía y disponibilidad.

* se están implementando sistemas de recomendación basados en algoritmos de filtrado colaborativo e indicadores de reputación. Al estilo de Spotify o Amazon, el cliente P2P realiza recomendaciones basándose en el historial de descargas, además permite compartir el historial o dar mayor relevancia a las opiniones de una red de contactos confiables (al estilo de las redes sociales). Adicionalmente se establecen indicadores de reputación y valoraciones, de forma que penaliza a aquellos contenidos que no se ajusten a lo esperado y a los clientes que fomenten la introducción de "fakes" o malware. Este es uno de los puntos más dependientes de las actuales páginas de índices y foros de descargas, el control de calidad, y está por ver si finalmente la comunidad logra autogestionarse en este sentido.

Todo esta tecnología se está implantando de forma paulatina en clientes P2P ya conocidos, de hecho habrá usuarios que estén utilizando de forma parcial alguna de estas técnicas sin ser conscientes de ello. También están naciendo clientes P2P adaptados a este nuevas premisas, por ejemplo el caso de www.tribler.org, si bien aun no disponen de una masa crítica de usuarios como para obtener resultados similares al de otros clientes de mayor uso.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Protocolo BitTorrent
http://en.wikipedia.org/wiki/BitTorrent_(protocol)

Distributed hash table (DHT)
http://en.wikipedia.org/wiki/Distributed_hash_table

Peer Exchange (PEX)
http://en.wikipedia.org/wiki/Peer_exchange

Magnet URI scheme
http://en.wikipedia.org/wiki/Magnet_URI_scheme

Tribler
http://www.tribler.org

Freenet
http://en.wikipedia.org/wiki/Freenet

domingo, 10 de enero de 2010

Corregidas tres vulnerabilidades en IBM Lotus Domino Web Access

IBM ha confirmado la publicación de una actualización para IBM Lotus Domino Web Access 8.0.2 FP3 (y anteriores) destinada a corregir, entre otros problemas, tres nuevas vulnerabilidades de seguridad.

Domino Web Access (anteriormente iNotes) es un cliente, basado en un navegador web, que proporciona a los usuarios acceso a las funciones de colaboración y mensajería de Domino.

El primero de los problemas reside en un error en Edit Contact scene en modo Ultra-light. Una segunda vulnerabilidad se presenta cuando existen comandos script en una URL para alertas de estado en modo ultra-light. Por último, también se ha corregido un error cuando se usan enlaces "Try Lotus iNotes anyway" en páginas no soportadas.

IBM ha publicado el Hotfix 229.261 disponible desde:
http://www.ibm.com/support/fixcentral


Antonio Ropero
antonior@hispasec.com


Más información:

8.0.2.3 Lotus iNotes (DWA) 229.261 Cumulative Interim Fix - Readme
http://www-01.ibm.com/support/docview.wss?uid=swg27017776

sábado, 9 de enero de 2010

Actualización crítica para Adobe Illustrator

Adobe ha anunciado la publicación de una actualización para corregir diversas vulnerabilidades críticas en Adobe Illustrator CS4 (14.0.0) y Adobe Illustrator CS3 (13.0.3 y anteriores), tanto en plataformas Windows como Macintosh.

Según el anuncio oficial de Adobe se han corregido dos vulnerabilidades de desbordamiento de búfer que podrían permitir la ejecución remota de código arbitrario. Ambos fallos se producen por el tratamiento de datos de gran tamaño en archivos Postscript encapsulado (.eps).

Adobe ha publicado actualizaciones para corregir el problema en todos los sistemas y plataformas afectadas, disponibles desde,
http://www.adobe.com/support/security/bulletins/apsb10-01.html
donde también se detallan los procedimientos de actualización en función de la versión y sistema operativo.


