miércoles, 30 de junio de 2010

El divorcio entre el malware y la pornografía

A principios de esta década, se solía acusar a los usuarios que quedaban infectados por algún tipo de malware de navegar por páginas "de dudosa reputación". Esto incluía páginas pornográficas, cracks, warez, etc. Pero los tiempos han cambiado, y esta relación malware-pornografía ha pasado a ser un mito más que revisar. El peligro hoy, de hecho, está en cualquier página.

Dialers, codecs, vídeos camuflados como ejecutables... todo tipo de trucos eran válidos a principios de esta década para que los usuarios que buscaban sexo en la red quedaran infectados. Hoy se siguen usando, pero los métodos de infección preferidos por el malware de entonces eran sobre todo el correo (tanto en forma de adjuntos como explotando las numerosas vulnerabilidades en Outlook), el acceso directo a puertos (gusanos) y las páginas web "de dudosa reputación". Con estos métodos, cubrían sus necesidades de infección por aquel entonces.

Pero apareció en 2004 el Service Pack 2 de Windows XP, que activaba por defecto el cortafuegos y se popularizaron los routers, con lo que los gusanos vieron amenazada su popularidad. Por otro lado, Outlook y Windows mejoraron su seguridad, los administradores comenzaron a filtrar el correo con adjuntos sospechosos... ¿Qué les quedaba? Eludir todos estos mecanismos y colarse a través de otros métodos. Emergía la llamada web 2.0 y "la nube", que no es más que el traslado de todos los servicios desde el escritorio a la red; y por tanto el acceso a ellos a través del navegador... así que atacaron por esta vía.

Hoy, el malware se distribuye en gran medida a través del navegador. El retraso de Microsoft con Internet Explorer (cinco años entre su versión 6 y 7) facilitó el proceso: los atacantes querían aprovechar esas vulnerabilidades y ejecutar malware con solo visitar una web. Para ello, necesitan "crear" webs que infecten. Ya no eran suficientes las páginas pornográficas o de warez y se han lanzado a contaminar todo tipo de contenido.

Y esto es lo que confirman dos estudios recientes. International Secure System Lab investigó 269.000 sitios pornográficos a principios de junio. El 96% estaba limpio. Evidentemente, muchos usaban técnicas muy "agresivas" para redirigir al usuario a páginas de pago, evitar que abandonase la página, etc. pero apenas un 4% trataba de infectar directa o indirectamente al visitante.

Avast Software, por otro lado, acaba de publicar un informe cuya conclusión es clara: "por cada página de adultos infectada que hemos identificado, existen otras 99 con cualquier otro contenido que también están infectadas" e intentan ejecutar código en el visitante.

Ambos estudios concluyen que el peligro no está ya tanto en las páginas para adultos, sino en todas. No es que sea seguro visitar páginas con contenido sexual, es que hoy en día resulta tan inseguro visitar el periódico online como una página de contactos. Otro estudio de Websense apoya esta teoría: el 71% de las páginas infectadas con código malicioso son páginas legítimas comprometidas. Además, el 95% de los posts generados en blogs y similares son spam o redirigen a páginas que intentan infectar al visitante.

Las razones para este abandono de la pornografía como fuente de malware pueden ser varias. Aunque el sexo siempre resulta un poderoso reclamo en la Red, apostamos una vez más por una simple cuestión económica y de mercado. El rango de víctimas potenciales que se puede conseguir alojando malware en páginas de cualquier tipo (preferiblemente populares) será siempre superior al obtenido si se centran en páginas web para adultos. Por tanto, pensamos que los atacantes no realizan ningún tipo de distinción por contenido, y sí más bien por el esfuerzo necesario para contaminar esas webs legítimas. Y en ese caso, la pornografía es veterana en la Red, donde la competencia es dura y su negocio se basa en una web "sólida", sin fallos de seguridad (lo que significa más esfuerzo para ser infectada por un atacante), y que dé confianza a un potencial suscriptor (por lo que no hay motivo para infectar conscientemente y perder reputación). Por tanto, la inversión en seguridad y conocimiento del medio de la industria pornográfica puede ser incluso mayor que la de otras entidades que mantienen online apenas una réplica "secundaria" del mundo real, y su negocio no depende exclusivamente de Internet.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Websense Security Labs:
State of Internet Security, Q3-Q4 2009 Report
http://www.websense.com/content/State-of-Internet-Security-Q3-Q4-2009.aspx

Legitimate websites outscore the adult 99:1
http://www.avast.com/pr-legitimate-websites-outscore-the-adult

'Shady' porn site practices put visitors at risk
http://news.bbc.co.uk/2/hi/technology/10289009.stm

martes, 29 de junio de 2010

Actualizaciones de seguridad para Adobe Reader y Acrobat

Adobe ha publicado una actualización para corregir 17 vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante ejecutar código con los permisos con los que se lance la aplicación afectada.

Las versiones afectadas son Adobe Reader 9.3.2 (y anteriores) para Windows, Macintosh y UNIX, Adobe Acrobat 9.3.2 (y anteriores) para Windows y Macintosh; y Adobe Reader 8.2.2 (y anteriores) y Adobe Acrobat 8.2.2 (y anteriores) para Windows y Macintosh.

Las vulnerabilidades anunciadas residen en 17 problemas diferentes de corrupción de memoria, tratamiento de punteros o indexado de matrices que pueden dar lugar a ejecución de código arbitrario.

Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/


Antonio Ropero
Antonior@hispasec.com


Más información:

Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-15.html

lunes, 28 de junio de 2010

Dos vulnerabilidades en libpng

Se han descubierto dos vulnerabilidades en libpng que podrían ser aprovechadas por un atacante local para provocar una denegación de servicio o comprometer los sistemas que usen esta librería.

El formato de imagen Portable Network Graphics o PNG se usa como una alternativa a otros formatos de imagen, como el popular GIF (Graphics Interchange Format). El uso de este tipo de imágenes cada vez es más habitual y libpng es una librería disponible para desarrolladores de aplicaciones para soportar de forma sencilla el formato de imagen PNG. Cualquier aplicación o sistema que haga uso de esta librería puede estar afectada.

El primer problema reside en una corrupción de memoria cuando se procesa una imagen con una fila mayor que la altura indicada en la cabecera. Un atacante podría aprovechar este problema para ejecutar código arbitrario mediante una imagen maliciosa.

La segunda vulnerabilidad, de denegación de servicio, está provocada por una fuga de memoria al procesar imágenes con bloques (chunks) sCAL específicamente construidos.

Estos problemas afectan a las versiones de Libpng anteriores a la 1.4.3 y a la 1.2.44. Se recomienda actualizar a Libpng versión 1.4.3 o 1.2.44, disponible desde:
http://www.libpng.org/pub/png/libpng.html


Antonio Ropero
Antonior@hispasec.com


Más información:

libpng
http://www.libpng.org/pub/png/libpng.html

domingo, 27 de junio de 2010

Denegación de servicio en MySQL

Se ha descubierto una vulnerabilidad en MySQL que podría ser utilizada por un atacante para provocar una denegación de servicio.

MySQL es un sistema de gestión de base de datos relacional, multihilo y multiusuario que se desarrolla como software libre y cuenta con millones de implantaciones en todo el mundo.

El problema reside en el tratamiento de determinados comandos "ALTER DATABASE". Un atacante con permisos "ALTER" podría alterar el nombre del directorio usando caracteres especiales y provocar que el directorio de sistema se usase como directorio de la base de datos. Esto volvería todo el sistema inusable.

Se ven afectadas las versiones de MySQL anteriores a la 5.1.48, a la 5.5.5 y a la 6.0.14. Se recomienda actualizar a MySQL versiones 5.1.48, 5.5.5 o 6.0.14, disponible para descarga desde:
http://dev.mysql.com/downloads/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

C.1.1. Changes in MySQL 5.1.48 (02 June 2010)
http://dev.mysql.com/doc/refman/5.1/en/news-5-1-48.html

serious flaws in the alter database .. upgrade data directory name command
http://bugs.mysql.com/bug.php?id=53804

sábado, 26 de junio de 2010

Salto de restricciones a través de HTTP en Cisco ASA

Cisco ha confirmado la existencia de una vulnerabilidad en dispositivos Cisco ASA, que podría permitir a un atacante remoto ejecutar scripts arbitrarios mediante peticiones http:

El problema reside al procesar los parámetros de entrada del usuario en Cisco ASA. Un atacante remoto podría aprovechar este error para ejecutar scripts arbitrarios a través de una redirección provocada por una inyección del tipo:

http://x.x.x.x/%0d%0aLocation%3a%20http%3a%2f%2fwww%2eurl%2ecom

Cisco ha publicado la versión 8.1(2) del software destinada a corregir este problema, disponible desde:
http://www.cisco.com/cisco/web/download/index.html


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco ASA 5580 Series Release Notes Version 8.1(2)
http://www.cisco.com/en/US/docs/security/asa/asa81/release/notes/asarn812.html

Cisco ASA HTTP Response Splitting Vulnerability
http://www.secureworks.com/ctu/advisories/SWRX-2010-001

viernes, 25 de junio de 2010

Nueva actualización para el navegador Google Chrome

Google ha publicado (por segunda vez en este mes) una actualización de su navegador Chrome para Linux, Mac y Windows. Esta nueva versión está destinada a corregir cinco vulnerabilidades que podrían permitir a un atacante realizar ataques de cross-site scripting, de denegación de servicio y otras implicaciones de las que no se han facilitado detalles. Además, esta es la primera versión que integra Flash y está activo por defecto.

