martes, 31 de agosto de 2010

Problema en Novell Identity Manager revela contraseñas

Se ha anunciado un problema de seguridad en Novell Identity Manager por la que un usuario local podría obtener las contraseñas del administrador.

Novell Identity Manager es una familia de soluciones destinada a gestionar la identidad y el acceso a través de entornos físicos, virtuales y en la nube.

El problema surge durante la instalación de Novell Identity Manager (IDM) cuando se solicitan las credenciales al administrador para el árbol de eDirectory. Sin embargo, todos los pasos de la instalación se graban en un archivo de log en "/tmp/idmInstall.log" y en algunos casos puede almacenar las credenciales del administrador.

El archivo log generado no es necesario por IDM una vez finalizada la instalación, tan sólo se crea para posibles fallos durante dicho proceso. Por ello, debe ser eliminado una vez completada la instalación.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability: Novell Identity Manager engine installation leaves admin tree credentials in a file.
http://www.novell.com/support/viewContent.do?externalId=7006705

lunes, 30 de agosto de 2010

Vulnerabilidad crítica en Apple QuickTime permite ejecución de código

Rubén Santamarta ha descubierto un problema de seguridad en Apple QuickTime que permite la ejecución remota de código en todas las versiones de Windows (incluso con ASLR y DEP activos). El fallo, explotable con solo visitar una web con Internet Explorer, se debe a una parte del código obsoleta que parece haber sido "olvidada".

El fallo se encuentra en el control ActiveX QTPlugin.ocx cuando utiliza el parámetro _Marshaled_pUnk como puntero. Durante su estudio, Santamarta se encontró con un comportamiento un poco extraño. Tuvo que descargar una versión del fichero de 2004 para poder entender qué estaba ocurriendo. Así, descubrió que el código se utilizaba en una funcionalidad que fue eliminada de las versiones más recientes, aunque los programadores olvidaron eliminar ese parámetro _Marshaled_pUnk. No tenía funcionalidad aparente, pero estaba ahí. Santamarta ha descubierto cómo aprovechar esto para ejecutar código.

Además, ha conseguido eludir las últimas protecciones de Vista y 7 para evitar precisamente la ejecución de código. Usando una técnica conocida como ROP, (Return oriented programming), se vale de la librería WindowsLiveLogin.dll (cargada con el navegador por defecto) de Windows Live Messenger. Esta librería en memoria, permite al atacante "situarse" y que el puntero de instrucciones (lo que se va a ejecutar) apunte adonde necesita para poder ejecutar el código arbitrario. Dado que esta librería no viene activada por defecto para aprovechar ASLR, elude esta restricción.

En cualquier caso, Santamarta afirma que QuickTimeAuthoring.qtx y QuickTime.qts (ficheros que vienen con la instalación de QuickTime) podrían también servir como referencia en memoria para ejecutar código.

Todos los detalles se han hecho públicos y además, el exploit ha sido enviado al proyecto Mestasploit, por lo que es de suponer que no pasará mucho tiempo hasta que los atacantes comiencen a aprovechar el fallo para instalar malware.

Actualmente no existe ningún parche. Se recomienda activar el 'kill bit' del control ActiveX para evitar que Internet Explorer llame al componente afectado. Es posible hacerlo copiando el siguiente texto, guardándolo como archivo con extensión .reg y ejecutándolo como administrador:

---COPIAR DESDE AQUI---

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\ActiveX
Compatibility\{02BF25D5-8C17-4B23-BC80-D3488ABDDC6B}] "Compatibility
Flags"=dword:00000400

---COPIAR HASTA AQUI---


Sergio de los Santos
ssantos@hispasec.com


Más información:

[0day] Apple QuickTime "_Marshaled_pUnk" backdoor param client-side
arbitrary code execution
http://reversemode.com/index.php?option=com_content&task=view&id=69

domingo, 29 de agosto de 2010

Actualización de seguridad para IBM DB2

Se han confirmado diversas vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM) para Linux, UNIX y Windows; que podrían permitir a un atacante evitar restricciones de seguridad, conseguir información sensible o provocar denegaciones de servicio.

El primero de los problemas reside en DB2STST. Un segundo fallo se debe a un error en DB2DART y podría permitir a un atacante sobrescribir archivos del propietario de la instancia. Por último, una vulnerabilidad de denegación de servicio al tratar grupos y enumeración de usuarios en Windows 2008.

Se ven afectadas las versiones de IBM DB2 anteriores a la 9.1 Fix Pack 9, anteriores a 9.5 Fix Pack 6 y anteriores a 9.7 Fix Pack 2. Se recomienda actualizar a cualquiera de estas versiones:
http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.7 Fix Pack 2
http://www-01.ibm.com/support/docview.wss?uid=swg21432298

Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.1 Fix Pack 9
http://www-01.ibm.com/support/docview.wss?uid=swg21426108

Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.5 Fix Pack 6
http://www-01.ibm.com/support/docview.wss?uid=swg21444772

sábado, 28 de agosto de 2010

Actualización de seguridad para Apple Mac OS X

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X (versiones 10.5.8 y 10.6.4); que solventa 13 vulnerabilidades que podrían ser aprovechadas por un atacante, local o remoto, con diversos efectos.

Esta es la quinta gran actualización del año (con el código 2010-005). Los componentes y software afectados son: ATS, CFNetwork, ClamAV, CoreGraphics, libsecurity, PHP y Samba.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

About Security Update 2010-005
http://support.apple.com/kb/HT4312

viernes, 27 de agosto de 2010

Diversas vulnerabilidades críticas en RealPlayer

Se han identificado siete vulnerabilidades de ejecución remota de código en el reproductor multimedia RealPlayer, que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario en un sistema vulnerable.

RealPlayer es un reproductor multimedia disponible para distintas plataformas y que acepta archivos de audio y vídeo en un gran número de formatos.

Los problemas están relacionados con el tratamiento de archivos IVR con cabeceras modificadas, desbordamientos de entero en la función "ParseKnownType()" al tratar tipos de datos "HX_FLV_META_AMF_TYPE_MIXEDARRAY" y "HX_FLV_META_AMF_TYPE_ARRAY", un error en "RealPlayerActiveX", un desbordamiento de entero y otro desbordamiento de búfer en el tratamiento de archivos QCP específicamente construidos, un error en la transformación de contenido YUV420 y por último un error en el plugin ActiveX para Internet Explorer al abrir muchas ventanas del navegador.

Se ven afectados por estos problemas las versiones RealPlayer 11.1 (y anteriores) y RealPlayer SP 1.1.4 (y anteriores). Se recomienda actualizar a RealPlayer SP 1.1.5.


Antonio Ropero
antonior@hispasec.com


Más información:

RealNetworks, Inc. Releases Update to Address Security Vulnerabilities
http://service.real.com/realplayer/security/08262010_player/en/

jueves, 26 de agosto de 2010

Intel y McAfee, ¿juntos y revueltos?

La compra de McAfee por parte de Intel ha desatado ríos de tinta (y de bits) en los últimos días, dando lugar a todo tipo de análisis. Desde los puramente económicos, donde muchos han puesto en duda la rentabilidad de la operación, 7.680 millones de dólares, hasta los que han pronosticado un nuevo escenario donde Intel introduciría un antivirus en toda su gama de procesadores, desde el PC hasta la cafetera.

Resulta evidente que una operación de esta envergadura, pese a lo inesperado y sorprendente de la noticia, no ha sido producto de una decisión a la ligera, aunque esa idea haya originado algún que otro chiste por la Red:

CEO de Intel: "Necesitamos antivirus, ¿alguien puede comprarme McAfee?"
Horas más tarde, un empleado: "Hecho"
CEO: "Estupendo, ¿qué versión?"
Empleado: "¿Versión?"

Dejando a un lado las bromas y especulaciones, toda la información pública de la que disponemos en este momento es la nota de prensa, donde se anunció la operación, y el historial de las dos empresas.

La nota de prensa hace hincapié, además de en el aspecto económico de la inversión, en dos puntos:

* La seguridad como componente fundamental e intrínseco de los servicios basados en tecnología e Internet.

* La combinación de hardware y software para proporcionar una mejor protección.

En el primer punto todos, en mayor o menor medida, están de acuerdo. La operación Intel-McAfee es básicamente una buena noticia para el sector, lo reactiva aun más y pone en primera línea la necesidad de integrar la seguridad como pilar base en cualquier estrategia tecnológica.

Por tanto no es descartable que se sucedan movimientos similares, empresas de hardware, telecomunicaciones y otros fabricantes de productos y servicios de tecnología invirtiendo en empresas de seguridad software. Tanto por posicionamiento estratégico, como para integrar ese conocimiento en su propio negocio para aumentar el valor añadido de las soluciones, o por una simple cuestión de diversificación. No olvidemos que la seguridad por sí misma se presenta como un negocio en auge.

El punto que ha suscitado más controversia o especulaciones es el relativo a cómo la combinación hardware y software puede proporcionar una mejor protección y, sobre todo, de qué forma sería llevado a cabo teniendo en cuenta la posición dominante de Intel en el mercado de los procesadores. Es aquí donde una mirada atrás puede darnos alguna pista de lo que puede venir.

Durante los últimos años Intel ha venido invirtiendo recursos en una serie de tecnologías de gestión y seguridad que, sin embargo, no han tenido el impacto esperado en la experiencia final del usuario. ¿Comprarías un PC con procesador Intel en vez de AMD pensando en la seguridad? ¿Crees que los PCs con componentes Intel tienen menos infecciones o incidentes de seguridad en comparación a los de otras marcas? Probablemente tu respuesta a esas preguntas sea la misma: no.

Sin embargo las tecnologías están ahí, TXT (Trusted Execution Technology), TPM (Trusted Platform Module), VT (Virtualization Technology), AMT (Active Management Technology), u otras tecnologías incluidas en la familia de procesadores vPro. Algunas se enmarcan dentro de las iniciativas de la Trusted Computing Platform Alliance (TCPA) y no suponen una mayor diferenciación frente a su competencia, si bien otras son tecnologías propietarias de Intel que deberían suponer un valor añadido en su oferta.

