sábado, 31 de julio de 2010

Actualizaciones de seguridad de Apple Safari

Apple ha publicado dos actualizaciones de seguridad para su navegador Safari (versiones 4.1.1 y 5.0.1) que solventan diversas vulnerabilidades que podrían ser aprovechadas por un atacante remoto para lograr el compromiso de los sistemas afectados.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista. Durante los últimos meses se ha ofrecido la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple.

Se han corregido un total de 15 vulnerabilidades, relacionadas con el tratamiento de feeds RSS, con la funcionalidad de Autocompletado y múltiples problemas en Webkit que podrían permitir la ejecución remota de código al visitar un sitio web malicioso.

Se recomienda actualizar a la versión 4.1.1 o 5.0.1 de Safari para Mac OS X o Windows disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde:
http://www.apple.com/safari/download/


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of Safari 5.0.1 and Safari 4.1.1
http://support.apple.com/kb/HT4276

viernes, 30 de julio de 2010

Diversas vulnerabilidades en Wireshark

Se han anunciado diversas vulnerabilidades de desbordamiento de búfer y denegación de servicio en Wireshark versiones 0.10.8 a 1.0.14 y 1.2.0 a 1.2.9.

Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

Se han confirmado cuatro problemas, el primero consistente en un desbordamiento de búfer en SigComp Universal Decompressor Virtual Machine que podría permitir a un atacante remoto la ejecución de código arbitrario en el sistema.

Otras tres vulnerabilidades de denegación de servicio relacionadas con los disectores ASN.1 BER, IPMI y GSM A RR.

Se recomienda actualizar a Wireshark 1.0.15 o 1.2.10 desde:
http://www.wireshark.org/download.html


Antonio Ropero
antonior@hispasec.com


Más información:

Vulnerabilities in Wireshark® version 0.10.8 to 1.0.14
http://www.wireshark.org/security/wnpa-sec-2010-07.html

Vulnerabilities in Wireshark® version 0.10.8 to 1.0.14
http://www.wireshark.org/security/wnpa-sec-2010-08.html

jueves, 29 de julio de 2010

Diversas vulnerabilidades en IBM Tivoli Directory Server

Se ha anunciado una vulnerabilidad en IBM Tivoli Directory Server 6.1, que podría permitir a un atacante conseguir acceso a la información de la base de datos. Otro fallo en la versión 6.0 permitiría a un atacante provocar una denegación de servicio.

Tivoli Directory Server es un software de gestión de identidad de IBM,basado en tecnología LDAP (Lightweight Directory Access Protocol) que proporciona servicios de autenticación centralizado. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX...

El primer problema reside en que durante el proceso de instalación se almacena en texto claro, en el archivo "ldapinst.log", la password de administración de DB2. Gracias a esto un usuario podría conseguir acceso administrativo a la base de datos.

Se recomienda aplicar la actualización acumulativa 6.1.0.4-TIV-ITDS-IF0006 (6.1.0.36 / 4.0022) o el APAR IO12776.

Un segundo problema afecta a los métodos vPrintMessage y vPrintMessageFile de Tivoli Directory Server, debiso a que no manejan adecuadamente las peticiones de autenticación DIGEST-MD5 si se usan directamente. Si un atacante envía múltiples peticiones especialmente manipuladas (incompletas), puede llegar a hacer que el servicio deje de responder.

El fallo se da en la versión 6.0.0.8 y para solucionarlo, se debe aplicar la solución provisional 6.0.0.8-TIV-ITDS-IF0006 o APAR IO12399. En ellas el método PrintMessage es usado en vez de los dos anteriores mencionados.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

IO12776: DB2 password appears twice in ldapinst.log
http://www-01.ibm.com/support/docview.wss?uid=swg1IO12776

IBM Tivoli Directory Server, Version 6.1.0.4-TIV-ITDS-IF0006
http://www-01.ibm.com/support/docview.wss?uid=swg24027450

IO12399: System cores when DIGEST-MD5 connection are attempted.
http://www-01.ibm.com/support/docview.wss?uid=swg1IO12399

miércoles, 28 de julio de 2010

Vulnerabilidad en Autonomy KeyView afecta a diversos fabricantes

Se ha confirmado la existencia de diversas vulnerabilidades en Autonomy KeyView que afecta a diversos fabricantes como Symantec o IBM y que podrían permitir el compromiso de los sistemas afectados.

Autonomy KeyView es un kit de desarrollo comercial que proporciona librerías para el tratamiento de múltiples formatos de archivos, soporta un gran número de documentos en diferentes formatos y muchos fabricantes hacen uso de esta librería para procesar documentos.

Los problemas anunciados son siete desbordamientos de búfer y de entero en la lectura de documentos específicamente construidos en formatos de hoja de cálculo Lotus 123 (wkssr.dll), RTF (rtfsr.dll) y WordPerfect 5 (wosr.dll). Estos fallos podrían permitir a un atacante remoto la ejecución de código arbitrario con los privilegios de la aplicación atacada.

Se han confirmado las vulnerabilidades en las siguientes versiones del software:
Autonomy KeyView versiones 7.x a 10.x
Que, al menos, se incluyen en
Symantec Mail Security para Domino versiones 7.5 y 8.0.x
Symantec Mail Security para Microsoft Exchange versiones 6.0.5 y posteriores
Symantec Brightmail Gateway versión 9.0 y anteriores
Symantec Mail Security para SMTP versiones 5.0.x
Symantec Data Loss Prevention Enforce/Detection Servers for Windows versiones 8.1.1, 9.x, 10.0 y 10.5
Symantec Data Loss Prevention Enforce/Detection Servers for Linux versiones 8.1.1, 9.x, 10.0 y 10.5
Symantec Data Loss Prevention Endpoint Agents versiones 8.1.1, 9.x, 10.0 y 10.5
Symantec IM Manager 2007 versiones 8.4.x
IBM Lotus Notes versiones 5.x, 6.x, 7.x, 8.0.x y 8.5.x

Symantec ha publicado actualizaciones y contramedidas para corregir (o mitigar) los problemas, disponibles a través del aviso publicado en:
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20100727_01

IBM recomienda instalar la actualización:
http://www.ibm.com/eserver/support/fixes/fixcentral/swg/quickorder?brandid=2&productid=Lotus%20Notes&fixes=Notes_Keyview_Security_Fixes_0719
O actualizar a IBM Lotus Notes versión 8.0.2 Fix Pack 6 o versión 8.5.1 Fix Pack 4.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Advisories Relating to Symantec Products - Multi-Vendor Autonomy KeyView Filter Multiple Security Issues
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2010&suid=20100727_01

(July 2010) Fixes for potential security vulnerabilities in Lotus Notes file viewers
http://www-01.ibm.com/support/docview.wss?uid=swg21440812

martes, 27 de julio de 2010

Actualización para el navegador Google Chrome

Google ha publicado una actualización de su navegador Chrome para Linux, Mac y Windows. Esta nueva versión está destinada a corregir cinco vulnerabilidades. Según la propia clasificación de Google tres son de gravedad alta, una media y una última de nivel bajo.

Las vulnerabilidades más graves están relacionadas con un problema en el tratamiento de canvas de gran tamaño, una corrupción de memoria en el código de representación y una corrupción de memoria en el tratamiento de SVG. La vulnerabilidad de gravedad media se refiere a una divulgación de contenidos de la memoria en el código de disposición. Por último también se ha corregido un error relacionado con el tratamiento incorrecto de nombres de hosts.

Para evitar estos problemas, Google ha publicado la versión Chrome 5.0.375.125 para sistemas Linux, Mac y Windows. Esta actualización se instalará de forma automática en las últimas versiones del navegador; o de forma manual desde la opción "Acerca de Google Chrome".
También está disponible para descarga desde http://www.google.com/chrome


Antonio Ropero
antonior@hispasec.com


Más información:

Stable Channel Update
http://googlechromereleases.blogspot.com/2010/07/stable-channel-update_26.html

lunes, 26 de julio de 2010

Publicada nueva versión de Apache

Se ha publicado la versión 2.2.16 del servidor web Apache, con objeto de corregir dos vulnerabilidades de denegación de servicio en los módulos "mod_cache" y "mod_dav" y otra de divulgación de información sensible en "mod_proxy_http".

El primer problema reside en la forma en que se procesan las solicitudes por los módulos "mod_cache" y "mod_dav". Un atacante remoto podría causar una denegación de servicio en determinadas condiciones mediante el envío de peticiones HTTP especialmente manipuladas. Hay que señalar que el módulo "mod_cache" se ve afectado solamente si se hace uso de la directiva "CacheIgnoreURLSessionIdentifiers".

También se ha corregido un error en la detección de tiempo de espera en "mod_proxy_http.c" que podría permitir que bajo determinadas condiciones, el servidor devuelva una respuesta destinada a otro usuario. Sólo se ven afectados los sistemas operativos Windows, Netware y OS2.

Se recomienda actualizar a Apache 2.2.16 desde http://httpd.apache.org/download.cgi


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Fixed in Apache httpd 2.2.16
http://httpd.apache.org/security/vulnerabilities_22.html

domingo, 25 de julio de 2010

Nuevas versiones de PHP solucionan varios fallos de seguridad

Se han publicado recientemente nuevas versiones de PHP (versiones 5.2.14 y 5.3.3) que solucionan múltiples problemas de seguridad, que podrían permitir evitar restricciones de seguridad, provocar denegaciones de servicio, obtener información sensible o comprometer los sistemas afectados.

PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.

Los fallos están relacionados con errores de diseño, desbordamientos de búfer, errores de validación de entradas, y afectan a funciones como "shm_put_var()", XOR operator, "ArrayObject::uasort()", "parse_str()", "pack()", "strchr()", "strstr()", "substr()", "chunk_split()", "strtok()", "addcslashes()", "str_repeat()", "trim()", "addcslashes()", "fnmatch()", "substr_replace()", extensión sqlite, extensión phar, "mysqlnd_list_fields", "mysqlnd_change_user" y mysqlnd.