Antonio Ropero
antonior@hispasec.com


Más información:

Security updates available for Adobe Illustrator CS4 and CS3
http://www.adobe.com/support/security/bulletins/apsb10-01.html

viernes, 8 de enero de 2010

Oracle publicará 24 parches de seguridad el próximo martes

Oracle informa que el próximo martes lanzará una serie de parches con el objetivo de corregir una larga lista de problemas de seguridad detectados en múltiples de sus productos. Oracle mantiene su política de lanzamiento de actualizaciones que durante el 2010 coincidirá con el de otros grandes fabricantes como Microsoft o Adobe.

Los fallos se dan en varios componentes de los siguientes productos:
* Oracle Database 11g, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
* Oracle Database 10g, versión 10.1.0.5
* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
* Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.4.0, 10.1.3.5, 10.1.3.5.1
* Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0
* Oracle Access Manager versiones 7.0.4.3, 10.1.4.2
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1 y 12.1.2
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* PeopleSoft Enterprise HCM (TAM), versiones 8.9 and 9.0
* Oracle WebLogic Server 10.0 hasta MP2, 10.3.0 y 10.3.1
* Oracle WebLogic Server 9.0 GA, 9.1 GA y 9.2 hasta 9.2 MP3
* Oracle WebLogic Server 8.1 hasta 8.1 SP6
* Oracle WebLogic Server 7.0 hasta 7.0 SP7
* Oracle JRockit R27.6.5 y anteriores (JDK/JRE 6, 5, 1.4.2)
* Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 y 7.0 Primavera P6 Web Services 6.2.1, 7.0 y 7.0SP1

Las 24 correcciones se desglosan de la siguiente forma:

* 10 afectan a Oracle Database entre los que se incluye una para corregir la vulnerabilidad de Oracle Secure Backup. Dos de estas vulnerabilidades pueden ser explotadas de forma remota sin autenticación.
Los componentes afectados son: Application Express Application Builder, Core RDBMS, Listener, Oracle Data Pump, Oracle OLAP, Oracle Secure Backup, Oracle Spatial y Oracle Universal Installer.

* Tres nuevos parches de seguridad para el Servidor de Aplicaciones Oracle (Oracle Application Server). Todas estas vulnerabilidades pueden ser explotadas remotamente sin autenticación.
En este caso los componentes que se ven afectados por los problemas son: Access Manager Identity Server y Oracle Containers for J2EE.

* Tres de los nuevos parches de seguridad corresponden a Oracle Applications Suite. Los componentes afectados son: CRM Technical Foundation (mobile), Oracle Application Object Library y Oracle HRMS (Self Service).

* Una revisión de seguridad para PeopleSoft y JD Edwards Suite. Esta vulnerabilidad no permite ser explotada de forma remota sin autenticación. El componente afectado por este problema es PeopleSoft Enterprise HCM – eProfile.

* También se incluyen cinco actualizaciones de seguridad para la Suite de Productos BEA. Todas estas vulnerabilidades pueden ser explotadas remotamente sin autenticación. Los productos afectados por las vulnerabilidades que se corrigen en estas actualizaciones son: Oracle JRockit, Oracle WebLogic Server (Web Services) y Oracle WebLogic Server (Servlet Container Package).

* Por último, se incluyen dos parches de seguridad para Oracle Primavera Product Suite. Estas vulnerabilidades no son explotables remotamente sin autenticación. Los productos afectados son: Primavera P6 Enterprise Project Portfolio Management (Integration API) y Primavera Web Services.

Si bien Oracle avisa que toda está información podrá estar sujeta a cambios de última hora. Por otra parte, dada la diversidad de productos afectados y el número de vulnerabilidades se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponible desde la notificación oficial.

Oracle mantiene la previsión de publicación de actualizaciones para el año 2010 en las fechas: 12 de enero, 13 de abril, 13 de julio y 12 de octubre.


Antonio Román
roman@hispasec.com


Más información:

Critical Patch Updates and Security Alerts
http://www.oracle.com/technology/deploy/security/alerts.htm

Oracle Critical Patch Update Pre-Release Announcement - January 2010
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html

jueves, 7 de enero de 2010

Microsoft publicará un solo parche el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se espera solo un boletín de seguridad. Afecta exclusivamente al sistema operativo Windows, y puede contener un número indeterminado de vulnerabilidades. Microsoft no soluciona en esta tanda ni el grave fallo en IIS descubierto hace semanas ni otro problema en el protocolo SMB .