El hándicap para Intel es que la respuesta por parte de la industria del software ha sido tibia, no están adoptando la tecnología de su hardware en la reinvención de las soluciones, al menos en la medida que les gustaría. Aunque Intel proporciona software, éste es de muy bajo nivel (drivers, firmware, herramientas para desarrolladores, etc.) y espera que terceros construyan productos y servicios finales basados en ellos. De esta forma viene evangelizando a los desarrolladores de software con la plataforma vPro desde 2006.

La realidad es que, bien porque la industria de la seguridad está cómoda con su actual esquema y tecnologías, bien porque considera que debe ofrecer productos y soluciones neutrales respecto a la plataforma hardware, el caso es que Intel ha podido sentir como su inversión extra en seguridad no era recompensada; o al menos según sus previsiones, ni tienen la visibilidad esperada. Han construido nuevas autopistas y casi nadie circula por ellas.

O casi nadie. Hace unos años McAfee anunciaba que estaba invirtiendo recursos en explorar la tecnología de Intel y aprovechar su potencial. Así en 2008 anunciaba que ePolicy Orchestrator, la consola de administración de McAfee, usaría vPro para monitorizar los PCs, usando menos recursos, ahorrando costes energéticos, y permitiendo nuevos servicios de administración remota hasta entonces impensables mediante software. Por ejemplo, se podría administrar la gestión de parches en horarios nocturnos cuando los PCs están apagados.

Recordemos que vPro es una tecnología pensada para entornos corporativos que permite la gestión y administración remota desde una capa de hardware, de forma independiente y al margen del sistema operativo, sin necesidad de agentes software. Es decir, sería posible comunicarse y controlar un PC a distancia aunque el sistema operativo esté dañado (sin haber iniciado o por ejemplo con un pantallazo azul), tuviera el disco duro en mal estado, o incluso si lo han dejado apagado. vPro puede en cualquier momento activar un sistema que permite el control sobre los componentes hardware, desde las pulsaciones de teclado hasta la señal de vídeo, con todo el potencial que ello conlleva (cada cual imagine en uno u otro sentido).

También hace dos años McAfee anunciaba que estaba aprovechando la tecnología de Intel en tres áreas clave: cifrado y disuasión de robos de equipos, gestión de la seguridad y virtualización. Así, en el apartado de cifrado, han anunciado que su producto McAfee Endpoint Encryption aprovechará las instrucciones para acelerar el algoritmo AES que estarán presente en la nueva serie de procesadores Westmere, la versión 32nm de la arquitectura Nehalem. Es de esperar que estos movimientos se amplíen desde el PC al resto de arquitecturas de Intel para productos integrados y comunicaciones, aunque no será a corto plazo (aun es un mercado muy verde).

Esas declaraciones de McAfee cobran ahora un nuevo significado tras el anuncio de su adquisición por parte de Intel. Sin saber a ciencia cierta si fue causa o efecto, parece que la estrategia de McAfee fue acertada -suponiendo que es bueno que te adquieran por 7.680 millones de dólares-, y que ha sido ese enfoque el que podría haber llegado a diferenciarle respecto a la competencia, al menos ante los ojos de Intel.

Si atendemos a lo visto y declarado hasta la fecha, parece que McAfee seguirá su camino pero redoblando esfuerzos en explotar las tecnologías de Intel. Es de esperar, y en caso contrario para eso están los reguladores de libre competencia, que Intel no aproveche su posición dominante para favorecer a McAfee de forma irregular. De hecho, desde un punto de vista estratégico, no le interesa.

El papel de McAfee puede ser de dinamizador de las tecnologías de Intel, provocando un efecto colateral sí deseado en el resto de las empresas de software que vigilarán aún más estrechamente sus movimientos, y probablemente seguirán sus pasos a la hora de adoptar las tecnologías de Intel para no perder competitividad especialmente en sus soluciones corporativas. En cualquier caso, no es de prever grandes cambios a corto plazo, será un camino largo, de años.

Los damnificados de forma indirecta podrían ser los competidores de Intel, en caso de que la industria del software y la seguridad se vuelque en mejorar sus productos y servicios en base al hardware. En ese escenario sí podría ser determinante la elección de los componentes de hardware a la hora de dotar de mayor seguridad lógica a nuestros PCs, algo que hasta la fecha era un terreno exclusivo del software.

Los monocultivos no son buenos, ni en seguridad ni en hardware, el mercado y la propia Intel necesita una competencia fuerte por el bien de la innovación, así que es de esperar reacciones al respecto.

Como anécdota, y por terminar como empezamos, con una broma, aquí un vídeo de como realmente puede llegar a funcionar la integración Intel-McAfee:

http://www.youtube.com/watch?v=o0FpzxCJrYQ&feature=related

El pasado mes de mayo una actualización de McAfee confundía un componente de Windows XP SP3 como malware y lo aislaba en cuarentena, un caso de falso positivo grave, provocando el bloqueo de miles de sistemas. Afortunadamente ahí estaba la tecnología vPro, Intel podía aplicar el parche de forma remota.


Bernardo Quintero
bernardo@hispasec.com


Más información:

Intel to Acquire McAfee
http://newsroom.intel.com/community/intel_newsroom/blog/2010/08/19/intel-to-acquire-mcafee

McAfee, Inc. Teams with HP ProCurve, Intel Corp. and VMware, Inc. to Deliver Security Everywhere
http://investor.mcafee.com/releasedetail.cfm?releaseid=348685

miércoles, 25 de agosto de 2010

Actualización de seguridad de Adobe Shockwave Player

Adobe ha publicado una actualización de seguridad para Shockwave Player (para Windows y Mac) destinado a corregir 20 vulnerabilidades que podrían permitir a un atacante tomar el control de los sistemas afectados.

El boletín APSB10-20 resuelve 20 vulnerabilidades, la mayoría de ellas críticas, en Adobe Shockwave Player 11.5.7.609 (y versiones anteriores) en sistemas Windows y Macintosh. Los problemas podrían permitir a un atacante lograr la ejecución de código arbitrario en los sistemas vulnerables.

Adobe recomienda actualizar a la versión 11.5.8.612 de Shockwave Player, disponible desde: http://get.adobe.com/shockwave/.


Antonio Ropero
antonior@hispasec.com


Más información:

Security update available for Shockwave Player
http://www.adobe.com/support/security/bulletins/apsb10-20.html

martes, 24 de agosto de 2010

Microsoft confirma un grave problema de seguridad "compartido" con cientos de aplicaciones de terceros

HD Moore, líder del proyecto Metasploit, destapaba hace algunos días un problema de seguridad en decenas de aplicaciones de terceros cuando eran ejecutadas sobre Windows. Aunque la raíz del problema es, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft ha publicado un aviso de seguridad con instrucciones para mitigar el fallo.

Moore identificaba el fallo mientras estaba investigando el grave problema en archivos LNK que fue conocido en Windows hace algunos días. A su vez Acros, una compañía de seguridad eslovena, hablaba de una vulnerabilidad en iTunes por la que, si se abría un archivo asociado a iTunes desde una ubicación remota, iTunes podría llegar a cargar más DLLs desde esa ubicación. HD Moore comenzó a buscar más aplicaciones que se comportasen de este modo.

Así, el problema está en múltiples aplicaciones de terceros (y propias) para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a "encontrar" primero las librerías de los atacantes y ejecutarlas. Al principio Moore identificó unas cuarenta aplicaciones, pero en estos momentos se conocen cientos. El número, además, será mayor con el tiempo.

Todas estas herramientas no han seguido ciertas recomendaciones de seguridad a la hora de ser programas. Por tanto, un atacante podría llegar a ejecutar código si incita al usuario a abrir con una aplicación vulnerable un archivo desde una ubicación remota (compartida a través de WebDAV, SMB) o incluso una llave USB. La novedad es que el archivo abierto no tiene por qué contener ningún exploit. La única condición es que el atacante pueda escribir una librería en la misma ruta donde se encuentra el archivo que se quiere abrir, y el programa vulnerable se encargará de cargarla.

Este tipo de ataques son denominados "binary planting", "DLL preloading" o "DLL Hijacking" y pueden verse como una nueva variante de los ataques de ruta (PATH): a no ser que se especifique exactamente la ruta de los binarios, no se sabe qué se está ejecutando; bien porque exista un archivo con un mismo nombre en un directorio, bien porque se encuentre en el PATH de sistema o, como en este caso, bien porque la aplicación llame a DLLs que no son las legítimas.

Windows arrastró este histórico error durante mucho tiempo. Pero una de las (muchas) mejoras de seguridad introducidas desde Windows XP SP1, es que por defecto, se mejora el orden de la búsqueda de librerías con el parámetro SafeDllSearchMode activado... pero el problema se da cuando las librerías no existen en el sistema y no se especifica ruta completa... el programa va a buscarlas en remoto y el atacante podría cargar así las que quisiera.

Microsoft ha creado una guía de buenas prácticas para programadores y sobre cómo cargar de forma segura librerías dinámicas, disponible desde:
http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx

El problema es muy grave, puesto que resulta utópico creer que el increíble número de aplicaciones vulnerables solucionarán este fallo en un periodo de tiempo razonable. Así que Microsoft anuncia contramedidas para mitigar el fallo. No se trata de una solución en forma de parche, puesto que bloquear por completo un comportamiento adquirido durante años por los programadores, solo podría causar problemas. De hecho, la introducción de SafeDllSearchMode hace 8 años "ya" podría considerarse como la solución. En todo caso, en el aviso se dan instrucciones precisas a los administradores para deshabilitar la carga insegura de librerías por aplicación o globalmente. También se recomienda, si no es necesario, detener el servicio "Cliente web" del sistema.

Por su parte, HD Moore ha publicado una herramienta para determinar si una aplicación hace uso de este tipo de técnicas y, por tanto, es susceptible de ser usada como vector de ataque. En estos momentos, están apareciendo aplicaciones vulnerables por decenas.

Además, varios programas propios de Microsoft son también vulnerables, como Office, Mail...