De todos estos errores sólo se han asignado cuatro CVEs. Dos comunes en ambas versiones y uno específico para cada una de ellas; un total de tres fallos (con CVE asignado) por versión.

CVE-2010-2225:
Esta vulnerabilidad fue anunciada en la conferencia SyScan'10 de Singapore y posteriormente publicada en "el mes de los fallos en PHP". Este fallo se provoca cuando se llama a la función "unserialize" con un objeto "SplObjectStorage". La función "unserialize" no filtra adecuadamente los datos al cargar el objeto. Esto podría permitir a un atacante remoto ejecutar código arbitrario y obtener información sensible. Para la versión 5.2.x solo son vulnerables la versiones de 32 bits. El impacto puede mitigarse con el módulo "Suhosin" pero sigue
siendo vulnerable.

CVE-2010-0397:
Este error había sido publicado por Debian en marzo. Es causado por no procesar correctamente los datos del primer parámetro de la función "xmlrpc_decode_request". Este error en el módulo "xmlrpc" puede provocar una referencia a puntero nulo. Un atacante remoto podría aprovechar este fallo para causar una denegación de servicio a través de una llamada a "xmlrpc_decode_request" especialmente manipulada. Existe una prueba de concepto que permite explotar esta vulnerabilidad.

En la versión 5.3.3 se ha solucionado un error (CVE-2010-2531) en la función "var_export" que podría permitir la fuga de información si ocurre un error grave. El fallo se debe a que los datos se van imprimiendo durante el transcurso de la función en vez de esperar al final para imprimir todo el contenido. Para solucionar esto se ha creado una variable de tipo "smart_str" donde se aloja el texto para imprimirlo tras comprobar que no hay errores.

En la versión 5.2.14 se ha solucionado un error (CVE-2010-2484) en la función "strrchr". Esta función no valida correctamente el valor del parámetro "$haystack". Un atacante remoto podría utilizar esto para obtener información de la memoria.

Las nuevas versiones se encuentran disponibles para descarga desde:
http://www.php.net/downloads.php


Victor Antonio Torre
vtorre@hispasec.com


Más información:

PHP 5.3.3 Released:
http://www.php.net/archive/2010.php#id2010-07-22-2

PHP 5.2.14 Released:
http://www.php.net/archive/2010.php#id2010-07-22-1

Info sobre CVE-2010-2225:
http://www.php-security.org/2010/06/25/mops-2010-061-php-splobjectstorage-deserialization-use-after-free-vulnerability/index.html
http://svn.php.net/viewvc?view=revision&revision=300843
https://bugzilla.redhat.com/show_bug.cgi?id=605641

Info sobre CVE-2010-0397:
http://bugs.debian.org/573573
http://bugs.php.net/51288

Info sobre CVE-2010-2531:
http://svn.php.net/viewvc?view=revision&revision=301143

Info sobre CVE-2010-2484:
http://svn.php.net/viewvc?view=revision&revision=300916

sábado, 24 de julio de 2010

Firefox introduce una grave vulnerabilidad con sus últimos parches

El día 20 de julio Mozilla anunciaba la nueva versión 3.6.7 y 3.5.11 de su navegador, que corregía 15 vulnerabilidades en 14 boletines de seguridad diferentes. Tres días más tarde ya está disponible la versión 3.6.8 para solucionar una vulnerabilidad introducida al corregir las anteriores.

La versión 3.6.8 de Firefox se ha tenido que lanzar con cierta urgencia (solo tres días después de publicar la versión 3.6.7) para corregir una vulnerabilidad que permite la ejecución de código arbitrario. La solución introducida en la versión 3.6.7 para corregir un problema de manejo de plugins, introducía un fallo que, bajo ciertas circunstancias, podría producir un desbordamiento de memoria intermedia. Esto podría permitir la ejecución de código arbitrario.

Para solucionarlo han publicado la versión 3.6.8 y el boletín MFSA2010-48 describiendo el fallo.

La versión 3.6.7 ha sido por tanto bastante efímera, aunque no es la primera vez que ocurre con el navegador. La versión 3.6.4 apareció el 22 de junio, y desde entonces en menos de un mes se han publicado varias subversiones.

En la versión 3.6.4 los desarrolladores añadieron cierta protección contra los "cuelgues" de algunos plugins, para que no hicieran que todo el navegador dejase de responder. Para ello añadieron un "timeout": si el plugin no respondía en ese tiempo, Firefox tomaba el control terminando la tarea. Así se evitaba que el cuelgue arrastrase a todo el navegador.

Sin embargo se dieron cuenta de que el "timeout" introducido era muy corto. Solo 10 segundos. Algunos plugins, como Flash, pueden no responder durante ese tiempo en algunas máquinas sin que signifique que el complemento haya dejado de responder necesariamente. En muy pocos días, se produjo una "travesía" hasta la versión 3.6.6 para corregir ese fallo, y aumentar el "timeout" hasta unos 45 segundos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The Adobe Flash plugin has crashed
http://support.mozilla.com/en-US/kb/The+Adobe+Flash+plugin+has+crashed

Mozilla Foundation Security Advisory 2010-48
http://www.mozilla.org/security/announce/2010/mfsa2010-48.html

viernes, 23 de julio de 2010

Revelación de información a través del servidor FTP de AIX 5.x

Existe un fallo en el servidor FTP a la hora de manejar comandos NLST a los que se le pasan parámetros especialmente manipulados. Esto podría ser aprovechado por un atacante remoto para provocar un volcado del core del proceso FTP accesible por este medio. Entre esos datos, podrían encontrarse hashes de contraseñas.
Un atacante podría enviar un comando NLST a un servidor FTP (al que se debe tener previamente acceso aunque sea con cuenta de enviado) seguido de unos 5000 caracteres para provcar el volcado. Luego el fichero con los hashes (que previamente debe generar con intentos fallidos de adivinar la contraseña) quedará accesible para descarga.

Bajo estas circunstancias, el atacante necesitaría ahora usar fuerza bruta para obtener las contraseñas en texto claro. Otras versiones podrían verse afectadas.

Se ha hecho público un exploit capaz de aprovechar el fallo. No existe parche oficial disponible.

Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

AIX5l with FTP-Server Remote Root Hash Disclosure Exploit
http://www.exploit-db.com/exploits/14409/

jueves, 22 de julio de 2010

Escalada de directorios en Cisco Content Delivery System

Cisco ha anunciado la existencia de una vulnerabilidad en Cisco Content Delivery System (CDS), y que podría permitir a un atacante conseguir acceso no autorizado a archivos arbitrarios de los sistemas afectados.

El problema reside en un error de validación de entradas en el servidor web de la aplicación Internet Streamer, que un atacante podría aprovechar para acceder a los contenidos de cualquier archivo (archivos de contraseñas, logs, configuraciónes, etc.) mediante ataques de escalada de directorios.

Se ven afectadas las versiones de Cisco Content Delivery System (CDS) 2.2.x, 2.3.x, 2.4.x y las anteriores a la 2.5.7.

Se recomienda actualizar a la versión 2.5.7 o posterior, y como contramedida aplicar reglas de servicio para impedir la escalada de directorios. Se recomieda consultar el aviso de Cisco disponible en:
http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: CDS Internet Streamer: Web Server Directory Traversal Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml

miércoles, 21 de julio de 2010

La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido

El último ataque contra Windows (con enlaces directos) fue descubierto a través de un troyano que ha sido bautizado como Stuxnet. Una de sus características era que los drivers que usaba estaban firmados digitalmente por la famosa empresa china Realtek. Ahora, después de que hayan sido revocados, los atacantes han comenzado a utilizar los de otra empresa legítima: JMicron Technology Corporation.

Los drivers de Stuxnet utilizados como rootkit, estaban firmados digitalmente por la famosa empresa china Realtek. Esto significa que, en principio, solo Realtek puede ser responsable de ese código... excepto que su clave privada haya sido comprometida de alguna forma, cosa que no se ha confirmado todavía. En cualquier caso, Microsoft ha trabajado con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también). Parece que ante este "contratiempo" los atacantes han reaccionado firmando su troyano de nuevo con un certificado válido de otra empresa Taiwanesa dedicada también a crear controladores, llamada JMicron.

Según ha notado Pierre-Marc Bureau de ESET, la única relación entre esas dos compañías es que comparten oficinas en Hsinchu Science Park, Taiwan. Esto abre las puertas a todo tipo de suposiciones: un atacante ha podido introducirse físicamente en el edificio y aprovechar algún error gracias a la ingeniería social... o se ha realizado un ataque dirigido a ambas compañías... o simplemente han comprado los certificados robados a un tercero... o quizás ninguna de estas hipótesis y compartir oficinas es solo una coincidencia.

Microsoft, para comprobar la firma de binarios, utiliza Authenticode. Los ficheros pueden estar firmados digitalmente con la clave privada del fabricante o programador (Microsoft los llama "editores" en Windows). De esta forma, gracias a la criptografía asimétrica, podemos saber que el código viene de quien dice venir, y que teóricamente no ha sido alterado por nadie sin su permiso. Windows presenta este tipo de avisos antes de lanzar un ejecutable y sirven como "control de calidad" de drivers. Nos advierten básicamente de que el binario está firmado por el fabricante de turno, y pregunta qué queremos hacer. En el diálogo, nos indica que:

"Aunque los archivos procedentes de Internet pueden llegar a ser útiles, este tipo de archivo puede llegar a dañar el equipo. Solo ejecute software de los editores en los que confía"

Y efectivamente, esa es la situación ideal: ejecutar código solo de quien se confía. Aunque no siempre es cierto, como es el caso, si al editor confiable le han robado el certificado y usurpado la identidad.

¿De cuántos más certificados válidos dispondrán estos atacantes? Un curioso caso que nos da una idea de hasta dónde llega el malware profesional.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Win32/Stuxnet Signed Binaries
http://blog.eset.com/2010/07/19/win32stuxnet-signed-binaries

martes, 20 de julio de 2010

Denegación de servicio a través de "RRSIG" en Bind 9.7.x

ISC (Internet System Consortium) ha publicado una actualización para BIND que corregir un problema que se introdujo en la versión 9.7.1, relacionado con la validación de resoluciones recursivas.