Si en diciembre se publicaron seis boletines dentro del ciclo habitual, este mes Microsoft prevé publicar solo uno el 12 de enero. Se considera crítico para Windows 2000, y solo de importancia "baja" para el resto (desde XP hasta 2008)

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Microsoft confirma que en esta tanda no se cerrará el grave problema en IIS encontrado a mediados de diciembre, y que permite ejecución remota de código ASP en Internet Information Server 6.x de forma trivial. El error se da al no filtrar correctamente el carácter ";" en el nombre de un fichero. De este modo un atacante remoto podría subir al servidor un fichero ASP y ejecutar su contenido suplantando, por ejemplo, una imagen. El fallo permite así que si se consigue subir un fichero llamado, por ejemplo, "foto.asp;.jpg" al servidor, la aplicación lo tome como una inocente imagen, pero en realidad se ejecute su código ASP ("Active Server Page") al invocarlo.

Ya han aparecido todo tipo de exploits que permiten no solo subir ficheros de forma cómoda, sino además, por ejemplo, intentar poner una consola a la escucha en un puerto (para que el acceso sea más cómodo). Aunque en realidad, con una simple "shell" en ASP, el atacante podría obtener acceso (de escritura o lectura según la pericia del administrador) a todos los archivos colgados en el servidor, o incluso del sistema. Microsoft ha intentado quitar hierro al asunto, argumentando que, en la configuración por defecto, el servidor no se ve afectado. Pero la realidad es que se trata de un gravísimo problema para muchos servidores que por su función, deben permitir la subida de ficheros por parte de usuarios. En estos casos, se recomienda eliminar los permisos de ejecución sobre los directorios donde se alojen los ficheros subidos.

Por otro lado, Microsoft confirmó en noviembre un nuevo fallo en su protocolo de compartición de ficheros SMB. Este error, en principio, solo permite una denegación de servicio, esto es, que cualquier Windows deje de responder. El problema es que es aprovechable a través de Internet Explorer, o sea, visitando una página web. Este fallo tampoco será resuelto en esta tanda de parches.

Los parches anunciados están sujetos a cambios, en cualquier caso, no se garantiza que se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Ejecución remota de código ASP en Internet Information Server 6.x
http://www.hispasec.com/unaaldia/4080

Microsoft Security Bulletin Advance Notification for January 2010
http://www.microsoft.com/technet/security/bulletin/ms10-jan.mspx

miércoles, 6 de enero de 2010

VirusTotal Uploader 2.0

Ya está disponible (en realidad, desde hace varias semanas) la nueva versión de la herramienta VirusTotal Uploader para subir de forma cómoda ficheros a VirusTotal.com a través del menú contextual de Windows.

Respecto a la primera versión hay numerosas novedades y se han corregido otros tantos fallos. Entre las más destacadas, ahora, antes de enviar un archivo para que sea analizado por 41 motores, se calcula el hash y se consulta a VirusTotal por si ya existe un análisis anterior, tal y como ocurre cuando se envía de forma "tradicional" a través de la web. Permite tener un informe inmediato y ahorrar tiempo y recursos en la subida.

Otra mejora es que ahora el programa no solo se llama a través del menú contextual, sino que añadirá durante la instalación un enlace directo al escritorio para que pueda ser ejecutado sin necesidad de tener que apuntar sobre un archivo. De esta forma, ahora permite listar los procesos en memoria, seleccionar cualquiera y enviar su ejecutable asociado a VirusTotal. Así, es posible analizar el binario asociado a un proceso en memoria sin necesidad de conocer su ubicación exacta en el sistema.