Ya están apareciendo exploits públicos que permiten aprovechar el fallo con todo tipo de aplicaciones, por ejemplo, al abrir un inocente archivo Office desde una unidad remota.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Dynamic-Link Library Security
http://msdn.microsoft.com/en-us/library/ff919712(VS.85).aspx

Application DLL Load Hijacking
http://blog.rapid7.com/?p=5325

Insecure Library Loading Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2269637.mspx

lunes, 23 de agosto de 2010

Ejecución remota de código a través del reproductor de WebEx

Se ha anunciado una vulnerabilidad en el reproductor de Cisco WebEx, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios , etc.

El problema reside en el tratamiento de archivos ARF específicamente creados, de tal forma que podrían provocar un desbordamiento de búfer basado en pila en el sistema atacado. Esto podría permitir a un atacante la ejecución de código con los permisos del usuario.

Se publicó una actualización para el problema, por lo que se recomienda actualizar todos los reproductores de WebEx.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco WebEx Player ARF String Parsing Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-10-155/

domingo, 22 de agosto de 2010

Vulnerabilidades en el cliente iPrint de Novell

Se han anunciado dos vulnerabilidades en el cliente Novell iPrint (versiones anteriores a la 5.44), que podrían permitir a un atacante remoto lograr comprometer los sistemas afectados.

El primero de los problemas reside en un desbordamiento de búfer en el tratamiento de parámetros "call-back-url" demasiado largos para operaciones "op-client-interface-version" cuando el parámetro "result-type" esté configurado a "url". Un atacante remoto que explote exitosamente este problema podrá lograr la ejecución de código arbitrario.

Un segundo problema se debe a un puntero no inicializado cuando se invoca el método "GetDriverFile()" del Control ActiveX "ienipp.ocx". También podría permitir a un atacante remoto ejecutar código arbitrario.

Se recomienda actualizar a Novell iPrint Client versión 5.44.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability - Novell iPrint Client "call-back-url" Buffer Overflow
http://www.novell.com/support/viewContent.do?externalId=7006679

Novell iPrint Client Browser Plugin GetDriverFile Uninitialized Pointer Remote Code Execution Vulnerability
http://dvlabs.tippingpoint.com/advisory/TPTI-10-08

iPrint Client for Windows XP/Vista/Win7 5.44
http://download.novell.com/Download?buildid=H-2-uHNc5-A~

sábado, 21 de agosto de 2010

Vulnerabilidades locales en el kernel Linux

Se han detectado recientemente dos vulnerabilidades en el kernel Linux, en su rama 2.6.x que podrían permitir a atacantes locales provocar una denegación de servicio u obtener acceso a información en memoria.

El primero de los fallos se da a la hora de limpiar la memoria en la función 'drm_ioctl' del fichero 'drivers/gpu/drm/drm_drv.c' del controlador DRM (Direct Rendering Manager). Un atacante local podría aprovechar esto para obtener acceso a direcciones de memoria basadas en pila anteriormente liberadas, mediante el envío de llamadas al sistema especialmente manipuladas y con acceso al servidor X.

El segundo problema es un desbordamiento de enteros en la familia de sockets 'AF_CAN', en concreto en los protocolos (Controller Area Network) y BCM (Broadcast Manager). Esto podría ser aprovechado por un atacante local para elevar privilegios a través del envío de paquetes CAN especialmente manipulados.

Se recomienda aplicar las contramedidas especificadas en el apartado de más información.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

can: add limit for nframes and clean up signed/unsigned variables
http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=5b75c4973ce779520b9d1e392483207d6f842cde

drm: stop information leak of old kernel stack.
http://git.kernel.org/?p=linux/kernel/git/airlied/drm-2.6.git;a=commitdiff;h=b9f0aee83335db1f3915f4e42a5e21b351740afd
http://git.kernel.org/?p=linux/kernel/git/airlied/drm-2.6.git;a=commitdiff&h=1b2f1489633888d4a06028315dc19d65768a1c05

viernes, 20 de agosto de 2010

Ekoparty Security Conference - Argentina

La semana del 14 al 17 de Septiembre tendrá lugar la Sexta edición de la conferencia Ekoparty (Electronic Knock Out Party - Security Conference) en Buenos Aires que se ha convertido, para muchos, en la conferencia más importante en Latinoamérica.

La 6th Ekoparty contará con unas jornadas dedicadas a "Trainings" de Seguridad Informática y unas jornadas de conferencias magistrales. La lista de trainings cubrirán un amplio abanico de temas que irán desde el LockPicking, Malaware Reversse Engineering, Seguridad WiFi, Auditoría Web, Intelligence Gathering for pentesting, seguridad Web, Seguridad en SAP o técnicas de Cracking.

Algunos de los "speakers" de los trainings serán Andrés Riancho, creador de w3af; Mariano Nuñez, reconocido investigador de seguridad a nivel mundial por sus trabajos de seguridad SAP; Chema Alonso de Informática64; Ricardo Narvaja de Core Security; Cedric Blancher de EADS Computer Security Research Group; Ray Carney de NetWitnesess; Joan Calvet o Giovanni Cruz Forero, entre otros.

Después, los días 16 y 17 de Septiembre, en Ciudad Cultural KONEX, tendrá lugar el momento cubre, los dos días de conferencias con la presencia de ponentes de todo el mundo, junto con las secciones de LockPicking Village, el Capture The Flag, la zona de stands, etcétera.

El registro está abierto, y el precio de la entrada para las jornadas de las conferencias tiene un coste de 76.58 USD si se realiza con anterioridad a la fecha de las conferencias.

Tienes más información en los siguientes enlaces:
Web oficial de la ekoparty: http://www.ekoparty.org
Blog oficial de la Ekoparty http://blog.ekoparty.org





jueves, 19 de agosto de 2010

Actualización del kernel para SuSE Linux Enterprise 10

SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en la su versión 10 en la que se corrige una vulnerabilidad de denegación de servicio.

El problema reside en la función nfs_wait_on_request (de fs/nfs/pagelist.c) del kernel de Linux que puede permitir a un atacante provocar una denegación de servicio (Oops) mediante vectores desconocidos relacionados con truncado de archivos y una operación que no pueda interrumpirse.

También se han corregido otros bugs no relacionados con problemas de seguridad.

Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST.


Antonio Ropero
antonior@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2010:035)
http://lists.opensuse.org/opensuse-security-announce/2010-08/msg00004.html

miércoles, 18 de agosto de 2010

Corregido un interesante (y peligroso) fallo en el kernel Linux 2.6

Recientemente se ha parcheado una vulnerabilidad en el kernel Linux, rama 2.6, que podría permitir a un atacante elevar privilegios y ejecutar código arbitrario con permisos de root.

La vulnerabilidad ha sido descubierta por Rafal Wojtczuk de Invisible Things Labs, la empresa de la conocida investigadora Joanna Rutkowska. Rafal descubrió el bug mientras estaba trabajando en la virtualización de la interfaz de usuario del sistema operativo Qubes.

Qubes es el proyecto más ambicioso de Rutkowska, un sistema operativo que permite virtualizar procesos independientemente.

Según Rutkowska el bug descubierto podría haber estado ya presente desde la introducción de la rama 2.6 a finales de 2003. Aunque en un primer momento los investigadores reportaron el error a los desarrolladores del servidor X (X.org) finalmente se derivó a los mantenedores del kernel. Esto fue debido a que no se trataba de un fallo inherente al servidor X sino a la forma en la que el kernel maneja la memoria en determinadas circunstancias.

La explotación de la vulnerabilidad permitiría a cualquier proceso no privilegiado con acceso al servidor X escalar a root. De facto los procesos de usuario que posean GUI corren con acceso al servidor X y de ahí que, como teoriza Rutkowska, la explotación de una vulnerabilidad no relacionada en una aplicación de usuario podría ser encadenada y aprovechar ésta para elevar privilegios. La puerta a una ejecución remota de código queda abierta.

Técnicamente la explotación del bug reside en cargar de forma reiterativa en memoria pixmaps (XPM) de gran tamaño aumentando así el área de memoria mapeada.

Gracias a la extensión MIT-SHM del servidor X, se posibilita y se crea un segmento de memoria compartida que será usado por el proceso del servidor X.

La idea es aumentar el tamaño de memoria mapeada y seguidamente llamar a una función recursiva que vaya creando marcos de pila llevando el segmento de pila hacia la zona de memoria compartida, ya de por sí en direcciones altas debido a la expansión de la memoria mapeada usada a alojar los pixmaps.

Durante ese instante, el puntero de pila ha llegado a la zona de memoria compartida y el atacante obtiene el control de la pila ya que puede escribir en esa área posibilitando de ésta forma la ejecución de código arbitrario.

El fallo ha sido corregido en el repositorio de código del kernel y su CVE asignado es CVE-2010-2240.


David García
dgarcia@hispasec.com


Más información:

Skeletons Hidden in the Linux Closet: r00ting your Linux Desktop for Fun and Profit
http://theinvisiblethings.blogspot.com/2010/08/skeletons-hidden-in-linux-closet.html

Exploiting large memory management vulnerabilities in Xorg server running on Linux
http://www.invisiblethingslab.com/resources/misc-2010/xorg-large-memory-attacks.pdf

martes, 17 de agosto de 2010

Novedades en VirusTotal

Hace algo más de seis años se presentaba VirusTotal (http://www.virustotal.com) en la IV Semana Internacional de las TIC del Foro E-Gallaecia. Para aquellos que no lo conocen, VirusTotal es un analizador online multi-antivirus desarrollado por Hispasec Sistemas.

Lo que pronto se convertiría en la pequeña bestia de Hispasec nacía como una herramienta pública destinada a ayudar a la comunidad ofreciendo a los usuarios más cautos una segunda opinión sobre un determinado fichero.

VirusTotal llegaba a este mundo como una única máquina y en tiempos en que el enfoque Ajax aun no existía el soporte web era más que curioso, las muestras recibidas se reenviaban por correo electrónico al analizador y los resultados se mostraban mediante un refresco de página. A lo largo de estos seis años el proyecto ha crecido a un sistema distribuido con un clúster de máquinas. Donde antes se recibían cien ficheros al día ahora se recibe una media diaria de 150.000 archivos; y lo que un día fueron cerca de 4 minutos por análisis hoy ronda los 30 segundos con 42 antivirus.