BIND 9 es el servidor DNS más extendido en Internet. Creado originalmente por cuatro estudiantes de la universidad de Berkeley (California), en los años 80, actualmente es mantenido por el consorcio ISC. El código de BIND se reescribió desde cero en parte debido a las numerosas vulnerabilidades que fueron apareciendo y la dificultad para implementar mejoras con la base de código anterior. BIND 8 fue descontinuado en 2007. Contuvo numerosos problemas de seguridad que fueron aprovechados durante toda la década de los 90.

El problema corregido tiene relación con la validación de resoluciones recursivas explícitamente indicadas mediante peticiones "RRSIG". Un atacante remoto podría aprovechar éste problema para causar una denegación de servicio a través de un paquete "RRSIG" especialmente diseñado. Este tipo de consultas no se producen durante la operación normal con DNSSEC.

Se ha publicado la versión BIND 9.7.1-P2 disponible desde:
http://www.isc.org/software/bind/971-p2


Antonio Ropero
antonior@hispasec.com


Más información:

BIND 9.7.1-P2 is a SECURITY PATCH for BIND 9.7.1.
http://www.isc.org/files/release-notes/BIND971P2.txt.txt

RRSIG query handling bug in BIND 9.7.1
http://www.isc.org/software/bind/advisories/cve-2010-0213

lunes, 19 de julio de 2010

Actualización de seguridad para Apple iTunes

Apple ha publicado una actualización de iTunes para corregir una vulnerabilidad en iTunes (versiones anteriores a la 9.2.1) que un atacante remoto podría aprovechar para causar una denegación de servicio o ejecutar código arbitrario.

iTunes es una aplicación para Mac y Windows que permite organizar y reproducir distintos formatos multimedia. Además permite sincronizar un iPod, iPhone o Apple TV.

El problema reside en un desbordamiento de búfer en el tratamiento de URLs "itpc:" específicamente construidas. Un atacante podría aprovechar este problema para provocar la caída de la aplicación o lograr ejecutar código arbitrario si convence al usuario a visitar una URL manipulada.

Apple ha publicado la versión 9.2.1 de iTunes que corrige este problema.


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of iTunes 9.2.1
http://support.apple.com/kb/HT4263

domingo, 18 de julio de 2010

Se hace público el exploit de la última (y grave) vulnerabilidad en Windows

El pasado 16 de julio publicábamos una noticia sobre una "interesante" vulnerabilidad en Windows que estaba siendo aprovechada por un peligroso troyano. El peor de los escenarios se presenta ahora para Microsoft, puesto que se han hecho públicos todos los detalles para aprovechar el fallo y, por tanto, se espera que aparezcan nuevos troyanos aprovechando una peligrosa vulnerabilidad para la que todavía no hay parche.

Informábamos hace algunos días de una forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. El fallo se aprovecha a través de archivos LNK (accesos directos) y supone un duro varapalo para Microsoft, pues los atacantes han conseguido descubrir la manera de eludir todas las medidas que se han tomado contra la ejecución automática en Windows.

Escribíamos entonces que "Tarde o temprano los detalles técnicos sobre la vulnerabilidad en accesos directos saldrán a la luz, y todo tipo de malware comenzará a usar este nuevo método para propagarse por llaves USB". Ha sido más temprano que tarde, puesto que ya se han hecho públicos todos los detalles y la posibilidad de aprovechar el fallo está al alcance de cualquiera. La situación es, por tanto, muy grave.

Se espera pues un incremento de malware que se propague por dispositivos extraíbles puesto que en estos momentos (y hasta que Microsoft saque un parche), todos los Windows, independientemente de que esté actualizados y bien configurados, podrían llegar a ejecutar un fichero de forma "silenciosa" si se inserta un dispositivo extraíble como una llave USB.

Por ahora, la única forma de que la vulnerabilidad no funcione es realizando el siguiente cambio (aunque se perderá funcionalidad, por lo que es conveniente realizar una copia de seguridad para restaurar el valor cuando el problema esté solucionado):

* Poner en blanco el valor predeterminado (default) de la rama del registro:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

* Detener y deshabilitar el servicio "cliente web" (WebClient).

No está de más recordar que no se deben usar dispositivos extraíbles de dudosa procedencia. Aun así, se deben tomar las precauciones oportunas incluso contra los dispositivos en los que se confíe.

Lo más probable es que Microsoft publique el parche en cuanto esté disponible, independientemente de su ciclo de actualizaciones. Ahora que el problema es público y puede ser aprovechado por cualquiera, suponemos que muy posiblemente se adelante con respecto a la siguiente tanda de parches (programada para el 10 de agosto) o se retrase levemente con respecto a ésta. Esperamos en cualquier caso que no haya que esperar hasta septiembre para obtener una solución oficial.


Sergio de los Santos
ssantos@hispasec.com


Más información:

CVE-2010-2568 Lnk shorcut
http://www.ivanlef0u.tuxfamily.org/?p=411

sábado, 17 de julio de 2010

Firefox y la (in)seguridad de sus extensiones y complementos

Vuelve a ocurrir. Un plugin para el navegador Firefox, alojado en la página oficial de Mozilla, estaba siendo utilizado para robar las contraseñas de los usuarios que lo utilizaran. También se ha hecho público que otro plugin contenía una grave vulnerabilidad que permitía la ejecución de código en el navegador. Es la cuarta vez que Mozilla sufre un incidente de seguridad relacionado con sus extensiones y complementos.

Uno de los mayores atractivos de Mozilla Firefox es la capacidad de extender su funcionalidad casi indefinidamente gracias a las extensiones. Existen miles, muy útiles, que han popularizado el navegador y lo han convertido además en una herramienta muy potente. Pero en esta ventaja radica también una de sus debilidades: la facilidad por parte de terceros para crear extensiones y alojarlas en la web oficial de Mozilla se está convirtiendo en un problema para los desarrolladores, que de nuevo han alojado una extensión peligrosa en addons.mozilla.org.

Mozilla Sniffer, una extensión disponible desde el 6 de junio en la página oficial, enviaba las contraseñas que el usuario introducía en los formularios a un sitio remoto, con el fin de robarlas. Era publicitada como una modificación del plugin TamperData. El problema ha sido descubierto el 12 de julio, y en ese espacio de tiempo ha sido descargado unas 1.800 veces. Mozilla alega que se encontraba en un estado "experimental", pero el problema va más allá.

En mayo de 2008 la Fundación Mozilla distribuyó por error el plugin del idioma vietnamita infectado con adware. Aunque prometió literalmente "analizar más a menudo sus archivos para evitar que esto vuelva a ocurrir", volvió a ocurrir en febrero de 2010. La fundación Mozilla informaba de que dos complementos "experimentales" para el navegador Firefox contenían troyanos para Windows. Entonces escribíamos en una-al-día: "hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero el añadir nuevos métodos antivirus puede mitigar el problema aunque no tiene por qué solucionarlo."

Efectivamente, no lo ha solucionado. El problema con Mozilla Sniffer y por lo que ha pasado desapercibido para los antivirus, es que se trataba simplemente de una extensión programada específicamente para robar contraseñas silenciosamente. Solo una revisión pormenorizada del código, sin automatismos, hubiese revelado la funcionalidad oculta. Esto ataca directamente a la raíz del problema "de toda la vida" de la detección vírica: ¿qué es "malware"? Cualquier cosa programada con malas intenciones sin hacer partícipe al usuario. Desde luego, el malware no es exclusivamente "lo que detectan los antivirus", idea que un marketing agresivo y a veces irresponsable de las casas antivirus han incrustado en el usuario medio. Si Mozilla solo analiza sus complementos con antivirus asiduamente, estaba mitigando el problema, pero no lo solucionaba: detectará lo conocido y dejará pasar cualquier funcionalidad oculta específicamente diseñada, como ha ocurrido.

En defensa de Mozilla hay que decir que en su repositorio deja claro que ciertas extensiones no han sido verificadas, o que el autor es desconocido... en estos casos se delega en el usuario la responsabilidad de utilizar el código en entornos de producción. Pero todos sabemos que trasladar la responsabilidad al usuario no siempre acarrea buenos resultados.

Además, se ha detectado que el add-on CoolPreviews, contenía una vulnerabilidad que permitía la ejecución de código. La versión vulnerable ha sido descargada 177.000 veces.

Mozilla ha bloqueado estas extensiones, y anuncia que mejorará su proceso de validación y publicación, reconociendo implícitamente que se están cometiendo errores. A partir de ahora (de nuevo, a posteriori) dice que revisarán exhaustivamente el código antes de poner a disposición de todos una extensión en su web.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Add-on security vulnerability announcement
http://blog.mozilla.com/addons/2010/07/13/add-on-security-announcement/

07/02/2010 Mozilla distribuye (otra vez) plugins para Firefox infectados
con malware desde el sitio oficial
http://www.hispasec.com/unaaldia/4124

viernes, 16 de julio de 2010

Interesante (y peligroso) troyano que aprovecha un interesante (y peligroso) 0 day en Microsoft Windows

Se ha descubierto un nuevo ataque contra Windows, que aprovecha una vulnerabilidad previamente desconocida. Lo interesante (y peligroso) en este caso, es que esta vulnerabilidad ha sido utilizada como nuevo método "revolucionario" para eludir la desactivación de AutoRun y ejecutarse bajo cualquier circunstancia cuando se inserta en el sistema una memoria USB extraíble, por ejemplo. Además, el troyano ha sido firmado digitalmente por una compañía legítima.

Cómo ha sido descubierto

VirusBlokAda descubrió, ya el 17 de junio (lo que da una idea de la posible cantidad de tiempo que esta amenaza lleva atacando silenciosamente) módulos de un malware nuevo. Pasadas unas semanas, alertaron sobre algo realmente inusual en este troyano: su forma de propagarse a través de memorias USB prescindiendo del tradicional archivo autorun.inf, que permite la ejecución automática cuando se detecta un dispositivo extraíble y funcionalidad contra la que Microsoft lleva tiempo luchando.

