jueves, 30 de septiembre de 2010

Vuelve la NoCONname en Barcelona

La NoCONname tiene el honor de haber sido la primera CON en España con gran repercusión mediática. Realizada durante años en Palma de Mallorca regresa ahora con un nuevo formato a Barcelona, para retomar el estilo de las grandes CON dedicadas a seguridad informática.

En la edición de este año, que tendrá lugar entre los días 18 y 22 de octubre, se realizará un ciclo de formaciones, un ciclo de conferencias y concursos para animar la conferencia a los asistentes de mentes más inquietas.

Están confirmados tres "trainings" dedicados a Ataques a aplicaciones Web, Auditoría Wifi y Técnicas de Análisis Forense, llevados a cabo por Chema Alonso, Silverhack y Anelkaos.

Además, la lista de presentaciones ya confirmada es la siguiente:

* Pau Oliva (p0f) hablará sobre cómo hacer un volcado de la NAND de un HTC con objetivos forenses. Pau ha moderado el popular foro XDA-Developers y desarrollado múltiples herramientas para liberar teléfonos.

* Pedro Sánchez hablará sobre algunos ejemplos de fraude electrónico y cómo se han solucionado.

* Sergi Álvarez tratará el parcheo de binarios en disco y memoria, con dos ejemplos en los que esta técnica se ha utilizado antes de que el fabricante publicase el parche. Sergi es uno de los autores de radare2.

* Joan Ayerbe Font hablará sobre la importancia de la estructura organizativa dentro de la gestión de la seguridad.

* José Selvi describirá cómo utilizar la técnica IP Fragmentation Overlap para evitar que determinados ataques sean detectados por IDS y sus contramedidas.

* Yago Fernández hará un taller sobre la implementación de un sistema de control de acceso NAC basado en RADIUS.

* Francisco Alonso y Alejandro Ramos darán la explicación de los concursos.

Para finalizar habrá una mesa redonda moderada por Xavier Vidal sobre políticas llevadas a cabo en la Generalitat de Catalunya.


Laboratorio Hispasec
laboratorio@hispasec.com



miércoles, 29 de septiembre de 2010

Presentación del proyecto Intypedia. La enciclopedia visual de la Seguridad de la Información en la Red

Se ha anunciado el nacimiento del proyecto intypedia (http://www.intypedia.com). Una Enciclopedia visual de la Seguridad de la Información en la red, que ofrecerá de forma gratuita vídeos educativos sobre criptografía, protocolos de comunicaciones, malware, seguridad en redes, etc.

La sociedad de la información está cambiando la forma en la que nos relacionamos con los demás variando, además, la manera en la que percibimos a la realidad que nos rodea. Nos encontramos frente a una verdadera revolución digital, si bien para los más jóvenes, aquellos que han nacido con Internet en su casa y gozando incluso de la banda ancha, esto no deja de ser su entorno natural, su modo y estilo de vida.

En este escenario, las tecnologías multimedia se convierten en referentes ya no sólo como excelentes vías para el entretenimiento y el ocio, sino también para el desarrollo de la cultura, eliminando las barreras socioculturales entre países e influyendo por tanto en los hábitos de estudio y de búsqueda de información en la Red, de forma muy especial entre la gente joven. El espectacular crecimiento de YouTube en estos últimos años es un claro ejemplo de ello.

Pero aunque estos entornos multimedia tienen cada día una mayor relevancia, no resulta fácil encontrar información con calidad contrastada en temas relacionados con la seguridad de la información. Como respuesta a esta necesidad y a los nuevos tiempos en materia de formación online gratuita, nace el proyecto intypedia. La Enciclopedia de la Seguridad de la Información producirá vídeos educativos sobre seguridad de la información con un alto nivel de calidad, totalmente gratuitos y que podrán visualizarse en el canal YouTube de la UPM.

Esta enciclopedia se enmarca como un proyecto más dentro de la Red Temática de Criptografía y Seguridad de la Información CRIPTORED, la decana de las redes temáticas con casi 11 de años de vida. En ella participan más de 200 universidades y más de 300 empresas del sector de las nuevas tecnologías de la información y la seguridad de una veintena de países, contando a la fecha con 830 miembros. Desde su servidor Web se descargan mensualmente más de 15.000 documentos de libre distribución, sobrepasando además los mil accesos diarios de media.

Intypedia nace con el objetivo de convertirse en el Aula Virtual y sala de estudio en Internet de miles de estudiantes, profesionales e internautas en general, interesados por los temas de la seguridad de la información. Su biblioteca, escenario principal en el cual comenzarán todos los vídeos, la forman 10 tomos con los títulos "Fundamentos de seguridad de la información", "Criptografía", "Seguridad en redes", "Aplicaciones de seguridad informática", "Malware", "Gestión de seguridad de la información", "Normativas de seguridad de la información", "Autenticación", "Protocolos seguros" y "Legislación en seguridad de la información", que se irán llenando de contenidos con las lecciones aportadas en su gran mayoría por los propios miembros de la red temática, reconocidos profesores, investigadores y profesionales del sector de la seguridad.

Los temas tratados en los vídeos, con una duración entre 10 y 15 minutos y que estarán en versión española e inglesa, serán presentados por dos avatares, Alicia y Bernardo en la versión española y Alice y Bob en la versión inglesa, a partir de un documento generado por esos expertos y que han sido adaptados a guiones en el formato del proyecto intypedia.

Cada vídeo contará con una documentación anexa, que podrá descargarse gratuitamente desde el servidor Web de intypedia, consistente en el guión de la lección presentada por los avatares, las diapositivas de apoyo a la lección y un conjunto de ejercicios para autoevaluación.

Los vídeos podrán ser divulgativos, y por tanto orientados a todo público, o bien con un mayor nivel técnico y matemático, y en este caso destinados a internautas con algunos conocimientos de ingeniería, seguridad y redes, a profesionales, técnicos, especialistas y estudiantes en general.

En la fase inicial del proyecto que alcanza hasta el 31 de diciembre de 2010, se subirán cuatro vídeos con las cuatro primeras lecciones sobre temas básicos de la seguridad, además del vídeo de presentación.

Como una contribución de la red temática al fomento del uso del idioma español en temas técnicos, el día de su lanzamiento -el 30 de septiembre de 2010 -, se publicarán en su sitio Web y en el canal YouTube de la UPM los dos primeros vídeos en español. En los próximos días se subirán las correspondientes versiones en inglés.

1. Vídeo intypedia000: Presentación del proyecto intypedia. Autor D. Jorge Ramió Aguirre, Profesor de la Universidad Politécnica de Madrid. Director del proyecto.

2. Vídeo intypedia001: Historia de la criptografía y su desarrollo en Europa. Autor D. Arturo Ribagorda Garnacho, Profesor de la Universidad Carlos III de Madrid.

3. Vídeo intypedia002: Sistemas de cifra con clave secreta. Autor D. Fausto Montoya Vitini, Investigador del Consejo Superior de Investigaciones Científicas CSIC.

4. Vídeo intypedia003: Sistemas de cifra con clave pública. Autor D. Gonzalo Álvarez Marañón, Investigador del Consejo Superior de Investigaciones Científicas CSIC.

5. Vídeo intypedia004: Seguridad en redes y en Internet. Autor D. Justo Carracedo Gallardo, Profesor de la Universidad Politécnica de Madrid.

Producir vídeos con estas características significa cientos de horas de trabajo. Y lograr el objetivo final depende, además, de la buena coordinación entre un grupo de personas: autores, creativos, ingenieros, técnicos, locutores, traductores, así como la dirección técnica. Todo esto conlleva un coste económico que en esta primera fase ha sido aportado por la empresa GMV, dentro de un proyecto de colaboración y patrocinio de la red temática CRIPTORED que existe con la UPM desde el año 2005.

La segunda fase del proyecto intypedia da comienzo el mismo día de su lanzamiento, teniendo como objetivo sentar las bases para la producción de nuevos vídeos durante el año 2011.

Esperamos verte muchas veces en nuestra biblioteca:
http://www.intypedia.com





martes, 28 de septiembre de 2010

Microsoft publica un boletín de seguridad para ASP.NET fuera de ciclo

Microsoft acaba de publicar el boletín de seguridad MS10-070 de carácter importante, en el que se soluciona una vulnerabilidad en ASP.NET. Aunque la vulnerabilidad no se considera crítica Microsoft publica esta actualización con carácter de urgencia debido a la importancia de la plataforma .net y la importancia del problema al permitir obtener información sensible del servidor.