Personalmente, yo conocí VirusTotal de Erasmus en Francia, trabajaba en un proyecto de la universidad (Insitut Eurecom-Telecom Paris) relacionado con honeypots y malware y Julio Canto y Francisco Santos pusieron los medios (de forma totalmente altruista) para que pudiera integrar el sistema de recolección de ficheros maliciosos con VirusTotal. Esto es el reflejo de otra de las consecuciones del proyecto, se ha vuelto muy popular entre universidades, centros de investigación, CERTs, agencias gubernamentales y la industria de la seguridad en general.

Durante todo este tiempo se ha tratado de mejorar tanto las tripas de VirusTotal como su apariencia, siempre buscando mejorar la experiencia de la comunidad. Y este es precisamente el motivo de la serie de noticias que comienza con este ejemplar, el rediseño y la ampliación de funcionalidad del portal web público de VirusTotal.

Se trata de muchas mejoras de golpe, con lo cual no esperamos que la transición se produzca sin fallos ni errores, pero confiamos en que la comunidad nos ayude a mejorar los cambios que publicamos. Las novedades incluyen:

* Nuevo servicio de escaneo de URLs: se emplean diversos motores de análisis de páginas web para comprobar la maliciosidad de estas, además la respuesta del servidor al solicitar dicha web se procesa con el escáner tradicional de ficheros de VirusTotal.

* VirusTotal Community: ahora todos los ficheros y URLs enviadas se pueden comentar, con un poco de suerte esto ayudará a detectar falsos negativos y falsos positivos y a identificar el origen del malware enviado. Cada usuario puede crear su propio perfil para comentar, además su perfil incluye un muro parecido al de Facebook y un sistema de contactos similar al de Twitter que sirve para crear niveles de reputación.

* API pública: se trata de un sencillo sistema de peticiones HTTP y respuestas JSON mediante el cual se pueden consultar los análisis de URLs y ficheros, enviar URLs y ficheros y hacer comentarios sobre estos.

* Nuevas estadísticas: hemos mejorado la sección de estadísticas de tal forma que los usuarios ahora sabrán algo más sobre la naturaleza y la cantidad de ficheros recibidos en VirusTotal.

* Nuevo sistema de búsqueda: ahora se pueden buscar no sólo los hashes ya escaneados, sino también usuarios de la comunidad, URLs escaneadas y, lo más interesante, tags sobre archivos y muestras que haya introducido la propia comunidad.

* Extensión para Firefox: se ha desarrollado una extensión para el navegador Mozilla Firefox que permite analizar enlaces con tan sólo un click derecho de ratón, escanear ficheros previa descarga por el navegador y consultar hashes y URLs en la base de datos de VirusTotal con una sencilla barra de herramientas.

Implementar todos estos cambios no ha sido una labor fácil, hemos pasado de un enfoque estático a un enfoque dinámico con uso intensivo de sesiones y un sistema de autenticación y autorización. En el camino hemos encontrado importantes cuellos de botella: demasiadas conexiones con la base de datos, excesiva CPU consumida en renderización de plantillas, problemas intrínsecos al framework de desarrollo web empleado, etc. Esto nos ha hecho comprender mejor la clase de problemas de escalabilidad a la que se enfrentan todos los días los gigantes de la web, así que desde aquí queremos dar la enhorabuena a los equipos técnicos de sitios como Tuenti, Facebook, Google, etc.

Esperamos que todos estos cambios agraden a los usuarios de VirusTotal y, por supuesto, estamos abiertos a todo tipo de sugerencias que nos podéis hacer llegar a través del formulario de contacto que se encuentra enlazado en el pie de http://www.virustotal.com. En futuras Una-al-día comentaremos con más detalle cómo utilizar algunas de las nuevas funcionalidades integradas.


Emiliano Martínez
emartinez@hispasec.com



lunes, 16 de agosto de 2010

Vulnerabilidad en el reproductor VLC Media Player

Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC (versiones 0.9.0 a 1.1.2) que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

El problema reside en un error de corrupción de memoria en la función "ReadMetaFromId3v2()" (de modules/meta_engine/taglib.cpp) incluida en el plugin TagLib cuando se extrae meta-información de etiquetas ID3v2. Un atacante podría aprovechar este problema para lograr ejecutar código arbitrario convenciendo a un usuario para que abra un archivo multimedia específicamente creado.


Antonio Ropero
antonior@hispasec.com


Más información:

Insufficient input validation in VLC TagLib plugin
http://www.videolan.org/security/sa1004.html

domingo, 15 de agosto de 2010

Denegación de servicio en Cisco IOS

Cisco ha anunciado la existencia de una vulnerabilidad de denegación de servicio en dispositivos con software Cisco IOS (versión 15.1(2)T) durante la fase de establecimiento TCP.

La vulnerabilidad, que se puede explotar de forma remota, sólo afecta a los dispositivos con versión de IOS 15.1(2)T. El problema reside en un error en el tratamiento de paquetes entrantes durante la fase de establecimiento TCP. Como resultado podría dar lugar a que las conexiones TCP embrionarias permanezcan en un estado SYNRCVD o SYNSENT y lleguen a consumir los recursos del sistema e impidan que los dispositivos afectados acepten o inicien nuevas conexiones TCP

Para solucionar este problema Cisco ha publicado la versión 15.1(2)T0a de Cisco IOS.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco IOS TCP Establishment Phase Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100812-tcp.shtml

sábado, 14 de agosto de 2010

Otra comparativa antivirus: solo detectan un 19% del malware

La compañía Cyveillance ha creado un informe en el que se concluye algo que resulta tan obvio como "real". Los porcentajes de detección de los antivirus son bajos. Detectan por firmas el 19% del malware "fresco" mientras que pasado un mes, sube al 61.7%. El estudio puede servir de excusa para recordar el estado de la industria del (anti)malware.

Cyveillance recopiló 1.708 binarios reconocidos como malware por al menos tres antivirus de los 13 contemplados en el estudio. Estos binarios eran archivos recolectados en los tres últimos días por la empresa con sus propios métodos. Analizó los archivos cada 6 horas durante 30 días con los 13 motores. La media de detección iba desde el 19% del día 1, hasta el 61.7% el día 30.

Apreciaciones sobre ciertos puntos

* Catalogan como malware confirmado el binario que es detectado por al menos tres motores de los 13 que contemplan. Nuestra experiencia con VirusTotal (subjetiva), nos dice que el malware realmente "fresco", suele ser detectado (a través de firmas) por menos de tres casas antivirus. En ocasiones, por ninguna. Además, los falsos positivos son comunes. El hecho de que tres motores detecten un binario no es definitivo para concluir que deba ser reconocido. Sólo un análisis manual lo es.

* Es injusto comparar los antivirus solo por sus firmas. Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho. Esto no es nada nuevo: desde siempre, los virus "recién creados" han sido menos detectados por firmas en un principio. Tampoco es difícil crear específicamente troyanos "no detectados" por firmas. Los atacantes lo hacen todos los días. Otra cosa es que sean detectados por comportamiento en el sistema una vez ejecutados, que es el punto fuerte de las suites antivirus en estos momentos.

No es ningún secreto que el modelo de detección por firmas es cada vez "una parte más" de los antivirus, y no se puede juzgar a un producto exclusivamente por la detección estática de muestras. Es lo mismo que ocurre con VirusTotal. Los resultados obtenidos al enviar una muestra son analizados de forma estática, por tanto pueden diferir de lo que un usuario obtiene con el antivirus instalado en su sistema. Las suites, cada vez más, se basan en el comportamiento de las muestras para detectar el malware. Hacen una buena labor en ese sentido, y no es posible hoy en día evaluar un producto completo sólo por una de sus funciones. Si se quiere evaluar la calidad y cantidad de firmas, se debe ser consciente de que eso es sólo una parte del producto. También cabe recordar que, aunque las propias casas antivirus utilizaron esta métrica errónea de las firmas en el pasado cuando los números le eran beneficiosos, cada vez abandonan más esta práctica.

* ¿Son 1.708 binarios suficientes? No sabemos la naturaleza de los binarios. Por ejemplo, sabemos que las casas antivirus tienen serios problemas para detectar los "rogueware" (falsos antivirus). Pueden pasar semanas hasta que algún motor los detecta por firmas. La producción actual es tan prolífica que a efectos prácticos es imposible luchar contra ello de forma efectiva. Solo se puede mitigar el problema.

Sabemos que un laboratorio antivirus puede recibir cada día más de mil nuevas muestras de malware para las que no disponen de firma de detección específica. 1.000 firmas que crear en 24 horas. Utilizan sistemas automatizados para catalogar, con todas sus ventajas e inconvenientes. Solo las muestras muy relevantes o nuevas pasan a ser analizadas manualmente. Que, tras 30 días, la media suba del 19 a algo más del 61% de detección por firmas, es incluso un buen trabajo.

* Es evidente en cierta forma que la industria antivirus se encuentra en "quiebra técnica". Deben mantener una lista negra actualizándose constantemente; una heurística agresiva para detectar nuevos especímenes que no estén en su lista negra; y una lista blanca más pequeña y que se actualiza menos, para evitar detectar demasiado goodware como malware y provocar algún daño en el sistema, por ejemplo. A pesar de sus esfuerzos, siguen sufriendo muchos problemas: o bien están detectando como malicioso software legítimo, o bien siguen sin detectar malware de verdad, o en el peor de los casos, ambas cosas.

* Sí es cierto que el usuario medio suele ser víctima del marketing de las casas antivirus, y creen que la suite les salvará de todo mal. Slogans como "Protección total" o "Blindaje del sistema" calan en el usuario que concluye que realmente es lo único que necesita. Este tipo de informes, puede ayudar a desterrar esa idea aunque, por otro lado, a veces también pueden llegar a polarizan la opinión: "¿Acaso, a pesar del dinero invertido en la solución antimalware, no estoy protegido por completo?" o "Las soluciones antimalware no sirven para nada". Ninguna de las dos posiciones es adecuada. Como concluye el informe, las soluciones antivirus son imprescindibles, pero es necesario combinarlas con otros métodos de prevención.