El troyano usaba en cierta manera, una vulnerabilidad (para la que no existe parche) en archivos .LNK (accesos directos), que permite la ejecución de código aunque el AutoPlay y AutoRun se encuentren desactivados. A efectos prácticos, implica que se ha descubierto una nueva forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo.

Para qué estaba siendo usado

Independientemente de su método de propagación, el investigador Frank_Boldewin comenzó a analizar una de las muestras y descubrió que el objetivo del malware estaba dirigido específicamente contra sistemas SCADA WinCC de Siemens, que se ejecutan en Windows. Dentro de su código contenía la contraseña por defecto "2WSXcder" para la base de datos central del producto de Siemens, y al parecer el fabricante recomienda no modificarla. Por tanto el troyano conseguía acceso de administración de la base de datos. Los sistemas "Supervisory Control and Data Acquisition (SCADA)" son programas críticos de producción industrial: toman datos muy sensibles de sensores de una fábrica, por ejemplo, y los envían a un sistema central para ser controlados. Se usan en grandes plantas de tratamiento de aguas, control eléctrico, de tráfico... Por tanto, se trata de un malware destinado a un perfil muy diferente del usuario "medio". En otras palabras, malware para al espionaje industrial. Se está usando sobre todo en Indonesia, India e Irán.

Un malware muy profesional

El troyano se esconde con habilidades de rootkit para pasar desapercibido en los sistemas en los que consigue instalarse. Llama la atención, como se ha mencionado, el uso de una vulnerabilidad desconocida hasta ahora en los accesos directos, lo que da una nueva vuelta de tuerca a la pesadilla del AutoRun para Microsoft. Lejos de usar el tradicional autorun.inf (contra el que ya se puso remedio), se propaga en llaves USB en forma de archivos del tipo ~WTR4132.tmp, por ejemplo. Se parecen mucho a los ficheros temporales de Word que usa Office internamente cuando un fichero está en uso.

Para colmo, el troyano utiliza para su funcionalidad de rootkit unos drivers firmados digitalmente por la famosa empresa china Realtek. Esto significa que, en principio, solo Realtek puede ser responsable de ese código... excepto que su clave privada haya sido comprometida de alguna forma, cosa que no se ha confirmado todavía. En cualquier caso, Microsoft, muy acertadamente, ha trabajado con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también). Esto quiere decir que los sistemas bien configurados (que no puedan instalar drivers no firmados o firmados con certificados revocados) no sufrirán este problema... eso sí, tendrán que actualizar su lista de certificados a través de windowsupdate.com.

El uso de certificados legítimos es de lo más interesante para un malware, y lo hace una pieza casi única. Otros troyanos han sido firmados antes, pero no nos consta que se haya realizado la firma con un certificado válido de una empresa reconocida.

Y ahora qué

Pues este malware pone de nuevo sobre la mesa las posibilidades de la creación de troyanos específicos, de amenazas personalizadas y "trabajadas" convenientemente para pasar desapercibidas. O sea: usando vulnerabilidades no conocidas, criptografía, rootkits....

Tarde o temprano los detalles técnicos sobre la vulnerabilidad en accesos directos saldrán a la luz, y todo tipo de malware comenzará a usar este nuevo método para propagarse por llaves USB. Recordemos el éxito de Conficker en octubre de 2009, que también encontró una forma de eludir la desactivación de AutoRun en Windows (gracias a una modificación en autorun.inf que no se tuvo en cuenta) y que obligó a Microsoft a modificar toda su filosofía en este sentido y desactivar (se creía que de forma eficaz hasta ahora) por completo el dichoso AutoRun.

Microsoft ha publicado un alerta reconociendo la vulnerabilidad y recomendando estas contramedidas:

* Poner en blanco el valor predeterminado (default) de la rama del registro:
HKEY_CLASSES_ROOT\lnkfile\shellex\IconHandler

* Detener y deshabilitar el servicio "cliente web" (WebClient).

Además, lo de siempre: no usar la cuenta de administrador, mantenerse informado, no usar memorias USB no confiables y mantener actualizado el sistema y el antivirus.

Sergio de los Santos
ssantos@hispasec.com


Más información:

The Stuxnet Sting
http://blogs.technet.com/b/mmpc/archive/2010/07/16/the-stuxnet-sting.aspx

Rootkit.TmpHider
http://www.wilderssecurity.com/showpost.php?p=1712134&postcount=22

jueves, 15 de julio de 2010

Múltiples vulnerabilidades en Novell GroupWise

Se han anunciado múltiples vulnerabilidades en Novell GroupWise, que podrían permitir a un atacante realizar ataques de denegación de servicio, robar información sensible y comprometer los sistemas afectados. Se ven afectadas las versiones Novell GroupWise version 7.0, 7.01, 7.02, 7.03x, 8.0 y 8.01x.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc.

Dos de los problemas se deben a errores de validación de entradas en la interfaz http de los agentes GroupWise (Message Transfer Agent, Post Office Agent, Internet Agent, WebAccess Agent, Monitor Agent), que podría permitir la realización de ataques de cross site scripting o inyectar cabeceras arbitrarias.
Otras vulnerabilidades residen en errores de validación de entradas en el componente WebAccess, que podría permitir la realización de ataques de cross site scripting.

También se ha detectado un problema debido a que determinados parámetros que se pasan a GroupWise WebAccess exponen información de autenticación en el navegador del usuario.

Un último problema reside en un desbordamiento de búfer en el agente Internet cuando procesa peticiones específicamente construidas, que podría permitir a atacantes autenticados ejecutar código arbitrario.

Para Novell GroupWise versión 8.0 se recomienda instalar GroupWise 8.0 Support Pack 2 (SP2) o posterior.
Para Novell GroupWise versiones 7.x se recomienda instalar GroupWise 7.0 Support Pack 4 (SP4) o posterior.


Antonio Ropero
antonior@hispasec.com


Más información:

Cross-Site Scripting (XSS) Security Vulnerability in GroupWise Agent HTTP interfaces
http://www.novell.com/support/viewContent.do?externalId=7006371

Security Vulnerability (HTTP Header Injection) in GroupWise Agent HTTP Interfaces
http://www.novell.com/support/viewContent.do?externalId=7006372

Security Vulnerability - GroupWise WebAccess Potentially Exposes Authentication Information
http://www.novell.com/support/viewContent.do?externalId=7006373

GroupWise Internet Agent Stack Overflow Security Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7006374

GroupWise WebAccess Javascript Cross-Site Scripting (XSS) Security Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7006375

GroupWise WebAccess Cross-Site Scripting (XSS) Security Vulnerability on Replies
http://www.novell.com/support/viewContent.do?externalId=7006376

Security Vulnerability (XSS via Header Injection) in GroupWise WebAccess
http://www.novell.com/support/viewContent.do?externalId=7006377

GroupWise 8 WebAccess Javascript/HTML injection XSS Security Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7006379

miércoles, 14 de julio de 2010

Grupo de parches de julio para múltiples productos Oracle

Oracle ha publicado un conjunto de 59 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g Release 2, versión 11.2.0.1
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4
* Oracle Database 10g, versión 10.1.0.5
* Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV
* Oracle TimesTen In-Memory Database, versiones 7.0.6.0, 11.2.1.4.1
* Oracle Secure Backup versión 10.3.0.1
* Oracle Application Server, 10gR2, versión 10.1.2.3.0
* Oracle Identity Management 10g, versión 10.1.4.0.1
* Oracle WebLogic Server 11gR1 (10.3.1, 10.3.2 y 10.3.3)
* Oracle WebLogic Server 10gR3 (10.3.0)
* Oracle WebLogic Server 10.0 hasta MP2
* Oracle WebLogic Server 9.0, 9.1, 9.2 hasta MP3
* Oracle WebLogic Server 8.1 hasta SP6
* Oracle WebLogic Server 7.0 hasta SP7
* Oracle JRockit R28.0.0 y anteriores (JDK/JRE 5 y 6)
* Oracle JRockit R27.6.6 y anteriores (JDK/JRE 1.4.2, 5 y 6)
* Oracle Business Process Management, versiones 5.7.3, 6.0.5, 10.3.1, 10.3.2
* Oracle Enterprise Manager Grid Control 10g Release 5, versión 10.2.0.5
* Oracle Enterprise Manager Grid Control 10g Release 1, versión 10.1.0.6
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1 y 12.1.2
* Oracle E-Business Suite Release 11i, versiones 11.5.10, 11.5.10.2
* Oracle Transportation Manager, Versiones: 5.5.05.07, 5.5.06.00, 6.0.03
* PeopleSoft Enterprise Campus Solutions, versión 9.0
* PeopleSoft Enterprise CRM, versiones 9.0 y 9.1
* PeopleSoft Enterprise FSCM, versiones 8.9, 9.0 y 9.1
* PeopleSoft Enterprise HCM, versiones 8.9, 9.0 y 9.1
* PeopleSoft Enterprise PeopleTools, versiones 8.49 y 8.50
* Oracle Sun Product Suite

Hay que recordar que desde la anterior actualización se incluyen los parches para el sistema operativo Solaris. Tras la compra de Sun por parte de Oracle, las actualizaciones de Sun pasan a integrarse dentro del calendario de publicaciones trimestrales.

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas.

Trece parches afectan a Oracle Database. Ocho de los problemas corregidos son explotables remotamente.

Siente parches afectan a Oracle Fusion Middleware. Cinco de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: JRockit, WebLogicServer, Oracle Business Process Management, Wireless y Application Server Control.

Un parche afecta a Oracle Enterprise Manager Grid Control. La vulnerabilidad podría ser explotada por un atacante remoto sin autenticar. El componente afectado es la consola.

17 parches afectan a Oracle Applications. 7 de ellas son para Oracle E-Business Suite, 2 para Oracle Supply Chain Products Suite y 8 a Oracle PeopleSoft and JDEdwards Suite. En total seis vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar.