El primer problema reside en que se pueden utilizar las respuestas de "application/json" para construir ataques de cross-site scripting. Del resto de problemas no se han facilitado detalles, dos están relacionados con el tratamiento de vídeo, otro con los subrecursos que se muestran en la carga de omnibox y un último con el tratamiento de punteros en respuestas x509-user-cert.

Para evitar estos problemas, Google ha publicado la versión Chrome 5.0.375.86 para sistemas Linux, Mac y Windows. Esta actualización se instalará de forma automática en las últimas versiones del navegador.
También está disponible para descarga desde http://www.google.com/chrome


Antonio Ropero
antonior@hispasec.com


Más información:

Stable Channel Update
http://googlechromereleases.blogspot.com/2010/06/stable-channel-update_24.html

jueves, 24 de junio de 2010

Dos vulnerabilidades en Novell iManager

Se han anunciado dos vulnerabilidades en Novell iManager 2.7.3, que podrían permitir a un atacante remoto efectuar ataques de denegación de servicio o ejecutar código arbitrario en los sistemas afectados.

Novell iManager es una consola de administración basasa en Web, que proporciona acceso seguro a utilidades de administración de red. Con iManager se puede gestionar diferentes programas de Novell como Open Enterprise Server, Novell Identity Manager o Novell eDirectory.

La vulnerabilidad de denegación de servicio reside en un error "off byone" en la página de autenticación al manejar datos específicamente creados.

Por otra parte, existe un desbordamiento de búfer en el proceso de creación de nuevas clases de esquemas al recibir peticiones http con el nombre de la clase manipulado. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario en el sistema.

Novell publicará en breve la actualización 2.7.3 ftf4 y la versión iManager 2.7.4 que solucionan estos problemas.


Antonio Ropero
antonior@hispasec.com


Más información:

Novell iManager Multiple Vulnerabilities
http://www.coresecurity.com/content/novell-imanager-buffer-overflow-off-by-one-vulnerabilities

miércoles, 23 de junio de 2010

Diversas vulnerabilidades en la librería libtiff

Se ha anunciado la existencia de diversas vulnerabilidades en LibTIFF que pueden ser aprovechadas por atacantes para lograr la ejecución de código arbitrario.

La librería LibTIFF usada para leer y escribir imágenes en formato tiff se utiliza habitualmente en sistemas UNIX. Múltiples programas tanto de escritorio como en servidores web hacen uso de ella para permitir el tratamiento de este tipo de imágenes, de ahí el riesgo que generan estas vulnerabilidades.

El primero de los problemas reside en un desbordamiento de entero en TIFFroundup() de "tif_read.c", que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

Una segunda vulnerabilidad reside en una escritura fuera de límites al girar verticalmente una imagen específicamente creada, lo que permitiría la ejecución de código arbitrario en el sistema. El problema se presenta en "tif_getimage.c" y afecta únicamente a sistemas 64-bits.

Por último, un desbordamiento de búfer en la etiqueta SubjectDistance de la información EXIF. Al igual que las anteriores, esta vulnerabilidad también puede permitir la ejecución remota de código arbitrario.

Se ha publicado la versión 3.9.4 de la librería que corrige estos problemas.


Antonio Ropero
antonior@hispasec.com


Más información:

TIFF change information
http://www.remotesensing.org/libtiff/v3.9.4.html



martes, 22 de junio de 2010

Boletines de seguridad de la Fundación Mozilla

La Fundación Mozilla ha publicado ocho boletines de seguridad (del MFSA2010-26 al MFSA2010-33) para solucionar diversas vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). Según la propia clasificación de Mozilla cinco de los boletines presentan un nivel de gravedad "crítico", dos son "moderados" y un último considerado bajo.

Los boletines publicados son:

* MFSA2010-26: En este boletín crítico se cubren múltiples fallos de en el motor del navegador de Firefox, Thunderbird y SeaMonkey que podrían llegar a permitir la ejecución remota de código arbitrario.

* MFSA2010-27: Boletín crítico que afecta a Firefox y SeaMonkey, relacionado con el acceso a punteros de determinados tipo de de menús previamente liberados; lo que podría llegar a permitir la ejecución remota de código arbitrario.

* MFSA2010-28: Otro problema crítico relacionado con la reutilización de objetos liberados a través de instancias de plugins.

* MFSA2010-29: Boletín considerado de impacto crítico en Firefox, Thunderbird y SeaMonkey, en el que se refiere a una vulnerabilidad de desbordamiento de entero en determinados tipos de nodos DOM.

* MFSA2010-30: En este se trata un problema crítico en Firefox, Thunderbird y SeaMonkey, relacionado con un desbordamiento de entero en la rutina de clasificación de nodos XSLT.

* MFSA2010-31: Boletín considerado moderado que afecta a Firefox y SeaMonkey, en el que se trata un problema en "focus()" que podría emplearse para obtener o inyectar pulsaciones del teclado.

* MFSA2010-32: Otro boletín de carácter moderado en el que se soluciona una vulnerabilidad de cross-site scripting en Firefox y SeaMonkey.
* MFSA2010-33: El último boletín, considerado de gravedad baja, hace relación a un problema en Math.random(), que podría permitir realizar ingeniería inversa del valor empleado como semilla.

Se han publicado las versiones 3.6.4 y 3.5.10 del navegador Firefox, la versión 3.0.5 de Thunderbird y la 2.0.5 de SeaMonkey.
que corrige todas estas vulnerabilidades, disponibles desde:
http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/


Antonio Ropero
antonior@hispasec.com


Más información:

MFSA 2010-33 User tracking across sites using Math.random()
http://www.mozilla.org/security/announce/2010/mfsa2010-33.html

MFSA 2010-32 Content-Disposition: attachment ignored if Content-Type: multipart also present
http://www.mozilla.org/security/announce/2010/mfsa2010-32.html

MFSA 2010-31 focus() behavior can be used to inject or steal keystrokes
http://www.mozilla.org/security/announce/2010/mfsa2010-31.html

MFSA 2010-30 Integer Overflow in XSLT Node Sorting
http://www.mozilla.org/security/announce/2010/mfsa2010-30.html

MFSA 2010-29 Heap buffer overflow in nsGenericDOMDataNode::SetTextInternal
http://www.mozilla.org/security/announce/2010/mfsa2010-29.html

MFSA 2010-28 Freed object reuse across plugin instantes
http://www.mozilla.org/security/announce/2010/mfsa2010-28.html

MFSA 2010-27 Use-after-free error in nsCycleCollector::MarkRoots()
http://www.mozilla.org/security/announce/2010/mfsa2010-27.html

MFSA 2010-26 Crashes with evidence of memory corruption (rv:1.9.2.4/ 1.9.1.10)
http://www.mozilla.org/security/announce/2010/mfsa2010-26.html

lunes, 21 de junio de 2010

Apple actualiza oficiosamente su "antivirus" con una tercera firma

En septiembre de 2009 Apple introdujo en su Mac OS X 10.6 un rudimentario antivirus integrado capaz de detectar la descarga de dos troyanos específicos para su sistema operativo. Con la actualización 10.6.4, además de corregir bugs, vulnerabilidades, etc., parece que ha añadido una tercera firma y ahora también reconoce un troyano llamado HellRTS.

Snow Leopard incluyó un rudimentario sistema "antivirus" en septiembre de 2009. Tan rudimentario que solo reconoce dos familias de malware que suele atacar al sistema operativo de Apple y solo comprueba las descargas por Safari. No limpia el sistema ni analiza el disco duro, ni nada parecido: solo aconseja de la peligrosidad del archivo. En concreto, detectaba iServices y RSPlug.A. Con la nueva actualización, también HellRTS, añadiendo así una nueva firma diez meses después.

HellRTS es un malware que se suele disfrazar bajo la apariencia de iPhoto, y que abre una puerta trasera para la ejecución de código por parte de un atacante. El troyano es conocido desde al menos, abril.

La inclusión de este "antivirus" es un movimiento que causó cierta sorna en la industria. Escribíamos entonces: "Realmente es un gesto que debe valorarse positivamente, pero de poca utilidad real. Apple ha realizado por fin un movimiento claro en contra del malware que ataca a su sistema operativo, y aunque resulte un gesto infantil, casi ingenuo, puede marcar una nueva forma de afrontar la seguridad en Mac OS X a largo plazo, al asumir por fin el malware como uno de los potenciales frentes que debe combatir. El gesto tiene poca utilidad real porque resulta trivial eludir esa mínima protección, pero "algo es algo"."

Después de este tiempo, parece que sus pasos hacia el control del malware no son precisamente rápidos ni decididos. El hecho de que diez meses después haya incluido una sola firma en su base de datos, y de que mantenga el secretismo, puede tener varias lecturas.

Cabe destacar que lo ha hecho sin anuncio oficial. Apple siempre se ha caracterizado por su "ocultismo" a la hora de hablar de seguridad. Con respecto al malware, no se ha preocupado de desmentir la históricamente irresponsable publicidad que habla de su sistema operativo como "libre de virus" o peor aún "invulnerable". Muchos han alimentado esta mentira y Apple, por supuesto, se ha beneficiado de la falsa creencia. Todavía muchos usuarios piensan que Mac "no puede" alojar malware. Reconocer que su base de datos de malware es actualizada... ¿podría influir en su imagen? En cualquier caso, mantener a sus usuarios en una falsa nube de seguridad, un mundo ficticio donde no existe el malware, no nos parece la política adecuada.