Microsoft no suele publicar boletines fuera de ciclo para vulnerabilidades que no se consideren críticas, esto es, que permitan el compromiso de sistemas remotos y que además estén siendo aprovechadas por atacantes. Pero en esta ocasión, el problema afecta a millones de sitios web que hacen uso de las funciones de cifrado AES incluidas en ASP.NET para proteger la integridad de datos, como las cookies, durante las sesiones de usuario. Además estos datos de sesiones se usan en aplicaciones web de gran importancia como banca online, venta on-line y en general cualquier sitio web que precise de un login para identificarse. Todo esto ha convertido una vulnerabilidad de revelación de información (importante según la clasificación de Microsoft) en un problema especialmente preocupante.

La vulnerabilidad afecta a Microsoft. NET Framework v1.0 SP3, v1.1 SP1, v2.0 SP2, v3.5, v3.5 SP1, v3.5.1 y v4.0, para ASP.NET en Microsoft Internet Information Services (IIS). El problema reside en un error al mostrar errores en ASP.NET. Un atacante remoto podría obtener información sensible (datos cifrados por el servidor) a través de múltiples peticiones que causen errores.

Entre los posibles efectos se cuentan el descifrar y modificar el View State (__VIEWSTATE), los datos del formulario y, posiblemente cookies o leer archivos de la aplicación, a través de un ataque "padding oracle attack". El objeto ViewState se cifra y envía al cliente en una variable oculta, pero un atacante podría acceder a su contenido descifrado.

De esta forma, muchos de los efectos podrán depender de la propia aplicación ASP.Net. Por ejemplo, si la aplicación almacena información sensible, como contraseñas o cadenas de conexión a bases de datos, en el objeto ViewState estos datos podrían verse comprometidos.

Como es habitual, la actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de la vulnerabilidad se recomienda la actualización de los sistemas afectados con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin MS10-070 - Important
Vulnerability in ASP.NET Could Allow Information Disclosure (2418042)
http://www.microsoft.com/technet/security/bulletin/MS10-070.mspx

Fear, uncertainty and the padding oracle exploit in ASP.NET
http://www.troyhunt.com/2010/09/fear-uncertainty-and-and-padding-oracle.html

Understanding the ASP.NET Vulnerability
http://blogs.technet.com/b/srd/archive/2010/09/17/understanding-the-asp-net-vulnerability.aspx

Security researchers 'destroy' Microsoft ASP.NET security
http://www.theinquirer.net/inquirer/news/1732956/security-researchers-destroy-microsoft-aspnet-security

lunes, 27 de septiembre de 2010

Vídeo: Rogueware con diferentes estéticas, se hace pasar por varias marcas ficticias

Seguimos con la serie de vídeos sobre troyanos del tipo rogueware, con casos que nos resulten curiosos o llamativos por alguna razón. El espécimen que presentamos en el tercer vídeo simula un antivirus. Además de hacer sufrir las molestias "habituales" del rogueware, destaca por la cantidad de "skins" diferentes que existen para él.

El rogueware se ha convertido en toda una especialidad dentro del malware hoy en día. Se trata de troyanos (normalmente para Windows) que imitan antivirus u otro tipo de software con el fin último de robar a la víctima que queda infectada, obligándole a pagar con su tarjeta de crédito por un producto inútil. Habitualmente asustan al infectado con mensajes de infecciones ficticias.

Esta pieza simula ser varios antivirus que, si bien comparten un funcionamiento básico, se camuflan bajo diferentes marcas ficticias. Así, encontramos un "Red Cross", "Peak Protection", "AntiSpaySafeguard", y "Pest Detector". Todos vienen de un primer rogueware (del que ya realizamos un vídeo) que simulaba un análisis por parte de una herramienta muy similar a VirusTotal. Estos eran los únicos "antivirus" que detectaban la amenaza.

Invitamos al lector a visualizar el vídeo alojado en YouTube (6:36 minutos).





Curiosidades:

* Durante la instalación, muestra una licencia GPL versión 3 de 2007, copiada de la Free Software Fundation.

* La instalación (aparentemente estándar) es una simulación. No es real y no se instala, solo se ejecuta e infecta.

* Cada vez que se lanzan ciertos ejecutables (como el gestor de tareas), se bloquea su ejecución y se muestra un mensaje incitando a la compra del falso antivirus. No comienza el bloqueo real hasta que se inicia sesión o se reinicia el equipo.

* Las diferentes apariencias y nombres tienen un aspecto muy profesional. Todas se presentan como el "líder mundial de soluciones de seguridad".


Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (05/09/2010) Vídeo: Rogueware utiliza la filosofía de Virustotal para que la víctima escoja su "troyano"
http://www.hispasec.com/unaaldia/4334

una-al-dia (17/09/2010) Vídeo: Rogueware bloquea todos los ejecutables y utiliza descripciones de virus históricos realizadas por Kaspersky
http://www.hispasec.com/unaaldia/4346

domingo, 26 de septiembre de 2010

Fallo de regresión en el paquete git-core de Debian Lenny

Debian ha publicado una actualización del paquete git-core en el que corrige un error de regresión que impide a los usuarios clonar un repositorio.

El paquete git-core contiene los componentes principales del sistema de control de versiones Git, empleado para proyectos de código de gran magnitud y con una amplia base de contribuyentes.

Git es el sistema usado para administrar el código fuente del núcleo Linux. De hecho fue el propio Linus Torvalds quien comenzó el proyecto, debido en parte a las carencias que encontraba en otros sistemas de control de versiones.

El error introducido impide a los usuarios crear o clonar repositorios debido a los permisos, demasiado estrictos, asignados a las plantillas de git localizadas en: /usr/share/git-core.

Cuando un usuario crea o clona un repositorio el comando usado intenta leer una plantilla pero debido a los permisos sólo se permite la lectura al usuario root.

El problema de seguridad original que corregía el boletín afectaba a git-core y permitía a un atacante ejecutar código arbitrario a través de un archivo .git especialmente manipulado.

La vulnerabilidad, con CVE-2010-2542, residía en la falta de comprobación del tamaño de una cadena que contiene el valor de la variable gitdir. La función afectada es 'is_git_directory' de 'setup.c'.

En el código original se observa que tras obtener la longitud de la cadena en 'suspect' no se compara con el tamaño máximo del búfer de pila reservado en 'path' y definido en 'PATH_MAX'.

char path[PATH_MAX];
size_t len = strlen(suspect);
strcpy(path, suspect);

Esto permite sobreescribir datos de la pila rebasando el tamaño definido en 'PATH_MAX' a través de 'suspect' que a su vez es inicializado con valor obtenido del archivo .git leido.

El parche incluye la comprobación del valor obtenido para evitar el desbordamiento:

char path[PATH_MAX];
size_t len = strlen(suspect);
if (PATH_MAX <= len + strlen("/objects"))
die("Too long path: %.*s", 60, suspect);
strcpy(path, suspect);



David García
dgarcia@hispasec.com



sábado, 25 de septiembre de 2010

Denegación de servicio en Cisco Unified Communications Manager

Cisco ha confirmado una vulnerabilidad en Cisco Unified Communications Manager (versiones 6.x, 7.x y 8.x) que podría permitir a un atacante remoto causar condiciones de denegación de servicio.

El problema reside en el tratamiento de mensajes SIP específicamente creados, de forma que un atacante remoto podría provocar la interrupción de los servicios de voz.

Cisco ha publicado actualizaciones para corregir los problemas, mediante las versiones 6.1(5)SU1, 7.1(5b)SU2 y 8.0(3a).


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco Unified Communications Manager Session Initiation Protocol Denial of Service Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20100922-cucmsip.shtml

viernes, 24 de septiembre de 2010

Vulnerabilidades en IBM DB2

Se han anunciado dos vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM). Un usuario remoto autenticado podría llegar a ejecutar sentencias o acceder a objetos sin los privilegios necesarios.

En algunos casos un usuario remoto autenticado sin privilegios para acceder a una tabla, podrá ejecutar comandos en caché para realizar una consulta. Un segundo problema se produce cuando los privilegios de un objeto de la base de datos se revocan desde PUBLIC, las funciones dependientes no se marcan como INVALID.

