domingo, 28 de febrero de 2010

Nuevo "0day" con ejecución de código arbitrario en Internet Explorer

Microsoft ha comunicado, a través del blog del equipo del centro de respuesta de seguridad, de una vulnerabilidad en Internet Explorer que podría permitir la ejecución de código arbitrario visitando una página web especialmente manipulada. Es necesario además para completar el ataque, que el atacante incite a la víctima a pulsar el botón F1 para lanzar la función de ayuda.

Tanto la vulnerabilidad como la prueba de concepto fueron originalmente publicadas el día 26 de febrero por Maurycy Prodeus, del grupo polaco iSEC, en la lista de Full Disclosure. En el aviso detalla cómo la función "MsgBox" proporciona un parámetro en el que se puede indicar la ruta hacia un archivo .hlp. Si la víctima presiona F1, el archivo con formato win32hlp será procesado.

Dichos archivos están clasificados por Microsoft como inseguros, al permitir acciones que podrían desembocar en un riesgo para el usuario si la fuente no es confiable. Entre las capacidades peligrosas está la posibilidad de portar una DLL, lo que potencialmente convertiría al archivo en el equivalente a un ejecutable.

El soporte para este tipo de archivos, que se remontan a las primeras versiones de Windows, fue retirado en 2006, siendo Windows Vista y Windows Server 2008 los primeros sistemas de Microsoft que no disponen por defecto de un visor integrado para el formato (aunque se puede descargar oficialmente).

Microsoft informa que esta vulnerabilidad no afecta a los sistemas operativos Windows 7, Windows Vista, Windows Server 2008 y Windows Server 2008 R2.

El aviso de seguridad de iSEC reporta como vulnerable a la plataforma Windows XP SP3 con las versiones de Internet Explorer 6, 7 y 8.


David García
dgarcia@hispasec.com


Más información:

MSRC - Investigating a new win32hlp and Internet Explorer issue
http://blogs.technet.com/msrc/archive/2010/02/28/investigating-a-new-win32hlp-and-internet-explorer-issue.aspx

iSEC - Advisory
http://isec.pl/vulnerabilities/isec-0027-msgbox-helpfile-ie.txt

sábado, 27 de febrero de 2010

Ejecución arbitraria de código en IBM Lotus iNotes

Se ha confirmado la existencia de de una vulnerabilidad en IBM Lotus iNotes (Lotus Domino Web Access), por la que un atacante remoto podría comprometer los sistemas afectados.

El problema reside en desbordamientos de búfer en controles ActiveX, que podrían ser explotados por un atacante remoto a través de una página HTML especialmente creada. Si el usuario abre la página, se producirá el desbordamiento y la consiguiente ejecución de código arbitrario. El código se ejecutará con los privilegios del usuario atacado.

Los CLSIDs de los controles afectados son:
3BFFE033-BF43-11d5-A271-00A024A51325
983A9C21-8207-4B58-BBB8-0EBC3D7C5505
E008A543-CEFB-4559-912F-C27C2B89F13B

IBM ha publicado una corrección (7.0.4, 8.5) para evitar este problema.


Antonio Ropero
antonior@hispasec.com


Más información:

Buffer Overflow Vulnerability in Lotus iNotes ActiveX Control
http://www-01.ibm.com/support/docview.wss?uid=swg21421808

viernes, 26 de febrero de 2010

Nueva versión de PHP soluciona varios fallos de seguridad

Se ha publicado recientemente una nueva versión de PHP (versión 5.2.13) que ha solucionado dos fallos de seguridad.

PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.

El primero de los problemas reside en un fallo en el código de validación de safe_mode en la función tempnam(). Mientras que el segundo problema podría permir evitar los controles impuestos por open_basedir y safe_mode en la extensión de sesión.

Además, la nueva versión corrige otra serie de problemas de diversa índole. La nueva versión se encuentra disponible para descarga desde: http://www.php.net/downloads.php


Antonio Ropero
antonior@hispasec.com


Más información:

PHP 5.2.13 Release Announcement
http://www.php.net/ChangeLog-5.php#5.2.13

jueves, 25 de febrero de 2010

Vulnerabilidad de ejecución de código en Google Picasa

Se ha descubierto una vulnerabilidad en Google Picasa por la que un usuario remoto podría lograr la ejecución de código en el sistema de los usuarios.

Picasa es un software de tratamiento y gestión de fotografías de Google, con el que se puede organizar, editar e imprimir las fotos del ordenador.

El problema consiste en que un usuario remoto podría crear una imagen en formato jpeg de tal forma, que cuando fuera cargada por el usuario atacado y este realice cualquier acción se provoque un desbordamiento de entero en "PicasaPhotoViewer.exe" y la ejecución de código en el sistema del usuario. El código se ejecutará con los privilegios del usuario.

Aunque no ha realizado ninguna comunicación al respecto, Google ha publicado una versión que corrige el problema (3.6 build 105.41).


Antonio Ropero
antonior@hispasec.com


Más información:

Google Picasa Integer Overflow in Processing JPEG Images Lets Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2010/Feb/1023652.html

miércoles, 24 de febrero de 2010

Actualización del kernel para Debian Linux 4.x

Debian ha publicado una actualización del kernel 2.6 que corrige un total de diez fallos de seguridad que podrían causar denegaciones de servicio o elevación de privilegios en los sistemas afectados.

Esta actualización del kernel el final planeado de actualizaciones de seguridad para el kernel 2.6.18 en la versión "etch" de Debian. Aunque el soporte para "etch" finalizó oficialmente el 15 de febrero de 2010, está actualización estaba en preparación antes de dicha fecha. También está en preparación una actualización final para el kernel 2.6.24 que incluya estos problemas y que será publicada en breve.

Los problemas corregidos tienen relación con el controlador SCSI Gath, el servidor NFS, el driver hfc_usb (controlador RDSI para el chip USB Colognechip HFC-S), el sistema de archivos HFS, el controlador e1000 para adaptadores de red Intel gigabyte, el subsistema de filtrado ebtables, en la interfaz sys_move_pages, en el subsistema futex o en el subsistema de conexión de enlaces de red.

Se recomienda actualizar a través de las herramientas automáticas apt-get.


Antonio Ropero
antonior@hispasec.com


Más información:

DSA-2003-1 linux-2.6 -- privilege escalation/denial of service
http://www.debian.org/security/2010/dsa-2003

martes, 23 de febrero de 2010

Vulnerabilidad en Adobe Download Manager

Se ha anunciado una vulnerabilidad en Adobe Download Manager (anterior al 23 de febrero de 2010) que podría ser empleada por atacantes remotos para lograr el compromiso de los sistemas afectados. El fallo en
realidad, se encuentra en su componente NOS, creado por otro fabricante.

El fallo está en getPlus Download Manager de NOS, usado por, entre otras compañías, Adobe en el componente Adobe Download Manager. GetPlus Downloader se instala en forma de ActiveX. Adobe lo usa para facilitar la instalación de Adobe Reader a través de Internet Explorer.

Adobe Download Manager se instala por defecto al descargar Adobe Reader o Flash para Windows desde el sitio web de Adobe, pero de igual forma se desinstala automáticamente tras el siguiente reinicio del ordenador. La corta permanencia de este producto en los sistemas, ha sido sin duda la causa por la que seguramente ha pasado desapercibido a la hora de encontrar nuevas vulnerabilidades.

El problema se debe a un error al procesar URLs, de tal forma que un atacante remoto podría emplearlo para descargar e instalar software no autorizado en el sistema vulnerable. Para ellos debería engañar al usuario a acceder a un enlace especialmente construido o visitar una página web maliciosa.