Mac OS X, lejos de ser objetivo preferente de la industria del malware, puede contener código malicioso como cualquier sistema operativo. Luchar contra él sólo con firmas, es una aproximación muy limitada. La verdadera prevención estaría quizás en la educación del usuario: eliminando la falsa sensación de seguridad y haciéndole entender sin alarmismos que debe seguir unos mínimos hábitos para evitar infecciones, independientemente de fanatismos o preferencias de uso. Es probable que así se consiguieran mejores resultados... pero parece que Apple no quiere renunciar así a la imagen "libre de virus" que se ha forjado durante años.

A finales de 2008 se extendió el rumor de que Apple, por primera vez, animaba abiertamente a sus clientes a usar un antivirus. El contenido era cierto, pero no la fecha: Apple lo hizo por primera vez en 2002, de forma muy "sutil". En 2007 publicó una nota oficial en la que animaba abiertamente al uso de antivirus; en 2008 alguien pensó que el artículo era nuevo y el asunto tomó cierta relevancia mediática. Poco después Apple eliminó el artículo de su web.

En cualquier caso, quizás añadir una sola firma en diez meses, podría incluso venderse como una "buena" noticia, síntoma de que los atacantes no se centran en este sistema operativo para crear malware. El problema es que esto no significa que no se haya creado malware para Mac desde hace diez meses. Nunca es comparable con la producción para Windows, pero desde luego, en este tiempo se ha creado más de un nuevo troyano para Mac. Sí es cierto que desde hace meses, no aparece ningún malware "mediático".


Sergio de los Santos
ssantos@hispasec.com


Más información:

http://www.computerworlduk.com/management/security/cybercrime/news/index.cfm?newsid=20776

La última actualización de Mac OS X contiene una versión de Flash vulnerable y un rudimentario "antivirus"
http://www.hispasec.com/unaaldia/3967

As they did in June 2007, Apple again encourages Mac users to use multiple antivirus utilities
http://macdailynews.com/index.php/weblog/comments/19262/

OSX.HellRTS
http://www.symantec.com/security_response/writeup.jsp?docid=2010-041911-0548-99

domingo, 20 de junio de 2010

Vulnerabilidad en IBM WebSphere Application Server permite la lectura de archivos

Se ha reportado una vulnerabilidad en IBM WebSphere Application Server que podría permitir a un atacante remoto leer o visualizar el contenido de archivos arbitrarios en el sistema afectado.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Afecta a IBM WebSphere Application Server versiones 7.0 a 7.0.0.12, Feature Pack para Web Services versiones 6.1.0.9 a 6.1.0.32, y Feature Pack para Web 2.0 versión 1.0.1.0.

Un atacante remoto podrá introducir un mensaje XML específicamente creado, para aprovechar un error en Apache Axis2 que permitirá visualizar el contenido de archivos arbitrarios del sistema. Se ven afectados los sistemas con el parámetro disableREST (en axis2.xml) establecido como falso.

IBM ha publicado diferentes actualizaciones para corregir esta vulnerabilidad, se recomienda consultar el aviso de seguridad publicado para acceder a los diferentes parches en función de la versión afectada.


Antonio Ropero
antonior@hispasec.com


Más información:

Potential security exposure with IBM WebSphere Application Server with JAX-WS or JAX-RS (PM14844, PM14847, PM14765)
http://www-01.ibm.com/support/docview.wss?uid=swg21433581

sábado, 19 de junio de 2010

Desbordamiento de búfer en Novell NetWare

Se ha anunciado una vulnerabilidad en Novell NetWare (versiones 6.5 SP8 y anteriores), que podría permitir a un atacante remoto lograr el compromiso de los sistemas afectados.

El problema reside en un desbordamiento de búfer en el controlador "CIFS.NLM" cuando procesa paquetes SMB "Sessions Setup AndX" que contengan un campo "AccountName" con un tamaño excesivamente largo. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario con privilegios elevados y comprometer los sistemas vulnerables.

Se recomienda instalar la actualización:
http://download.novell.com/Download?buildid=tMWCI1cdI7s~


Antonio Ropero
antonior@hispasec.com


Más información:

Netware SMB Remote Stack Overflow (SS-2010-006)
http://www.stratsec.net/Research/Advisories/SS-2010-006-Netware-SMB-Remote-Stack-Overflow

viernes, 18 de junio de 2010

Múltiples vulnerabilidades en Apple iTunes

Se han identificado hasta 40 vulnerabilidades en Apple iTunes (versiones anteriores a la 9.2), que pueden permitir a un atacante remoto obtener información sensible, evitar restricciones de seguridad o comprometer los sistemas afectados.

El primero de los problemas está provocado por un desbordamiento de búfer basado en heap relacionado con el tratamiento de imágenes con un perfil ColorSync. Un atacante podría explotar ésta vulnerabilidad para ejecutar código arbitrario.

Una segunda vulnerabilidad se debe a un desbordamiento de entero en el tratamiento de archivos TIFF. Igualmente, un atacante podría explotar ésta vulnerabilidad para ejecutar código arbitrario.

Por último, también se han detectado hasta 38 vulnerabilidades de diversa índole relacionadas con WebKit.

Apple recomienda actualizar a Apple iTunes versión 9.2 disponible desde:
http://www.apple.com/itunes/download/


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of iTunes 9.2
http://support.apple.com/kb/HT4220

jueves, 17 de junio de 2010

¿Por qué lo llaman "incompatibilidad" cuando quieren decir "negocio"?

Microsoft ha vuelto a poner la excusa de la "incompatibilidad" para dejar sin un parche de seguridad a un producto al que todavía da "soporte extendido". En este caso se trata de Office XP. La suite ofimática aparecida en 2001, se ha quedado sin el parche MS10-036, que corrige una vulnerabilidad que permite la ejecución de código. La razón oficial: incompatibilidad. La razón probable: el negocio. No es la primera vez que realiza este movimiento.

El soporte extendido

Microsoft, dentro de su política de "vida" de sus productos, entiende como soporte extendido a los cinco años siguientes al soporte "mainstream" o principal. Esto quiere decir que en la mayoría de sus productos, el ciclo de vida llega hasta unos 10 años tras su lanzamiento. Después del soporte "mainstream", durante el que Microsoft se compromete a mantener activamente el producto, incluyendo cambios si es necesario, hotfixes, parches, etc, comienza el periodo extendido. En éste, Microsoft se compromete en su política a dar soporte de seguridad sin coste adicional al producto.

Office XP Service Pack 3, aparecido el 9 de marzo de 2004 (y única versión de Office XP soportada) está en su periodo de soporte extendido hasta el 12 de julio de 2011, durante el que, según la propia política de Microsoft, debería obtener parches de seguridad.

MS10-036

MS10-036 es el parche aparecido el 8 de junio de 2010 que corrige una única vulnerabilidad en el proceso de validación de objetos COM que permite le ejecución de código. Office 2003 y 2007 también son vulnerables y han sido parcheados. Office XP, no. Según Microsoft: "La arquitectura para soportar adecuadamente la solución para corregir la validación no existe en Microsoft Office XP, lo que hace inviable crear soluciones que eliminen la vulnerabilidad. Para hacerlo, habría que reconstruir una buena parte del producto Microsoft Office XP, no solo el componente afectado. El resultado de ese esfuerzo de reconstrucción podría introducir incompatibilidad con otras aplicaciones…[]"

Y recomienda al usuario de Office XP que deshabilite el componente afectado. Esto no soluciona realmente el problema, por tanto, el producto quedará vulnerable y virtualmente "muerto" desde el punto de vista de la seguridad. Los usuarios que quieran seguir razonablemente seguros se verán forzados a actualizar, como mínimo, a Office 2003. Esto, en última instancia, es el objetivo de Microsoft. Hoy en día, los requerimientos de hardware no son el motor de las actualizaciones de los sistemas operativos. "Antiguamente", aprovechar las capacidades de los nuevos procesadores era una excusa suficiente para querer actualizarlos. Tampoco la estabilidad o prestaciones son hoy la motivación del cambio: tanto Office XP como Windows XP son productos ya maduros, y muchos usuarios no ven ventajas claras en saltar a Vista, Office 2007, etc. Por tanto, Microsoft parece usar la falta de seguridad para "acelerar" el cambio y deshacerse de productos que considera obsoletos y que le consume muchos recursos mantener.

Ya lo hizo con Windows 2000 y NT

Esta misma excusa fue puesta ya en al menos dos ocasiones anteriores, cuando no se desarrollaron parches de seguridad para ciertos productos. Todos cerca del final de su vida útil pero dentro de su periodo extendido de soporte.

El 9 de septiembre de 2009, Microsoft no parcheó un grave problema de diseño de las pilas TCP en Windows 2000 por la misma razón de "incompatibilidad". Recomendaba usar un cortafuegos. En este caso, el boletín corregía tres vulnerabilidades: dos permitían la denegación de servicio y una ejecución de código (MS09-048). El final de la vida de Windows 2000 será el 13 de julio de 2010.