21 parches afectan a la suite de productos Oracle Sun. Siete de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Solaris, Sun Java System Web Proxy Server, Sun Convergence, Access Manager/OpenSSO, OpenSSO, Solaris Studio, Sun GlassFish Enterprise Server y Sun Java System Application Server.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:

Oracle Critical Patch Update Advisory - July 2010
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html


Antonio Ropero
antonior@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - July 2010
http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujul2010.html

martes, 13 de julio de 2010

Boletines de seguridad de Microsoft en julio

Este martes Microsoft ha publicado cuatro boletines de seguridad (del MS10-042 al MS10-045) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que el restante es clasificado como "importantes".

Los boletines "críticos" son:

* MS10-042: Actualización para corregir una vulnerabilidad en Windows Help y Centro de Soporte de Windows XP y Windows Server 2003, que podría permitir la ejecución remota de código si un usuario visitaba una página web específicamente creada.

* MS10-043: Se trata de una actualización de seguridad para evitar una vulnerabilidad en Canonical Display Driver (cdd.dll) que podrían permitir la ejecución remota de código. Afecta a Microsoft Windows Server 2008 y Windows 7.

* MS10-044: Actualización para solucionar dos vulnerabilidades en Controles ActiveX de Microsoft Office Access, que podrían permitir la ejecución remota de código si un usuario abre un documento Office específicamente creado o visualiza una página web que tenga instancias a controles ActiveX Access.

El boletín clasificado como "importante" es:

* MS10-045: Actualización para corregir una vulnerabilidad en Microsoft Office Outlook que podría permitir la ejecución remota de código si un usuario abre con una versión de Outlook afectada un adjunto con un e-mail específicamente creado.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de julio de 2010
http://www.microsoft.com/spain/technet/security/bulletin/ms10-jul.mspx

Microsoft Security Bulletin MS10-042 - Critical
Vulnerability in Help and Support Center Could Allow Remote Code Execution (2229593)
http://www.microsoft.com/technet/security/Bulletin/MS10-042.mspx

Microsoft Security Bulletin MS10-043 - Critical
Vulnerability in Canonical Display Driver Could Allow Remote Code Execution (2032276)
http://www.microsoft.com/technet/security/Bulletin/MS10-043.mspx

Microsoft Security Bulletin MS10-044 - Critical
Vulnerabilities in Microsoft Office Access ActiveX Controls Could Allow Remote Code Execution (982335)
http://www.microsoft.com/technet/security/bulletin/MS10-044.mspx

Microsoft Security Bulletin MS10-045 - Important
Vulnerability in Microsoft Office Outlook Could Allow Remote Code Execution (978212)
http://www.microsoft.com/technet/security/bulletin/ms10-045.mspx

lunes, 12 de julio de 2010

Vulnerabilidad en Apache Tomcat

Se ha anunciado una vulnerabilidad en Apache Tomcat versiones 5.5, 6 y 7, que podría permitir a un atacante remoto obtener información sensible o realizar ataques de denegación de servicio.

Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por la Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.

El problema reside en un error al reciclar un búfer cuando se procesan peticiones con una cabecera "Transfer-Encoding" específicamente manipulada, lo que podría provocar que no se procesen las siguientes peticiones o que la información de otras peticiones se filtre al atacante.

Se han publicado las siguientes actualizaciones:
Para Tomcat 5.5.x se recomienda actualizar a la versión 5.5.30 o aplicar el parche:
http://svn.apache.org/viewvc?view=revision&revision=959428
Para Tomcat 6.0.x se recomienda actualizar a la versión 6.0.28 o instalar el parche:
http://svn.apache.org/viewvc?view=revision&revision=958977
Para Tomcat 7.0.x se recomienda actualizar a la próxima versión 7.0.1 o instalar:
http://svn.apache.org/viewvc?view=revision&revision=958911


Antonio Ropero
antonior@hispasec.com


Más información:

Apache Tomcat
http://tomcat.apache.org/security-7.html

domingo, 11 de julio de 2010

Hasta siempre, Windows 2000 y Service Pack 2 (y II)

Microsoft quiere deshacerse cuanto antes de ciertos lastres que le vienen persiguiendo desde sus inicios. Para ello, debe dejar de dar soporte a sus sistemas operativos más antiguos y centrarse en Vista, 7 y 2008, únicos desarrollados completamente bajo una perspectiva en la que prima la seguridad. Dados los resultados, sin duda es un acierto. Son sistemas operativos muy seguros y, en concreto con Windows 7, han conseguido incluso que resulten atractivos para el usuario medio.

A partir del día 13, Microsoft solo soportará XP Service Pack 3 y todas las versiones de Vista, 2003 y 2008 y Windows 7, abandonando el último reducto de lo que representa una época eficaz para Microsoft, pero muy poco estimulante desde el punto de vista de la seguridad. Comienza una nueva página.

Pero el hecho de dejar de publicar parches para 2000 y XP SP2 no hará que automáticamente, todos los usuarios migren a sistemas operativos más modernos de Microsoft. Solo hay que asomarse a las pantallas de los ordenadores de grandes almacenes, supermercados, etc. para comprobar que XP SP2 y Windows 2000 (este último especialmente) siguen más que vigentes. Si sus administradores no están atentos y dado el caso, intentan mitigar de alguna forma las vulnerabilidades que vayan apareciendo, pueden tener un serio problema de seguridad. Incluso, habrá fallos que no podrán ser parcheados ni mitigados de ninguna forma y, por tanto, estarán expuestos sin remedio a la vulnerabilidad de turno.

Hoy en día no son pocas las empresas (y la mayoría de cajeros automáticos en España, por poner un ejemplo) que mantienen un NT. En la vida real, parece tener prioridad el hecho de funcionar y cumplir con su misión que permanecer seguro. Los Windows NT en activo, a pesar de carecer de parches desde hace unos seis años, parece que sobreviven sin grandes catástrofes que percibamos… entonces ¿por qué preocuparnos ahora del soporte de XP y 2000? Pensamos que la situación es diferente.

Cuando NT dejó de tener soporte, ya era un sistema obsoleto frente a sus hermanos mayores. Había un fuerte aliciente para cambiar. Hoy en día, el cambio se hace más complejo puesto que XP SP2 (e incluso 2000) colma las expectativas para muchos. También hay que pensar en que cuando NT dejó de tener soporte, su cuota de mercado era ya menor que la que hoy mantienen XP y 2000 juntos. Existen "ahí fuera" muchos más de los que podamos pensar. Por ejemplo Softchoice dice que el 77% de las empresas mantiene XP SP2 en un 10% de sus máquinas.

Por otro lado, la situación actual del malware, crimen organizado y espionaje, unido a la interdependencia que se ha desarrollado en torno a la información y la Red, hacen muy peligroso para las empresas no mantener sus sistemas perfectamente a punto. Son muchos los secretos que guardar y demasiadas las rendijas que tapar. Si además algunas no pueden ser eliminadas, el esfuerzo para estar seguros debe redoblarse. Todo está "demasiado" interconectado y además dependemos de esa interconexión... esto nos vuelve también más vulnerables.

Se abre una nueva etapa de incertidumbre para estas compañías que no podrán parchear, puesto que tarde o temprano la situación se hará insostenible y tendrá que migrar a otro sistema operativo para continuar funcionando o aislarlos a un entorno sin conexión. La situación será crítica sobre todo, cuando aparezca un grave fallo de seguridad en Internet Explorer, por ejemplo, o una vulnerabilidad aprovechable por un gusano… Los usuarios de XP pueden migrar a SP3 sin que suponga un cambio radical, y tendrán soporte hasta 2014... pero el cambio de Windows 2000 a cualquier sucesor dentro de Windows puede resultar en un importante trauma que se traduzca en costes disparatados. Según el entorno, el paso a otros sistemas operativos puede, simplemente, no estar contemplado.

En todo caso, incluso con todos los problemas que puede acarrear el abandono de estas versiones, se supone que así Microsoft se centrará en la mejora de sus Windows más recientes de forma mucho más eficaz.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Softchoice Analysis Shows 77% of Organizations Could Face Security Risks
due to Windows XP SP2 Support Retirement
http://www.softchoice.com/about/press/article.aspx?y=2010&id=25

sábado, 10 de julio de 2010

Hasta siempre, Windows 2000 y Service Pack 2 (I)

El día 13 de julio Microsoft deja de publicar parches de seguridad para Windows 2000 y XP con Service Pack 2. Esto supone la muerte de estas dos versiones de Windows puesto que, aunque obviamente se podrán seguir usando, a partir de ahora será mucho más complejo mantener el sistema seguro. Y hoy en día sabemos que utilizar un Windows no actualizado es prácticamente un suicidio desde el punto de vista de la seguridad.

Tanto Windows 2000 como XP Service Pack 2, por diferentes razones, suponen un punto de inflexión importante en la historia de Microsoft, por eso esta despedida suena a cambio de página, a salto cualitativo que, con Windows 7, comienza a cuajar.

Windows 2000

Apareció a finales de 1999 y estaba destinado por una parte a derrocar a NT (que todavía cuenta con seguidores) y por otra, a borrar del mapa a su competidor Novell que por entonces todavía tenía una buena parte del pastel de las redes corporativas y directorios jerárquicos. En su versión "professional" destinada a cliente, era el primer sistema operativo de escritorio de Microsoft que separaba el espacio de memoria de usuario de la memoria del núcleo, de forma que un fallo en cualquier programa no arrastraba a todo el sistema operativo. La percepción para el usuario era de que la estabilidad mejoraba sustancialmente con respecto a Windows 9x y Me (lo que no era muy complejo). Por primera vez, Microsoft no jugaba en segunda división con respecto a los sistemas operativos, aunque todavía tenía mucho que aprender.

A pesar de esa sustancial mejora en la arquitectura, el primer problema al que se enfrentó Windows 2000 fue su instalación por defecto con los permisos y configuraciones más "relajadas" que podamos recordar: todo estaba permitido para todos y se instalaban innumerables programas los quisieras o no. Esto le trajo importantes problemas. Aunque se podían configurar los usuarios, los permisos, el NTFS de forma eficaz, no era lo común y muchos administradores preferían dejar el sistema tal y como se instalaba por defecto, algo de lo que no tardaban en arrepentirse.