En caso de haber realizado una instalación de Reader o Flash anterior al día 23 de febrero se recomienda reiniciar los sistemas (en caso de no haberlo hecho) o desinstalar manualmente Adobe Download Manager según se indica en el boletín publicado por Adobe:
http://www.adobe.com/support/security/bulletins/apsb10-08.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security update available for Adobe Download Manager
http://www.adobe.com/support/security/bulletins/apsb10-08.html

lunes, 22 de febrero de 2010

Cross-Site Scripting en IBM WebSphere Portal

Se ha encontrado una vulnerabilidad en IBM WebSphere Portal (versiones 6.0J, 6.0.1.5) que podría ser explotada por un atacante remoto para realizar ataques de cross-site scripting.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El campo de búsqueda incluido en Portlet Palette no filtra adecuadamente el código HTML introducido por el usuario antes de mostrar dicha entrada. Un atacante remoto podría crear una URL específicamente creada, que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

IBM ha publicado una corrección para evitar este problema, disponible con la identificación APAR PM05829.


Antonio Ropero
antonior@hispasec.com


Más información:

PM05829: PORTLET PALETTE SECURITY VULNERABILITY
http://www-01.ibm.com/support/docview.wss?uid=swg1PM05829

domingo, 21 de febrero de 2010

La botnet Kneber en los medios

Se viene informado en los medios de la existencia de esta botnet, que afecta a más de 75.000 sistemas en 196 países. En realidad, no es nada nuevo. Ni el hecho de que una compañía de seguridad aparezca ante las cámaras como descubridora de algo contra lo que muchos luchamos cada día, ni que los medios no entiendan el mensaje que se ha querido transmitir.

NetWitness dice ser la empresa descubridora de esta botnet, y ha generado bastante atención de los medios (NetWitness ha puesto a disposición de todos los que le dejen sus datos de contacto, un documento técnico sobre el asunto). Lo que parece haber ocurrido es que NetWitness se ha colado en el panel de control de una de las centenas de botnets controladas por la misma familia de malware: Zeus. La empresa ha curioseado entre los datos allí robados, y ha contado 75.000 máquinas de 2.500 empresas de 196 países y 75 gigabytes de contraseñas y certificados.

La ha bautizado Kneber porque los dominios que utiliza para descargar componentes y demás comunicación con "la central" estaban registrados con el correo HilaryKneber@yahoo.com. Pero es una red creada con Zeus. Un software que se vende en el mercado negro para que cualquiera se construya su propia botnet y la personalice como desee. Se tienen constancia de redes botnets Zeus desde octubre de 2007, manejadas tanto por el crimen informático organizado, como por atacantes ocasionales con un perfil mucho más bajo que infectan solo a algunas decenas de sistemas (Windows, habitualmente).

En realidad, lo novedoso de la botnet llamada Kneber (pero creada con Zeus) no son los números que han salido a la luz. 75.000 máquinas zombi no deja de constituir una gran red, pero desde luego no es la mayor conocida. Lo destacable de esta Zeus es que su principal objetivo son las contraseñas de redes sociales (Twitter, Facebook...). Lo normal en este tipo de malware es el robo de credenciales bancarias. Aunque es habitual que un troyano no descarte ningún tipo de contraseña en la máquina que ha infectado, estar específicamente diseñado para redes sociales no es (todavía hoy) el objetivo primario de la mayoría.

De vez en cuando salen a la luz este tipo de noticias. Los medios generalistas siguen confundiendo una red zombi con una red "dispuesta a atacar" a no se sabe bien qué objetivos. Esto puede ocurrir, pero no es lo que actualmente está pasando ni lo que más debe preocupar a los infectados. La persona que controle una red zombi, efectivamente, podría ordenar a esos sistemas (puesto que suele tener total control sobre ellos) que visiten todos a la vez una página y agoten sus recursos, de forma que estarían "atacando" a esa web. Pero el uso principal de estas botnets no es ese. El usuario infectado pierde por completo el control de su máquina, de sus contraseñas y, en el peor de los casos, de su dinero si realiza transacciones bancarias.

Los medios también se dejan encandilar por las cifras, cuando en realidad, la botnet llamada Kneber puede ser una simple gota en el mar de las botnets mundiales. Existen más de 700 sistemas de control de redes Zeus conocidos, cada uno con un número indeterminado de sistemas zombis en su poder. La que NetWitness ha encontrado en una de esas 700 redes son una gran cantidad de datos robados y zombis a su cargo, pero no tiene que ser la mayor, y desde luego no es el único kit para crear botnets que se conoce. Existen decenas de ellos, cada uno funcionando con, a su vez, decenas de máquinas infectadas. En Hispasec nos enfrentamos a botnets casi a diario, compuestas a veces por algunas decenas de máquinas y, en ocasiones, por unos cuantos miles. Como ya decíamos en enero de 2008 ante una situación muy parecida a esta (ver apartado de "Más información"): "La realidad de lo que vemos día a día, al igual que cualquiera que se dedique profesionalmente al tema, es bastante más cruda e importante que lo puramente anecdótico de un troyano concreto [...] sólo se suele publicar una minúscula parte de la punta del iceberg, por lo que entre profesionales este tipo de datos ha hecho callo, nos hemos acostumbrado. Y eso, es mala señal."

Es importante que este tipo de información salga a la luz de vez en cuando, no cabe duda. Es positivo que el usuario perciba cada cierto tiempo el peligro de un uso irresponsable de su equipo. Pero el trato que se le da a este tipo de noticias, exagerado, inexacto e incluso "desenfocado", solo genera curiosidad temporal y confusión en el ciudadano medio, que acaba frustrado. Desgraciadamente, como muchas de las noticias que "pasan a portada", será rápidamente olvidada, pero los atacantes sin embargo seguirán ahí, construyendo botnets cada vez mayores.


Sergio de los Santos
ssantos@hispasec.com


Más información:

ZeuS: "A Virus Known as Botnet"
http://www.krebsonsecurity.com/2010/02/zeus-a-virus-known-as-botnet/

Consejos útiles contra el malware 2.0 en Windows
http://www.hispasec.com/unaaldia/3567

Troyanos bancarios... haciendo callo
http://blog.hispasec.com/laboratorio/267

Troyanos bancarios rusos, marcando la diferencia
http://www.hispasec.com/unaaldia/3383

NetWitness - Total Network Knowledge
http://www.netwitness.com/resources/kneber.aspx

sábado, 20 de febrero de 2010

Vulnerabilidad afecta al plan de numeración de Asterisk

Se ha anunciado la existencia de una vulnerabilidad en Asterisk, que podría permitir a un atacante remoto inyectar datos en los dialplans de los sistemas vulnerables.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

En Asterisk, el dialplan es el plan de numeración que seguirá la centralita para cada contexto y por tanto para cada usuario. El problema reside en el tratamiento de la variable "${EXTEN}" en un dialplan con caracteres comodín, como:
exten => _X.,1,Dial(SIP/${EXTEN})
Esto podría permitir a atacantes inyectar cadenas arbitrarias en la aplicación "Dial()" y permitir por ejemplo la realización de llamadas sin autorización.