El 27 de marzo de 2003 Microsoft publica un boletín (MS03-010) de seguridad para advertir de una vulnerabilidad en el servicio RCP Endpoint Mapper que podía ser aprovechada para provocar una denegación de servicio en Windows NT 4.0, 2000 y XP. Todos reciben parches menos NT. Windows NT 4.0 Workstation dejó de recibir soporte poco después, el 30 de junio de 2004, y Server el último día de ese mismo año.

Por tanto, parece que es un movimiento "reincidente" en Microsoft el no parchear software que está a punto de ser retirado, quizás con la esperanza de acelerar la actualización por parte de sus clientes. Además, no nos convence la versión "oficial" por el simple hecho de que estas vulnerabilidades podrían haber aparecido mucho antes. Se supone que han estado siempre ahí excepto que hayan sido introducidas con nuevas funcionalidades, cosa poco probable puesto que Office XP no contiene nuevas funcionalidades desde hace muchos años. Que aparezcan hoy o hace un año es completamente arbitrario. En el caso de que hubieran sido detectadas, por ejemplo, poco antes de la salida del producto o mucho antes de acercarse su final de ciclo... ¿Hubiesen quedado igualmente sin parchear? ¿Es realmente la supuesta complejidad de creación de los parches, el motivo para no publicarlos?


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Support Lifecycle
http://support.microsoft.com/lifecycle/

Microsoft Support Lifecycle Policy FAQ
http://support.microsoft.com/gp/lifepolicy

Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)
http://www.microsoft.com/technet/security/bulletin/ms09-048.mspx

Vulnerability in COM Validation in Microsoft Office Could Allow Remote
Code Execution (983235)
http://www.microsoft.com/technet/security/Bulletin/MS10-036.mspx

Vulnerabilities in Windows TCP/IP Could Allow Remote Code Execution (967723)
http://www.microsoft.com/technet/security/Bulletin/MS09-048.mspx

Flaw in RPC Endpoint Mapper Could Allow Denial of Service Attacks (331953)
http://www.microsoft.com/technet/security/Bulletin/MS03-010.mspx

El principio del fin para Windows NT
http://www.hispasec.com/unaaldia/1614/

miércoles, 16 de junio de 2010

Actualización de seguridad para Mac OS X vuelve a contener una versión vulnerable de Flash Player

El propio equipo de respuesta a incidentes de seguridad de Adobe ha advertido de que Apple ha incluido una versión vulnerable de Flash Player en la última actualización para su sistema operativo. Apple cometió el mismo error en septiembre de 2009.

Apple ha publicado una actualización de seguridad (2010-004) para Mac OS X v10.6.4 que corrige 28 vulnerabilidades. En ella, se incluye una actualización de Flash Player que en realidad, sigue siendo vulnerable. Apple incluye en su mega-parche la versión de Flash Player 10.0.45.2, que a su vez contiene 32 fallos de seguridad que fueron corregidos en la actual versión 10.1.53.64. Esta última fue hecha pública el día 10 de junio y por tanto, se supone que Apple ha tenido tiempo suficiente de incluirla en sus parches de seguridad.

Al menos, parece que en esta ocasión el parche no "desactualiza" al usuario, como ocurrió en septiembre de 2009. En aquella ocasión, se instalaba una versión antigua y vulnerable de Adobe Flash Player incluso si el usuario ya poseía la última. Al actualizar el sistema operativo, quedaba otra vez vulnerable con una versión que contenía fallos de seguridad conocidos.

En cualquier caso, Adobe recomienda que, después de actualizar el Mac OS X, se visite http://www.adobe.com/go/getflashplayer para comprobar que efectivamente se mantiene la última versión (si es que se tenía ya instalada) y si no, reemplazar la vulnerable.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Apple Security Update 2010-004 / Mac OS X v10.6.4 Shipping with Outdated
Version of Adobe Flash Player
http://blogs.adobe.com/psirt/2010/06/apple_security_update_2010-004.html

About the security content of Security Update 2010-004 / Mac OS X v10.6.4
http://support.apple.com/kb/HT4188

La última actualización de Mac OS X contiene una versión de Flash
vulnerable y un rudimentario "antivirus"
http://www.hispasec.com/unaaldia/3967

martes, 15 de junio de 2010

Nueva campaña del malware Zbot aprovecha la imagen del Banco de España

Se ha detectado una virulenta campaña de difusión de una variante de Zbot (también conocida como Zeus) que aprovecha la imagen del Banco de España para propagarse. El troyano se aloja en una página que incita a la descarga de una muestra que, en el momento del análisis, solo es detectada (con firmas estáticas) por dos antivirus.

Se ha detectado una impresionante campaña de difusión de una variante de Zbot que aprovecha la imagen del Banco de España. No nos consta que en el pasado se haya usado la imagen de esta entidad para difundir malware o para realizar ataques de phishing a este nivel. Hemos detectado unos 400 correos en nuestros buzones. Su estructura es:

***

Remitente:
BDEresponde@bde.es

Asunto:
Transferencia de [cantidad] euros. Remitente: [Nombre de persona]

Cuerpo:
Estimado cliente, en su cuenta ha ingresado una transferencia de [cantidad] euros. Remitente: Valencia Feliciano. ID de transacción: ES000379002949199. Siga el enlace para consultar la información.

***

Las cantidades y los nombres de persona son aleatorios. El enlace está codificado con diferentes direcciones del servicio de 2url.org, que acorta las URL. En realidad redirige a otra página desde donde, aprovechando la imagen oficial del Banco de España, incita a la descarga de una archivo llamado "declaración.exe".

Pueden ver una captura de pantalla en:
http://www.hispasec.com/images/unaaldia/bde.png

El troyano puede cambiar en cualquier momento, pero en el momento de su análisis (hacia las 8:00 CEST del 15 de junio) era solo detectado por dos antivirus (de los 41 de Virustotal.com):

Panda Suspicious file
Sophos Mal/Zbot-U

Mientras que en horas posteriores, se unieron:

Kaspersky Trojan-Spy.Win32.Zbot.akgz
DrWeb Trojan.Packed.20343
eSafe Win32.Corrupt.Ep

Cabe recordar que los resultados obtenidos al enviar una muestra a Virustotal.com son analizados de forma estática, por tanto pueden diferir de los que un usuario obtendría con el antivirus instalado en su sistema.

El troyano analizado (insistimos en que puede ser modificado en cualquier momento) pertenece a la familia Zbot. Esto quiere decir que el infectado pasa a formar parte de una botnet de tipo "DIY" ("hágalo usted mismo"). Zbot es una infraestructura para crear troyanos que une a los infectados en una botnet que se gestiona fácilmente a través de un panel de control web. El programa se vende en el mercado negro. Es una de las familias que más troyanos y variantes está generando en los últimos años. Se tienen constancia de redes botnet de este tipo desde octubre de 2007, manejadas tanto por el crimen informático organizado, como por atacantes ocasionales con un perfil mucho más bajo que infectan solo a algunas decenas de sistemas Windows. Desde entonces, se han publicado numerosas actualizaciones del kit de creación para mejorar el impacto del troyano.

Esta muestra en concreto, actúa de la forma "tradicional" con respecto a lo que se espera de un Zbot, con algunas diferencias. Descarga un archivo (de extensión .bin) en el sistema, que contiene la configuración con los objetivos (bancos) del ataque. Además, modifica el explorador de Windows para que los ficheros no sean vistos si no es por línea de comandos. Los datos robados son cifrados criptográficamente antes de ser enviados al atacante.

Ataca a numerosas cajas y bancos españoles además de otros de diferentes países, inyectando campos adicionales en la página legítima cuando la víctima los visita o robando las contraseñas directamente. Además de eso, también obtiene las contraseñas de sitios populares como Facebook, Flickr, Amazon, MySpace...

Entre otros cambios, modifica las zonas de Internet Explorer para relajar su seguridad. Se copia en la carpeta %appdata%, esto es "C:\Users\[usuario]\AppData\Roaming" en el caso de Windows Vista y 7; "C:\Documents and Settings\[uduario]\Datos de programa" en el caso de XP, siempre dentro de carpetas con nombres aleatorios.

Parece que los atacantes provienen de Rusia, puesto que el panel de control se encuentra en un servidor dedicado de este país. Las mafias rusas suelen realizar campañas muy estudiadas y virulentas como la que está protagonizando el Banco de España.

Para protegerse, las recomendaciones son las de siempre:

* Usar cuentas limitadas en Windows (aunque en el caso concreto de este ejemplar, no evita el ataque por completo).
* Actualizar el sistema y los programas.
* Mantenerse informado.
* Actualizar el antivirus.

En realidad, lo novedoso de este ataque radica en los recursos empleados (decenas de correos para maximizar su difusión) y el uso de la imagen de un banco "institucional" y de confianza para atraer a las víctimas. Por desgracia, al margen de este caso, Zbot seguirá dando guerra durante mucho tiempo; su facilidad de uso y sofisticación técnica lo hacen asequible para muchos atacantes y a la vez complicado para que los antivirus puedan detectar las innumerables variables a tiempo.


Sergio de los Santos
ssantos@hispasec.com



lunes, 14 de junio de 2010

Publicadas nuevas versiones de Wireshark

Wireshark.org ha publicado las versiones 1.0.14 y 1.2.9 de Wireshark destinadas a corregir diversas vulnerabilidades de desbordamiento de búfer y de denegación de servicio.

Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Las nuevas versiones corrigen cinco problemas de seguridad, tres de ellos asociados a los disectores SMB, ASN.1 VER y SMB PIPE. Otras dos vulnerabilidades están relacionadas con errores en la maquina virtual del descompresor 'SigComp'.

Las nuevas versiones pueden descargarse desde:
http://www.wireshark.org/download.html


Antonio Ropero
antonior@hispasec.com


Más información:

Multiple vulnerabilities in Wireshark® version 0.8.20 to 1.0.13
http://www.wireshark.org/security/wnpa-sec-2010-05.html

Multiple vulnerabilities in Wireshark® version 1.2.0 to 1.2.8
http://www.wireshark.org/security/wnpa-sec-2010-06.html

domingo, 13 de junio de 2010

Popular servidor de IRC troyanizado desde hace unos 8 meses

Se ha descubierto que UnrealIRCd, un popular servidor de IRC, estaba troyanizado y disponible desde la página oficial al menos desde noviembre. Los atacantes reemplazaron el código fuente de la versión para sistemas Unix/Linux, y la modificación ha pasado inadvertida durante unos 8 meses. A raíz del incidente, han comenzado a firmar su código. ¿Qué errores han cometido?

UnrealIRCd es un popular servidor IRC para Linux y Windows. Los responsables del programa (en una entrada en su web que comienza con la frase "Esto es embarazoso...") han hecho público que la versión disponible para descarga desde noviembre de 2009 contiene una puerta trasera, y permite a un atacante ejecutar código arbitrario (con los mismos privilegios con los que se ejecute el programa) en el servidor donde se instale. La única versión que ha sido reemplazada en los servidores oficiales ha sido el código fuente para Unix/Linux (Unreal3.2.8.1.tar.gz) y no las versiones ya compiladas para Windows.

El problema ahora lo tienen los administradores que se hayan visto afectados (que han compilado e instalado la versión con la puerta trasera). Realmente, los servidores que han ejecutado esta versión (aunque sea durante poco tiempo), no pueden ser ya confiables, puesto que el atacante ha podido obtener información de todo tipo. Es de esperar que pocos administradores ejecutasen el servidor IRC como root, lo que limitaría los poderes de los atacantes. Aun así, esto no evita que en este tiempo, no hayan conseguido robar información accesible por el usuario bajo el que corre el servidor IRC, o escalar privilegios aprovechando cualquier vulnerabilidad en el kernel.

Se trata de un hecho relevante que, efectivamente, resulta embarazoso para los desarrolladores del programa. Lo tomamos como excusa para repasar lo que pueden ser algunos malos hábitos adquiridos tanto por parte de los programadores como de los usuarios.

Hashes para comprobar la integridad

UnrealIRCd se había tomado la molestia de publicar los hashes de los archivos para que los usuarios pudieran comprobar que realmente se descargaban el fichero "oficial". Esta medida ha resultado poco efectiva por varias razones.

* Según podemos comprobar por la caché de Google, a fecha de 22 de mayo, al parecer los atacantes también habían modificado el hash MD5 de la página oficial de descarga. Esto quiere decir que los usuarios que descargaran la fuente y comprobasen el hash con la página oficial, no notarían nada raro. Este es uno de los puntos débiles de esta medida de seguridad: si un atacante consigue comprometer un servidor como para sustituir un archivo, si es cuidadoso, debería sustituir también el hash en la misma página. Esta medida es útil sin embargo, cuando existen numerosos servidores desde donde descargar el archivo (y los usuarios se toman la molestia de comprobarlo en diferentes servidores).

* En los foros oficiales de UnrealIRCd (forums.unrealircd.com), sin embargo, el hash publicado desde hace meses era el correcto. Por tanto, cualquier usuario que efectivamente hubiese comparado los hashes, lo debería haber notado.

* Como detalle menor, a fecha de 22 de mayo, UnrealIRCd solo publicaban el hash MD5. No es ningún secreto que MD5 está "roto" y que es mucho más seguro utilizar (como parece que ya hacen) SHA.

Auditorías

A pesar de ser un programa veterano (desde 1999), un cambio en los archivos fuente de ciertos servidores ha pasado desapercibido durante unos 8 meses. Es uno de los periodos más largos que podemos recordar en los que un programa troyanizado ha pasado inadvertido. Los desarrolladores deberían haber realizado una mínima auditoría del estado de sus servidores y archivos. No se tiene información de cómo han conseguido entrar en los servidores.

Creemos que es irrelevante que la puerta trasera fuese "visible" en el código fuente descargado. Esto no ha "acelerado" su detección. Aunque ha sido compilado por (probablemente miles de) administradores, nadie ha detectado el problema (o nadie ha avisado). Esto es lógico en proyectos de cierta envergadura: simplemente, es muy poco probable que un usuario ocasional detecte algo "raro" en un código ajeno de miles de líneas. Mantenerlo a punto es responsabilidad de los desarrolladores principales, no de las personas que lo descargan.

Criptografía

Como hemos dicho, usar un hash para comprobar la integridad es útil en algunas ocasiones, pero es una medida limitada. Los programadores de UnrealIRCd han necesitado pasar este mal trago para darse cuenta de que deben firmar criptográficamente los ficheros. Acaban de anunciar una clave pública GPG con la que, a partir de ahora, firmarán sus archivos. Solo queda que los usuarios que descarguen su programa, comprueben la firma.

Aprendiendo la lección

Varios desarrolladores importantes han "sufrido" recientemente el problema de hacer público software troyanizado (aunque ninguno durante tanto tiempo). A Mozilla le ocurrió en febrero de 2010 y a mediados de 2008. En marzo de 2007, la versión de Wordpress fue troyanizada igualmente. Tampoco firmaban digitalmente sus archivos (y siguen sin hacerlo).

En 2002, las versiones 3.4 y 3.2 de OpenSSH fueron troyanizadas desde ftp.openssh.com y ftp.openbsd.org. Poco después, el servidor HTTP de Tcpdump, fue comprometido (el 11 de noviembre de 2002), y su descarga no fue deshabilitada hasta el día 13. El código troyanizado ignoraba el tráfico del puerto 1963, desde donde un atacante podría controlar la máquina en la que se ejecutase.

Aproximadamente el 28 de septiembre de 2002 comprometieron ftp.sendmail.org (el servidor de correo más usado del mundo). No fue hasta el 6 de octubre de ese año que se deshabilitó la descarga del programa envenenado.

Al menos, los responsables de UnrealIRCd parece que han aprendido la lección. Según el aviso oficial "Simplemente no lo notamos, deberíamos haberlo hecho; No comprobamos los ficheros en los servidores de forma regular. Deberíamos haberlo hecho; No firmamos los archivos con PGG/GPG, deberíamos haberlo hecho".

El archivo troyanizado es Unreal3.2.8.1.tar.gz, con hash md5 752e46f2d873c1679fa99de3f52a274d. La versión oficial, sin embargo, debería devolver el hash 7b741e94e867c0a7370553fd01506c66. Al parecer solo algunos servidores de descarga fueron comprometidos, y no los repositorios de código fuente.

Aparte del hash, para saber si se está corriendo una versión con esta puerta trasera, se puede hacer un:

grep DEBUG3_DOLOG_SYSTEM include/struct.h

en el directorio del programa. Si devuelve dos líneas, está troyanizado.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Unreal Sec Advisory
http://www.unrealircd.com/txt/unrealsecadvisory.20100612.txt

Mozilla distribuye (otra vez) plugins para Firefox infectados con
malware desde el sitio oficial
http://www.hispasec.com/unaaldia/4124

WordPress: de nuevo un servidor de descarga oficial comprometido
http://www.hispasec.com/unaaldia/3054

sábado, 12 de junio de 2010

Adobe soluciona 32 fallos de seguridad en Flash Player (y deja uno compartido con Adobe Reader sin corregir)

El pasado día 10, Adobe publicó una nueva versión de Flash Player que corrige 32 fallos de seguridad. Entre ellos, un problema conocido y público, que permite la ejecución de código arbitrario y que también contiene Adobe Reader 9.x. Sin embargo, para este programa no ha solucionado aún el fallo.

La versión corregida por Adobe es la 10.0.45.2, y la nueva que los soluciona, la 10.1.53.64. Para comprobar la versión que se tiene instalada, se puede visitar la página http://www.adobe.com/software/flash/about/. Es importante recordar que si se dispone de varios navegadores en el sistema, hay que actualizar Flash para todos ellos por separado desde http://www.adobe.com/go/getflash.

Como cabe esperar, entre las 32 vulnerabilidades se encuentran problemas de todo tipo, desde ejecución de código hasta denegaciones de servicio.

Adobe no iba a publicar ninguna actualización hasta el 13 de julio, pero, dada la gravedad de uno de los fallos, se ha visto obligada a adelantar esta nueva versión. En concreto, se trata de CVE-2010-1297, que permite la ejecución de código y que ha sido incluido en Metasploit.

Adobe Reader es también vulnerable, pero el fabricante ha decidido en este caso que, aunque no esperará al 13 de julio para solucionar el problema, no tendrá listo el parche hasta el 29 de junio.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb10-14.html

Security Advisory for Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-01.html

viernes, 11 de junio de 2010

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de mayo publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-035) de una actualización acumulativa para Internet Explorer 5.01, 6, 7 y 8; que además solventa seis nuevas vulnerabilidades.