Además, ahora soporta (después de una demanda masiva) la introducción de URLs directamente. Se indica una dirección que apunte a un fichero, realiza la descarga, y se analiza con VirusTotal. Permite eludir el paso intermedio de descarga en disco duro. A su vez VirusTotal Uploader es configurable en este aspecto: se puede elegir si el fichero es efectivamente descargado en el disco duro, en qué directorio, o incluso, si se prefiere mantener en memoria, de forma que en ningún momento se aloje en el sistema. Esto permite usar la herramienta como una especie de gestor de descargas seguro. Por defecto la descarga y subida se hace sin escribir el fichero en disco, para evitar "interferencias" con el antivirus residente que se pueda tener instalado.

Otra mejora es que permite seleccionar y subir cinco ficheros de hasta 20 MBs cada uno.

VirusTotal Uploader nació a principios de 2007 como una pequeña herramienta para subir de forma cómoda ficheros a VirusTotal. Un año después, fue seleccionada por la edición USA de PC World para pertenecer a su lista de "101 Fantastic Freebies". Se trata de una prestigiosa lista anual de 101 utilidades software gratuitas (normalmente para Windows) que PC World recomienda especialmente. La votación es llevaba a cabo por lectores y personal de la propia revista.

Esperamos que la herramienta continúe siendo útil para todos los internautas. Seguimos dispuestos a oír sugerencias y mejoras para una futura nueva versión.

Se puede descargar de forma totalmente gratuita desde:
http://www.virustotal.com/es/metodos.html


Sergio de los Santos
ssantos@hispasec.com


Más información:

VirusTotal Uploader 2 ¿beta?
http://blog.hispasec.com/laboratorio/355

martes, 5 de enero de 2010

El “otro” efecto 2000

El año recién estrenado, 2010, ha resultado también una cifra incómoda para ciertos sistemas informáticos, que no han sabido gestionar adecuadamente estas cuatro cifras, y han dejado de funcionar o lo han hecho de forma equívoca desde que comenzó el año. Sin tanto bombo ni platillo como se le dio al "efecto 2000", parece que este "otro efecto 2000" ha pillado por sorpresa.

Uno de los afectados ha sido precisamente una de las soluciones profesionales de seguridad de Symantec, Endpoint Protection Manager. Se trata de un producto que aúna diferentes protecciones de seguridad y, por supuesto, en el plano reactivo usa firmas que se actualizan regularmente para su antivirus, antispyware y su IPS. El problema es que todas las actualizaciones desde el último minuto del 31 de diciembre de 2009, han sido calificadas erróneamente por el programa como "desactualizados", por lo que en este aspecto, los usuarios han quedado relativamente desprotegidos desde entonces.

Symantec ha buscado una solución temporal para proteger a sus clientes: mantiene la fecha de última actualización de las firmas a 31 de diciembre de 2009, pero incrementa el número de versión de éstas. Así los clientes disfrutan de las últimas firmas pero, por ahora y a falta de una solución oficial, sin poder ser identificadas con la fecha correcta en la que son emitidas.

Spamassassin también ha sufrido las consecuencias. El famoso filtro de correo cataloga como basura o no un email según muy diferentes valores, aplicando filtros bayesianos. Según las características del texto va sumando puntos y, si sobrepasa un límite, el programa añade una etiqueta al correo y muy probablemente acabe ignorado en la basura. Se ha encontrado un bug en su código. En concreto, desde el uno de enero añade a todos los correos una puntuación extra de aproximadamente 3.2 a causa de la directiva FH_DATE_PAST_20XX. Habitualmente, y según el administrador, un correo suele ser catalogado como spam si consigue una puntuación por encima de 4. Esto significa que hay muchas más posibilidades de que un correo sea catalogado como basura erróneamente.

Cisco también ha tenido problemas. Las cookies del balanceador Cisco CSM expiraban desde hace años el 1 de enero de 2010.... ese día ha llegado y el balanceador no está haciendo bien su trabajo, pues piensa que todas las conexiones caducan constantemente.

Windows Mobile no se ha librado. Los mensajes enviados en 2010 están siendo fechados en 2016. Más ejemplos: con el programa Invision Power Board, no se podían crear nuevas entradas desde que comenzó el año. SAP, ArcSight, Palm, Splunk... son otros programas que han detectado un poco tarde que no estaban preparados para el "efecto 2010".