Asterisk Open Source versiones 1.2.x
Asterisk Open Source versiones 1.4.x
Asterisk Open Source versiones 1.6.x
Asterisk Business Edition versiones B.x.x
Asterisk Business Edition versiones C.x.x

El problema puede resolverse con una adecuada programación del dialplan, evitar el uso del punto siempre que sea posible y emplear la función "Filter()". Se ha publicado una documentación con prácticas recomendadas para realizar este proceso. Disponible según versión desde:
http://svn.asterisk.org/svn/asterisk/branches/1.2/README-SERIOUSLY.bestpractices.txt
http://svn.asterisk.org/svn/asterisk/branches/1.4/README-SERIOUSLY.bestpractices.txt
http://svn.asterisk.org/svn/asterisk/branches/1.6.0/README-SERIOUSLY.bestpractices.txt
http://svn.asterisk.org/svn/asterisk/branches/1.6.1/README-SERIOUSLY.bestpractices.txt
http://svn.asterisk.org/svn/asterisk/branches/1.6.2/README-SERIOUSLY.bestpractices.txt

También se ha publicado la versión Asterisk 1.2.40 con la inclusión de la función "FILTER()" (incluida desde la versión 1.4) para proporcionar las herramientas necesarias para resolver este problema en el dialplan.


Antonio Ropero
antonior@hispasec


Más información:

Asterisk Project Security Advisory - AST-2010-002
Dialplan injection vulnerability
http://downloads.asterisk.org/pub/security/AST-2010-002.html

viernes, 19 de febrero de 2010

Posible ejecución de código (sin parche) en Firefox 3.6

La reputada compañía rusa de seguridad Intevydis, asegura conocer una vulnerabilidad del navegador Firefox que puede permitir la ejecución de código arbitrario con solo visitar una página web. Mozilla dice que no puede confirmar el fallo.

Intevydis es la desarrolladora de VulnDisco. Se trata de un pack para CANVAS que contiene exploits para vulnerabilidades no parcheadas de decenas de programas. En su última versión de principios de febrero, dice contener una vulnerabilidad desconocida hasta ahora para Firefox 3.6, que permite la ejecución de código arbitrario en Windows. A pesar de que Firefox ha publicado recientemente una nueva versión que soluciona cinco fallos de seguridad, la 3.6 no ha recibido ninguna actualización, con lo que parece que sigue siendo vulnerable a ese error (si es que existe). Evgeny Legerov, de Intevydis, dice que encontrar el fallo y crear un exploit no es nada trivial (desbordamiento de memoria intermedia basado en heap), pero que es muy fiable y funciona en la instalación por defecto del navegador sobre XP y Vista.

Mozilla Foundation parece que está al tanto del asunto, pero no ha podido confirmar la vulnerabilidad.

VulnDisco está disponible para "profesionales de la seguridad" Que paguen por él. Si se confirma el fallo, cualquiera podría tener acceso a esa información y comenzar a aprovecharla. No se tiene constancia de que esto haya ocurrido por ahora. Lo que sí se ha detectado es que esa versión de Firefox ha sufrido numerosos problemas de estabilidad al visitar ciertas páginas. Aunque podría no estar relacionado con el asunto. A veces es habitual que un fallo que hace que un programa deje de responder se convierta en un problema de seguridad aprovechable, aunque esto depende, lógicamente, de la naturaleza del error.

Evgeny Legerov no es ningún desconocido en el mundo de la seguridad, y lidera una empresa seria que comercializa un producto reputado como VulnDisco. No es la primera vez que se conoce un nuevo fallo de seguridad a través de la recopilación realizada en VulnDisco y, sin ningún tipo de prueba adicional, se da por válido dada su buena reputación.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Mozilla Posts Firefox Fixes But Possible Bug Remains
http://www.informationweek.com/news/services/data/showArticle.jhtml?articleID=223000368

Attack code for Firefox zero-day goes wild, says researcher
http://www.theregister.co.uk/2010/02/18/firefox_zero_day_report/

A security researcher claims to have released exploit code that affects
Firefox 3.6.
http://www.informationweek.com/news/services/data/showArticle.jhtml?articleID=223000368

VulnDisco 9.0
https://forum.immunityinc.com/board/thread/1161/vulndisco-9-0/

jueves, 18 de febrero de 2010

Actualización del kernel para SuSE Linux Enterprise Server 9

SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server 9 en la que se corrigen varios fallos de seguridad que podrían permitir a un atacante causar denegaciones de servicio, escalar privilegios o ejecutar código arbitrario en un sistema vulnerable.

Las vulnerabilidades corregidas son:

El primero de los problemas se presenta en la función "collect_rx_frame" del fichero "hfc_usb.c". Esto podría se aprovechado por una atacante local para ejecutar código arbitrario con privilegios de superusuario a través de un paquete "HDLC" especialmente manipulado.

Se ha solucionado otro problema al procesar el argumento "eindex" de la función "gdth_read_event" en "drivers/scsi/gdth.c". Esto podría ser aprovechado por un atacante local para causar una denegación de servicio y, potencialmente, elevar privilegios a través de una llamada IOCTL especialmente manipulada.

También se han detectado y corregido problemas en la validación de permisos en las funciones "do_ebt_set_ctl" y "do_ebt_get_ctl" cuando el usuario tiene el permiso de CAP_NET_ADMIN. Esto podría ser aprovechado por un atacante local para eludir restricciones y modificar las reglas de las ebtables.

El driver e1000 de "e1000/e1000_main.c" interpreta de formar errónea múltiples bufers de una misma trama Ethernet. Un atacante remoto podría causar una denegación de servicio a través de tramas Ethernet especialmente manipuladas.

Un atacante local podría elevar sus privilegios a través de la modificación de atributos del driver "megaraid", debido a un error en los permisos asignados a ciertos atributos expuestos por el driver "megaraid_sas" en "sysfs".

Existe una falta de comprobación en el controlador z90crypt. Esto podría permitir a un atacante local con un "effective user ID" (euid) de valor 0 eludir restricciones de seguridad.

La actualización también corrige un error de fuga de memoria a la hora de procesar determinados datagramas de "AppleTalk-IP" en el kernel de Linux. Esto podría permitir a un atacante remoto causar una denegación de servicio a través del envío de muchos datagramas "AppleTalk-IP" especialmente manipulados. La explotación solo es posible si están cargados y asociados a la misma interfaz los módulos "appletalk" y "ipddp".

Esta actualización también corrige un error de comprobación de estado de los sockets en la función "unix_stream_connect". Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio, a través de reiterados intentos de conexión a un socket que se cierre mediante una llamada a shutdown.

Por último, un error de comprobación de la inicialización en las rutinas de manejo de IOCTL. Esto podría ser aprovechado por un atacante local para provocar una denegación de servicio aprovechando las desreferencias a NULL de estructuras no inicializadas.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2010:013)
http://lists.opensuse.org/opensuse-security-announce/2010-02/msg00007.html

miércoles, 17 de febrero de 2010

Denegación de servicio en Cisco Firewall Services Module

Cisco ha anunciado una vulnerabilidad en su módulo FWSM (Firewall Services Module) versiones 4.x que permitiría la realización de ataques de denegación de servicio.

El FWSM es un módulo de firewall integrado en los switches Catalyst 6500 y routers Cisco 7600. El problema afecta a todas las versiones 4.x sin parchear de Cisco FWSM Software si se encuentra activada la inspección SCCP (configuración por defecto).

El problema reside en un error en la inspección de mensajes SCCP cuando el inspector de SCCP está habilitado que podría provocar el reinicio del dispositivo. Esto podría ser aprovechado por un atacante remoto para provocar una denegación de servicio a través de un paquete SCCP especialmente manipulado.

Cisco ha publicado una versión actualizada del software que corrige este problema y puede descargarse desde:
http://www.cisco.com/cisco/web/download/index.html


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Cisco Security Advisory: Cisco Firewall Services Module Skinny Client Control Protocol Inspection Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100217-fwsm.shtml

martes, 16 de febrero de 2010

Actualizaciones de seguridad para Adobe Reader y Acrobat

Adobe ha publicado actualizaciones para corregir dos vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados. Las vulnerabilidades corregidas están relacionadas con las recientemente anunciadas en Adobe Flash.