Los problemas afectan a las versiones anteriores a la 9.7 FP3.

Se han publicado dos actualizaciones para corregir estos problemas, APAR IC70406 y APAR IC68015:
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406
http://www-01.ibm.com/support/docview.wss?uid=swg1IC68015


Antonio Ropero
antonior@hispasec.com


Más información:

IC70406: SECURITY: UPDATE AGAINST A TABLE VIA A COMPOUND SQL (COMPILED) STATEMENT MAY BE EXECUTED BY USER WTHOUT REQUIRED PRIVILEGES
http://www-01.ibm.com/support/docview.wss?uid=swg1IC70406

IC68015: SECURITY: FUNCTIONS ARE NOT INVALIDATED NOR DROPPED ALTHOUGH OWNER LOSES PRIVILEGES VIA PUBLIC TO ACCESS UNDERLYING OBJECTS.
http://www-01.ibm.com/support/docview.wss?uid=swg1IC68015

jueves, 23 de septiembre de 2010

CheckPoint: manual de un marketing irresponsable

Muchos medios han hablado de las técnicas desafortunadas usadas por ZoneAlarm para incentivar la compra de su software. Hace pocos días, una escalofriante ventana emergente que podía sugerir que el equipo estaba troyanizado con un malware peligrosísimo, alertó a todos los usuarios de este firewall personal. Pero además CheckPoint (responsable del producto) ha resucitado en su página (ya eliminada) todos los tópicos de una publicidad engañosa, irresponsable y sobre todo, anticuada: han vuelto 10 años atrás en el marketing antivirus.

El cortafuegos gratuito ZoneAlarm mostraba a sus usuarios hace unos días una ventana emergente en la que se leía "Global virus alert", "Your PC may be in danger" y alertaba sobre una amenaza muy peligrosa llamada Zeus.Zbot.aoaq. El lenguaje utilizado era tan deliberadamente ambiguo que el usuario podría pensar que se encontraba infectado. Al pulsar sobre cualquier botón, se invitaba al cliente a comprar la licencia de la versión de pago. Realmente, ZoneAlarm consiguió parecer más un vulgar rogueware que un motor antivirus serio. Tras las duras críticas, Checkpoint tuvo que aclarar la situación.

Pero Kurt Wismer detectó además que la publicidad engañosa y las malas artes se trasladaban a la página oficial de ZoneAlarm. Ya está retirada, pero todavía se puede consultar en la caché de Google.

http://webcache.googleusercontent.com/search?q=cache:TV-mkGmMkagJ:www.zonealarm.com/security/en-us/cdn/inclient/virus-alert.htm%3Fsource%3DInClient%2BMessage%26medium%3DZoneAlarm%2BFirewall%26term%3Dsee%2Bthreat%2Bdetails%2Blink%26cid%3DC300012

La web mostraba lo siguiente:



En ella se pueden leer ciertas perlas que se creían olvidadas.

* "Trusted by 100% of 100 Fortune Companies". Esta es una frase que puede confundir al lector. No dice que sea "usado" por todas esas empresas (cosa que obviamente es falsa), sino que "confían" en él. Parece más una forma de intentar colar la cifra "100% " en la página (que tiene un efecto psicológico tranquilizador), que un dato con fundamento.

* "Independent Test By Virustotal". Ya hemos hablado mucho sobre el error de bulto que supone utilizar Virustotal como un método de comparación antivirus. Es una técnica errónea por definición. Además, no sabemos exactamente qué significa que se ha realizado un test "independiente". Obviamente, no hemos participado en él.

* "Get complete protection against new threats". Es extraño (incluso absurdo) tener que recordar a estas alturas que ningún producto protege completamente contra todo el malware conocido o por conocer, y que afirmar (e incluso insinuar) lo contrario es mentir.

* "Only ZoneAlarm suite protects against Zeus.Zbot.aoaq". Esta es la afirmación aún más arriesgada y que se puede desmontar todavía más fácilmente. Existen millones de variantes de Zbot. Tantas como usuarios de este kit de creación de malware. Si atendemos al nombre concreto que parece que le ha dado ZoneAlarm y consultamos la base de datos de VirusTotal, obtenemos lo siguiente:

a) Si nos quedamos con esta variante en concreto, Zeus.Zbot.aoaq (que no sabemos con qué criterio la han elegido), tenemos que ese mismo nombre es usado por Kaspersky, The Hacker y Antivir. Todavía no contamos con el motor de ZoneAlarm en VirusTotal, pero asumiremos que se trata de la misma muestra.

b) En los últimos 30 días han llegado a VirusTotal 24.736 muestras únicas calificadas como variantes de Zbot. Solo 9 atienden exactamente a ese nombre. No parece la variante más "popular".

c) Si seguimos atendiendo a ese nombre en concreto, el día 15 de septiembre (cuando estaba colgada la publicidad engañosa) los tres motores mencionados detectaban las muestras por firmas exactamente como Zeus.Zbot.aoaq, por tanto, no "sólo ZoneAlarm protegía al usuario" frente a esa variante, como afirmaban en su web.

d) Por si fuera poco, la mayoría de motores detectaban las muestras ese mismo día con otro nombre, variante de Zbot. Entre ellos Norton, Trend Micro, AVG... y otros con los que ZoneAlarm se compara y afirma explícitamente en su web que no lo detectan.

Por tanto, CheckPoint ha perpetrado todo un despropósito (afortunadamente ya retirado) que nos retrotrae a tiempos en los que la publicidad antivirus era mucho más irresponsable que la actual... y, para colmo, no salía rentable denunciar. Y si no, que le pregunten a "Guillermito"... (ver apartado de más información).


Sergio de los Santos
ssantos@hispasec.com


Más información:

Check Point Pushing ZoneAlarm 'Scareware'
http://www.pcmag.com/article2/0,2817,2369376,00.asp

"Guillermito" pierde la apelación en el juicio con Tegam
http://www.hispasec.com/unaaldia/2686

anatomy of a snake oil campaign
http://anti-virus-rants.blogspot.com/2010/09/anatomy-of-snake-oil-campaign.html

ZoneAlarm Popup Message Explained
http://blog.zonealarm.com/blog/2010/09/the-popup-message-in-zonealarm-free-firewall-was-intended-as-an-alert-to-a-virus-our-technology-discovered-we-wanted-to-proa.html

miércoles, 22 de septiembre de 2010

Diversas vulnerabilidades en dispositivos Cisco IOS

Cisco ha anunciado cinco vulnerabilidades diferentes de denegación de servicio remoto en dispositivos con firmware Cisco IOS.

El primero de los problemas reside en la funcionalidad SSL VPN al configurarse con una redirección HTTP, que podrían perder bloques de control de transmisión (TCBs) al procesar una desconexión SSL anormal, provocando la denegación de servicio.

La segunda vulnerabilidad está provocada por un error en Network Address Translation (NAT) al trasladar paquetes SIP, H.323 o H.225.0, que puede provocar el reinicio de los dispositivos vulnerables.

Otros errores se presentan en las implementaciones de H.323 y de IGMP (Internet Group Management Protocol) versión 3; y o en el tratamiento de mensajes SIP (Session Initiation Protocol) al procesar paquetes o mensajes específicamente construidos.

Se ven afectadas las versiones de Cisco IOS 12.x, 15.x y Cisco IOS XE 2.x. Dada la diversidad de problemas y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en los avisos publicados por Cisco.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco IOS SSL VPN Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100922-sslvpn.shtml

Cisco Security Advisory: Cisco IOS Software Network Address
Translation Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20100922-nat.shtml

Cisco Security Advisory: Cisco IOS Software Internet Group Management
Protocol Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100922-igmp.shtml

Cisco Security Advisory: Cisco IOS Software Session Initiation
Protocol Denial of Service Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20100922-sip.shtml

Cisco Security Advisory: Cisco IOS Software H.323 Denial of Service
Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20100922-h323.shtm

martes, 21 de septiembre de 2010

Actualización de seguridad para Adobe Flash Player

Adobe ha publicado una actualización de seguridad destinada a corregir una vulnerabilidad crítica en Adobe Flash Player versión 10.1.82.76 (y anteriores) para Windows, Macintosh, Linux y Solaris y en Adobe Flash Player 10.1.92.10 para Android. La vulnerabilidad también afecta a Adobe Reader 9.3.4 (y anteriores) para Windows, Macintosh y UNIX; y a Adobe Acrobat 9.3.4 (y anteriores) para Windows y Macintosh.