Tampoco los bancos. Alemania ha sido durante unos días un verdadero caos en lo referente a las tarjetas de débito y crédito. Cajeros automáticos que no funcionaban o tiendas en las que no se podía pagar con tarjeta ha sido la tónica para casi la mitad de todas las tarjetas emitidas del país. Aunque no ha supuesto un problema de seguridad, seguro que ha sido un incordio para muchos. El problema tiene su origen en un fabricante francés de tarjetas.

Si bien para el efecto 2000 se desplegó durante años una importante campaña de concienciación hasta el punto de incrustar el concepto en la ideología popular (películas sobre catástrofes y horas y horas de leyendas alimentadas artificialmente), este bug de 2010 ha llegado en silencio. Las consecuencias no han sido graves, igual que no lo fueron hace 10 años (lo que supuso casi una decepción para los más catastrofistas). Pero el hecho nos hace pensar una vez más sobre la capacidad de anticipación de los programadores, que quizás ven el futuro demasiado lejos, o bien siguen sin darse cuenta de que en todo caso y desgraciadamente, el tiempo pasa más rápido de lo que parece.


Sergio de los Santos
ssantos@hispasec.com


Más información:

German cards hit by 2010 bug
http://www.straitstimes.com/BreakingNews/TechandScience/Story/STIStory_474040.html

SAP Spool issue – affects all Releases
http://www.basissap.com/2010/01/sap-spool-issue-affects-all-releases/

Bug: Calendar stopped working on 1/1/2010
http://forums.palm.com/palm/board/message?board.id=webossoftware&thread.id=13247

FH_DATE_PAST_20XX scores on all mails dated 2010 or later.
https://issues.apache.org/SpamAssassin/show_bug.cgi?id=6269

Events dated 2010 not returned by searches
http://www.splunk.com/base/Documentation/4.0.7/ReleaseNotes/Knownissues#Events_dated_2010_not_returned_by_searches

y2016-sms-bug
http://www.wmexperts.com/y2016-sms-bug

lunes, 4 de enero de 2010

El falso "hackeo" de la web de la presidencia española, XSS y lecciones para aprender

A estas horas ya todo el mundo debe saber lo ocurrido durante el día de ayer conla web de la Presidenciaespañola de la Unión Europea (www.eu2010.es). De este "supuesto ataque" se pueden sacar conclusiones y tratar de aprender algo.

Durante el día de ayer saltó a los medios más generalistas la noticia de que un "hacker" (no se podía emplear otro término) había entrado en la recién inaugurada web de la Presidencia española de la Unión Europea (http://www.eu2010.es) y había incrustado en ella una imagen del conocido humorista británico Rowan Atkinson en su papel de Mr. Bean.


La noticia está causando un gran revuelo, incluso más después de conocer el dato de que el proyecto había costado más de 11 millones de euros, si bien este presupuesto no solo cubre el alojamiento, desarrollo y seguridad del sitio. También se incluyen otros asuntos relacionados con la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos y servicios de videostreaming de los centros de prensa que se habilitarán en las cumbres internacionales.

Pero realmente el sitio no ha sido vulnerado, en el sentido de que nadie ha tomado su control. En esta ocasión se volvió a cumplir aquello de "no dejar que la realidad estropee una buena noticia". El problema radicaba en un cross-site scripting (XSS) que a través de una petición especialmente manipulada, había circulado en forma de URL por redes sociales, mensajería, etc. Alguien pulsó sobre el enlace del XSS y la noticia ya estaba creada.

La petición real que circuló tenía la forma:

Se trata de un XSS tradicional no persistente. Es decir, si no se accede a través de ese enlace, en realidad no se puede ver ningún ataque. No deja de ser un problema de seguridad en el desarrollo de la web, pero no tiene nada que ver con el hecho de que alguien entre y tome el control de unos servidores.