Las versiones afectadas son Adobe Reader 9.3 para Windows, Macintosh y UNIX; Adobe Acrobat 9.3 para Windows y Macintosh; y Adobe Reader 8.2 y Acrobat 8.2 para Windows y Macintosh.

Como se describía en el anterior boletín de seguridad de Adobe una de las vulnerabilidades podría permitir a un atacante modificar el comportamiento de la "sandbox" de forma que podría dar lugar a peticiones no autorizadas de dominios cruzados. Además se ha identificado una vulnerabilidad crítica que podría permitir a un atacante llegar a tomar el control de los sistemas afectados.

Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-07.html

lunes, 15 de febrero de 2010

Vulnerabilidades en OpenOffice.org permiten ejecución de código

OpenOffice.org ha publicado la versión 3.2 de su suite ofimática que soluciona hasta siete fallos de seguridad que podrían ser aprovechados por atacantes para ejecutar código arbitrario en los sistemas afectados.

Dos de los problemas se deben a un desbordamiento de búfer basado en heap al procesar registros mal construidos en un documento Word, lo que podría ser empleado por atacantes para lograr la ejecución de código arbitrario.

Otros problemas que también podrían ser empleados para lograr la ejecución de código arbitrario residen en el tratamiento de datos GIF y XPM.

Un problema reside en la versión de OpenOffice.org para Windows debido a que incluye una versión vulnerable de MSVC Runtime. Para finalizar también se han solucionado vulnerabilidades en libxmlsec y en libxml2.

Se recomienda actualizar a OpenOffice.org version 3.2:
http://download.openoffice.org/index.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability in OpenOffice.org related to MS-Word document processing
http://www.openoffice.org/security/cves/CVE-2009-3301-3302.html

Security Vulnerability in OpenOffice.org related to GIF file processing
http://www.openoffice.org/security/cves/CVE-2009-2950.html

Security Vulnerability in OpenOffice.org related to XPM file processing
http://www.openoffice.org/security/cves/CVE-2009-2949.html

OpenOffice.org 3 for Windows bundles a vulnerable version of MSVC Runtime
http://www.openoffice.org/security/cves/CVE-2009-2493.html

Security Vulnerability in OpenOffice.org resulting from 3rd party library
http://www.openoffice.org/security/cves/CVE-2009-0217.html

Security Vulnerability in OpenOffice.org resulting from 3rd party libraries
http://www.openoffice.org/security/cves/CVE-2006-4339.html

domingo, 14 de febrero de 2010

Descubriendo la papelera en Wordpress 2.9

Existe un error en las versiones de Wordpress 2.9.x que permite a un usuario autenticado con los mínimos privilegios descubrir los post que se encuentran en la papelera.

Wordpress es un CMS para la gestión de blogs. En su versión 2.9 incorporó una utilidad para no eliminar definitivamente los post. Consistía en un sistema de papelera que permitía recuperar las entradas borradas por accidente.

El problema encontrado reside en que cuando se envía un post a la papelera no se actualizan correctamente los permisos. Esto permitiría a un usuario autenticado con los mínimos privilegios obtener información de la papelera. En teoría, solo usuarios con los privilegios suficientes podrían tener acceso a estos posts borrados, pero en la realidad, debido al fallo, cualquier "Usuario autenticado" (que incluye a los "Subscribers" que son el mínimo privilegio posible en Wordpress) pueden ver estas entradas.

Un atacante tendría que aplicar fuerza bruta para acceder a las URL correspondientes en la papelera para descubrir post eliminados. Una vez encontrados, podría leerlos sin que exista ninguna restricción por permisos. El autor ha publicado una prueba de concepto.

Este error ha sido solucionado junto con otros bugs en la versión 2.9.2


Víctor Antonio Torre
vtorre@hispasec.com



sábado, 13 de febrero de 2010

Actualización del kernel de Windows

Dentro del conjunto de boletines de seguridad de febrero publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-015) de una actualización del kernel de Windows destinada a solucionar dos nuevas vulnerabilidades.

El primero de los problemas reside en que no se valida correctamente el cambio de contexto y pila que se efectúa al llamar al manejador GP trap. La segunda vulnerabilidad se produce en el kernel de Windows al liberar dos veces el mismo rango de memoria.

Estos fallos podrían ser aprovechados por un atacante local para elevar privilegios a través de una aplicación especialmente manipulada.

Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-015.mspx


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS10-015 - Importante
Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (977165)
http://www.microsoft.com/spain/technet/security/Bulletin/MS10-015.mspx

viernes, 12 de febrero de 2010

Actualización de seguridad para Adobe Flash Player

Adobe ha publicado una actualización de seguridad destinada a corregir dos vulnerabilidades de seguridad en Adobe Flash Player versión 10.0.42.34 y anteriores, la más grave podría dar lugar a peticiones no autorizadas de dominios cruzados.

La vulnerabilidad más grave podría permitir a un atacante modificar el comportamiento de la "sandbox" de forma que podría dar lugar a peticiones no autorizadas de dominios cruzados; lo que podría dar lugar a la falsificación de peticiones. La actualización publicada también corrige una vulnerabilidad de denegación de servicio.

Adobe recomienda a los usuarios de Adobe Flash Player la actualización a la versión 10.0.45.2. De igual forma, también se recomienda que las instalaciones de Adobe AIR se actualicen a la versión 1.5.3.9130. Disponibles desde la página web de Adobe o a través del boletín de seguridad publicado:
http://www.adobe.com/support/security/bulletins/apsb10-06.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb10-06.html

jueves, 11 de febrero de 2010

Diversas vulnerabilidades en Cisco IronPort Encryption Appliance

Cisco ha anunciado la existencia de tres vulnerabilidades en dispositivos Cisco IronPort Encryption Appliance, la más grave podría llegar a permitir a usuarios remotos sin autenticar la ejecución de código arbitrario.

Cisco IronPort Encryption Appliance es un dispositivo que actúa como gateway de cifrado de correo electrónico. Se ven afectadas las siguientes versiones:
Cisco IronPort Encryption Appliance 6.5 versiones anteriores a 6.5.2
Cisco IronPort Encryption Appliance 6.2 versiones anteriores a 6.2.9.1
Cisco IronPort PostX MAP versiones anteriores a 6.2.9.1

Dos de las vulnerabilidades consisten en una fuga de información sensible que podrían dar lugar a que usuarios remotos sin autenticar accedan a cualquier archivo del dispositivo a través del servidor https integrado. Una tercera vulnerabilidad podría permitir a usuarios remotos sin autenticar ejecutar código arbitrario con privilegios elevados en los dispositivos afectados a través del servidor http integrado.

Existen diversas contramedidas que pueden mitigar estos problemas, disponibles a través de la página del aviso oficial de Cisco en:
http://www.cisco.com/warp/public/707/cisco-sa-20100210-ironport.shtml
Cisco ha publicado actualizaciones del software disponibles para los usuarios de los dispositivos afectados, que deberán contactar con el soporte técnico de IronPort a través del siguiente enlace:
http://www.ironport.com/support/contact_support.html


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco IronPort Encryption Appliance
http://www.cisco.com/warp/public/707/cisco-sa-20100210-ironport.shtml

miércoles, 10 de febrero de 2010

Actualización para vulnerabilidades en TCP/IP de Windows

Dentro del conjunto de boletines de seguridad de febrero publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-009) de una actualización crítica destinada a corregir cuatro vulnerabilidades en la implementación de la pila TCP/IP en sistemas Windows.