La vulnerabilidad, con CVE-2010-2884, podría provocar la caída del sistema y potencialmente permitir a un atacante tomar el control de los sistemas afectados. El problema, del que no se han facilitado detalles, puede llegar a permitir la ejecución remota de código arbitrario al tratar contenido Flash o contenido Multimedia dentro de documentos PDF.

Adobe recomienda a los usuarios de Adobe Flash Player Windows, Macintosh, Linux, y Solaris la actualización a la versión 10.1.85.3. Y a los usuarios de Adobe Flash Player 10.1.92.10 para Android actualizar a la versión 10.1.95.1.


Antonio Ropero
antonior@hispasec.com


Más información:

Security Advisory for Flash Player. APSA10-03
http://www.adobe.com/support/security/advisories/apsa10-03.html

Security update available for Adobe Flash Player
http://www.adobe.com/support/security/bulletins/apsb10-22.html

lunes, 20 de septiembre de 2010

Actualización de seguridad para Apple Mac OS X

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X 10.6.4 que solventa una vulnerabilidad en el servicio AFP.

Esta es la sexta actualización del año (con el código 2010-006). En esta ocasión solo se ve afectado el servicio AFP (desactivado por defecto). El problema podría permitir a un atacante evitar la validación de contraseña y acceder a las carpetas compartidas.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/


Antonio Ropero
antonior@hispasec.com


Más información:

About Security Update 2010-006
http://support.apple.com/kb/HT4361

domingo, 19 de septiembre de 2010

Error de regresión en el kernel Linux resucita una elevación de privilegios

El investigador de seguridad Ben Hawkes se hallaba diseccionando el modo de compatibilidad del kernel Linux de 64 bits para aplicaciones de 32 cuando dio con algo que llamó su atención:

En el 2007 fue publicada una vulnerabilidad que permitía elevar privilegios en el kernel Linux de 64 bits. El problema residía en el archivo 'arch/x86_64/ia32/ia32entry.S', dentro de un procedimiento para emular las llamadas de la arquitectura de 32 bits.

Dicho procedimiento usa el registro eax como índice a una tabla donde están las llamadas del sistema correspondientes a IA32 y comprueba que eax está dentro de los límites de la tabla. Si es así llama a la macro IA32_ARG_FIXUP que realizará una conversión de registros de 64 bits a registros de 32.

Finalmente se realiza la llamada a través de ia32_sys_call_table pero usando el registro 'rax' completo y sin comprobar. Esto permite, si podemos controlar 'rax', efectuar llamadas a direcciones fuera de la tabla de llamadas y con privilegios del sistema (elevación de privilegios).

Dicho fallo, originalmente descubierto por Wojciech Purczynski, fue corregido añadiendo la macro LOAD_ARGS32 para cargar de manera segura los registros previniendo su explotación. En su día fue publicado el exploit correspondiente y se asignó el CVE-2007-4573 a la vulnerabilidad.

Lo que Ben observó fue que en las nuevas versiones del kernel, los desarroladores habían eliminado una linea concreta de la macro LOAD_ARGS32: "movl \offset+72(%rsp),%eax".

Curiosamente se trata de la que efectuaba una asignación segura del valor de 'eax'. Esto puede verse en el commit correspondiente del repositorio del kernel.

De nuevo la vulnerabilidad estaba viva. Ben se lo comunicó a Robert Swiecki, quien creo el exploit original y el cual sólo tuvo que modificarlo para que fuese funcional una vez más.

El fallo ha sido nuevamente parcheado y asignado el CVE-2010-3301.


David García
dgarcia@hispasec.com


Más información:

linux compat vulns (part 2)
http://sota.gen.nz/compat2/

isec-0025-syscall-emulation
http://isec.pl/vulnerabilities/isec-0025-syscall-emulation.txt

CVE-2010-3301 kernel: IA32 System Call Entry Point Vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=CVE-2010-3301

sábado, 18 de septiembre de 2010

Actualización de seguridad del navegador Google Chrome

Google ha publicado la versión 6.0.472.62 de su navegador Chrome que corrige varias vulnerabilidades e incluye una actualización crítica del complemento para Flash.
A continuación se describen las vulnerabilidades corregidas:

Calificado con nivel 'Alto', se ha corregido un problema de conversión sobre datos con formato SVG malformado. El fallo fue descubierto por wushi del team 509 y premiado por Google con 500 dólares.

Corregido un fallo 'Crítico' en el manejo de búferes en la implementación del protocolo SPDY. El fallo ha sido descubierto por Ron Ten-Hove y hubiese sido premiado con 1337 dólares de no ser porque Ron es empleado de Google.

El último fallo, calificado de 'Alto', ha sido descubierto por Stefano Di Paola y permite manipular la política de mismo origen del navegador. Premiado con 1000 dólares.

Respecto a la actualización del plugin Flash, se trata de la vulnerabilidad documentada en el CVE-2010-2884 que podría permitir a un atacante remoto ejecutar código arbitrario.

La nueva versión de Google Chrome puede ser actualizada desde el mismo navegador o desde la página web de Chrome.


David García
dgarcia@hispasec.com


Más información:

Stable, Beta Channel Updates
http://googlechromereleases.blogspot.com/2010/09/stable-beta-channel-updates_17.html

Security Advisory for Flash Player
http://www.adobe.com/support/security/advisories/apsa10-03.html

Google Chrome
http://www.google.es/chrome

viernes, 17 de septiembre de 2010

Vídeo: Rogueware bloquea todos los ejecutables y utiliza descripciones de virus históricos realizadas por Kaspersky

Seguimos con la serie de vídeos sobre troyanos del tipo rogueware, con casos que nos resulten curiosos o llamativos por alguna razón. El espécimen que presentamos en el segundo vídeo resulta especialmente molesto para el usuario infectado, puesto que bloquea toda ejecución de cualquier programa, advirtiendo de que el fichero (ficticiamente) está a su vez infectado por nombres y descripciones reales de virus, tomados de Kaspersky.

El rogueware se ha convertido en toda una especialidad dentro del malware hoy en día. Se trata de troyanos (normalmente para Windows) que imitan antivirus u otro tipo de software con el fin último de robar a la víctima que queda infectada, obligándole a pagar con su tarjeta de crédito por un producto inútil. Habitualmente asustan al infectado con mensajes de infecciones ficticias.

Esta pieza simula ser un antivirus llamado "Security Tool", con una apariencia muy profesional. Bloquea la ejecución de todos los programas del sistema (incluso de sí mismo, en el caso de que volviera a ejecutarse) exceptuando Internet Explorer. Esto implica que no es posible lanzar el administrador de tareas, lo que hace más "complejo" el poder deshacerse de él. Otro dato interesante es que utiliza nombres y descripciones de virus reales... algunos históricos.

Invitamos al lector a visualizar el vídeo alojado en YouTube (6 minutos).



Curiosidades:

* Dice encontrar en el sistema virus con nombres como DOS.Fire.2682 (de 1998), Virus.DOS.Lemena.3544 (1997), Backdoor.WinCE.Brador.a (de 2004 y sí, para WindowsCE...), Virus.DOS.Guevara.1918 (1997), Vipdataend.ij (2006)... Todos reales.

* Las descripciones que acompañan a las supuestas infecciones también son reales, y están sacadas de http://www.securelist.com de Kasperksy.

* Cada vez que se lanza un ejecutable, es bloqueado y se muestra un mensaje con el siguiente texto (poniendo como ejemplo la calculadora):

"Calc.exe infectado [NOMBRE REAL DE VIRUS HISTÓRICO]. Este virus gusano intenta de enviar los datos de su tarjeta de crédito, usando calc.exe para conectarse a un host distante."

* El programa copia sus archivos al directorio: C:\Documents and Settings\[usuario]\Configuración local\Datos de programa (en el caso de XP).