En definitiva, estudiar porcentajes de detección de forma objetiva hoy en día es una tarea compleja... para todos.

Recomendaciones

Ya lo sabemos: la seguridad es un proceso continuo y que se debe complementar en diferentes capas... seguridad en profundidad. El principal consejo para los usuarios de sistemas operativos en general y los de Windows en particular es no usar la cuenta de administrador. Actualizar el sistema, y no sólo Windows, sino todos los programas que tengamos instalados deben estar actualizados a la última versión de su rama. También mantenerse informado sobre tendencias de seguridad, malware y estado en general de la seguridad en la red. ¿Y el antivirus? Por supuesto. También es imprescindible tener un antivirus actualizado a diario.

Aunque el informe no especifica explícitamente que se haya realizado el estudio de esta forma, todo apunta a que así se ha hecho. Nos hemos puesto en contacto con ellos para aclarar este punto, pero no ha habido respuesta.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Cyveillance testing finds AV vendors detect on average less than 19% of
malware attacks
http://www.cyveillance.com/web/news/press_rel/2010/2010-08-04.asp

viernes, 13 de agosto de 2010

Actualización de seguridad para Quicktime

Apple ha publicado una nueva versión de QuickTime (la 7.6.7), que solventa un problema de seguridad crítico en sus versiones para Windows.

El problema reside en un desbordamiento de búfer (basado en pila) en el sistema de registro de errores de QuickTime. Visualizar un archivo de vídeo específicamente credo podría dar lugar a la ejecución remota de código arbitrario. Como contramedida se puede desactivar el registro de errores. Este problema no afecta a los usuarios de sistemas Mac OS X.

La actualización puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde:
http://www.apple.com/quicktime/download/


Antonio Ropero
antonior@hispasec.com


Más información:

APPLE-SA-2010-08-12-1 QuickTime 7.6.7
http://lists.apple.com/archives/security-announce/2010/Aug/msg00002.html

jueves, 12 de agosto de 2010

Actualizaciones para Adobe Flash Player, ColdFusion y Flash Media Server

En su ciclo habitual de boletines de seguridad Adobe ha publicado tres actualizaciones; una corrige seis vulnerabilidades en Flash Player, otra para evitar un fallo en ColdFusion y una última para solucionar cuatro vulnerabilidades en Flash Media Server.

El boletín APSB10-16 resuelve seis vulnerabilidades en Adobe Flash Player version 10.1.53.64 y versiones anteriores, en sistemas Windows, Macintosh, Linux y Solaris. También se ve afectado Adobe AIR 2.0.2.12610 y anteriores para Windows, Macintosh y Linux. Cinco de las vulnerabilidades podrían permitir la ejecución remota de código arbitrario.

Adobe recomienda a los usuarios de Adobe Flash Player la actualización a Adobe Flash Player 10.1.82.76 y a los usuarios de Adobe AIR actualizar a Adobe AIR 2.0.3.

El boletín APSB10-18, de carácter importante, resuelve una vulnerabilidad de escalada de directorios en ColdFusion 8.0, 8.0.1, 9.0 y 9.0.1 para Windows, Macintosh y UNIX. Este problema podría permitir la obtención de información sensible.

Se recomienda a los usuarios de ColdFusion actualicen las instalaciones mediante las instrucciones ofrecidas en: http://kb2.adobe.com/cps/857/cpsid_85766.html

Por último, el boletín APSB10-19, clasificado como crítico, resuelve cuatro vulnerabilidades en Flash Media Server 3.5.3 y 3.0.5 y versiones anteriores para Windows y Linux. Tres de los problemas permitirían la realización de ataques de denegación de servicio y otro la ejecución remota de código arbitrario.

Adobe recomienda a los usuarios de Flash Media Server (FMS) instalar Flash Media Server versión 3.5.4 o Flash Media Server 3.0.6 disponibles desde: http://www.adobe.com/support/flashmediaserver/downloads_updaters.html.

También se ha realizado un adelanto, en forma de aviso de seguridad, para informar de diversas vulnerabilidades críticas en Adobe Reader y Acrobat para Windows y Macintosh. Adobe planea publicar las actualizaciones para estos productos la semana que viene.


Antonio Ropero
antonior@hispasec.com


Más información:

Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb10-16.html

Security update: Hotfix available for ColdFusion
http://www.adobe.com/support/security/bulletins/apsb10-18.html

Security update available for Adobe Flash Media Server
http://www.adobe.com/support/security/bulletins/apsb10-19.html

miércoles, 11 de agosto de 2010

Boletines de seguridad de Microsoft en agosto

Tal y como adelantamos, este martes Microsoft ha publicado 14 boletines de seguridad (del MS10-047 al MS10-060) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft ocho de los boletines presentan un nivel de gravedad "crítico", mientras que los seis restantes son clasificados como "importantes". En total se han resuelto 34 vulnerabilidades.

Los boletines "críticos" son:

* MS10-049: Actualización para corregir dos vulnerabilidades en el en el paquete de seguridad de canal seguro (SChannel) en Windows. La más grave podría permitir la ejecución remota de código si un usuario visita un sitio web malicioso. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-051: Se trata de una actualización destinada a solucionar una vulnerabilidad en Microsoft XML Core Services que podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente diseñada. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-052: Actualización para corregir una vulnerabilidad en los códecs de audio MPEG Layer-3 de Microsoft que podría permitir la ejecución remota de código. Afecta a Microsoft Windows XP y Windows Server 2003.

* MS10-053: Actualización acumulativa para Microsoft Internet Explorer que además soluciona seis nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 6, 7 y 8.

* MS10-054: Boletín destinado a corregir tres vulnerabilidades en el servidor SMB que podría permitir la ejecución remota de código si un atacante envía a un sistema afectado un paquete SMB especialmente creado. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-055: Actualización para corregir una vulnerabilidades en el códec Cinepak que podría permitir la ejecución remota de código si el usuario abre un archivo multimedia específicamente creado. Afecta a Microsoft Windows XP, Vista y 7.

* MS10-056: Actualización para corregir cuatro vulnerabilidades en Microsoft Office Word, las más graves podrían permitir la ejecución remota de código si un usuario abre, u obtiene una vista previa, de un mensaje de correo electrónico RTF especialmente diseñado. Afecta a Office XP, Office 2003 y 2007 Microsoft Office System.

* MS10-060: Se trata de una actualización de seguridad para resolver dos vulnerabilidades en Microsoft .NET Common Language Runtime y en Microsoft Silverlight podrían permitir la ejecución remota de código.

Los boletines clasificados como "importantes" son:

* MS10-047: Actualización para corregir tres vulnerabilidades de elevación de privilegios en el kernel de Windows. Afecta a Microsoft Windows XP, 7, Vista y Windows Server 2008.

* MS10-048: Actualización para corregir cinco vulnerabilidades de elevación de privilegios a través de los controladores en modo kernel de Windows. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

* MS10-050: Actualización para corregir una vulnerabilidad en Windows Movie Maker que podría permitir la ejecución remota de código si un usuario abre un proyecto de Movie Maker específicamente creado.

* MS10-057 Boletín en el que se ofrece una actualización para evitar una vulnerabilidad en Microsoft Office Excel que podría permitir la ejecución remota de código si un usuario abre un archivo Excel especialmente diseñado. Afecta a Office XP, Office 2003 y Microsoft Office 2004 y 2008 para Mac y en el Convertidor de archivos con formatos XML abiertos para Mac.

* MS10-058: Esta actualización de seguridad resuelve dos vulnerabilidades en el tratamiento de TCP/IP, que podrían permitir la elevación de privilegios. Afecta a Microsoft Windows 7, Vista y Windows Server 2008.

* MS10-059: Se trata de una actualización de seguridad para resolver dos vulnerabilidades en la característica de seguimiento de los servicios podrían permitir la elevación de privilegios. Afecta a Microsoft Windows 7, Vista y Windows Server 2008.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de agosto de 2010
http://www.microsoft.com/spain/technet/security/bulletin/ms10-aug.mspx

Boletín de seguridad de Microsoft MS10-047 - Importante
Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (981852)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-047.mspx

Boletín de seguridad de Microsoft MS10-048 - Importante
Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (2160329)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-048.mspx

Boletín de seguridad de Microsoft MS10-049 – Crítico
Vulnerabilidades en SChannel podrían permitir la ejecución remota de código (980436)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-049.mspx

Boletín de seguridad de Microsoft MS10-050 - Importante
Una vulnerabilidad en Windows Movie Maker podría permitir la ejecución remota de código (981997)
Publicado: agosto 10, 2010
http://www.microsoft.com/spain/technet/security/bulletin/MS10-050.mspx

Boletín de seguridad de Microsoft MS10-051 – Crítico
Una vulnerabilidad en Microsoft XML Core Services podría permitir la ejecución remota de código (2079403)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-051.mspx

Boletín de seguridad de Microsoft MS10-052 - Crítico
Una vulnerabilidad en los códecs MPEG Layer-3 de Microsoft podría permitir la ejecución remota de código (2115168)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-052.mspx

Boletín de seguridad de Microsoft MS10-053 – Crítico
Actualización de seguridad acumulativa para Internet Explorer (2183461)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-053.mspx

Boletín de seguridad de Microsoft MS10-054 – Crítico
Vulnerabilidades en el servidor SMB podrían permitir la ejecución remota de código (982214)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-054.mspx

Boletín de seguridad de Microsoft MS10-055 - Crítico
Una vulnerabilidad en el códec Cinepak podría permitir la ejecución remota de código (982665)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-055.mspx

Boletín de seguridad de Microsoft MS10-056 - Crítico
Vulnerabilidades en Microsoft Office Word podrían permitir la ejecución remota de código (2269638)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-056.mspx

Boletín de seguridad de Microsoft MS10-057 - Importante
Una vulnerabilidad en Microsoft Office Excel podría permitir la ejecución remota de código (2269707)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-057.mspx

Boletín de seguridad de Microsoft MS10-058 - Importante
Vulnerabilidades en TCP/IP podrían permitir la elevación de privilegios (978886)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-058.mspx

Boletín de seguridad de Microsoft MS10-059 - Importante
Vulnerabilidades en la característica de seguimiento de los servicios podrían permitir la elevación de privilegios (982799)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-059.mspx

Boletín de seguridad de Microsoft MS10-060 – Crítico
Vulnerabilidades en Microsoft .NET Common Language Runtime y en Microsoft Silverlight podrían permitir la ejecución remota de código (2265906)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-060.mspx

martes, 10 de agosto de 2010

Android estrena su primer troyano mediático

En los laboratorios de Kaspersky se han topado esta semana con lo que podría ser el primer espécimen que afecta, de manera significativa, al sistema operativo para dispositivos móviles de Google: Android.