Dos de los problemas pueden permitir a un atacante obtener datos del sistema a través de una pagina web especialmente manipulada. El primero a través de un error de comprobación de permisos en el uso del protocolo "file:" y un segundo problema se presenta en la API "toStaticHTML".

Las otras cuatro vulnerabilidades corregidas residen en errores de desbordamiento de memoria al acceder a objetos no inicializados o borrados en Internet Explorer. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada.

Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/bulletin/ms10-035.mspx


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS10-035 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (982381)
http://www.microsoft.com/spain/technet/security/bulletin/ms10-035.mspx

jueves, 10 de junio de 2010

Ejecución de comandos arbitrarios en Microsoft Windows XP y Windows Server 2003

Tavis Ormandy ha publicado, en la lista de Full Disclosure, los detalles y prueba de concepto de una vulnerabilidad sin parche que permite ejecutar comandos arbitrarios a través de una URL. El fallo descubierto se halla en Microsoft Windows Help Centre, la aplicación para acceder a la documentación de ayuda.

Dicha aplicación registra un manejador de protocolo con el esquema "hcp://" para acceder a la documentación a través de URLs. Cuando se accede a través de una URL a la documentación, el manejador del nombrado esquema "hcp", añade el parámetro de línea de comandos "/fromhcp" para indicarle a la aplicación del centro de ayuda que el recurso ha sido solicitado desde una URL; restringiendo el uso de parámetros y permitiendo sólo un conjunto de documentos que se encuentran en una lista blanca.

Ormandy ha encontrado un método para evadir esta lista blanca, basado en un error en la implementación de la función que comprueba las URL.

El fallo reside en la función "MPC::HTML::UrlUnescapeW", usada para la normalización y filtrado de la URL antes de ser validada. Dicha función usa a su vez la función "MPC::HexToNum" para convertir los caracteres escapados (p.ej %20 al valor de espacio en blanco) a su correspondiente valor numérico.

Sin entrar en detalles técnicos, básicamente, la función "MPC::HTML::UrlUnescapeW" omite el chequeo del valor de retorno de "MPC::HexToNum", permitiendo envenenar la cadena final y evadir la restricción de lista blanca.

Para proseguir con la explotación Ormandy necesitaba una página de la documentación que cumpliese con varias condiciones, poder ser invocado directamente desde una URL y con un fallo de cross-site scripting que le permitiese incluir una cadena manipulada.

Pudo localizar la página de documentación e identificar el XSS, pero curiosamente no pudo explotarlo (Ormandy no es especialista en Web). Así que tuvo que echar mano de su compañero en Google y experto en seguridad web y navegadores Michal Zalewski, muy nombrado últimamente por su escáner de seguridad web Skipfish.

Con la ayuda de Zalewski y de una propiedad exclusiva de Internet Explorer el XSS pudo ser explotado. En ese momento se disponía de un método para evadir la lista blanca, una página de documentación de ayuda instalada por defecto y con un XSS explotable. Al ejecutarse la página en una zona privilegiada tan solo bastaba incluir un comando en la cadena para provocar su ejecución.

¿Acabó aquí?

Hasta ahora está claro que con una URL con el manejador "hcp://" y apropiadamente manipulada se pueden inyectar comandos, pero cuando se invoca a través del navegador el usuario es advertido y aunque es conocida la incapacidad retentiva de la mayoría para hacer click en aceptar, a Ormandy no le pareció una forma elegante de finalizar con su investigación.

Consiguió un método para evitar la atención del usuario mediante el uso de archivos ASX (Advanced Stream Redirector). Windows Media Player 9 usa estos archivos, con estructura XML, para almacenar listas de reproducción. El navegador invoca el reproductor cuando abre un archivo con extensión ".asx". Entre los valores a incluir en dicho archivo uso el elemento "HTMLView" y le dio como valor una URL hacia una página HTML que contiene, ahora si, la URL maliciosa.

No deja de resultar curioso, en este caso en particular, el encadenamiento de explotaciones y descubrimientos que llevan al investigador desde un punto de intuición hasta la consecución de sus objetivos.

Son vulnerables los sistemas Windows XP y Windows Server 2003.

Mike Reavey, director del MSRC de Microsoft ha publicado una respuesta en el blog del MSRC, en la que ofrece una contramedida y explica el poco tiempo que el investigador les ha otorgado, para solucionar el fallo, antes de hacer públicos los detalles.


David García
dgarcia@hispasec.com


Más información:

Microsoft Windows Help Centre Handles Malformed Escape Sequences Incorrectly
http://seclists.org/fulldisclosure/2010/Jun/205

Windows Help Vulnerability Disclosure
http://blogs.technet.com/b/msrc/archive/2010/06/10/windows-help-vulnerability-disclosure.aspx

miércoles, 9 de junio de 2010

Boletines de seguridad de Microsoft en junio

Tal y como adelantamos, este martes Microsoft ha publicado diez boletines de seguridad (del MS10-032 al MS10-041) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que los siete restantes son clasificados como "importantes". En total se han resuelto 34 vulnerabilidades.

Los boletines "críticos" son:

* MS10-033: Actualización para corregir dos vulnerabilidades en el tratamiento y descompresión de archivos multimedia que podrían permitir la ejecución remota de código. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-034: Se trata de una actualización de seguridad acumulativa de bits de interrupción de ActiveX. Además, está destinada a solucionar dos vulnerabilidades que podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada que ejecute un control ActiveX específico mediante Internet Explorer. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-035: Actualización acumulativa para Microsoft Internet Explorer que además soluciona seis nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6, 7 y 8.

Los boletines clasificados como "importantes" son:

* MS10-032: Actualización para corregir dos vulnerabilidades de elevación de privilegios a través de los controladores en modo kernel de Windows. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

* MS10-036: Actualización para corregir una vulnerabilidad en la validación COM en Microsoft Office que podría permitir la ejecución remota de código. Afecta a Office XP, Office 2003 y 2007 Microsoft Office System.

* MS10-037: Actualización para corregir una vulnerabilidad de elevación de privilegios a través del controlador de OpenType CFF (Compact Font Format). Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-038: Esta actualización de seguridad resuelve catorce vulnerabilidades, las más graves podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente creado.

* MS10-039: Se trata de una actualización de seguridad para resolver tres vulnerabilidades en Microsoft SharePoint que podrían permitir la elevación de privilegios.

* MS10-040: Boletín destinado a corregir una vulnerabilidad en Internet Information Services (IIS) que podría permitir la ejecución remota de código si se recibe una solicitud HTTP específicamente diseñada.

* MS10-041: Actualización destinada a corregir una vulnerabilidad en Microsoft .NET Framework, que podría permitir la alteración de datos en el contenido XML firmado sin que se detecte.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de junio de 2010
http://www.microsoft.com/spain/technet/security/bulletin/ms10-jun.mspx

Boletín de seguridad de Microsoft MS10-032 - Importante
Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (979559)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-032.mspx

Boletín de seguridad de Microsoft MS10-033 - Crítico
Vulnerabilidades en la descompresión de medios podrían permitir la ejecución remota de código (979902)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-033.mspx

Boletín de seguridad de Microsoft MS10-034 - Crítico
Actualización de seguridad acumulativa de bits de interrupción de ActiveX (980195)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-034.mspx

Boletín de seguridad de Microsoft MS10-035 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (982381)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-035.mspx

Boletín de seguridad de Microsoft MS10-036 - Importante
Una vulnerabilidad en la validación COM en Microsoft Office podría permitir la ejecución remota de código (983235)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-036.mspx

Boletín de seguridad de Microsoft MS10-037 - Importante
Una vulnerabilidad en el controlador de OpenType CFF (Compact Font Format) podría permitir la elevación de privilegios (980218)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-037.mspx

Boletín de seguridad de Microsoft MS10-038 - Importante
Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código (2027452)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-038.mspx

Boletín de seguridad de Microsoft MS10-039 - Importante
Vulnerabilidades en Microsoft SharePoint podrían permitir la elevación de privilegios (2028554)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-039.mspx

Boletín de seguridad de Microsoft MS10-040 - Importante
Una vulnerabilidad en Internet Information Services podría permitir la ejecución remota de código (982666)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-040.mspx

Boletín de seguridad de Microsoft MS10-041 - Importante
Una vulnerabilidad en Microsoft .NET Framework podría permitir la alteración (981343)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-041.mspx

martes, 8 de junio de 2010

Apple corrige 48 vulnerabilidades para su navegador Safari (y deja otros dos sin solución)

Apple acaba de publicar un parche para su navegador Safari en sus ramas 4.x y 5.x y para Windows y Mac OS X, que corrige nada menos que 48 fallos de seguridad. Entre ellos como es lógico, se encuentran numerosas vulnerabilidades que pueden permitir la ejecución de código con solo visitar un enlace.

El componente más afectado es el motor Webkit, con 44 vulnerabilidades. Sólo dos vulnerabilidades son exclusivas de Windows, mientras que el resto están compartidas entre Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o posterior, Mac OS X Server v10.6.2 o posterior, Windows 7, Vista y XP.