* El instalador genera un .bat con nombre aleatorio para su instalación:
C:\Documents and Settings\usuario\Configuración local\Temp

<-- Contenido del BAT -->
:try
del C:\DOCUME~1\usuario\ESCRIT~1\rouge.exe
if exist C:\DOCUME~1\usuario\ESCRIT~1\rouge.exe goto try
del C:\DOCUME~1\usuario\MENINI~1\PROGRA~1\SECURI~1.LNK
reg delete HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce /v rouge /f
start C:\DOCUME~1\usuario\CONFIG~1\DATOSD~1\519477~1.EXE -i
del C:\DOCUME~1\usuario\CONFIG~1\Temp\61861407.bat
<-- Fin del contenido del BAT -->

* Para asegurar su autoejecución en cada reinicio se añade bajo la siguiente clave de registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

* Para eliminarlo, el truco consiste en renombrar al administrador de tareas al único proceso que permite iniciar en el sistema.

1) Renombrar el taskmgr.exe a iexplore.exe y matar el proceso del rogueware (que consistirá en un nombre numérico aleatorio con extensión .exe)

2) Borrar las claves de registro que hagan referencia a este malware.

3) Borrar los ficheros en la carpeta de datos de programa.


Sergio de los Santos
ssantos@hispasec.com
Alejandro Gomez
agomez@hispasec.com


Más información:

Análisis en VirusTotal
http://www.virustotal.com/file-scan/report.html?id=6c98b43081a5421d42d8c68049bfa0391bd70db6e254d050e7dd55646f1c7df6-1282919793

jueves, 16 de septiembre de 2010

Concurso de seguridad web: RootedCON'2010 CTF

Los amantes de los wargames están de suerte porque esta vez, aparte de jugar y aprender, se podrán llevar a casa el nuevo iPod touch de Apple. El concurso dará comienzo mañana viernes 17 de septiembre a las 20:00 UTC/GMT+2. La diversión y el nivel de las pruebas están asegurados con los retos diseñados por dos especialistas en este tipo de eventos como son "RoMaNSoFt" y "Dreyer". ¿Te animas?

Seguro que muchos todavía recuerdan el mítico concurso de seguridad web "Boinas Negras", que marcó historia en España, allá por el año 2003. Se trataba de una serie de pruebas web que los concursantes debían resolver secuencialmente hasta llegar al último nivel (el clásico juego "por niveles"). Desde entonces ha prosperado el modelo "CTF-quals", en el que existen un conjunto de pruebas de diversa temática (crypto, reversing, forensics, exploiting...), que son resueltas de forma no secuencial, donde además las pruebas web se cuentan con los dedos de una mano.

RootedCon'2010 CTF recupera la filosofía de un reto puramente web aunque con un toque más moderno; digamos que algo más acorde a los tiempos que corren y al alcance de todos (no hay que ser un fiera del "low-level" para poder participar).

El promotor del wargame, RoMaNSoFt, quiere remarcar que, a pesar del nombre, este concurso es una iniciativa propia y no tiene nada que ver con la actual organización de Rooted CON. El hecho de que aparezca esta denominación es algo meramente anecdótico y se debe únicamente a que muchas de las pruebas se jugaron por primera vez en el pasado CTF de dicho Congreso del que fue co-fundador y responsable de su CTF junto a Jose Carlos Luna "dreyer" y Antonio Pérez "frink".

Desde Hispasec daremos seguimiento al wargame, a los participantes que consigan colocarse en el Top del ranking, y cualquier otra novedad digna de mención.

El concurso dará comienzo mañana viernes 17 de septiembre, a las 20h (hora española) pero ya está abierto el proceso de registro donde además podéis consultar las reglas así como ampliar más información (condiciones, premios, etc): http://www.rs-labs.com/rooted2010-ctf/

Más información:

RootedCON'2010 CTF
http://www.rs-labs.com/rooted2010-ctf/

Concurso de Seguridad: "Web challenges from RootedCON'2010 CTF"
http://www.rs-labs.com/noticias/#38

miércoles, 15 de septiembre de 2010

SAP se apunta al carro de las actualizaciones programadas

SAP anuncia que se apunta al carro de las actualizaciones de seguridad programadas. A partir de ahora, las publicará el segundo martes de cada mes. Como Microsoft, Oracle, Adobe y Cisco.

SAP anuncia que sus parches de seguridad aparecerán a partir de ahora los segundos martes de cada mes. Por si la vida de los administradores no fuese ya suficientemente complicada con los parches de Microsoft ese día, SAP se une a la "nueva moda" de actualizaciones programadas y usará el segundo martes de cada mes. El martes parece ser el más codiciado, puesto que es la opción que primero tomó Microsoft y que luego han copiado Oracle, SAP (y Adobe, en un principio).

Cisco, sin embargo, optó en su momento por el miércoles como día de actualización, aunque solo utiliza dos días al año (el cuarto miércoles de marzo y el cuarto miércoles de septiembre), puesto que sus actualizaciones son cada seis meses.

Adobe por su parte, apostó en un principio igualmente por los segundos martes para coincidir con Microsoft. Duró muy poco, apenas un par de boletines. En la práctica, últimamente la mayoría de días que ha publicado boletines han sido jueves. Pero esto tampoco es una regla. Desde que decidió realizar actualizaciones cada tres meses, apenas ha podido descansar tranquilo un trimestre completo, y en la mayoría de las ocasiones ha tenido que publicar parches cualquier día para arreglar algo urgente. De hecho, se está planteando modificar su política y realizar actualizaciones cada mes. Están tan desesperados, que han barajado la posibilidad de publicar sus parches desde el propio windowsupdate.com.

Oracle, con actualizaciones cada tres meses y también los segundos martes de cada mes, no suele publicar actualizaciones fuera de ciclo. Realmente no se da prisa en corregir nada, y por tanto, suele respetar sus ciclos.

Así las cosas, con este anuncio, ya son cinco las grandes compañías que apuestan por las actualizaciones programadas. Microsoft fue la primera gran compañía en adoptar esta medida y fue duramente criticada en el momento en el que decidió seguir esta estrategia. Pero en general, con el panorama actual, podríamos decir que Microsoft "acertó" dado el número de imitadores que finalmente han copiado su método.

Curiosamente, no nos consta que ningún gran fabricante basado en software libre realice este tipo de actualizaciones programadas. Red Hat o Ubuntu, por poner un ejemplo, publican parches cualquier día, a cualquier hora. Debian igual pero además, ellos deben lidiar con las continuas regresiones que introducen en ellos (ocho en lo que llevamos este año) con lo que incluso, es habitual que vuelvan a publicar las actualizaciones.

¿Son las actualizaciones programadas un terreno reservado a los grandes fabricantes de software cerrado?


Sergio de los Santos
ssantos@hispasec.com


Más información:

SAP introduces a patch day
http://www.h-online.com/security/news/item/SAP-introduces-a-patch-day-1079976.html

Cisco se apunta al carro de las alertas de seguridad programadas
http://www.hispasec.com/unaaldia/3422

Adobe se compromete a mejorar su política de seguridad
http://www.hispasec.com/unaaldia/3862

martes, 14 de septiembre de 2010

Boletines de seguridad de Microsoft en septiembre

Este martes Microsoft ha publicado nueve boletines de seguridad (del MS10-061 al MS10-069) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cuatro de los boletines presentan un nivel de gravedad "crítico", mientras que los cinco restantes son clasificados como "importantes". En total se han resuelto 11 vulnerabilidades.

Los boletines "críticos" son:

* MS10-061: Actualización para corregir una vulnerabilidad en el servicio de administrador de trabajos de impresión de Windows. Este problema podría permitir la ejecución remota de código si un usuario envía una solicitud de impresora especialmente manipulada a un sistema afectado con una interfaz de administración de trabajos de impresión expuesta a través de RPC. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

* MS10-062: Se trata de una actualización destinada a solucionar una vulnerabilidad en el codec MPEG-4 que podría permitir la ejecución remota de código si un usuario abre un archivo multimedia específicamente diseñado. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

* MS10-063: Actualización para corregir una vulnerabilidad en el procesador de scripts Unicode, de forma que podría permitir la ejecución remota de código si un usuario consulta un documento (o una página web) especialmente diseñado con una aplicación que admita fuentes OpenType incrustadas. Afecta a Microsoft Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008.