Era cuestión de tiempo que una plataforma como Android, con una cuota cada vez más amplia en el mercado de los smartphones, dejara de ser ignorada por los creadores de malware.

No obstante, sin explosión mediática, ya se tenía conocimiento de spyware en casos puntuales y pruebas de concepto como el rootkit presentado en la última edición de la conferencia BlackHat.

El recién bautizado SMS.AndroidOS.FakePlayer.a, con 13Kb de peso, se dedica una vez instalado en el sistema a enviar SMS indiscriminadamente a números con tarificación especial. Cobrados a algo más de 4 euros el mensaje. En principio sólo parece afectar a Rusia aunque no se descarta que aparezcan versiones adaptadas a otros países.

Llega con la forma de un reproductor multimedia y cuando se instala pide permiso para efectuar operaciones de acceso a la tarjeta de memoria, envío de SMS y consulta de datos sobre el dispositivo. Autorizaciones sospechosamente poco relacionadas con la prometida funcionalidad de reproducción multimedia.

A pesar de las advertencias del sistema, este tipo de solicitudes podrían ser ignoradas por el usuario medio que no suele reparar y pensárselo mucho antes de pulsar el "Aceptar" del cuadro de diálogo.

El troyano llegó por primera vez a VirusTotal.com el 4 de agosto, sin ser detectado por ningún antivirus. Poco después fue detectado por este orden, por Dr. Web, Kaspersky y VBA32, todos de factura rusa. Hispasec ha realizado un pequeño análisis de la muestra disponible desde:

http://www.hispasec.com/laboratorio/troyano_android.pdf

Se da la circunstancia que en el mismo día, la BBC ha publicado un reportaje donde se muestra la creación de una aplicación maliciosa, entre otros smartphones para Android, con funcionalidad de spyware.

A pesar de la coincidencia no está relacionado con el descubrimiento de Kaskersky. Se trata de una prueba de concepto para "demostrar lo fácil que es crear aplicaciones maliciosas para un smartphone".

Recordemos el reportaje del mismo estilo de marzo de 2009. En aquella ocasión la BBC diseminó un malware creado para la ocasión que llegó a infectar 20.000 usuarios y crear una botnet con ellos.

Con tiempo es de esperar que surja más malware para este tipo de dispositivos que día a día van ganando en usuarios.


David García
dgarcia@hispasec.com


Más información:

First SMS Trojan for Android
http://www.securelist.com/en/blog/2254/First_SMS_Trojan_for_Android

BBC writes smartphone spyware
http://www.sophos.com/blogs/gc/g/2010/08/10/bbc-writes-smartphone-spyware/

Analysis of Trojan-SMS.AndroidOS.FakePlayer.a
http://www.alienvault.com/blog/jaime/Malware/Analysis_of_Trojan-SMS.AndroidOS.FakePlayer.a.html

Resultados de SMS.AndroidOS.FakePlayer.a en VirusTotal:
http://www.virustotal.com/file-scan/report.html?id=14ebc4e9c7c297f3742c41213938ee01fd198dd4f4a5f188bbbb6ffcf4db5f14-1281468088

lunes, 9 de agosto de 2010

Vulnerabilidad afecta a varios clientes FTP

Se ha descubierto una vulnerabilidad que afecta a múltiples clientes FTP y que podría permitir potencialmente a un atacante remoto ejecutar código arbitrario a través de un servidor FTP malicioso.

La vulnerabilidad reside en una falta de validación del nombre de los archivos que el cliente FTP obtiene del servidor cuando descarga un directorio completo.

Si el nombre de los archivos procedentes del servidor contiene una ruta especialmente manipulada, el cliente usará ese nombre cuando el archivo se escriba localmente y lo situará en la ruta contenida en el nombre. Por ejemplo "..\..\..\..\archivo.exe".

Uno de los posibles vectores permitiría a un atacante situar un archivo con contenido arbitrario en el directorio de inicio de una víctima. Lo que provocaría la ejecución automática al inicio de sesión.

Los clientes FTP afectados, todos para Microsoft Windows, son:

Frigate FTP Client (versión 3.36 y posiblemente en inferiores)
FTPRush (versión 1.1.3 y posiblemente en inferiores)
SmartFTP (versión 4.0 Build 1124 y posiblemente en inferiores y corregido en la versión 4.0 build 1133)

Las vulnerabilidades han sido reportadas por la empresa High-Tech Bridge.


David García
dgarcia@hispasec.com


Más información:

Avisos de seguridad
http://www.htbridge.ch/advisory/directory_traversal_in_ftp_rush.html
http://www.htbridge.ch/advisory/directory_traversal_in_smartftp.html
http://www.htbridge.ch/advisory/directory_traversal_in_frigate_3_built_in_ftp_client.html

domingo, 8 de agosto de 2010

Foxit Reader y FreeType, afectados por la vulnerabilidad que está permitiendo el jailbreak del iPhone

Jailbreakme.com apareció hace algunas semanas como el método más sencillo y efectivo hasta el momento de realizar un "jailbreak" del iPhone, equipado con la última versión de su sistema operativo. La "liberación" se llevaba a cabo explotando una vulnerabilidad desconocida hasta el momento y que se ha descubierto que afecta a otros programas muy populares.

Realizar un "jailbreak" en iPhone consiste en aprovechar un fallo en el sistema para conseguir ejecutar programas no firmados criptográficamente por Apple. Así, los usuarios encuentran un buen puñado de aplicaciones de todo tipo, no oficiales, que aumentan las posibilidades del teléfono mucho más allá de lo que le gustaría a la propia Apple.

Jailbreakme.com apareció sin previo aviso aprovechando dos vulnerabilidades: por un lado, un fallo en cómo el sistema operativo del iPhone procesa las fuentes CFF (Compact Font Format) incrustadas en un fichero PDF. Por otro, un fallo en el kernel del iPhone. Con esto se conseguía instalar una aplicación no firmada (Cydia) que gestiona a su vez la instalación y mantenimiento de otros muchos paquetes (programas). El iPhone no utiliza lectores PDF de terceros, sino que gestiona este formato con software propio.

Una vez hechos públicos los detalles sobre el fallo, los creadores de Foxit Reader y FreeType se han dado cuenta de que también se ven afectados, y ya han publicado sus respectivas actualizaciones. Curiosamente el lector de PDF de Adobe no es vulnerable.

Parece que Apple corregirá estos fallos esta misma semana. Por ahora, no se han visto ataques contra el iPhone aprovechando estos fallos. En cualquier caso, se recomienda mientras se corrige, por ejemplo, utilizar Opera para iPhone en vez de Safari. El navegador Opera pregunta antes de abrir un PDF, por tanto, da al oportunidad al usuario de negar un potencial archivo que pretenda aprovechar la vulnerabilidad. El navegador Safari, por el contrario, intenta gestionarlo sin preguntar y así el fallo puede ser aprovechado con solo visitar un enlace.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Fixed the crash issue caused by the new iPhone/iPad jailbreak program.
http://www.foxitsoftware.com/pdf/reader/security_bulletins.php#iphone

Important: freetype security update
https://rhn.redhat.com/errata/RHSA-2010-0607.html

sábado, 7 de agosto de 2010

Nuevas formas de seguir "una-al-día"

El servicio de noticias sobre seguridad en castellano "una-al-día" entra de lleno en las redes sociales inaugurando un canal propio en Twitter. Con esto, se amplían y mejoran las formas en las que el lector puede acceder a esta cita diaria con la información sobre vulnerabilidades, seguridad, opinión, etc.

Hispasec nace a finales de 1998 con el lanzamiento de "una-al-día", el primer servicio diario de información técnica en castellano sobre seguridad informática, creado por un grupo de especialistas con el propósito de divulgar y concienciar a los usuarios de la importancia de este sector en el campo de las nuevas tecnologías de la información.

El éxito cosechado por "una-al-día" y el resto de acciones públicas emprendidas por Hispasec (análisis, comparativas, desarrollos, etc.) origina, de forma espontánea, una demanda de servicios por parte de profesionales y empresas. Para responder a dicha demanda, se crea el laboratorio de seguridad informática, Hispasec Sistemas, en el año 2000.

Desde entonces "una-al-día" ha sufrido pocos cambios. La lista de distribución se mantiene prácticamente intacta desde sus orígenes. En 2002 se añadió la posibilidad de seguir "una-al-día" por RSS.

En febrero de 1999, se creó un sistema alternativo a "una-al-día" que obtuvo muy poco seguimiento y fue cancelado. Se trataba de un apartado en el que daría cabida a todas aquellas noticias que aun siendo de suficiente importancia, no llegasen a entrar en nuestra noticia diaria. De una forma breve se informaba de las novedades en lo que atañe a vulnerabilidades, parches, etc. Se podía encontrar este espacio en la página http://www.hispasec.com/breves.asp que se actualizaba de forma continua. En resumen, una especie de "Twitter".

Un poco tarde con respecto al resto del mundo, "una-al-día" se distribuye ahora además desde el canal oficial http://twitter.com/unaaldia. Sin duda resultará de utilidad para los usuarios de Twitter, dispositivos móviles, etc., aumentando las posibilidades a nuevos métodos de difusión.