La primera vulnerabilidad está causada por un error de validación de límites en la implementación de la pila TCP/IP de Windows a la hora de procesar paquetes ICMPv6 de anuncio de router. Esto podría permitir a un atacante remoto ejecutar código arbitrario si envía paquetes ICMPv6 especialmente manipulados a la víctima.

El segundo problema corregido reside en la implementación de la pila TCP/IP de Windows a la hora de procesar datagramas fragmentados ESP (Encapsulating Security Payloads) encapsulados a través de UDP. Esto podría permitir a un atacante remoto ejecutar código arbitrario si envía paquetes IP especialmente manipulados a la víctima.

Otra vulnerabilidad se presenta debido a una incorrecta validación de límites en la implementación de la pila TCP/IP de Windows a la hora de procesar paquetes ICMPv6 de información de ruta. Esto podría permitir a un atacante remoto ejecutar código arbitrario si envía paquetes ICMPv6 especialmente manipulados a la víctima.

Por último, la actualización también corrige un fallo en la implementación de la pila TCP/IP de Windows a la hora de procesar paquetes TCP SACK especialmente manipulados. Esto podría permitir a un atacante remoto provocar una denegación de servicio si envía paquetes SACK especialmente manipulados a la víctima.

Los problemas afectan a Windows Vista y Windows Server 2008. Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde la página del boletín de seguridad.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS10-009 – Crítico
Vulnerabilidades en TCP/IP de Windows podrían permitir la ejecución remota de código (974145)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-009.mspx

martes, 9 de febrero de 2010

Boletines de seguridad de Microsoft en febrero

Tal y como adelantamos, este martes Microsoft ha publicado trece boletines de seguridad (del MS10-003 al MS10-015) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico", siete son clasificados como "importantes" y el restante se considera "moderado". En total se han resuelto 25 vulnerabilidades, una de ellas reportada por Hispasec.

Los boletines "críticos" son:

* MS10-006: Actualización para corregir dos vulnerabilidades en el cliente SMB que podrían permitir la ejecución remota de código si un atacante envía una respuesta SMB especialmente creada a una petición de cliente SMB. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-007: Actualización destinada a corregir una vulnerabilidad en el controlador del shell de Windows que podría permitir la ejecución remota de código arbitrario, el problema reside en la validación incorrecta de la entrada enviada a la función de la API ShellExecute. Afecta a Microsoft Windows 2000, Windows XP y Windows Server 2003.

* MS10-008: Se trata de una actualización de seguridad acumulativa de bits de interrupción de ActiveX que además corrige una vulnerabilidad de ejecución remota de código en el control ActiveX de Microsoft Data Analyzer. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-009: Boletín destinado a corregir cuatro vulnerabilidades en TCP/IP de Windows, la más grave de ellas podría permitir la ejecución remota de código si se envían paquetes especialmente diseñados a un equipo con IPv6 habilitado. Afecta a Microsoft Windows Windows Vista y Windows Server 2008.

* MS10-013: Actualización destinada a corregir una vulnerabilidad en Microsoft DirectShow relacionada con la forma en que se analizan los archivos AVI. Esta vulnerabilidad podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo AVI especialmente creado. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

Los boletines clasificados como "importantes" son:

* MS10-003: Actualización que soluciona una vulnerabilidad en Microsoft Office que podría permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado. Afecta a Microsoft Office XP y Microsoft Office 2004 para Mac.

* MS10-004: Actualización que soluciona seis vulnerabilidades en Microsoft Office PowerPoint, que podrían permitir la ejecución remota de código si un usuario abre un archivo Power Point especialmente creado. Afecta a Microsoft Office XP, 2003 y Microsoft Office 2004 para Mac.

MS10-010: Actualización destinada a corregir una vulnerabilidad en Windows Server 2008 Hyper-V, que podría permitir provocar una denegación de servicio si un usuario ejecuta una secuencia especial de instrucciones con formato incorrecto en una de las máquinas virtuales invitadas que hospede el servidor Hyper-V.

* MS10-011: Actualización destinada a solucionar una vulnerabilidad elevación de privilegios a través del subsistema de tiempo de ejecución de cliente-servidor de Windows (Client/Server Run-time Subsystem, CSRSS). Esta vulnerabilidad fue reportada por Matthew "j00ru" Jurczyk y Gynvael Coldwind, de Hispasec.

* MS10-012: En este boletín se ofrece una actualización para resolver cuatro vulnerabilidades en el servidor SMB, la más grave de ellas podría permitir la ejecución remota de código si un atacante envía a un sistema afectado un paquete SMB especialmente diseñado. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-014: En este boletín se corrige una vulnerabilidad de denegación de servicio en las implementaciones de Kerberos.

* MS10-015: Esta actualización de seguridad resuelve dos vulnerabilidades en el kernel de Windows. Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008

Por último, la vulnerabilidad considerada como "moderada":

* MS10-005: Actualización publicada para evitar una vulnerabilidad de ejecución remota de código en Microsoft Paint si un usuario visualiza con este programa un archivo JPEG especialmente manipulado. Afecta a Microsoft Windows 2000, Windows XP y Windows Server 2003.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de enero de 2010
http://www.microsoft.com/spain/technet/security/bulletin/ms10-jan.mspx

Boletín de seguridad de Microsoft MS10-003 - Importante
Una vulnerabilidad en Microsoft Office (MSO) podría permitir la ejecución remota de código (978214)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-003.mspx

Boletín de seguridad de Microsoft MS10-004 - Importante
Vulnerabilidades en Microsoft Office PowerPoint podrían permitir la ejecución remota de código (975416)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-004.mspx

Boletín de seguridad de Microsoft MS10-005 - Moderado
Una vulnerabilidad en Microsoft Paint podría permitir la ejecución remota de código (978706)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-005.mspx

Boletín de seguridad de Microsoft MS10-006 – Crítico
Vulnerabilidades en el cliente SMB podrían permitir la ejecución remota de código (978251)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-006.mspx

Boletín de seguridad de Microsoft MS10-007 – Crítico
Una vulnerabilidad en el controlador del shell de Windows podría permitir la ejecución remota de código (975713)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-007.mspx

Boletín de seguridad de Microsoft MS10-008 – Crítico
Actualización de seguridad acumulativa de bits de interrupción de ActiveX (978262)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-008.mspx

Boletín de seguridad de Microsoft MS10-009 – Crítico
Vulnerabilidades en TCP/IP de Windows podrían permitir la ejecución remota de código (974145)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-009.mspx

Boletín de seguridad de Microsoft MS10-010 - Importante
Una vulnerabilidad en Windows Server 2008 Hyper-V podría permitir la denegación de servicio (977894)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-010.mspx

Boletín de seguridad de Microsoft MS10-011 - Importante
Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (978037)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-011.mspx

Boletín de seguridad de Microsoft MS10-012 - Importante
Vulnerabilidades en el servidor SMB podrían permitir la ejecución remota de código (971468)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-012.mspx

Boletín de seguridad de Microsoft MS10-013 – Crítico
Una vulnerabilidad en Microsoft DirectShow podría permitir la ejecución remota de código (977935)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-013.mspx

Boletín de seguridad de Microsoft MS10-014 - Importante
Una vulnerabilidad en Kerberos podría permitir la denegación de servicio (977290)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-014.mspx

Boletín de seguridad de Microsoft MS10-015 - Importante
Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (977165)
http://www.microsoft.com/spain/technet/security/Bulletin/ms10-015.mspx

lunes, 8 de febrero de 2010

Desconfianza antivirus

Citando a Fito y Fitipaldis "no es porque digas la verdad, es porque nunca me has mentido", la razón por la que confío en ti. Aunque en principio la frase pueda parecer un tanto redundante, la diferencia es más que sutil. Algo parecido está ocurriendo estos días en la industria antivirus tras la publicación de unas pruebas llevadas a cabo por Kaspersky, donde demostrarían que otros motores antivirus "copian" sus resultados.