* MS10-064: Boletín destinado a corregir una vulnerabilidad en Microsoft Outlook en las configuraciones en las que se conecta a un servidor de Exchange en el modo en línea. Este problema podría permitir la ejecución remota de código si un usuario abre u obtiene una vista preliminar de un mensaje de correo electrónico específicamente manipulado. Afecta a Microsoft Outlook 2002, 2003 y 2007.

Los boletines clasificados como "importantes" son:

* MS10-065: Actualización para corregir tres vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código elevación de privilegios, en Internet Information Services (IIS). Afecta a IIS 5.1, 6.0, 7.0 y 7.5.

* MS10-066: Actualización para corregir una vulnerabilidad en RPC que podría permitir la ejecución remota de código en Windows XP y Windows Server 2003.

* MS10-067 Boletín en el que se ofrece una actualización para evitar una vulnerabilidad en los conversores de texto de WordPad que podría permitir la ejecución remota de código. Afecta a Windows XP y Windows Server 2003.

* MS10-068: Esta actualización de seguridad resuelve una vulnerabilidad de elevación de privilegios en Active Directory, Active Directory Application Mode (ADAM) y servicio de directorio ligero de Active Directory (AD LDS).

* MS10-069: Boletín destinado a corregir una vulnerabilidad de elevación de privilegios en CSRSS (Client/Server Runtime Subsystem). El problema reside en la asignación incorrecta de memoria al procesar determinadas transacciones de usuarios. Solo se ven afectados los sistemas con configuración regional en chino, japonés o coreano.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de septiembre de 2010
http://www.microsoft.com/spain/technet/security/bulletin/ms10-sep.mspx

Boletín de seguridad de Microsoft MS10-061 – Crítico
Una vulnerabilidad en el servicio de administrador de trabajos de impresión podría permitir la ejecución remota de código (2347290)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-061.mspx

Boletín de seguridad de Microsoft MS10-062 – Crítico
Una vulnerabilidad en el códec MPEG-4 podría permitir la ejecución remota de (975558)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-062.mspx

Boletín de seguridad de Microsoft MS10-063 – Crítico
Una vulnerabilidad en el procesador de scripts Unicode podría permitir la ejecución remota de código (2320113)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-063.mspx

Boletín de seguridad de Microsoft MS10-064 – Crítico
Una vulnerabilidad en Microsoft Outlook podría permitir la ejecución remota de código (2315011)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-064.mspx

Boletín de seguridad de Microsoft MS10-065 - Importante
Vulnerabilidades en Microsoft Internet Information Services (IIS) podrían permitir la ejecución remota de código (2267960)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-065.mspx

Boletín de seguridad de Microsoft MS10-066 - Importante
Una vulnerabilidad en la llamada a procedimiento remoto podría permitir la ejecución remota de código (982802)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-066.mspx

Boletín de seguridad de Microsoft MS10-067 - Importante
Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código (2259922)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-067.mspx

Boletín de seguridad de Microsoft MS10-068 - Importante
Una vulnerabilidad en el servicio de subsistema de autoridad de seguridad local podría permitir la elevación de privilegios (983539)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-068.mspx

Boletín de seguridad de Microsoft MS10-069 - Importante
Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor de Windows podría permitir la elevación de privilegios (2121546)
http://www.microsoft.com/spain/technet/security/bulletin/MS10-069.mspx

lunes, 13 de septiembre de 2010

Se descubre otro 0 day en Adobe Acrobat muy sofisticado

A estas alturas, ya no es noticia que se descubra un problema de seguridad en los gestores de PDF de Adobe previamente desconocido y siendo aprovechado por los atacantes. Últimamente, es el día a día de esta compañía. Este último fallo de seguridad destaca porque es muy sofisticado, elude las protecciones de los últimos Windows, y además está firmado digitalmente.

Se ha descubierto un nuevo ataque contra las últimas versiones de Adobe Reader y Adobe Acrobat. Se trata de un desbordamiento de memoria intermedia al realizar una llamada a la función strcat en la libraría CoolType.dll y permite a un atacante ejecutar código en el sistema si la víctima abre (con estos programas de Adobe) un fichero PDF que utilice un tipo de letra manipulada. El fallo es público, está siendo aprovechado por atacantes en estos momentos y Adobe ya lo ha reconocido. La propia compañía confirma que no existe parche ni contramedida propia disponible (habitualmente era suficiente con desactivar JavaScript para, al menos, mitigar el problema, pero no es el caso en esta ocasión). Ha actualizado su alerta para indicar que, gracias a Microsoft's Enhanced Mitigation Evaluation Toolkit (EMET) es posible bloquear el ataque.

Este escenario, aunque potencialmente muy peligroso, no es sorprendente ni nuevo. Sorprende sin embargo las peculiaridades con las que los atacantes han aprovechado el fallo para ejecutar el código arbitrario (que, evidentemente, resulta en malware). Lo más llamativo es que los atacantes han trabajado a fondo para poder aprovechar la vulnerabilidad usando técnicas muy parecidas a dos de las que recientemente hemos hablado en una-al-día: Las que usara hace poco Rubén Santamarta para aprovechar un fallo en Quicktime; y el uso de certificados reales para firmar el malware, como el "reciente" troyano Stuxnet.

A primera vista, el fallo no es sencillo de explotar. Al desbordar la memoria, la pila queda en un estado no demasiado "ideal" para utilizar la dirección de retorno adecuada y ejecutar código. Para eludir estos problemas, los atacantes han usado una librería icucnv36.dll que no soporta ASLR (básicamente, siempre está en la misma zona de memoria y esto sirve de referencia para lanzar código) y han usado una técnica conocida como ROP (Return oriented programming). Hasta aquí, el ataque es muy parecido al que descubrió Santamarta en Quicktime, y demuestra una gran habilidad del atacante. Para colmo en este caso, dado que la librería no da mucho juego (no importa funciones interesantes que permitan fácilmente la llamada a código) el atacante se vale de otras menos potentes que, combinadas, consiguen su objetivo. Todo un alarde de conocimientos.

Una vez ejecutado, el binario que ejecutan los atacantes (incrustado en el PDF, aunque también descarga otros) está firmado con un certificado real y robado, igual que hizo Stuxnet hace un par de meses (se trata del malware que se ejecutaba gracias a la infame vulnerabilidad en los archivos LNK de Windows). En este caso se trata de un certificado robado a Vantage Credit Union. Otro toque de profesionalidad. Hay quien pronostica que el malware firmado será tendencia en 2011.

Adobe tiene previsto su siguiente ciclo de actualizaciones en octubre, pero (una vez más), seguro que publica un parche antes. Desde hace tiempo, el periodo de tres meses que eligieron para publicar parches les viene demasiado largo, y las excepciones en las que han tenido que romper el ciclo y publicar parches "a destiempo" han sido numerosas.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Adobe Reader zero-day attack ? now with stolen certificate
http://www.securelist.com/en/blog?weblogid=2287

Security Advisory for Adobe Reader and Acrobat
http://www.adobe.com/support/security/advisories/apsa10-02.html

CVE-2010-2883 Adobe 0-Day
http://contagiodump.blogspot.com/2010/09/cve-david-leadbetters-one-point-lesson.html

Vulnerabilidad crítica en Apple QuickTime permite ejecución de código
http://www.hispasec.com/unaaldia/4328

La nueva variante del Stuxnet vuelve a estar firmada con un certificado válido
http://www.hispasec.com/unaaldia/4288

domingo, 12 de septiembre de 2010

Actualización del kernel para OpenSUSE

Se ha publicado la actualización del kernel para OpenSUSE 11.3 a la versión 2.6.34.4, en la que se corrigen cinco vulnerabilidades locales de denegación de servicio y de elevación de privilegios.

Los problemas corregidos están relacionados con la interfaz novfs /proc del Cliente Novell, con el servidor CIFS y con los sistemas de archivos gfs2 y btrfs.

Se recomienda actualizar a la última versión del kernel, disponible a
través de la herramienta automática YaST Online Update (YOU).


Antonio Ropero
antonior@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2010:039)
http://lists.opensuse.org/opensuse-security-announce/2010-09/msg00003.html

sábado, 11 de septiembre de 2010

Dos vulnerabilidades en HP Data Protector Express

Se han confirmado dos vulnerabilidades en HP Data Protector Express, que podrían permitir a usuarios locales maliciosos provocar denegaciones de servicio o elevar sus privilegios en los sistemas afectados.