Algunos miembros de Hispasec también están presentes en Twitter de forma personal:

Victor M. Alvarez
http://twitter.com/plusvic

Julio Canto
http://twitter.com/jcanto

Ero Carrera
http://twitter.com/erocarrera

Fernando Denis
http://twitter.com/Denis21

David García
http://twitter.com/dgarcian

Bernardo Quintero
http://twitter.com/bquintero

Antonio Roman
http://twitter.com/antonioroman

Antonio Ropero
http://twitter.com/aropero

Víctor Torre
http://twitter.com/ehooo


Laboratorio Hispasec
laboratorio@hispasec.com



viernes, 6 de agosto de 2010

Microsoft publicará 14 boletines el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan catorce boletines de seguridad. Afectan a toda la gama del sistema operativo Windows, Office y Silverlight. En principio, hablan de 34 vulnerabilidades.

Si en julio se publicaron cuatro boletines de seguridad, este mes ya se ha publicado uno fuera del ciclo habitual, además Microsoft prevé publicar catorce el próximo 10 de agosto. Ocho se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación).

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Uno de los boletines críticos está dedicado a Microsoft Silverlight 2 y 3. No se corregía ningún fallo de seguridad en Silverlight desde octubre de 2009.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for August 2010
http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx

jueves, 5 de agosto de 2010

Nuevo agujero de seguridad crítico en Adobe Reader, "ya no interesa a nadie"

Charlie Miller, un viejo conocido, habló de un nuevo problema de seguridad crítico en Adobe Reader durante la conferencia Black Hat. Después de su charla, Miller escribió en su propio Twitter: "La seguridad de Adobe es tan mala que cuando anuncié un nuevo 0-day en Reader, ni una persona twiteó sobre el asunto. Triste."

Charlie Miller encontró ya en 2007 cómo ejecutar código en un iPhone simplemente visitando una web con Safari. También es responsable del fallo que permitía ejecutar código en iPhone a través de SMS, además de destapar muchos otros fallos de seguridad en Mac. A principios de abril de 2010, reveló 20 formas distintas de ejecutar código en un Mac de forma remota, y otras 10 vulnerabilidades en otros programas.

Tras su presentación en la Black Hat, Adobe ha confirmado el fallo que afecta a Reader bajo todas las plataformas, y que la vulnerabilidad permite la ejecución de código en su última versión. Los fallos de seguridad en Adobe, protagonista de los peores problemas de seguridad en los últimos tiempos, se han convertido en algo tan común que el propio descubridor se quejaba de que ya no interesaban a nadie, y que no eran noticia.

Adobe, a causa de las numerosas vulnerabilidades, desbordada por las críticas y una especial torpeza para garantizar la seguridad, decidió programar las actualizaciones de seguridad cada tres meses, siguiendo el modelo de Microsoft. Desde entonces, ha tenido que romper el ciclo y publicar parches antes de tiempo en tantas ocasiones que se está planteando acortar los ciclos de actualizaciones a un mes. Incluso, coordinar las actualizaciones a través de métodos más populares o accesibles como Microsoft Update.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Critical hole in Adobe Reader - and nobody wants to know
http://www.h-online.com/security/news/item/Critical-hole-in-Adobe-Reader-and-nobody-wants-to-know-1050622.html

Crash analysis with BitBlaze
http://securityevaluators.com/files/papers/CrashAnalysis.pdf

miércoles, 4 de agosto de 2010

La industria de las vulnerabilidades impone un límite de seis meses para corregirlas

Zero Day Initiative de TippingPoint ha impuesto una nueva regla destinada a presionar a los fabricantes de software para que solucionen lo antes posible sus errores: si pasados seis meses desde que se les avise de un fallo de seguridad de forma privada, no lo han corregido, lo harán público. Teniendo en cuenta que, según un estudio que Hispasec realizó hace unos meses, la media para corregir vulnerabilidades llega a los seis meses, sin duda la decisión tendrá consecuencias en los laboratorios.

iDefense y Zero Day Initiative son dos iniciativas de compañías privadas que compran vulnerabilidades, con la única condición de que se les cedan en exclusiva. La intención de estas dos empresas es apropiarse de vulnerabilidades relevantes en sistemas muy usados. Los investigadores privados que encuentren un fallo, pueden acudir a ellos a vender los detalles. Una vez pagan por la vulnerabilidad, estas dos empresas aplican la política de "revelación responsable" (o "coordinada" como prefiere ahora la industria), es decir, informan al fabricante del problema y anuncian el fallo (siempre que sea posible) sólo cuando existe parche disponible. Ambas compañías esperan (a veces pacientemente) a que el fabricante haya solucionado la vulnerabilidad para hacer público su descubrimiento. Se centran en vulnerabilidades relevantes, que supongan un impacto real y que permitan realmente ser explotadas por un atacante.

TippingPoint se ha cansado de esperar, y desde el 4 de agosto impondrá un límite de seis meses para que el fabricante solucione el fallo. Dicen que tienen unas 31 vulnerabilidades que llevan un año esperando. Según ellos esto no es aceptable. Por ejemplo, y según sus propios datos públicos, conocen seis vulnerabilidades críticas de IBM que llevan más de 600 días esperando a ser resueltas. También tienen más de 90 que llevan más de seis meses esperando. Ante este panorama, a los seis meses hará públicos ciertos datos del problema (en ningún caso todos los detalles), si el fabricante no ha creado un parche aún. En cualquier caso, dejan la puerta abierta a posibles excepciones si está justificado que la solución se demore por razones técnicas.

Según TippingPoint, una de las consecuencias de estas demoras es que cada vez con mayor frecuencia, los investigadores están descubriendo una vulnerabilidad y, pasado un tiempo, alguien vuelve a reportarla como nueva. Como los detalles no se hacen públicos, mientras se corrige, quien la descubre en segundo lugar no tiene forma de saber si ésta ha sido ya enviada o no a TippingPoint. Esto, evidentemente, indica que cuanto más tiempo tarde la solución, más probable es que alguien con no muy buenas intenciones la descubra y la aproveche en beneficio propio.

Esta iniciativa se enmarca en la agitada escena actual del "full disclosure". Hace poco el equipo de seguridad de Google (a raíz de la vulnerabilidad encontrada por Tavis Ormandy) afirmó que dejaría 60 días para que el fabricante creara un parche. Tras esto, Microsoft decidió cambiar la palabra "responsable" por "coordinada" en la expresión "responsible disclosure".

El informe de Hispasec

En septiembre de 2009, Hispasec publicó un informe de elaboración propia. Se eligieron todas las vulnerabilidades de cada fabricante, reportadas a iDefense y Zero Day Initiative desde 2005 hasta final de agosto de 2009. Se concluyó que el tiempo medio de todos los fabricantes estudiados en general ascendía a una media de 171,8 días, lo que son casi seis meses por vulnerabilidad. De hecho, casi el 84% de las vulnerabilidades se resuelven antes de los seis meses, y apenas un 10% pasa del año.

Se clasificaban en tres grandes grupos: Oracle, Microsoft y en menor medida HP como los más "perezosos" a la hora de solucionar vulnerabilidades no hechas públicas, con una media de entre 200 y 300 días (entre siete y diez meses). Por otro lado Apple y Novell se mantuvieron rondando los 100 días (más de tres meses) para solucionar problemas de seguridad reportados de forma privada. El resto de fabricantes se mantenían entre los tres y los siete meses de media. Aunque Sun era uno de los fabricantes que más vulnerabilidades había resuelto entre el año y los 18 meses.

Invitamos al lector a recordar el informe disponible desde:
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf


Sergio de los Santos
ssantos@hispasec.com


Más información:

TippingPoint Zero Day Initiative to push patch deadline on vendors
http://searchsecurity.techtarget.com/news/article/0,289142,sid14_gci1517792,00.html

una-al-dia (21/09/2009) Estudio comparativo: ¿Cuánto tardan los grandes fabricantes de software en arreglar una vulnerabilidad?
http://www.hispasec.com/unaaldia/3985

martes, 3 de agosto de 2010

Vídeo: Troyano "Dot-Torrent" aprovecha el miedo a las descargas "ilegales"

Presentamos una nueva familia de lo que se podría denominar "Ransomware" o "Rogueware". La finalidad de este espécimen, como de tantos otros, es obtener los datos de la tarjeta de crédito de la víctima. Lo que nos ha llamado la atención es la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración.

El troyano ha sido denominado por algunas casas antivirus como Dot-Torrent, aunque otras lo introducen en la familia "FakeAlert", "PrivacyProtector" y "Antipiracy ". No es técnicamente novedoso, ni siquiera en su planteamiento. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando por descargar contenido "protegido". Juega brillantemente con el potencial sentimiento de "culpa" de un usuario que comparte contenidos multimedia en la Red. Aprovecha el "miedo" que han inculcado en el usuario organizaciones como la RIAA, MPAA, Copyright Alliance... para pedir dinero y evitar así un ficticio proceso judicial. El troyano se apoyaba en una web (icpp-online.com, actualmente offline) que contenía supuestas noticias que avalaban la existencia del software, informando sobre campañas de concienciación y persecución de los infractores.

En la sociedad americana, el troyano está obteniendo un "éxito" importante, aunque su difusión no es masiva. Hace ya algo más de un mes que está activo, mejorando con diferentes versiones.

Invitamos al lector a visualizar el vídeo alojado en YouTube (5:18 minutos). Si por alguna razón no se visualiza bien, recomendamos reproducirlo a 480p. Este valor se puede modificar desde la barra de desplazamiento de YouTube:




Curiosidades:

* El troyano puede llegar al usuario por cualquier medio: vulnerabilidad, ejecución directa, etc. Simula ser un programa de descarga de archivos torrent. Por tanto, el usuario será más tarde acusado de una acción "real": efectivamente, ha descargado contenido "protegido" por medios "ilegales".

* Descarga en tiempo real un componente binario que va modificando sus funcionalidades.

* Contiene su propio desinstalador que funciona correctamente cuando se introduce un código válido.

* Se ejecuta antes de Explorer.exe (de que aparezca el escritorio) así que para usuarios medios que no sepan cargar la lista de tareas y lanzar el escritorio, no hay forma de "escapar".

* Utiliza datos reales que muestra "online" como la dirección IP y una consulta whois a la dirección IP.

* En algunas versiones, busca archivos .torrent por todo el disco duro, los muestra en la pantalla principal y pide una cantidad por cada uno de ellos, en concepto de concienciación por descarga.