Nada nuevo bajo el sol. Como ya hemos comentado con anterioridad en una-al-dia, y es bien conocido dentro de la industria antivirus, los laboratorios se vigilan entre sí y tienen en cuenta los resultados de la competencia durante sus análisis. Normal y lógico. El problema viene dado cuando se dejan llevar en exceso por los resultados de terceros, especialmente en el caso de los falsos positivos (cuando alguien por error detecta como malware un software legítimo y el resto le sigue).

Kaspersky ha querido ir un paso más allá en esta problemática y presentó a los medios una prueba de concepto realizada para la ocasión. Básicamente, generó unos ejecutables inofensivos y los incluyó en su base de firmas para detectarlos como si fueran malware. A continuación los envió a VirusTotal esperando que fueran distribuidos y esperó la reacción del resto de laboratorios antivirus. El resultado es que algunos motores comenzaron a incluir también firmas para detectar esos ficheros como malware.

Esta prueba de concepto ha sido motivo de discusión entre la propia industria antivirus, algunos ven una campaña de marketing y desprestigio a la competencia, otros una interesante demostración y toque de atención sobre esta problemática.

Por un lado comprendo el cansancio de cualquiera que vea cómo terceros se aprovechan de su trabajo sin aparentemente aportar nada a cambio. Por otro lado, con la que está cayendo, parece necesario que exista cierta colaboración entre antivirus para hacer frente a la avalancha de malware, ésta es una guerra que no puede ganar ningún laboratorio de forma individual.

El posible efecto no deseado de la prueba de concepto de Kaspersky podría ser que creara desconfianza entre los propios laboratorios antivirus, que nadie se fíe de las detecciones del resto, con lo que finalmente ganan los malos y perdemos los usuarios.

Como en muchos otros aspectos de la vida, la virtud suele estar en un punto intermedio. No parece ético que un antivirus se alimente de las detecciones de terceros sin contar con recursos propios que le permita discernir entre lo que es malware y lo que, a todas luces, no lo es.

Lo lógico sería que las detecciones de terceros puedan ser un indicador más que los laboratorios pueden tener en cuenta en sus algoritmos para priorizar el estudio de muestras o como una variable más dentro de sus procesos para determinar si un fichero es malware o no, pero el mayor peso de esa decisión debería residir en recursos propios.

Si todos los antivirus invirtieran sus esfuerzos en desarrollar tecnología propia, según sus posibilidades, y evitaran las prácticas de copia directa, se fomentaría un entorno de colaboración y confianza dentro de la propia industria antivirus que a día de hoy es, sencillamente, necesario.

No está en juego sólo la confianza entre antivirus, sino en todo un modelo de protección. La industria antivirus debería ser más corporativista y no ser tan cortoplazista en la búsqueda de resultados, deberían trabajar en mejorar los resultados globales y la percepción del público. El problema no es que la marca X o el producto Y no detecte un malware, sino que el usuario empieza a desconfiar de la capacidad de cualquier antivirus para afrontar el problema actual.


Bernardo Quintero
bquintero@hispasec.com


Más información:

Rumorología antivirus
http://www.hispasec.com/unaaldia/4013

On the way to better testing
http://www.viruslist.com/en/weblog?weblogid=208188011

Tests Show Problems With AV Detections
http://blogs.pcmag.com/securitywatch/2010/02/sw_tests_show_problems_with_av.php

On the Trustworthiness of the AV Industry and AV Tests
http://blog.trendmicro.com/?p=21566

Kaspersky, Virus Total, and Unacceptable Shortcuts
http://www.eset.com/threat-center/blog/2010/02/02/kaspersky-virus-total-and-unacceptable-shortcuts

domingo, 7 de febrero de 2010

Mozilla distribuye (otra vez) plugins para Firefox infectados con malware desde el sitio oficial

En mayo de 2008 la Fundación Mozilla distribuyó por error el plugin del idioma vietnamita para Firefox 2 infectado con adware. Aunque prometió literalmente "analizar más a menudo sus archivos para evitar que esto vuelva a ocurrir" se acaba de descubrir que dos plugins infectados con malware para Windows han estado disponibles desde su página oficial.

La fundación Mozilla ha informado que dos complementos "experimentales" para el navegador Firefox contenían troyanos para Windows. En concreto, la versión 4.0 de Sothink Web Video Downloader y todas las versiones de Master Filer. Estaban infectados con LdPinch.gen y Bifrose respectivamente. Bifrose se trata de una peligrosa puerta trasera para Windows que suele comunicarse con UDP con su C&C (central de una botnet). LdPinch se trata de un troyano bancario con bastante solera (aparecido en 2003).

Los troyanos infectan el sistema al arrancar el navegador tras la instalación de los complementos para Firefox. Si el usuario no ha tomado ninguna precaución (utilizar una cuenta sin privilegios de administrador, o usar un antivirus actualizado, aunque esto último no garantiza nada) lo más probable que el sistema quede infectado. La propia Mozilla informa de que los antivirus Antiy-AVL, Avast, AVG, Gdata, Ikarus, K7AntiVirus, McAfee, Norman y VBA32 detectan este tipo de malware de forma directa, aunque esto no significa que otras marcas sean capaces de reconocer el malware por comportamiento, o gracias a su heurística, por lo que realmente no podemos conocer qué otros antivirus han podido bloquear la infección. Evidentemente, los complementos son solo el vehículo de infección, y desinstalarlos no implica la eliminación del troyano del sistema.

Para prevenir que esto vuelva a pasar, Mozilla dice que ha añadido dos herramientas adicionales de detección de malware, y que volvieron a analizar todos los complementos (de hecho, así detectaron que Sothink Web Video Downloader también estaba infectado).

Es la segunda vez que Mozilla tropieza con la misma piedra, añadiendo complementos infectados en su página oficial. La primera vez que se hizo público fue en mayo de 2008. Como dijo Window Snyder (responsable de seguridad de Mozilla) en aquella ocasión "estas cosas pasan".

Master Filer ha sido descargado unas 600 veces desde septiembre de 2009 y enero de 2010. Sothink Web Video Downloader se ha descargado unas 4.000 veces desde febrero a mayo de 2008. Master Filer fue eliminado del repositorio oficial el 25 de enero de 2010 y la versión afectada de Sothink Web Video Downloader el 2 de febrero de este año. Resulta "curioso" que se hayan percatado de este problema muchos meses después de la infección, y cuántos meses han tardado en retirar los componentes. Hay que tener en cuenta que cuando ya sucedió en 2008, prometieron análisis diarios de los complementos. Los sistemas antivirus o cualquier otra medida tomada por Mozilla contra el malware, han resultado claramente insuficientes o ineficaces. En general, cualquier antivirus resulta insuficiente o ineficaz por sí solo, si no es acompañado de otras medidas de seguridad.