No se han facilitado detalles concretos sobre los problemas, pero sí se ha confirmado que afectan a las siguientes versiones bajo plataformas Windows, Linux y Novell NetWare:
HP Data Protector Express 3.x y HP Data Protector Express SSE 3.x anteriores a la build 56936
HP Data Protector Express 4.x y HP Data Protector Express SSE 4.x anteriores a la build 56906

Se recomienda actualizar a la versión 3.5 SP2 build 56936 o posterior o a la 4.0 SP1 build 56906 o posterior.


Antonio Ropero
antonior@hispasec.com


Más información:

HPSBMA02516 SSRT090232 rev.1 - HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02067559

HPSBMA02576 SSRT090231 rev.1 - HP Data Protector Express and HP Data Protector Express Single Server Edition (SSE), Local Denial of Service (DoS), Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02498535

viernes, 10 de septiembre de 2010

Vulnerabilidades en Cisco Wireless LAN Controllers

Cisco ha publicado una actualización que solventa siete vulnerabilidades en la familia de dispositivos Cisco Wireless LAN Controllers (WLCs) que podrían permitir a un atacante remoto no autenticado escalar privilegios, causar una denegación de servicio o evitar las listas de control de acceso.

Los problemas corregidos consisten en dos vulnerabilidades de denegación de servicio provocadas por paquetes IKE y http maliciosos, tres vulnerabilidades de escalada de privilegios y por último dos vulnerabilidades que podrían permitir a un atacante no autenticado evitar las políticas impuestas en Listas de Control de Acceso (ACLs). Cada una de estas vulnerabilidades son independientes una de otra, un dispositivo puede estar afectado por una vulnerabilidad pero no por otra.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes soluciones para solventar el problema. Dada la diversidad de problemas y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20100908-wlc.shtml


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco Wireless LAN Controllers
http://www.cisco.com/warp/public/707/cisco-sa-20100908-wlc.shtml

jueves, 9 de septiembre de 2010

Novedades en VirusTotal: VTzilla

El 17 de Agosto publicábamos una Una-al-día informando de una serie de novedades en VirusTotal (http://www.virustotal.com). Entonces nos comprometimos a describir en mayor profundidad dichas novedades, que no eran pocas. Con un poco de suerte esta serie de noticias servirá para recibir sugerencias por parte de la comunidad y mejorar las modificaciones que se ponían en marcha.

Esta Una-al-día la vamos a dedicar a VTzilla, una extensión para Firefox que presentábamos hace 3 semanas con la siguiente descripción:

"Extensión para Firefox: se ha desarrollado una extensión para el navegador Mozilla Firefox que permite analizar enlaces con tan sólo un click derecho de ratón, escanear ficheros previa descarga por el navegador y consultar hashes y URLs en la base de datos de VirusTotal con una sencilla barra de herramientas."

Una extensión es una pequeña aplicación que amplía la funcionalidad de serie del navegador. Las extensiones pueden ser de todo tipo, por ejemplo, tiene mucha fama entre los desarrolladores web la extensión Firebug para Firefox, que permite jugar con el DOM (Document Object Model) de una página, ver las llamdas AJAX que esta hace, editar el CSS de la página, etc.

Las extensiones tienen acceso completo (no restringido) al DOM de una página, no están sujetas a las restricciones de "Same origin policy" a las que están sujetas las webs, y pueden interactuar con el registro (en caso de equipos Windows) o sistema de ficheros con los mismos privilegios que lo hace el navegador. Por estas razones y dado que cada vez más trámites que involucran dinero (banca electrónica, comercio online, etc.) se realizan con el navegador, muchos creadores de malware también se han basado en las extensiones para interceptar las credenciales, patrones de navegación, etc. de sus víctimas.

En nuestro caso presentamos una extensión con fines bien distintos. Se trata de una pequeña utilidad que facilita la interacción con VirusTotal. En primer lugar VTzilla añade una opción (escanear con VirusTotal) al menú contextual de Firefox que aparece cuando se hace clic con el botón derecho del ratón sobre cualquier enlace de una página. Esta funcionalidad permite enviar directamente la URL a la que apunta el enlace al analizador de URLs de VirusTotal. Este analizador escanea con diversas herramientas de análisis de URLs la página y a su vez descarga la respuesta del servidor (html, ejecutables, etc.) y la analiza con el motor de análisis de binarios. Este detalle es importante, en muchas ocasiones una determinada URL podría no ser detectada como maliciosa y sin embargo el fichero alojado en ella sí ser detectado por los distintos antivirus. Esta claro que el usuario no debe olvidar seguir el enlace "Antivirus report: View downloaded file análisis" que se encuentra en el informe preliminar de la URL, dicho enlace nos lleva al análisis del fichero descargado.

Invitamos a los usuarios de la extensión a comprobar enlaces sospechosos con ella, pero queremos destacar que desde nuestra perspectiva no sólo nos interesa recibir enlaces a binarios maliciosos, también son de sumo interés las páginas de phishing y otros tipos de fraude. Por ejemplo, un usuario que se acostumbre a enviar las URLs de correos de phishing que recibe en su buzón personal estará ayudando a la comunidad en general dado que dichas páginas acabarán en manos de los desarrolladores de barras antiphishing y estos podrán refinar sus herramientas.

Dicho esto, el botón derecho no es la única forma de analizar webs con VirusTotal. La extensión también añade una barra en la parte superior del navegador con un botón que permite escanear la página que se está visualizando. Esa misma barra integra un botón de búsqueda en el que se puede introducir el md5/sha1/sha256/permalink de un fichero, una determinada URL o un determinado tag de comentarios sobre muestras para buscar en la base de datos de VirusTotal.

La última funcionalidad que incorpora la extensión es añadir un campo más a la ventana de descarga de ficheros del navegador, ahora además de poder "abrir con..." y "guardar en disco..." también se puede "escanear con VirusTotal" todo fichero que se va a descargar. Nótese que esta opción lo que hace es escanear la URL a la que apunta el fichero que se va a descargar, a su vez VirusTotal descargará el fichero (no la máquina del usuario) y presentará el informe del fichero en el enlace que se comentó con anterioridad que aparece en los informes de URLs.

Esta extensión no es ningún santo grial, tal y como sucede en casi cualquier ámbito de la seguridad informática existen múltiples formas de mermar su utilidad, algunas de ellas triviales. Por ejemplo, los enlaces se pueden implementar con JavaScript, de tal forma que el menú contextual de VTzilla no aparezca al pulsar con el botón derecho porque no se reconozca un "anchor" HTML con atributo "href". Otro truco más que evidente es que puesto que los binarios asociados a URLs se descargan con VirusTotal, un atacante podría servir un fichero inocuo a VirusTotal (basándose en nuestra IP) y otro malicioso al usuario final cuando realmente descargue el fichero a su máquina.

Para futuras versiones de VTzilla tenemos pensado añadir la posibilidad de que los binarios se descarguen a la máquina local y luego se suban a VirusTotal, añade un paso innecesario pero evitaría el último de los problemas que se comentaba. Estamos abiertos, y de hecho agradeceríamos mucho otras sugerencias. También se está trabajando en extensiones equivalentes para Google Chrome e Internet Explorer.

La extensión puede descargarse desde la pestaña "Browser Addons" de
http://www.virustotal.com/advanced.html.


Emiliano Martínez Contreras
emartinez@hispasec.com


Más información:

una-al-dia (17/08/2010) Novedades en VirusTotal
http://www.hispasec.com/unaaldia/4315

miércoles, 8 de septiembre de 2010

Actualización de seguridad de Apple Safari

Apple ha publicado una actualización de seguridad para su navegador Safari (versiones 4.1.2 y 5.0.2) que solventan diversas vulnerabilidades que podrían ser aprovechadas por un atacante remoto para lograr el compromiso de los sistemas afectados.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista. Durante los últimos meses se ha ofrecido la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple.

Se han corregido un total de tres vulnerabilidades, relacionadas con la ruta en la que se graban los archivos descargados, un error de validación de entradas en el tratamiento de WebKit de tipos de datos de coma flotante y por último un error en WebKit al usar un puntero tras liberarlo.