La mayor parte de las vulnerabilidades permiten la ejecución de código y la revelación de información sensible. Solo cuatro han sido encontradas por Apple, mientras el resto se las reparten diferentes especialistas, empresas e investigadores privados. Siguiendo su línea habitual "Para la protección de sus clientes, Apple no revela, discute o confirma problemas de seguridad hasta que se ha llevado a cabo una completa investigación y cualquier parche necesario está disponible", por lo que no hay mucha información sobre los fallos.

A juzgar por la lista de vulnerabilidades corregidas, los fallos calificados con los CVE CVE-2010-1940 y CVE-2010-1939 no han sido solucionados en esta tanda. En mayo fueron encontrados tres errores, pero al parecer sólo se ha parcheado el más grave. Para al menos una de las vulnerabilidades (relacionados con la autenticación HTTP básica) existen exploits públicos.

La última actualización del navegador tuvo lugar a principios de marzo con 16 vulnerabilidades corregidas. En esta tanda, por ejemplo, se han corregido errores conocidos desde enero.

Se recomienda actualizar a las últimas versiones según cada plataforma disponibles desde http://www.apple.com/safari/download/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

About the security content of Safari 5.0 and Safari 4.1
http://support.apple.com/kb/HT4196

CERT-VN:VU#943165
http://www.kb.cert.org/vuls/id/943165

XF:safari-http-request-information-disclosure
http://xforce.iss.net/xforce/xfdb/58620

lunes, 7 de junio de 2010

Inyección SQL en RSA Key Manager

Se ha anunciado la existencia de una vulnerabilidad de inyección de comandos SQL en RSA Key Manager (versiones 1.5).

RSA Key Manager es una tecnología de administración de claves de cifrado centralizada destinada a que las compañías puedan centralizar las directivas de seguridad de toda la organización.

El cliente RSA Key Manager utiliza una base de datos SQLite para mantener las claves de cifrado, sin embargo el software no valida adecuadamente los meta-datos introducidos por los usuarios. De esta forma, un usuario con acceso a los datos cifrados del RSA Key Manager podría introducir un parámetro especialmente creado para lograr la ejecución de comandos SQL en la base de datos. El atacante podría emplear esta vulnerabilidad para modificar las claves existentes, eliminarlas o añadir nuevas claves.

RSA recomienda actualizar a la última versión del software (las versiones 2.0.x y superiores no se ven afectadas).


Antonio Ropero
antonior@hispasec.com


Más información:

RSA Key Manager SQL injection Vulnerability ( CVE-2010-1904 )
http://seclists.org/bugtraq/2010/Jun/49

domingo, 6 de junio de 2010

Dos vulnerabilidades en OpenOffice.org

Se han anunciado dos vulnerabilidades en OpenOffice.org, que podrían permitir a un atacante evitar restricciones de seguridad o comprometer los sistemas afectados.

El primer problema reside en un error en el uso del scripting IDE incorporado para explorar código python. Un atacante podría emplear esta vulnerabilidad para lograr la ejecución de código arbitrario.

El segundo problema consiste en que OpenOffice 2 y 3 se puede ver afectado por el el problema de renegociación de sesiones del protocolo SSL y TLS, anunciado en octubre del año pasado.

Se recomienda actualizar a OpenOffice.org versión 3.2.1 :
http://download.openoffice.org/index.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security vulnerability in OpenOffice.org related to python scripting
http://www.openoffice.org/security/cves/CVE-2010-0395.html

OpenOffice.org 2 and 3 may be affected by the TLS/SSL Renegotiation Issue in 3rd Party Libraries
http://www.openoffice.org/security/cves/CVE-2009-3555.html

una-al-dia (05/11/2009) Controversia con el potencial fallo de seguridad en SSL y TLS
http://www.hispasec.com/unaaldia/4030

sábado, 5 de junio de 2010

Ejecución arbitraria de código en Adobe Acrobat Reader 9.x

Se ha anunciado una vulnerabilidad en Adobe Reader y Acrobat, que podría permitir a un atacante lograr comprometer los sistemas vulnerables.

El problema reside en un error de corrupción de memoria en "authplay.dll". Un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario a través de un PDF que contenga un fichero SWF.

Como contramedida se recomienda eliminar o renombrar el fichero "authplay.dll" alojado habitualmente en "C:\Program Files\Adobe\Acrobat 9.0\Acrobat\authplay.dll".


Antonio Ropero
antonior@hispasec.com


Más información:

Security Advisory for Flash Player, Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-01.html

viernes, 4 de junio de 2010

Microsoft publicará 10 boletines el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office. En principio, hablan de 34 vulnerabilidades.

Si en mayo se publicaron dos boletines de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar diez el próximo 8 de junio. Tres se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación).

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que Microsoft dará solución en esta tanda al problema de seguridad encontrado en SharePoint Server 2007 y Windows SharePoint Services 3.0. Hace pocas semanas, la empresa "High-Tech Bridge" publicó un fallo que afectaba a estos productos. Se trata de un cross-site scripting no persistente.

También corregirá un fallo reconocido en febrero por Microsoft (que previamente se había hecho público en la conferencia Black Hat DC 2010) en Internet Explorer. Existe un error de comprobación de permisos cuando se usa el protocolo "file:" que podría ser aprovechado por un atacante remoto para obtener datos del sistema a través de una pagina web especialmente manipulada. Al parecer se trata de un fallo complejo de resolver, según los propios descubridores, puesto que en años anteriores habían reportado vulnerabilidades parecidas, y Microsoft en ningún momento ha conseguido erradicar el problema por completo con los parches que ha ido publicando. Sin embargo, es necesario apuntar que el "modo protegido" en el que funcionan las versiones 7 y 8 por defecto en Vista, 7 y 2008, previene la explotación de la vulnerabilidad.

También se corrigen fallos en Office InfoPath, Excel Viewer.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for June
2010http://www.microsoft.com/technet/security/bulletin/ms10-jun.mspx

jueves, 3 de junio de 2010

Diversas vulnerabilidades en Novell eDirectory

Se han anunciado cuatro vulnerabilidades en Novell eDirectory (versiones anteriores a 8.8 SP5 patch4) por la que un atacante remoto puede llegar a comprometer los sistemas afectados.

Novell eDirectory es el servicio de directorio LDAP de Novell, compatible con AIX, HP-UX, Linux, NetWare, Solaris y Windows, admite todo un abanico de estándares emergentes y protocolos de servicios Web: DSML, SOAP y XML, entre otros.

El primero de los problemas consiste en una denegación de servicio en NDSD al tratar un verbo erróneo.

Un segundo problema está provocado por un desbordamiento de búfer en DHOST al tratar peticiones específicamente construidas y que podría permitir a un atacante provocar las caída del proceso o ejecutar código arbitrario.

Otro problema reside en que DHOST emplea cookies de sesión predecibles, lo que podría dar lugar a que los atacantes eviten las restricciones de seguridad.

Por último, una vulnerabilidad de denegación de servicio provocada por un error en DHOST en el tratamiento de peticiones específicamente construidas enviadas por algunos escáneres.

Se recomienda la instalación de Novell eDirectory version 8.8 SP5 patch4, disponible para descarga mediante el uso del módulo de actualización online YaST.


Antonio Ropero
antonior@hispasec.com


Más información:

History of Issues Resolved in eDirectory 8.8.x
http://www.novell.com/support/viewContent.do?externalId=3426981

eDirectory 20100430
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5076151.html
http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5076150.html

miércoles, 2 de junio de 2010

Nuevos contenidos en la Red Temática CriptoRed (mayo de 2010)

Breve resumen de las novedades producidas durante el mes de mayo de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE MAYO DE 2010
* Capítulo 3 Ambientes Operativos del Libro Electrónico El Atacante Informático (Jhon César Arango, PDF, 48 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m414a.htm
* Qué son y con qué objetivo se crean y distribuyen los virus informáticos
(Jorge Ramió / Bernardo Quintero, PDF, 3 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m001w.htm
* Intervención Programa de Radio Nacional de España No es un Día Cualquiera: Qué son los virus informáticos (Jorge Ramió, MP3, 3:24 minutos, España)
http://www.criptored.upm.es/descarga/Intervencion_No_Es_Un_Dia_Cualquiera_2_mayo_2010.mp3
* Privacidad y Libertad de Expresión en la Era de Internet (VI Ciclo Conferencias UPM TASSI, Bárbara Navarro, PDF, 38 diapositivas, España)
http://www.lpsi.eui.upm.es/GANLESI/2009_2010/gconferencia_bn.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES EN MAYO DE 2010
* Informe de la Red de Sensores de INTECO del Mes de Abril de 2010 (España)
https://ersi.inteco.es/informes/informe_mensual_201004.pdf
* Inseguridad de la Información: Confusión de Fines y Perfección de Medios
en el Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/05/inseguridad-de-la-informacion-confusion.html
* Inversión en Seguridad de la Información: Volver a los Principios en el
Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/05/inversion-en-seguridad-de-la.html
* Esquema Nacional de Seguridad en Inglés Spanish National Security
Framework (Secretaría General Técnica del Ministerio de la Presidencia,
España)
http://www.csae.mpr.es/csi/pdf/ENS_SECURITY_ENGLISH_final.pdf
* La hora de los hackers (Ciclo Conferencias UPM TASSI, Carlos Sánchez
Almeida)
http://www.kriptopolis.org/la-hora-de-los-hackers