Las conclusiones vienen a ser las mismas que escribíamos hace año y medio. Confiar exclusivamente en la detección en un momento concreto, y no analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor error por parte de la Fundación Mozilla. Hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero el añadir dos nuevos métodos antivirus puede mitigar el problema aunque no tiene por qué solucionarlo. Otra lección importante es que no hay que relajarse por pensar que solo los archivos ejecutables o binarios son susceptibles de estar infectados o de ser específicamente malware.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Please read: Security Issue on AMO
http://blog.mozilla.com/addons/2010/02/04/please-read-security-issue-on-amo/

08/05/2008 Un plugin de Firefox infectado con adware es distribuido
desde el sitio oficial
http://www.hispasec.com/unaaldia/3484

sábado, 6 de febrero de 2010

Microsoft publicará 13 parches el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 13 boletines de seguridad. Afectan a toda la gama del operativo Windows, y pueden contener un número indeterminado de vulnerabilidades, aunque está programado corregir 26 vulnerabilidades. Microsoft tampoco soluciona en esta tanda ni el grave fallo en IIS descubierto hace semanas, ni otro problema en el protocolo SMB. Sí que corregirá al menos el problema de elevación de privilegios revelado recientemente.

Si en enero se publicó solo un boletín de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar 13 el próximo 9 de febrero. Se consideran críticos cinco de ellos, siete importantes y uno moderado. El día 21 de enero se publicó un boletín "adelantado" para corregir un grave fallo en Internet Explorer.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

En octubre de 2009 Microsoft publicó también 13 boletines de seguridad (el mayor número de boletines publicados en su ciclo habitual), pero en aquella ocasión corregía 34 vulnerabilidades diferentes. En los últimos 5 años, Microsoft ha publicado 13 boletines solo dos veces y 12 boletines en cuatro ocasiones. Últimamente, su media está en 5 ó 6 boletines por tanda, pero con grandes oscilaciones (meses de pocos boletines seguidos de ciclos con un gran volumen de vulnerabilidades).

IIS no aparece como uno de los productos sobre los que aplicar parche este martes, por lo que Microsoft confirma que en esta tanda tampoco cerrará el grave problema en IIS encontrado a mediados de diciembre, y que permite ejecución remota de código ASP en Internet Information Server 6.x de forma trivial.

Tampoco corregirá un fallo en SMB que permite provocar una denegación de servicio en el sistema, y que reconoció el 13 de noviembre.

Al menos, parece que el grave problema de elevación de privilegios que sacudió a Microsoft a mediados de enero será corregido en esta tanda. Esta vulnerabilidad constituye un grave problema para compañías que utilicen el soporte para aplicaciones de 16 bits, puesto que la única forma de prevenirla eficazmente es deshabilitar esta propiedad del sistema. En este sentido, Microsoft parece haber trabajado duro para publicar un parche lo antes posible.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for February 2010
http://www.microsoft.com/technet/security/bulletin/ms10-feb.mspx

viernes, 5 de febrero de 2010

Vulnerabilidad en Internet Explorer permite el acceso a archivos locales

Microsoft ha publicado un aviso de seguridad para informar sobre una nueva vulnerabilidad en Internet Explorer (versiones 5.01, 6, 7 y 8) que podría permitir a un atacante remoto acceder a cualquier archivo de los sistemas afectados.

Las versiones afectadas son Internet Explorer 5.01 y 6 en Windows 2000 SP4 y las versiones 6,7 y 8 de Internet Explorer bajo Windows XP SP2, SP3 y Windows Server 2003 SP2. Hay que señalar que Internet Explorer 7 o posterior en Windows Vista o posterior no es vulnerable a este problema (salvo que se haya desactivado expresamente el modo protegido del navegador).

El fallo reside en que páginas web maliciosamente creadas para explotar esta vulnerabilidad (a través del protocolo file://), podrían permitir al atacante acceder a los ficheros del sistema afectado con los mismos permisos que el usuario bajo el que se esté ejecutando el navegador. Es importante destacar que el atacante debe conocer el nombre y ruta específicos del archivo al que quiere acceder y forzar a que se renderice el contenido de esos archivos desde una web que la víctima debe visitar. De esta forma el atacante tendrá acceso a los ficheros.

Microsoft se encuentra investigando el problema y actualmente no se ha publicado actualización de seguridad para evitar esta vulnerabilidad. Si bien existen recomendaciones que pueden mitigar los efectos del problema, como habilitar el modo protegido en Internet Explorer, configurar el nivel de seguridad Alto en la Zona Internet y la recomendación habitual de utilizar cuentas de usuario limitadas.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Advisory (980088)
Vulnerability in Internet Explorer Could Allow Information Disclosure
http://www.microsoft.com/technet/security/advisory/980088.mspx

jueves, 4 de febrero de 2010

Se celebra el segundo Security Blogger Summit

Esta tarde (jueves 4 de febrero de 2010) se celebra el segundo Security Blogger Summit. Un encuentro de bloggers de seguridad en el la temática de este año girará alrededor de la seguridad para los internautas.

El evento dará comienzo a las 18,00 PM (GMT +1) y será retransmitido en directo vía streaming permitiendo elegir el idioma (castellano e inglés) desde http://www.securitybloggersummit.com/?page_id=2.

Se realizarán dos mesas redondas con diferentes temas:
"Estado de la industria de seguridad: situación de los cibernautas", "Principales amenazas para la comunidad internauta y acciones de concienciación/educación", "Regulación versus privacidad" y "Tecnologías e iniciativas emergentes en la lucha contra el cibercrimen"

Entre los invitados a las mesas redondas se cuenta la participación de:

Kurt Weismer, reconocido líder de opinión en seguridad, autor del blog Anti-virus Rants.

Brian Krebs, periodista de investigación y editor de Krebs on Security. De 2005 hasta diciembre de 2009, Krebs ha trabajado para el prestigioso periódico The Washington Post.

Marcelo Rivero, fundador y líder de Infospyware.

Joseph Menn, conocido periodista de Financial Times Estados Unidos y autor del libro recién publicado sobre cibercrimen “Fatal System Error: The Hunt for the New Crime Lords Who are Bringing Down the Internet”.

Yago Jesús, experto en seguridad y miembro de Security by Default.

Alejandro Suárez, uno de las personas más influyentes de Internet y presidente de Ocio Networks, Grupo Publispain, Inversora Foley y fundador de Yes.fm. También cuenta con su blog profesional.

Marc Cortés, experto en marketing electrónico, comunicación y social media. Fundador y co-organizador de cava&twitts, autor del blog Interactividad.

Javier Sanz, al frente de uno de los sitios más visitados de tecnología de nuestro país, ADSLzone.

Paloma Llaneza en representación del CNCCS, es Socio Director de Razona Legaltech y Presidenta de AEDEL (Asociación Española de Evidencias Electrónicas).

John Leyden, corresponsal de seguridad para el sitio web de noticias tecnológicas The Register, en el que ha trabajado durante 10 años.

También se ha habilitado un perfil en Twitter para el seguimiento en tiempo real del encuentro y para que asistentes (y no asistentes) puedan formular preguntas o comentarios.


Antonio Ropero
antonior@hispasec.com


Más información:

2nd Security Blogger Summit 2010
http://www.securitybloggersummit.com/

miércoles, 3 de febrero de 2010

Apple publica actualización de seguridad para iPhone e iPod Touch

Apple acaba de publicar una actualización (a la versión 3.1.3) de los populares iPhone e iPod Touch destinada a corregir cinco vulnerabilidades que podrían llegar a permitir la ejecución de código arbitrario en los dispositivos afectados.

El primero de los problemas corregidos está relacionado con el tratamiento de archivos mp4 específicamente creados, que podría dar lugar a un desbordamiento de búfer con posibilidad de ejecución de código arbitrario al reproducir un archivo de este formato.

Otro desbordamiento de búfer con posibilidad de ejecución de código arbitrario se produce al visualizar imágenes tiff maliciosamente creadas. Un tercer problema en el tratamiento de mensajes de control de USB, podría permitir acceder al contenido de los datos del usuario en dispositivos bloqueados.