En el blog Security By Default, lo han explicado de una forma muy instructiva en:

Por otra parte, tampoco se puede considerar totalmente correcta la explicación dada por el gobierno español para negar el supuesto "hackeo":

"El supuesto ataque -señala Moncloa en un comunicado- ha consistido en que se ha empleado una captura de una página de búsqueda del sitio para hacer un fotomontaje al que se ha asignado una dirección (url o enlace) que luego se ha distribuido en Internet, a través de redes sociales y blogs".

En un fallido intento de restar importancia al asunto, se ha usado la palabra "fotomontaje", pero la verdad es que la imagen capturada y el fallo de seguridad eran reales, no producto del "PhotoShop". La explicación certera hubiese sido que la imagen de Mr. Bean, debido a un problema de seguridad, se mostraba "interpretada en" la página, pero no "desde" ella. No hubiese estado de más aclarar que mostrar una imagen es el menos grave los daños que se podrían haber causado. En cualquiera de los casos, el daño a la reputación está hecho, y es quizás el problema más serio a los que se enfrentan los responsables de la página en estos momentos.

Con esto, está claro que la web no fue "hackeada", pero está igual de claro que contenía un problema de seguridad en su buscador. O bien no se había realizado una auditoría de seguridad o no se había prestado atención a los problemas de cross-site scripting encontrados. Ambas circunstancias suelen ser habituales.

En muchas ocasiones en nuestros trabajos de auditoría nos planteamos cómo calificar la gravedad de un cross-site scripting; desde luego, no permite "entrar" en el servidor, pero el alcance que puede provocar (y aquí tenemos un claro ejemplo) puede ser igual de serio. No se presta la suficiente atención en corregirlo (dado que no se considera un problema grave) y se da carpetazo al asunto con un "este fallo no permite entrar en el servidor".

En una página sin control de sesión y sin datos que robar, el riesgo de un error como el que nos ocupa actualmente ("de libro" y más habitual de lo que parece) puede ser considerado como de riesgo medio desde el punto de vista técnico, si bien ya hemos visto que el impacto mediático ha sido alto y por tanto también debe valorarse el daño potencial a la imagen de este tipo de vulnerabilidades.

También existen casos en que las vulnerabilidades por XSS son consideradas de riesgo alto por criterios técnicos. Debemos pensar que los vectores de ataques de las vulnerabilidades XSS son variados y dependen del contexto, pudiendo ser utilizados en casos de phishings, distribución de malware desde fuentes teóricamente confiables, suplantación de sesiones, robos de cookies, etc.

Aunque en este caso no llegaron a entrar en el servidor (tal como múltiples medios aseguraban), a efectos prácticos el resultado final que se ha transmitido a la conciencia colectiva es equivalente a si hubieran tomado el control. La imagen que se ha transmitido sobre el gobierno español y sobre Telefónica como encargada del proyecto, tanto en España como en Europa (donde el incidente también ha transcendido), no es nada positiva. Por eso, una vez más es importante recordar la importancia de auditar y corregir cualquier tipo de fallo encontrado, aunque sea un cross-site-scripting que no permita "entrar" en el servidor.

Más información:

Comunicado sobre el supuesto ataque a la web de la Presidencia española de la UE

EU2010.es: el FAIL es para...

Qué ha pasado con el “hackeo” a la página web eu2010.es

Mr. Bean 'se cuela' en la web oficial de la presidencia española

Mr. Bean en la Moncloa: un engaño y no un ataque de hacker



Antonio Ropero

Twitter: @aropero

domingo, 3 de enero de 2010

Actualización de seguridad para Sendmail

Se ha publicado Sendmail 8.14.4 que corrige (entre otros errores) una vulnerabilidad relacionada con caracteres NULL en certificados en formato X.509.

El problema corregido se debe a un error al procesar bytes NULL (un carácter nulo) en certificados X.509 en los campos {cn_subject} o {cn_issuer}. Un atacante podría aprovechar este fallo para falsificar autenticaciones de cliente o servidor y provocar por ejemplo que las aplicaciones afectadas acepten certificados falsificados. Para ello, debería disponer de acceso a la conexión y actuar como hombre en el medio (man-in-the-middle).