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Junio 15 al 16 de 2010: European Workshop on Smart Objects: Systems, Technologies and Applications RFID-SysTech 2010 (Ciudad Real - España)
* Junio 16 al 18 de 2010: X Jornada Nacional de Seguridad Informática ACIS 2010 (Bogotá - Colombia)
* Junio 16 al 19 de 2010: V Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2010 (Santiago de Compostela - España)
* Junio 20 al 23 de 2010: Mexican Meeting on Informatics Security M2IS 2010 (Guadalajara - México)
* Julio 22 al 24 de 2010: International Conference on the Business and Digital Enterprises ICBDE 2010 (Bangalore - India)
* Julio 26 al 28 de 2010: International Conference on Security and Cryptography SECRYPT (Atenas - Grecia)
* Agosto 8 al 11 de 2010: First International Conference on Cryptology and Information Security LatinCrypt 2010 (Puebla - México)
* Agosto 30 a septiembre 3 de 2010: 7th International Conference on Trust, Privacy an Security in Digital Business TrustBus '10 (Bilbao - España)
* Agosto 30 a septiembre 3 de 2010: Workshop de Seguridad Informática 2010 en 39 edición de JAIIO (Buenos Aires - Argentina)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y Seguridad de la Información RECSI 2010 (Tarragona - España)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú - Grecia)
* Septiembre 22 al 24 de 2010: 5ta Conferencia de la Asociación EATIS 2010 en la UTP (Ciudad de Panamá - Panamá)
* Septiembre 23 de 2010: Fifth International Workshop on Data Privacy Management DPM 2010 (Atenas - Grecia)
* Noviembre 8 al 10 de 2010: International Conference E-Activity and Leading Technologies 2010 (Oviedo - España)
* Noviembre 29 a Diciembre 3 de 2010: VI Congreso Internacional de Telemática y Telecomunicaciones (La Habana - Cuba)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. FUE NOTICIA EN LA RED TEMÁTICA DURANTE EL MES DE MAYO DE 2010
* Presentación del Máster MASGDTIC en Auditoría, Seguridad, Gobierno y Derecho de las TICs de la UAM (España)
* Plan de Seminarios de Seguridad Informática para el Año 2010 de CYBSEC (Argentina, Paraguay, España)
* Seminario Protección de Datos, Tecnologías de la Información y Sistema Educativo en la UIMP (España)
* III Jornada de Seguridad de la Información en la Industria Financiera de CXO Community (Argentina)
* Octava edición de Asegúr@IT en Valencia (España)
* Curso de Verano sobre Seguridad Informática en Valencia (España)
* 10th International Conference on Mathematical Methods in Science and Engineering CMMSE en Almería (España)
* Cuatro Becas para Asistencia Minisimposium Applications of Algebra to Cryptography and Coding Theory en Almería (España)
* CFP International Conference E-Activity and Leading Technologies 2010 en Oviedo (España)
* Curso de Evidencia Digital y Peritaje Informático en la Universidad de los Andes (Colombia)
* Programa Profesionales de Aplicación de Derecho de Internet y TICs en Uniandes (Colombia)
* Jornada de Solventia sobre Cloud Computing y Privacidad de los Menores en la Red en Madrid (España).

Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2010.htm#may10

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 824 (217 universidades y 307 empresas)
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 36.014 visitas, con 96.348 páginas solicitadas y 37,28 GigaBytes servidos en mayo de 2010
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

Mayo 2010
http://www.criptored.upm.es/paginas/historico2010.htm#may10

martes, 1 de junio de 2010

Google abandona Windows... "¿por seguridad?"

Financial Times publica una noticia en la que se afirma que según "varios empleados" (no se trata por tanto de una nota oficial) están empezando a abandonar Windows en sus escritorios por cuestiones de seguridad, motivadas probablemente por el ataque que sufrió la compañía el pasado enero. La decisión (y el titular) es cuando menos discutible, porque en definitiva, el ataque en el que se basó la operación "Aurora" fue un problema de políticas de seguridad de Google, no de un sistema operativo u otro.

Google no se ha pronunciado oficialmente al respecto, por lo que la noticia parece ser una recopilación de declaraciones de empleados no identificados y por tanto habrá que tomarla con cierta precaución. En el caso de que sea cierto, afirman que "muchos se están pasando a Mac OS, tras los ataques de China en enero" y que desde entonces, "a los empleados nuevos se les da la oportunidad de elegir entre Apple o GNU/Linux” y si quieren utilizar Windows, deben pasar por un proceso burocrático.

El contexto

En enero, Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras, por el que habían robado código de ciertos programas. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail. El objetivo final era la obtención de información sobre activistas chinos para los derechos humanos. En la investigación abierta (que se llamó "Aurora") descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar. El malware utilizaba varias vulnerabilidades 0-day. Una de ellas permitía la ejecución de código en Internet Explorer. Microsoft publicó un parche fuera del ciclo habitual de los segundos martes de cada mes para solucionarlo lo antes posible.

Este mediático incidente provocó una crisis diplomática entre Estados Unidos y China, cuando Google amenazó con retirar sus operaciones en el país tras una serie de desencuentros y declaraciones cruzadas.

La decisión

Según la noticia, los ataques que consiguieron colarse en la red interna de Google a través de un fallo en el navegador, habrían motivado el cambio hacia otros sistemas operativos supuestamente "más seguros". Esto podría hacer pensar que utilizar otros sistemas operativos tendrá un impacto positivo en la protección de la red interna y sus empleados. Pero el problema es otro, más "genérico".

Además, es probable los incidentes protagonizados en enero no sean más que una excusa para motivar el uso interno de productos propios de Google, como el inminente sistema operativo Chrome OS. Al menos, no deberían ser el motivo principal para desestimar Windows. Las declaraciones anónimas de los empleados pueden tener también el mismo objetivo.

Veamos algunos ejemplos de por qué el ataque bajo el que se basaba la operación "Aurora", puso ser más un problema de política de seguridad de Google que del hecho de usar un sistema operativo u otro:

* Uno de los empleados de Google pinchó sobre un enlace que le llegó a través de mensajería instantánea. Éste le redirigió a una web que
aprovechó el fallo de seguridad, previamente desconocido. Los empleados de todas las compañías deberían estar concienciados sobre el peligro que supone visitar enlaces no solicitados, o filtrarlos directamente.

* Probablemente, una buena política de filtrado de Zonas en Internet Explorer (prohibiendo la ejecución de JavaScript en páginas desconocidas) hubiese contenido el ataque.

* Un binario disfrazado de JPEG se descargaba y ejecutaba la puerta trasera. Una buena política de uso de opciones integradas en Windows que previenen la ejecución de programas no aprobados previamente, habría contenido también el ataque.

* Una vez dentro de la red, los atacantes aprovecharon unas débiles características de seguridad en Perforce (el programa de gestión y revisión de código que usa Google) para conseguir su objetivo final. Perforce estaba configurado con unas pobres políticas de seguridad, que McAfee ha analizado no hace mucho en un documento. La empresa que lo comercializa ha tenido que reconocer sus errores y seguir las indicaciones de seguridad que apunta McAfee.

La responsabilidad de Microsoft en este asunto es que conocía la vulnerabilidad de forma privada desde hacía meses, y no la remedió a tiempo, desestimando su gravedad (también a causa de una deficiente política de gestión de vulnerabilidades, probablemente). El resto, es cosa de la propia Google.

Aunque se puede ahondar más en el asunto, queda claro que el problema de una intrusión de estas características no es achacable a un sistema operativo o programa en particular (que puede ser parte del problema, pero no "el" problema en sí), sino a un conjunto de políticas que claramente han fallado. Por tanto, reemplazar un sistema operativo o un programa de revisión de código no es una solución por sí misma si no va acompañada de un refuerzo de otros frentes.

En el caso particular del cambio de sistema operativo, el hecho de que los usuarios utilicen Mac OS en Google es posiblemente un cambio desacertado. Apple sufre de problemas de seguridad mucho mayores que Microsoft y los gestiona de forma ciertamente discutible. Probablemente los empleados de Google se libren solo en cierta medida del malware genérico y masivo si usan Mac OS, pero, si los atacantes son profesionales y realizan un ataque "dirigido" específicamente contra ellos, con Apple lo tendrán igual de fácil (o más) que con cualquier otro sistema operativo, sea de código abierto o cerrado. Windows se está librando poco a poco del desastroso bagaje en seguridad que acarrea desde hace años, realizando un buen trabajo de seguridad en sus servidores y sistemas operativos. Apple (y otras compañías como Adobe) parece que no han aprendido esa lección y están tropezando en las mismas piedras en las que cayó Microsoft.

En definitiva, el problema de los ataques dirigidos no es que se centren en un software concreto, sino que rara vez yerran su objetivo si están suficientemente motivados para ello.


Sergio de los Santos
ssantos@hispasec.com


Más información:

'Google' Hackers Had Ability to Alter Source Code
http://www.wired.com/threatlevel/2010/03/source-code-hacks/

Protecting Your Critical Assets
Lessons Learned from “Operation Aurora”
http://www.wired.com/images_blogs/threatlevel/2010/03/operationaurora_wp_0310_fnl.pdf

Perforce Software Responds to McAfee White Paper on Operation Aurora
http://www.perforce.com/perforce/press/pr121_McAfee_statement.pdf

Google ditches Windows on security concerns
http://www.ft.com/cms/s/2/d2f3f04e-6ccf-11df-91c8-00144feab49a.html