También se ha corregido un problema al acceder a servidores ftp específicamente manipulados, que podría dar lugar a divulgación de información, al cierre de la aplicación o a la ejecución de código arbitrario. El último de los problemas corregidos podría permitir la carga de audio y video en el correo cuando la carga de imágenes remotas se encuentre deshabilitada.

Esta actualización también corrige otros problemas menores como un error en el indicador de carga de la batería en los modelos 3GS, problemas con la apertura de determinadas aplicaciones de terceros y un problema que produce cuelgues inesperados cuando se utiliza el teclado Kana japonés.

Se recomienda actualizar a través de iTunes, ya que es el único lugar donde se encuentra disponible ésta actualización.


Antonio Ropero
antonior@hispasec.com


Más información:

Acerca del contenido de seguridad de iPhone OS 3.1.3 y iPhone OS 3.1.3 para iPod touch
http://support.apple.com/kb/HT4013?viewlocale=es_ES

martes, 2 de febrero de 2010

Actualización del kernel para Red Hat Enterprise Linux 4

Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa cinco vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, saltarse determinadas protecciones de seguridad, cambiar el comportamiento de controladores y hasta ejecutar código arbitrario.

Los problemas corregidos son:

* Un error al procesar el argumento "eindex" de la función "gdth_read_event" en "drivers/scsi/gdth.c". Un atacante local podría aprovechar este problema para causar una denegación de servicio y, potencialmente, elevar privilegios a través de una llamada IOCTL especialmente manipulada.

* Otro problema reside en la función "collect_rx_frame" del fichero "hfc_usb.c". Esto podría se aprovechado por una atacante local para ejecutar código arbitrario con privilegios de superusuario a través de un paquete "HDLC" especialmente manipulado.

* Dos de las vulnerabilidades se presentan en los permisos asignados a ciertos atributos expuestos por el driver "megaraid_sas" en "sysfs". Un atacante local podría elevar privilegios a través de la modificación de atributos del driver "megaraid".

* Por último, un error de límites en la función "hfs_bnode_read" localizada en el fichero "fs/hfs/bnode.c" podría causar un desbordamiento de memoria intermedia. Un atacante local podría llegar a ejecutar código arbitrario a través de un archivo HFS especialmente manipulado.

Además se han solucionado otros fallos de menor importancia. Se recomienda actualizar a través de las herramientas automáticas up2date.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Important: kernel security and bug fix update
http://rhn.redhat.com/errata/RHSA-2010-0076.html

lunes, 1 de febrero de 2010

Nuevos contenidos en la Red Temática CriptoRed (enero de 2010)

Breve resumen de las novedades producidas durante el mes de enero de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE ENERO DE 2010
* Capítulo 1 Conociendo al Enemigo del Libro Electrónico El Atacante Informático (Jhon César Arango, PDF, 47 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m414a.htm
* Informe Gráfico de la Red Temática en el Sexenio 2004 a 2009 (Jorge Ramió, PPT, 11 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m001v.htm
* Informática Forense en el Ecuador: una mirada introductoria (Santiago Martín Acurio Del Pino, PDF, 35 páginas, Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m592c.htm
* Perfil Sobre los Delitos Informáticos en el Ecuador (Santiago Martín Acurio Del Pino, PDF, 29 páginas, Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m592d.htm
* Manual de Manejo de Evidencias Digitales y Entornos Informáticos (Santiago Martín Acurio Del Pino, PDF, 18 páginas, Ecuador)
http://www.criptored.upm.es/guiateoria/gt_m592e.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES EN ENERO DE 2010
* Informe de la Red de Sensores de INTECO del mes de diciembre de 2009 (España)
https://ersi.inteco.es/informes/informe_mensual_200912.pdf
* Informe Anual del año 2009 de la Red de Sensores de INTECO (España)
https://ersi.inteco.es/informes/informe_anual_2009.pdf
* Resumen de Seguridad Informática del Año 2009 en Hispasec (España)
http://www.hispasec.com/unaaldia/4084/resumen-seguridad
http://www.hispasec.com/unaaldia/4085/resumen-seguridad
http://www.hispasec.com/unaaldia/4086/resumen-seguridad-iii
http://www.hispasec.com/unaaldia/4087/resumen-seguridad
* La seguridad de la información: una estrategia de aprendizaje en el Blog IT - Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/01/la-seguridad-de-la-informacion-una.html
* Vídeos para Concienciar a los Jóvenes Sobre la Privacidad en Internet de la APDCM (España)
Tienda: http://www.youtube.com/watch?v=3dffPpXbsRU
Cafetería: http://www.youtube.com/watch?v=qkbA_6kwuis
* Conferencia The future of the Security Industry de Bruce Schneier en Canal YouTube UPM (España)
http://www.youtube.com/watch?v=xFbET4aQHAA

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Febrero 15 al 18 de 2010: 3rd Workshop on Privacy and Security by Means of Artificial Intelligence PSAI 2010 (Cracovia - Polonia)
* marzo 1 al 2 de 2010: Conferencia Latinoamericana de Seguridad de la Información y Administración del Riesgo (Bogotá - Colombia)
* Marzo 18 al 20 de 2010: Congreso de Seguridad Informática Rooted CON 2010 (Madrid - España)
* Marzo 18 al 20 de 2010: IADIS International Conference Information Systems 2010 (Oporto - Portugal)
* Abril 7 al 10 de 2010: 6th International Conference on Web Information Systems and Technologies WEBIST (Valencia - España)
* Junio 15 al 16 de 2010: European Workshop on Smart Objects: Systems, Technologies and Applications RFID-SysTech 2010 (Ciudad Real - España)
* Junio 16 al 18 de 2010: X Jornada Nacional de Seguridad Informática ACIS 2010 (Bogotá - Colombia)
* Junio 16 al 19 de 2010: V Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2010 (Santiago de Compostela - España)
* Julio 22 al 24 de 2010: International Conference on the Business and Digital Enterprises ICBDE 2010 (Bangalore - India)
* Julio 26 al 28 de 2010: International Conference on Security and Cryptography SECRYPT (Atenas - Grecia)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y Seguridad de la Información RECSI 2010 (Tarragona - España)
* Septiembre 22 al 24 de 2010: 5th Conference of the Euro-American Association on Telematics and Information Systems EATIS 2010 (Ciudad de Panamá - Panamá)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú - Grecia)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. NOTICIAS PUBLICADAS EN EL MES DE ENERO DE 2010
* Celebrado Primer Foro del Data Privacy Institute sobre Privacidad de Datos en el Sector Sanitario (España)
* Gira Up to Secure 2010 y otras Actividades de Informática64 (España)
* Curso Implementación de Procesos de Gestión de Seguridad de Alto Rendimiento de ISM3 (España)
* Executive Master en Auditoría y Protección de Datos en el CEU (España)
* Presentación del DPI y de la certificación CDPP en Barcelona (2 de febrero, Barcelona, España)
* Congreso Trust in the Information Society de INTECO (10 y 11 de febrero, León, España)
* VI Ciclo de Conferencias TASSI en la Universidad Politécnica de Madrid (España)
* Seminario Gratuito Ley de Economía Sostenible: Derechos, Obligaciones y Libertades en Internet (España)
* Estadísticas Detalladas de Accesos al Servidor en 2009 para Seguimiento de Descargas de Colaboradores
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2010.htm#ene10

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 812
215 universidades y 301 empresas representadas
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 27.519 visitas, con 102.723 páginas solicitadas y 31,40 GigaBytes servidos en enero de 2010
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

diciembre 2009
http://www.criptored.upm.es/paginas/historico2009.htm#dic09