Después vinieron muchas vulnerabilidades y cuatro Service Packs (el último en junio de 2003, cuando la seguridad comenzaba a ser algo prioritario para Microsoft), además de una colección de parches que se supone hace las veces de Service Pack 5. Windows 2000 no era, desde luego, un sistema operativo perfecto (de hecho dejaba bastante que desear en muchos aspectos), pero supuso un gran paso adelante para Microsoft.

Windows XP Service Pack 2

Este Service Pack para Windows XP fue el primero que se centró en la seguridad. Se mejoraron muchos aspectos y de nuevo, se dio un paso adelante definitivo y se materializó una apuesta en firme al activar el cortafuegos por defecto. Se percibía como una actualización "de" sistema operativo en vez de una actualización "para" el sistema operativo. XP ya mejoraba en muchos aspectos a Windows 2000: no todos los servicios se ejecutaban con todos los privilegios, no se permitía el acceso remoto a las cuentas con contraseñas en blanco, los permisos NTFS no estaban tan relajados... pero el Service Pack añadió además importantes mejoras para el navegador, el cortafuegos… con la ayuda de una buena configuración adicional, XP SP2 es un sistema razonablemente seguro. De hecho, desde que apareció en el verano de 2004, son muchos los usuarios que han permanecido fieles a él. El Service Pack 3, disponible desde abril de 2008, no introdujo cambios sustanciales.

¿Qué ocurrirá desde el punto de vista de la seguridad a partir del día 13 de julio? Reflexionamos sobre el asunto en la siguiente entrega.


Sergio de los Santos
ssantos@hispasec.com



viernes, 9 de julio de 2010

Vulnerabilidad en dispositivos Cisco Industrial Ethernet 3000 Series Switch

Cisco ha anunciado una vulnerabilidad en dispositivos Cisco Industrial Ethernet 3000 Series Switch (con versiones de IOS 12.2(52)SE o 12.2(52)SE1), que podría permitir a usuarios remotos el acceso a los dispositivos.

El problema reside en que el dispositivo hace uso de nombres de comunidad SNMP ("public" y "private") conocidos codificados internamente tanto para lectura como para escritura. Si se borran los nombres de comunidad SNMP, estos volverán a aplicarse cuando se reinicie el dispositivo. Este problema podría permitir a un atacante remoto conseguir acceder al dispositivo y conseguir control total sobre su configuración.

Cisco ha desarrollado una actualización (12.2(55)SE), que está disponible en agosto.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Hard-Coded SNMP Community Names in Cisco Industrial Ethernet 3000 Series Switches Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100707-snmp.shtml

jueves, 8 de julio de 2010

Desbordamiento de búfer en VLC Media Player

Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC 1.0.5 que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

El problema reside en un desbordamiento de búfer en el tratamiento de URLs ftp:// con archivos M3U específicamente creadas. Esto puede ser explotado por atacantes remotos para lograr la ejecución de código y comprometer los sistemas afectados.

Se ve afectada la versión 1.0.5, la versión 1.1.0 no está afectada.


Antonio Ropero
antonior@hispasec.com


Más información:

VLC Media Player Buffer Overflow in Processing ftp:// URLs May Let Remote Users Execute Arbitrary Code
http://securitytracker.com/alerts/2010/Jul/1024172.html

miércoles, 7 de julio de 2010

Vulnerabilidades en Cisco Content Services Switch

Se ha anunciado la existencia de dos vulnerabilidades en los dispositivos Cisco Content Services Switches 11500, que pueden ser explotadas por un usuario malicioso para provocar una denegación de servicio o evitar restricciones de seguridad.

La vulnerabilidad de denegación de servicio (explotable remotamente) reside en el tratamiento de cabeceras HTTP con saltos de línea especialmente manipulados.

Otro problema permitiría saltar restricciones de seguridad mediante el uso de cabeceras HTTP especialmente manipuladas con el parámetro "ClientCert".

Hasta el momento no se ha publicado ninguna actualización para corregir estos problemas.

Para mitigar el riesgo de las cabeceras con "ClientCert" se recomienda el uso del siguiente comando:
ssl-server http-header prefix ""


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco CSS & ACE Certificate Spoofing and Header Manipulation
http://www.vsecurity.com/resources/advisory/20100702-1/

martes, 6 de julio de 2010

Las repercusiones del "full disclosure" (y II)

Publicamos la segunda parte de la noticia sobre las repercusiones que ha tenido la divulgación total de los detalles de una vulnerabilidad en Windows. Muchos defensores y detractores han escrito en sus blogs sobre si la actitud de Tavis Ormandy ha sido irresponsable o no, e incluso se han formado supuestos grupos en contra de Microsoft.

Defensores y detractores de Tavis y el full disclosure

Algunos hablan de la "divulgación responsable" como un avieso término creado por las grandes marcas de software para hacer pensar que cualquier otra vía de divulgación es necesariamente "irresponsable". En realidad, si aceptamos que existe un mercado negro de vulnerabilidades (que existe), el hecho de hacer públicos todos los detalles de alguna de ellas, hace que su valor caiga al instante. En cierta manera, de ese modo se ataca directamente a la industria del malware donde más le duele: devaluando valor de sus activos más preciados.

Igualmente, como sostiene el propio Tavis, si (hipotéticamente) los "malos" ya habían dado con ese fallo, el hacerlo público hace que su prevención y detección sea mucho más generalizada y por tanto, previene futuros ataques (aunque los potencia también). Incluso, podría llegar a detener ataques que hipotéticamente se estuviesen realizando aprovechando el fallo antes de que él lo hiciese público. De nuevo, atacando al corazón de la industria del malware: el conocimiento, cuanto menos divulgado, más valioso y potente.

"¿Venganzas?"

Pero las consecuencias van más allá. Un grupo de investigadores anónimos (y con mucho humor) ha formado el Microsoft-Spurned Researcher Collective, (un juego con el oficial Microsoft's Security Response Center) que se supone se trata de una formación que va a intentar encontrar vulnerabilidades en Windows y divulgar todos los detalles sin avisar a Microsoft, con el único fin de vengarse por el trato dado a Tavis. Por ahora, han hecho pública una sola vulnerabilidad que permite (potencialmente) la elevación de privilegios. No se sabe si se trata de una acción aislada o aparecerán más fallos firmados por el grupo.

Parece que de forma independiente a este grupo, en las últimas semanas otros dos investigadores han hecho públicos todos los detalles de dos vulnerabilidades. Rubén Santamarta ha encontrado una vulnerabilidad en Internet Explorer 8 y Soroush Dalili en IIS 5.1.

Conclusión

Hoy en día, pensar que hacer pública una jugosa vulnerabilidad no tendrá su inmediata consecuencia en la industria del malware, resultaría ingenuo. Estas mafias se nutren, entre otras cosas, de vulnerabilidades frescas, y no cabe duda que están muy atentos a las listas de seguridad, además de disponer de investigadores a jornada completa que buscan fallos en los sistemas. Por un lado, la actuación de Tavis hipotéticamente (pero solo hipotéticamente), ha podido ayudar a eliminar del mercado negro una vulnerabilidad que podría haber hecho mucho daño si pasaba demasiado tiempo inadvertida y los atacantes la usaban contra objetivos muy concretos. Por el otro, se ha pagado el precio de una creciente oleada de ataques indiscriminados aprovechando ese mismo fallo. Esto, a su vez, tiene la inmediata consecuencia de una detección más eficaz por parte de antivirus, sistemas de detección de intrusos, etc: ataques de difusión masiva siempre van acompañados de defensas mucho más variadas y asequibles.

Además, el hecho de hacer públicos los fallos acelera el proceso de corrección en el fabricante. Se ha demostrado en numerosas ocasiones. El propio Tavis usó el "full disclosure" para convencer a Oracle de que un fallo en Java era más grave de lo que pensaban. En estos casos, en los que el fabricante no reacciona consecuentemente (Oracle y la seguridad nunca se han llevado bien), el argumento es aplastante y la acción, eficaz. Microsoft trabaja ahora contrarreloj para arreglar el fallo, mientras que de otra forma quizás lo habría puesto a la cola de otras vulnerabilidades probablemente igual de graves.

Es complejo posicionarse en algún extremo. Lo único que nos parece cierto es que, analizados los hechos, con o sin "full disclosure" el impacto de una vulnerabilidad no desaparece, sino que se transforma: desde un hipotético uso exclusivo del fallo en el mercado negro, inadvertido y muy peligroso, con objetivos muy concretos y valiosos donde pocos ataques dan un alto beneficio; hasta ataques indiscriminados aunque cazados en mayor medida por los sistemas de detección, donde la suma de muchos pequeños ataques dan también un beneficio sustancial.
%/html%

Sergio de los Santos
ssantos@hispasec.com


Más información:

Tavis Ormandy - are you pleased with yourself? Website exploits Microsoft zero-day
http://www.sophos.com/blogs/gc/g/2010/06/15/tavis-ormandy-pleased-website-exploits-microsoft-zeroday/

Microsoft Warns of Uptick in Attacks on Unpatched Windows Flaw
http://krebsonsecurity.com/2010/07/microsoft-warns-of-uptick-in-attacks-on-unpatched-windows-flaw/

04/04/2002 La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia/1257

Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2219475.mspx

MSRC-001: Windows Vista/Server 2008 NtUserCheckAccessForIntegrityLevel Use-after-free Vulnerability
http://seclists.org/fulldisclosure/2010/Jul/3

Help and Support Center vulnerability full-disclosure posting
http://blogs.technet.com/b/srd/archive/2010/06/10/help-and-support-center-vulnerability-full-disclosure-posting.aspx

Attacks on the Windows Help and Support Center Vulnerability (CVE-2010-1885)
http://blogs.technet.com/b/mmpc/archive/2010/06/30/attacks-on-the-windows-help-and-support-center-vulnerability-cve-2010-1885.aspx

lunes, 5 de julio de 2010

Las repercusiones del "full disclosure" (I)

Hace ya más de ocho años Bernardo Quintero escribió en este mismo espacio un artículo llamado "La trastienda del full disclosure" donde se reflexionaba sobre el (que ya reconocíamos como cansino) debate sobre la divulgación total en materia de seguridad informática. En aquel momento se hablaba del asunto a raíz de las numerosas vulnerabilidades que Guninski encontraba cada poco en Internet Explorer. Hoy lo recuperamos a causa de Tavis Ormandy puesto que, aunque el debate sigue siendo cansino, en esta ocasión el asunto ha tenido curiosas e inesperadas repercusiones.