Esta vulnerabilidad (CVE-2009-4565), parece estar estrechamente relacionada con la catalogada en Mitre.org como CVE-2009-2408 y que ha afectado a multitud de fabricantes desde julio de 2009. Prácticamente, todos los programas que manejan certificados X.509, han debido actualizar su software durante estos últimos meses para solucionar este grave fallo de seguridad. La vulnerabilidad también permitía la falsificación de certificados (por ejemplo con la finalidad de dar por válidas páginas webs falsas) si un atacante conseguía manipular el tráfico de la víctima.

Se recomienda actualizar a Sendmail versión 8.14.4, que también corrige otra serie de fallos y se encuentra disponible desde:
ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.14.4.tar.gz


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Sendmail - 8.14.4
http://www.sendmail.org/releases/8.14.4

sábado, 2 de enero de 2010

Nuevos contenidos en la Red Temática CriptoRed (diciembre de 2009)

Breve resumen de las novedades producidas durante el mes de diciembre de 2009 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN ESTE MES
* Tesis iPhorensics un Protocolo de Análisis Forense para Dispositivos Móviles Inteligentes (Andrea Ariza y Juan Camilo Ruiz, dirección Jeimy Cano, PDF, 176 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142l1.htm
* Evaluación de las predicciones en seguridad de la información para el 2009 y el riesgo de las predicciones para el 2010 (Jeimy Cano, PDF, 7 páginas, Colombia)
http://www.criptored.upm.es/descarga/PrediccionesSEGINF2010.pdf

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES
* Informe de la Red de Sensores de INTECO del mes de noviembre de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200911.pdf
* Estudio acerca de la Seguridad en la Autenticación de Clientes Twitter (INTECO, España)
http://cert.inteco.es/cert/Notas_Actualidad/Publicado_un_estudio_acerca_de_la_seguridad_en_la_?postAction=getLatestInfo
* Estudio sobre la seguridad de la información y la e-confianza de los hogares españoles (INTECO, España)
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/Informe_1T_2009
* Guía para la Seguridad en Áreas Críticas en Cloud Computing (CSA e ISMS Forum Spain, España)
https://www.ismsforum.es/noticias/noticia.php?noticia=235
* Inseguridad de la información en 2010 en el Blog IT - Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2009/12/inseguridad-de-la-informacion-en-2010.html

3 SOFTWARE RECOMENDADO PARA DESCARGA LIBRE DESDE OTROS SERVIDORES
* Versión 1.4.21 Estable en Español del Software de Prácticas CrypTool (Alemania, España)
http://www.cryptool.com/index.php/es/presentations-documentationmenu-50.html
* CrypTool: criptografía para todos (Gonzalo Alvarez, España)
http://www.slideshare.net/gonalvmar/cryptool-criptografa-para-todos-presentation

4. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Enero 25 al 28 de 2010: Fourteenth International Conference Financial Cryptography and Data Security (La Laguna, Tenerife - España)
* Febrero 15 al 18 de 2010: 3rd Workshop on Privacy and Security by Means of Artificial Intelligence PSAI 2010 (Cracovia - Polonia)
* Marzo 18 al 20 de 2010: Congreso de Seguridad Informática Rooted CON 2010 (Madrid - España)
* Marzo 18 al 20 de 2010: IADIS International Conference Information Systems 2010 (Oporto - Portugal)
* Abril 7 al 10 de 2010: 6th International Conference on Web Information Systems and Technologies WEBIST (Valencia - España)
* Junio 15 al 16 de 2010: European Workshop on Smart Objects: Systems, Technologies and Applications RFID-SysTech 2010 (Ciudad Real - España)
* Junio 16 al 18 de 2010: X Jornada Nacional de Seguridad Informática ACIS 2010 (Bogotá - Colombia)
* Junio 16 al 19 de 2010: V Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2010 (Santiago de Compostela - España)
* Julio 22 al 24 de 2010: International Conference on the Business and Digital Enterprises ICBDE 2010 (Bangalore - India)
* Julio 26 al 28 de 2010: International Conference on Security and Cryptography SECRYPT (Atenas - Grecia)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y Seguridad de la Información RECSI 2010 (Tarragona - España)
* Septiembre 22 al 24 de 2010: 5th Conference of the Euro-American Association on Telematics and Information Systems EATIS 2010 (Ciudad de Panamá - Panamá)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú - Grecia)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