* El trabajo estético y de traducción, es simplemente excelente.

* Valida los datos introducidos. De esta forma se controla que, por ejemplo, no se introduzca un número de tarjeta inválido.

* Si se decide no pagar y "pasar el caso a los tribunales", finalmente pide los datos y el correo electrónico, que irán a parar al atacante, pero no desbloquea el sistema.

* La opción "Enter a previously purchased license code" que se observa en la parte inferior derecha, permite introducir efectivamente un código que desinstala el programa. En algunas versiones es RFHM2 TPX47 YD6RT H4KDM, y esto desinstalará por completo el troyano (aunque aun así habrá que ejecutar a mano Explorer.exe).


Sergio de los Santos
ssantos@hispasec.com


Más información:

http://www.virustotal.com/analisis/87c90cc597be19ec5be98bae0fa8e13810e93475f1b636655e639e876fb56a87-1277721695
http://www.virustotal.com/analisis/696a897a77758d931ca436ac1cbe6426adf0666d4c991c08bcb77d4de7bc4193-1276771890

lunes, 2 de agosto de 2010

Microsoft publica actualización fuera de ciclo para vulnerabilidad en los .lnk

Hoy no es el segundo martes del mes pero Microsoft acaba de publicar el boletín de seguridad MS10-046 de carácter crítico, en el que se soluciona la ya conocida vulnerabilidad relacionada con archivos LNK (accesos directos). La publicación con carácter de urgencia se debe a que como ya habíamos anunciado se habían facilitado todos los detalles de la vulnerabilidad y además está siendo aprovechada de forma activa.

Como ya anunciamos el pasado 18 de julio, se había publicado un exploit, así como los detalles técnicos, que hacían posible explotar esta vulnerabilidad. En aquel momento ya vaticinamos, que Microsoft posiblemente adelantaría la publicación de la solución a este problema a su ciclo habitual de actualizaciones (programado para el 10 de agosto).

El problema afecta a Windows XP, Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2. Tal y como reconoce Microsoft, en la actualidad hay múltiples familias de malware que se aprovechan de esta vulnerabilidad y esta actualización protege contra cualquier intento de explotación.

Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible, mediante Windows Update o descargando los parches, según versión, desde las direcciones facilitadas en el propio boletín de seguridad:
http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx


Antonio Ropero
antonio@hispasec.com


Más información:

una-al-dia (16/07/2010) Interesante (y peligroso) troyano que aprovecha un interesante (y peligroso) 0 day en Microsoft Windows
http://www.hispasec.com/unaaldia/4283

una-al-dia (18/07/2010) Se hace público el exploit de la última (y grave) vulnerabilidad en Windows
http://www.hispasec.com/unaaldia/4285

una-al-dia (21/07/2010) La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido
http://www.hispasec.com/unaaldia/4288

domingo, 1 de agosto de 2010

Nuevos contenidos en la Red Temática CriptoRed (julio de 2010)

Breve resumen de las novedades producidas durante el mes de julio de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED Y CÁTEDRA UPM APPLUS+ EN EL MES DE JULIO DE 2010
* Gestión de Riesgos en Sistemas de Información (José Antonio Mañas Argemí, vídeo, 1 hora y 44 minutos) Cátedra UPM Applus+
http://www.youtube.com/watch?v=-lbbPJd_adE
* Seguridad de las Comunicaciones en las Futuras Redes Vehiculares (Pino Caballero Gil, vídeo, 1 hora y 43 minutos) Cátedra UPM Applus+
http://www.youtube.com/watch?v=QqQQqdnETFc
* Confianza en la Sociedad de la Información en España (Víctor M. Izquierdo Loyola, vídeo, 1 hora y 42 minutos) Cátedra UPM Applus+
http://www.youtube.com/watch?v=KGU3GvIW1C8
* Ciberdelincuencia e Instrumentos para Combatirla (Manuel Vázquez López, vídeo, 1 hora y 47 minutos) Cátedra UPM Applus+
http://www.youtube.com/watch?v=KF6_fI31FvI
* La hora de los hackers. Los delitos de intrusismo y vandalismo informático en el proyecto de reforma del Código Penal (Carlos Sánchez Almeida, vídeo, 1 hora y 34 minutos) Cátedra UPM Applus+
http://www.youtube.com/watch?v=PcsssAXN4hA
* Privacidad y Libertad de Expresión en la Era de Internet (Bárbara Navarro, vídeo, 1 hora y 39 minutos) Cátedra UPM Applus+
http://www.youtube.com/watch?v=MMN9ZV5jJxg
* Hacia un Nuevo y Más Amplio Concepto de Seguridad: La Seguridad Integral (José Lucio González Jiménez, vídeo, 1 hora y 47 minutos) Cátedra UPM Applus+
http://www.youtube.com/watch?v=qxoFcya2o8k

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES EN JULIO DE 2010
* Informe de la Red de Sensores de INTECO del Mes de Junio de 2010 (España)
https://ersi.inteco.es/informes/informe_mensual_201006.pdf
* Informe Anual 2009 sobre la Seguridad de las Comunicaciones Móviles en Hogares Españoles, Observatorio de la Seguridad de la Información de INTECO (España)
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Estudios_e_Informes_1/estudio_inalambricas_2009
* Documento Botnets ¿Qué es una Red de Ordenadores Zombis?, Observatorio de la Seguridad de la Información de INTECO (España)
http://www.inteco.es/Seguridad/Observatorio/Estudios_e_Informes/Notas_y_Articulos/Articulo_botnet
* Revista Sistemas 115 de ACIS Seguridad de la Información Lecciones Aprendidas y Visión de Futuro (Colombia)
http://www.acis.org.co/index.php?id=1490
* Innovación, Cambio y Estrategia Tres Elementos Claves Seguridad Información en Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/07/innovacion-cambio-y-estrategia-tres.html
* Métricas en Seguridad de la Información: Un Reto Permanente en Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/07/metricas-en-seguridad-de-la-informacion.html
* Vídeos de la Jornada de Solventia sobre Cloud Computing y Privacidad de los Menores en la Red (Fundación Solventia, España)
http://campusuniv.campusred.net/vod-publico3/show.asp?numero=000-clocomprimered-326
* Informe de la Red de Sensores de INTECO del Mes de Julio de 2010 (España)
https://ersi.inteco.es/informes/informe_mensual_201007.pdf

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Agosto 8 al 11 de 2010: First International Conference on Cryptology and Information Security LatinCrypt 2010 (Puebla - México)
* Agosto 30 a septiembre 3 de 2010: 7th International Conference on Trust, Privacy an Security in Digital Business TrustBus '10 (Bilbao - España)
* Agosto 30 a septiembre 3 de 2010: Workshop de Seguridad Informática 2010 en 39 edición de JAIIO (Buenos Aires - Argentina)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y Seguridad de la Información RECSI 2010 (Tarragona - España)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú - Grecia)
* Septiembre 22 al 24 de 2010: 5ta Conferencia de la Asociación EATIS 2010 en la UTP (Ciudad de Panamá - Panamá)
* Septiembre 23 de 2010: Fifth International Workshop on Data Privacy Management DPM 2010 (Atenas - Grecia)
* Octubre 18 al 22 de 2010: Workshop Arquitectura, Redes y Sistemas Operativos en XVI congreso CACIC 2010 (Buenos Aires - Argentina)
* Octubre 27 al 29 de 2010: Mexican Meeting on Informatics Security M2IS (Guadalajara - México)
* Noviembre 8 al 10 de 2010: International Conference E-Activity and Leading Technologies 2010 (Oviedo - España)
* Noviembre 11 al 12 de 2010: Congreso Computational Intelligence in Security for Information Systems CISIS'10 (León - España)
* Noviembre 29 a Diciembre 3 de 2010: VI Congreso Internacional de Telemática y Telecomunicaciones (La Habana - Cuba)
* Febrero 7 al 11 de 2011: X Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. FUE NOTICIA EN LA RED TEMÁTICA DURANTE EL MES DE JULIO DE 2010
* Taher Elgamal, Esquema Nacional de Seguridad, Respuesta de CERTs e Infraestructuras Críticas en DISI 2010 (España)
http://www.capsdesi.upm.es/course/view.php?id=14
* Curso de Verano de Seguridad en Entornos Web en la Universidad de Almería (España)
http://nevada.ual.es:81/cursosverano/2010/index.php?option=com_content&view=article&id=62&Itemid=73
* Siete Vídeos del VI Ciclo de Conferencias UPM TASSI 2010 subidos al Canal Canal YouTube de la UPM (España)
http://www.capsdesi.upm.es/mod/resource/view.php?id=149
* CFP para el 2010 Mexican Meeting on Informatics Security M2IS en Guadalajara (México)
http://www.csi.org.mx/m2is/
* CFP para el X Seminario Iberoamericano de Seguridad en las Tecnologías de la Información en La Habana (Cuba)
http://www.informaticahabana.com/node/63
* Última Semana del CFP International Conference on Information and Communications ICICS 2010 en Barcelona (España)
http://www.icics2010.org/
* Cuarta Edición de ENISE Encuentro Internacional de la Seguridad de la Información convocado por INTECO en León (España)
https://enise.inteco.es/
* Ronald Cramer, Paulo Veríssimo y 72 Trabajos Aceptados se Presentan en la XI RECSI de Tarragona (España)
http://crises-deim.urv.cat/recsi2010/index.php?m=program&lang=cas
* Semana Temática de Virtual Hands On Lab sobre Seguridad Informática de Informática64 en Agosto (España)
http://www.informatica64.com/VHandsOnLab.aspx
* CFP para el Workshop Arquitectura, Redes y Sistemas Operativos en XVI congreso CACIC 2010 (Argentina).
http://www.congresocacic.com.ar/index.php?seccion_generica_id=143
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2010.htm#jul10

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 825 (218 universidades y 307 empresas)
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 25.684 visitas, con 84.569 páginas solicitadas y 33,05 GigaBytes servidos en julio de 2010
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana CriptoRed


Más información:

Julio 2010
http://www.criptored.upm.es/paginas/historico2010.htm#jul10