La vulnerabilidad de la discordia





Tavis Ormandy es un viejo conocido que trabaja como investigador privado además de para Google. Suele descubrir muchas e interesantes vulnerabilidades. El día 9 de junio hace públicos todos los detalles de un fallo en el "Centro de soporte y ayuda de Windows" que permite la ejecución de código con solo visitar una web con cualquier navegador. Ofrece una prueba de concepto en una conocida lista de seguridad. Alega que ha avisado a Microsoft cinco días antes, que no se han puesto de acuerdo sobre los plazos y que considera que el problema es serio como para alertar a todos. Microsoft se ve obligada a publicar una alerta reconociendo el fallo, pero lógicamente, todavía sin parche. Hasta aquí, todo "normal" para los defensores de la divulgación total. Esta situación ha ocurrido un millón de veces. Pero el asunto se complica.


La escala de grises



Tavis había, más o menos hasta ahora, respetado lo que se llama un "responsible disclosure": dar tiempo al fabricante para solucionar los fallos antes de hacerlos públicos. ¿Por qué en esta ocasión solo dejó pasar 5 días? En seguida surgieron las dudas sobre la posible tirantez entre Google y Microsoft como trasfondo, puesto que mantienen intereses contrapuestos en los últimos tiempos. Tavis tuvo que defender en varios foros que había descubierto el fallo en su tiempo libre, y que no representaba a Google en ningún momento con respecto a esta vulnerabilidad. Microsoft lo acusaba abiertamente de irresponsable. Cinco días no es un tiempo suficiente para solucionar ningún código (abierto o no) con unos mínimos de calidad, y mucho menos para probarlo en la gama de plataformas, versiones e idiomas que soporta Microsoft.

Poco después, para echar leña al fuego, Graham Cluley de Sophos, publica en su blog una entrada titulada "Tavis Ormandy, ¿estás contento? Páginas explotan el 0 day en Microsoft". Sophos descubre que la industria del malware ya está aprovechando la información de Tavis para realizar ataques de forma masiva. Y empeoraría con el tiempo. Como aún no está parcheado, según la propia Microsoft el fallo está siendo aprovechado por los atacantes cada vez más, resultando en miles de infecciones en Windows XP y 2003 (los únicos sistemas afectados).

Algunos hablan de la "divulgación responsable" como un término avieso creado por las grandes marcas para hacer pensar que cualquier otra vía de divulgación es necesariamente "irresponsable". ¿Es esto cierto? Vamos a plantear estas interesantes cuestiones en la siguiente entrega.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Tavis Ormandy - are you pleased with yourself? Website exploits Microsoft zero-day
http://www.sophos.com/blogs/gc/g/2010/06/15/tavis-ormandy-pleased-website-exploits-microsoft-zeroday/

Microsoft Warns of Uptick in Attacks on Unpatched Windows Flaw
http://krebsonsecurity.com/2010/07/microsoft-warns-of-uptick-in-attacks-on-unpatched-windows-flaw/

04/04/2002 La trastienda del "full disclosure"
http://www.hispasec.com/unaaldia/1257

Vulnerability in Windows Help and Support Center Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2219475.mspx

MSRC-001: Windows Vista/Server 2008 NtUserCheckAccessForIntegrityLevel Use-after-free Vulnerability
http://seclists.org/fulldisclosure/2010/Jul/3

Help and Support Center vulnerability full-disclosure posting
http://blogs.technet.com/b/srd/archive/2010/06/10/help-and-support-center-vulnerability-full-disclosure-posting.aspx

Attacks on the Windows Help and Support Center Vulnerability (CVE-2010-1885)
http://blogs.technet.com/b/mmpc/archive/2010/06/30/attacks-on-the-windows-help-and-support-center-vulnerability-cve-2010-1885.aspx

domingo, 4 de julio de 2010

Taher Elgamal en DISI 2010

El martes 30 de noviembre de 2010 se celebrará en la Universidad Politécnica de Madrid DISI 2010, quinta edición del Día Internacional de la Seguridad de la Información organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información CAPSDESI, adscrita a la Escuela Universitaria de Ingeniería Técnica de Telecomunicación EUITT en el campus sur de dicha universidad.

El evento, cuya asistencia es gratuita previa inscripción, cuenta en esta quinta edición con la destacada participación del Dr. Taher Elgamal, criptólogo inventor de la firma digital que lleva su nombre y que deriva en el estándar Digital Signature Standard del NIST, además de uno de los desarrolladores del protocolo Secure Socket Layer SSL y de la norma SET, Secure Electronic Transaction.

Ingeniero por la Universidad de El Cairo y Doctor por la Universidad de Harvard, Taher Elgamal tiene una amplia experiencia empresarial, destacando su trabajo en Netscape Communications y RSA Security Inc. Actualmente es Director de Tecnología de Axway Inc.

La conferencia inaugural del Dr. Elgamal lleva por título "eCommmerce and Internet security: the last 15 years and the next 15 years".

El segundo invitado extranjero a DISI 2010 es D. Eduardo Carozo Blumsztein, Ingeniero y Máster en Gestión de las Telecomunicaciones, representante del CSIRT ANTEL de Uruguay y Director del Proyecto AMPARO, proyecto que busca aumentar la capacidad de prevención y de respuesta a incidentes de seguridad informática en la región de América Latina y el Caribe.

DISI 2010 estará centrado en el Esquema Nacional de Seguridad y los Ataques a las Infraestructuras Críticas. Es así como tras la conferencia inaugural del Dr. Taher Elgamal se celebrarán dos Coloquios de 1 hora y 15 minutos cada uno con destacados expertos:

El primero de ellos, moderado por Dña. Gemma Déler de Applus+, lleva por título "Esquema Nacional de Seguridad ENS y Centros de Respuesta a
Incidentes de Seguridad", con la participación de Dña. Chelo Malagón de IRIS CERT, España; D. Eduardo Carozo de CSIRT ANTEL y proyecto AMPARO, Uruguay, D. Javier Candau de CCN CERT, España, y D. Marcos Gómez Hidalgo de CERT INTECO, España.

En el segundo coloquio "Atacando las Infraestructuras Críticas" participan D. Rubén Santamarta de Wintercore, D. David Barroso de S21sec, D. Héctor Sánchez Montenegro de Microsoft y D. Juan Luis Rambla de Informática64, todos de España, moderado por D. Justo Carracedo de la EUITT UPM.

Como en anteriores ediciones, colaboran en la difusión de DISI 2010 entre otros Hispasec Sistemas, Red Seguridad, ISMS Forum, ATI y VirusProt.

El programa puede consultarse en la página Web del servidor de la Cátedra:
http://www.capsdesi.upm.es/

Al igual que en las citas anteriores la asistencia al evento es totalmente gratuita. No obstante, se requiere y se recomienda encarecidamente por motivos logísticos y de limitación de aforo hacer la preinscripción en la plataforma Moodle del servidor Web de la cátedra, sitio donde podrá encontrar también toda la información relativa a DISI 2010.

Si tuviese cualquier impedimento para realizar la inscripción mediante este medio o bien prefiere hacerla vía telefónica, por favor contacte con Dña. Beatriz Miguel Gutiérrez al teléfono +34 913367842 preferentemente por las mañanas.

El evento se transmitirá por videostreaming a través del Gabinete de Tele-educación de la UPM GATE, para aquellos interesados que no tengan la oportunidad de asistir al congreso en Madrid y en especial para países de Iberoamérica. El enlace de conexión se dará a conocer unos días antes de la celebración de DISI 2010, entre otros en el sitio Web de la Cátedra y en el servidor de la Red Temática de Criptografía y Seguridad de la Información CriptoRed http://www.criptored.upm.es. Con posterioridad, todas las actividades de DISI 2010 se subirán al canal de la UPM en YouTube.

Nueva cita obligada para tomar el pulso de una problemática cada vez más cerca de la realidad, de la mano de distinguidos expertos de Estados Unidos, Uruguay y España.

Para cualquier información adicional, por favor contactar con el director de la cátedra D. Jorge Ramió en la siguiente dirección de correo electrónico: capsdesi@eui.upm.es.


Jorge Ramió Aguirre
Director Cátedra UPM Applus+
www.capsdesi.upm.es


Más información:

Taher Elgamal:
http://en.wikipedia.org/wiki/Taher_Elgamal

Proyecto AMPARO:
http://www.proyectoamparo.net/

Informe del DISI 2009:
http://www.virusprot.com/Seguridad-Informática/Noticias-Seguridad-Informática/articulo-DISI2009.html

Vídeos de anteriores DISI:
http://www.capsdesi.upm.es/mod/resource/view.php?id=149

sábado, 3 de julio de 2010

Vulnerabilidad en el kernel de Windows permite elevar privilegios

Se ha anunciado una vulnerabilidad en el kernel de Microsoft Windows (Vista y Server 2008), que podría permitir a un atacante local provocar una denegación de servicio o elevar sus prvilegios en el sistema.


El problema reside en un fallo al usar un puntero después de ser liberado en el kernel de Windows. El error se produce en llamadas a la función del kernel "LockProcessByClientId()" a través de "NtUserCheckAccessForIntegrityLevel()". Un atacante local podría aprovechar esta vulnerabilidad para provocar una denegación de servicio y, potencialmente, elevar sus privilegios en el sistema.

Por el momento, Microsoft no ha publicado ninguna actualización para solucionar este problema.