5. NOTICIAS PUBLICADAS EN EL MES DE DICIEMBRE DE 2009
* La Red Temática Iberoamericana CriptoRed cumple 10 años.
* Primer Taller de Expertos en Gestión de Incidentes de Seguridad Informática en Montevideo (Uruguay)
* Laboratorios RootedLabs previos al Congreso RootedCON 2010 de Madrid (España)
* Celebrado el Cuarto Día Internacional de la Seguridad de la Información DISI 2009 en la UPM (España)
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2009.htm#dic09

6. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 810
215 universidades y 300 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 24.836 visitas, con 81.008 páginas solicitadas y 29,09 GigaBytes servidos en diciembre de 2009
Ver resumen de estadísticas del año 2009:
http://www.criptored.upm.es/estadisticas/2009/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

diciembre 2009
http://www.criptored.upm.es/paginas/historico2009.htm#dic09

viernes, 1 de enero de 2010

Resumen de seguridad de 2009 (y IV)

Con el año ya empezado, solo queda por publicar la última entrega de nuestro resumen anual, con lo ocurrido durante el cuarto trimestre de 2009 en cuestión de seguridad informática. Estas son algunas de las noticias que consideramos más destacadas de cada mes publicadas en nuestro boletín diario.

Octubre 2009:

* Se descubre el troyano URLZone, que como novedad incorpora técnicas para evitar su detección, como falsear el balance de la cuenta una vez se produce el robo para evitar que el usuario se percate del fraude. Además de simular acciones maliciosas para intentar confundir a los investigadores.

* Se alerta de un nuevo "0 day" en Adobe Reader y Acrobat que permite a un atacante remoto ejecutar código arbitrario.

* Se cumple el undécimo aniversario de "una-al-día". Más de 4.000 noticias publicadas y lo celebramos publicando (y ofreciendo gratuitamente) en formato PDF el libro que publicamos el año pasado y que en esta ocasión abarca desde 1998 hasta 2009.

Noviembre 2009:

* Ofrecemos el seminario web sobre malware "The Explosion of the Axis of Evil", impartido por Peter Silberman (Mandiant) y Ero Carrera (VirusTotal-Hispasec).

* El descubrimiento de una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico, genera cierta discrepancia sobre su nivel de gravedad.

* Se dan a conocer los primeros gusanos diseñados específicamente contra el iPhone de Apple.

* Se celebra el Día Internacional de la Seguridad de la Información, DISI 2009, transmitido en directo a través de videostreaming y que cuenta con la participación de nuestro compañero Ero Carrera en el coloquio "Tendencias en Malware".

Diciembre 2009:

* Se genera una gran polémica ante la posibilidad de una nueva ley en España que permita el cierre de sitios web sin necesidad de una orden judicial.

* Se descubre una nueva vulnerabilidad "0 day" en Adobe Acrobat y Reader.

* Se publica una vulnerabilidad en IIS 6.x que permite ejecutar código ASP arbitrario mediante el uso de una múltiple extensión.


Antonio Ropero
antonior@hispasec.com


Más información:

una-al-dia (29/12/2009) Resumen de seguridad de 2009 (I)
http://www.hispasec.com/unaaldia/4084/

una-al-dia (30/12/2009) Resumen de seguridad de 2009 (II)
http://www.hispasec.com/unaaldia/4085/

una-al-dia (31/12/2009) Resumen de seguridad de 2009 (III)
http://www.hispasec.com/unaaldia/4086/