Antonio Ropero
antonior@hispasec.com


Más información:

MSRC-001: Windows Vista/Server 2008 NtUserCheckAccessForIntegrityLevel Use-after-free Vulnerability
http://seclists.org/fulldisclosure/2010/Jul/3

viernes, 2 de julio de 2010

Vídeos del VI Ciclo de Conferencias UPM TASSI 2010

Se han subido al Canal YouTube de la UPM los siguientes siete vídeos correspondientes al VI Ciclo de Conferencias UPM TASSI 2010 celebrado en la EUITT - EUI del campus sur de la Universidad Politécnica de Madrid, del 23 de febrero al 25 de mayo de 2010:

Vídeo 1
Gestión de Riesgos en Sistemas de Información
Ponente: D. José Antonio Mañas Argemí
Catedrático del Departamento de Ingeniería de Sistemas Telemáticos, ETSIT UPM
VI Ciclo de Conferencias UPM TASSI: 23 de febrero de 2010
Vídeo: http://www.youtube.com/watch?v=-lbbPJd_adE
Presentación PDF en:
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010

Vídeo 2
Seguridad de las Comunicaciones en las Futuras Redes Vehiculares
Ponente: Dña. Pino Caballero Gil, Directora del Proyecto MUOVE,
Universidad de La Laguna, Tenerife
VI Ciclo de Conferencias UPM TASSI: 9 de marzo de 2010
Vídeo: http://www.youtube.com/watch?v=QqQQqdnETFc
Presentación PDF en:
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010

Vídeo 3
Confianza en la Sociedad de la Información en España
Ponente: D. Víctor M. Izquierdo Loyola, Director General Instituto
Nacional de Tecnologías de la Comunicación INTECO
VI Ciclo de Conferencias UPM TASSI: 23 de marzo de 2010
Vídeo: http://www.youtube.com/watch?v=KGU3GvIW1C8
Presentación PDF en:
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010

Vídeo 4
Ciberdelincuencia e Instrumentos para Combatirla
Ponente: D. Manuel Vázquez López, Comisario Brigada de Investigación
Tecnológica del Cuerpo Nacional de Policía
VI Ciclo de Conferencias UPM TASSI: 23 de marzo de 2010
Vídeo: http://www.youtube.com/watch?v=KF6_fI31FvI

Vídeo 5
La hora de los hackers. Los delitos de intrusismo y vandalismo informático
en el proyecto de reforma del Código Penal
Ponente: D. Carlos Sánchez Almeida, Bufet Almeida, Abogados Asociados
VI Ciclo de Conferencias UPM TASSI: 27 de abril de 2010
Vídeo: http://www.youtube.com/watch?v=PcsssAXN4hA
Artículo en: http://www.kriptopolis.org/la-hora-de-los-hackers

Vídeo 6
Privacidad y Libertad de Expresión en la Era de Internet
Ponente: Dña. Bárbara Navarro, Directora de Relaciones Institucionales de
Google España
VI Ciclo de Conferencias UPM TASSI: 11 de mayo de 2010
Vídeo: http://www.youtube.com/watch?v=MMN9ZV5jJxg
Presentación PDF en:
http://www.criptored.upm.es/paginas/docencia.htm#catedraTASSI2010

Vídeo 7
Hacia un Nuevo y Más Amplio Concepto de Seguridad: La Seguridad Integral.
Ponente: D. José Lucio González Jiménez, Director
Gerente de Cluster TIC Seguridad y Confianza Madrid Network
VI Ciclo de Conferencias UPM TASSI: 25 de mayo de 2010
Vídeo: http://www.youtube.com/watch?v=qxoFcya2o8k

Enlace a todos los vídeos del ciclo:
http://bit.ly/caiiRw


Jorge Ramió
Coordinador asignatura TASSI
Director Cátedra UPM Applus+



jueves, 1 de julio de 2010

Nuevos contenidos en la Red Temática CriptoRed (junio de 2010)

Breve resumen de las novedades producidas durante el mes de junio de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE JUNIO DE 2010
* Seguridad en SAP: Sepa cómo Mantenerla Controlada (Anibal Mastroberti, Julio César Ardita, 7 páginas, PDF, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m241h.htm
* Elementos de optimización en la gestión de la seguridad de la información orientada a la continuidad del negocio (Jorge Ramió, 20 páginas, PDF, España)
http://www.criptored.upm.es/guiateoria/gt_m001x.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES EN JUNIO DE 2010
* Cuarta Edición Versión 0.8.1 del Libro Electrónico de M.J. Lucena Criptografía y Seguridad en Computadores (Manuel Lucena, España)
http://wwwdi.ujaen.es/~mlucena/wiki/pmwiki.php?n=Main.LCripto
* Informe de la Red de Sensores de INTECO del Mes de Mayo de 2010 (España)
https://ersi.inteco.es/informes/informe_mensual_201005.pdf
* Libro Computación Forense. Descubriendo los Rastros Informáticos (Jeimy Cano, Colombia)
http://www.alfaomega.com.mx/magento/co/index.php/computacion/seguridad-informatica/computacion-forense-descubriendo-los-rastros-informaticos.html
* Libro El Peritaje Informático y la Evidencia Digital en Colombia: Conceptos, Retos y Propuestas (Jeimy Cano, Colombia)
http://gecti.uniandes.edu.co/libros.html
* Artículo Envenenamiento ARP de la Serie Cuaderno de Notas del Observatorio de INTECO (España)
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Notas_y_Articulos/articulo_envenenamiento_ARP
* Informe Anual 2009 del Estudio sobre el Fraude a través de Internet del Observatorio de INTECO (España)
http://www.inteco.es/Seguridad/Observatorio/Actualidad_Observatorio/noticia_fraude_2009
* Informe del Cuarto Día Internacional de la Seguridad de la Información DISI 2009 en VirusProt (Domingo González, España)
http://www.virusprot.com/Seguridad-Informática/Noticias-Seguridad-Informática/articulo-DISI2009.html
* Informe ISACA international Conference 2010: El lenguaje de los riesgos de TI en Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/06/isaca-international-conference-2010-el.html
* Vídeo Ciberterrorismo el Lado Oscuro de la Red en Programa Informe Semanal de RTVE (Chema Alonso, España)
http://www.rtve.es/mediateca/videos/20100613/informe-semanal-ciberterrorismo-lado-oscuro-red/798175.shtml

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Julio 22 al 24 de 2010: International Conference on the Business and Digital Enterprises ICBDE 2010 (Bangalore - India)
* Julio 26 al 28 de 2010: International Conference on Security and Cryptography SECRYPT (Atenas - Grecia)
* Agosto 8 al 11 de 2010: First International Conference on Cryptology and Information Security LatinCrypt 2010 (Puebla - México)
* Agosto 30 a septiembre 3 de 2010: 7th International Conference on Trust, Privacy an Security in Digital Business TrustBus '10 (Bilbao - España)
* Agosto 30 a septiembre 3 de 2010: Workshop de Seguridad Informática 2010 en 39 edición de JAIIO (Buenos Aires - Argentina)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y Seguridad de la Información RECSI 2010 (Tarragona - España)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú - Grecia)
* Septiembre 22 al 24 de 2010: 5ta Conferencia de la Asociación EATIS 2010 en la UTP (Ciudad de Panamá - Panamá)
* Septiembre 23 de 2010: Fifth International Workshop on Data Privacy Management DPM 2010 (Atenas - Grecia)
* Noviembre 8 al 10 de 2010: International Conference E-Activity and Leading Technologies 2010 (Oviedo - España)
* Noviembre 11 al 12 de 2010: Congreso Computational Intelligence in Security for Information Systems CISIS'10 (León - España)
* Noviembre 29 a Diciembre 3 de 2010: VI Congreso Internacional de Telemática y Telecomunicaciones (La Habana - Cuba)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. FUE NOTICIA EN LA RED TEMÁTICA DURANTE EL MES DE JUNIO DE 2010
* CFP para Congreso Computational Intelligence in Security for Information Systems CISIS'10 en León, España
http://gicap.ubu.es/cisis2010/home/home.shtml
* Segundo Encuentro de Seguridad Integral Seg2 de Red Seguridad, España
http://www.criptored.upm.es/descarga/IIEncuentroSeguridadIntegral.pdf
* Listado Junio y Julio de 2010 de Hands On Lab y Virtual Hands On Lab de Informática 64 y Microsoft, España
http://www.microsoft.com/spain/seminarios/hol.mspx
* Programa Académico de la X Jornada Nacional de Seguridad Informática de ACIS, Bogotá, Colombia
http://www.acis.org.co/index.php?id=1480
* VI OWASP Spain Chapter Meeting en Barcelona con Richard Stallman como Invitado Especial, España
http://www.owasp.org/index.php/Spain#tab=Conferencias
* Curso de Experto en Prevención de Delitos Económicos e Informáticos del CEU, España
http://www.criptored.upm.es/descarga/EDEI_3.0.pdf
* Seminario Seguridad en el Desarrollo de Software de CYBSEC en Buenos Aires, Argentina
http://www.cybsec.com/ES/servicios/cursos/sem09_2ar.php
* Curso de Verano sobre Seguridad Informática en Tecnologías Microsoft, España
http://www.informatica64.com/pontelaspilas/
* Invitación a la Participación en EU-Young and Mobile Workshop 2011 de la Universidad de Alicante, España
http://www.criptored.upm.es/descarga/EU-Young_and_Mobile_Workshop_2011.pdf
(Joan Josep Climent, Verónica Requena)
* Premio de la APDCM a las Mejores Prácticas de Protección de Datos en Administraciones Públicas, España
http://www.madrid.org/cs/Satellite?cid=1252308390953&language=es&pagename=PortalAPDCM/Page/PAPD_contenidoFinal
* Taher Elgamal Invitado de Honor al V Día Internacional de Seguridad de la Información DISI 2010 (España)
http://www.capsdesi.upm.es/
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2010.htm#jun10

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 825 (218 universidades y 307 empresas)
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 28.079 visitas, con 88.203 páginas solicitadas y 32,33
GigaBytes servidos en junio de 2010
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

Junio 2010
http://www.criptored.upm.es/paginas/historico2010.htm#jun10