Se recomienda actualizar a la versión 4.1.2 o 5.0.2 de Safari para Mac OS X o Windows disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde:
http://www.apple.com/safari/download/


Antonio Ropero
antonior@hispasec.com


Más información:

About the security content of Safari 5.0.2 and Safari 4.1.2
http://support.apple.com/kb/HT4333

martes, 7 de septiembre de 2010

Boletines de seguridad de la Fundación Mozilla

La Fundación Mozilla ha publicado 15 boletines de seguridad (del MFSA2010-49 al MFSA2010-63) para solucionar diversas vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). Según la propia clasificación de Mozilla diez de los boletines presentan un nivel de gravedad "crítico", dos son de carácter "alto", otro es "moderado" y dos últimos considerados como "bajos".

Los boletines publicados son:

* MFSA 2010-63: Boletín de gravedad baja, en el que se trata una fuga de información a través de statusText en XMLHttpRequest.

* MFSA 2010-62: Este boletín moderado, trata una vulnerabilidad de cross site scripting al copiar y pegar o arrastrar y soltar en un documento designMode.

* MFSA 2010-61: Boletín de gravedad alto. Salto de los filtros XSS al inyectar JavaScript codificado UTF-7 mediante el uso de etiquetas

* MFSA 2010-60: Boletín de carácter alto, relacionado con un cross site scripting en el uso de SJOW. Sólo afecta a Firefox 3.5.12 y Thunderbird 3.0.7.

* MFSA 2010-59: Boletín de carácter crítico, relacionado con que SJOW crea cadenas que terminan en un objeto externo.

* MFSA 2010-58: Boletín de carácter crítico. Fuentes especialmente construidas pueden aplicarse a un documento y provocar la caída (con posibilidad de ejecución de código arbitrario) en sistemas Mac.

* MFSA 2010-57: Boletín crítico. Ejecución remota de código en normalizeDocument.

* MFSA 2010-56: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeContentView.

* MFSA 2010-55: Este boletín es de gravedad baja (aunque crítico en Gecko 1.9.1 y anteriores). El borrado del árbol XUL puede provocar la caída de la aplicación, y en función de la versión podría permitir la ejecución de código remoto.

* MFSA 2010-54: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en nsTreeSelection.

* MFSA 2010-53: Boletín de carácter critico por un desbordamiento de búfer en nsTextFrameUtils::TransformText.

* MFSA 2010-52: Vulnerabilidad considerada crítica en la carga de dll en Windows XP.

* MFSA 2010-51: Boletín de gravedad crítica, por una vulnerabilidad por puntero que no apunta a un objeto válido del tipo adecuado en el uso del plugin de array DOM.

* MFSA 2010-50: Boletín considerado como crítico, trata de un desbordamiento de entero en el Frameset.

* MFSA 2010-49: Boletín de carácter crítico, trata de diversos problemas relacionados con el uso de la memoria del motor del navegador.

Se han publicado las versiones 3.6.9 y 3.5.12 del navegador Firefox, las versiones 3.1.3 y 3.0.7 de Thunderbird y la 2.0.7 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:
http://www.mozilla-europe.org/es/firefox/
http://www.mozillamessaging.com/es-ES/thunderbird/
http://www.seamonkey-project.org/


Antonio Ropero
antonior@hispasec.com


Más información:

MFSA 2010-63 Information leak via XMLHttpRequest statusText
http://www.mozilla.org/security/announce/2010/mfsa2010-63.html

MFSA 2010-62 Copy-and-paste or drag-and-drop into designMode document allows XSS
http://www.mozilla.org/security/announce/2010/mfsa2010-62.html

MFSA 2010-61 UTF-7 XSS by overriding document charset using type attribute
http://www.mozilla.org/security/announce/2010/mfsa2010-61.html

MFSA 2010-60 XSS using SJOW scripted function
http://www.mozilla.org/security/announce/2010/mfsa2010-60.html

MFSA 2010-59 SJOW creates scope chains ending in outer object
http://www.mozilla.org/security/announce/2010/mfsa2010-59.html

MFSA 2010-58 Crash on Mac using fuzzed font in data: URL
http://www.mozilla.org/security/announce/2010/mfsa2010-58.html

MFSA 2010-57 Crash and remote code execution in normalizeDocument
http://www.mozilla.org/security/announce/2010/mfsa2010-57.html

MFSA 2010-56 Dangling pointer vulnerability in nsTreeContentView
http://www.mozilla.org/security/announce/2010/mfsa2010-56.html

MFSA 2010-55 XUL tree removal crash and remote code execution
http://www.mozilla.org/security/announce/2010/mfsa2010-55.html

MFSA 2010-54 Dangling pointer vulnerability in nsTreeSelection
http://www.mozilla.org/security/announce/2010/mfsa2010-54.html

MFSA 2010-53 Heap buffer overflow in nsTextFrameUtils::TransformText
http://www.mozilla.org/security/announce/2010/mfsa2010-53.html

MFSA 2010-52 Windows XP DLL loading vulnerability
http://www.mozilla.org/security/announce/2010/mfsa2010-52.html

MFSA 2010-51 Dangling pointer vulnerability using DOM plugin array
http://www.mozilla.org/security/announce/2010/mfsa2010-51.html

MFSA 2010-50 Frameset integer overflow vulnerability
http://www.mozilla.org/security/announce/2010/mfsa2010-50.html

MFSA 2010-49 Miscellaneous memory safety hazards (rv:1.9.2.9/ 1.9.1.12)
http://www.mozilla.org/security/announce/2010/mfsa2010-49.html

lunes, 6 de septiembre de 2010

Dos vulnerabilidades en el agente de HP Operations

Se han confirmado dos vulnerabilidades en el Agente de HP Operations, que podrían permitir a un atacante lograr comprometer los sistemas afectados.

Los problemas afectan a las versiones del Agente 7.36 y 8.6 bajo plataforma Windows, y los CVE asignados son CVE-2010-3004 y CVE-2010-3005. Un usuario local podrá elevar sus privilegios y un atacante remoto podrá ejecutar código arbitrario en los sistema afectado. Sin embargo HP no ha facilitado más información sobre los problemas.

Se han publicado las siguientes actualizaciones para evitar estos problemas:
Para el agente de HP Operations v7.36 los hotfixes: QCCR1A106920 y QCCR1A106834.
Para el agente de HP Operations v8.6 los hotfixes: QCCR1A106558 y QCCR1A106917.

Antonio Ropero
antonior@hispasec.com


Más información:

HPSBMA02572 SSRT100082 rev.1 - HP Operations Agent Running on Windows, Local Elevation of Privileges and Remote Execution of Arbitrary Code
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02497800

domingo, 5 de septiembre de 2010

Vídeo: Rogueware utiliza la filosofía de Virustotal para que la víctima escoja su "troyano"

Vamos a realizar una serie de vídeos sobre troyanos del tipo rogueware, con casos que nos resulten curiosos o llamativos por alguna razón. El espécimen que presentamos en el primer vídeo utiliza la filosofía de una especie de analizador de malware online, donde solo otros rogueware detectan un hipotético troyano, mientras que los antivirus legítimos no.

El rogueware se ha convertido en toda una especialidad dentro del malware hoy en día. Se trata de troyanos (normalmente para Windows) que imitan antivirus u otro tipo de software con el fin último de robar a la víctima que queda infectada, obligándola a pagar con su tarjeta de crédito por un producto inútil. Habitualmente asustan al infectado con mensajes de infecciones ficticias.

Su éxito está animando a los creadores a fabricar piezas cada día más sofisticadas. Su diseño es a veces sorprendente, con un estilo muy parecido a cualquier antivirus profesional.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:57 minutos).




Curiosidades:

* El troyano puede llegar al usuario por cualquier medio: vulnerabilidad, ejecución directa, etc.

* Se vale de una página web que simula un análisis online de un supuesto troyano que no puede desinfectar en local.

* En la simulación, solo los falsos antivirus (frente a los legítimos) lo detectarán. Esto incitará al infectado a descargar a su vez otro rogueware.

En las próximas semanas, publicaremos otros ejemplos de este tipo de malware, incluidos algunos ejemplos de los que se pueden descargar desde esta página que simula una especie de Virustotal.


Sergio de los Santos
ssantos@hispasec.com



sábado, 4 de septiembre de 2010

Asegúr@IT Camp 2 en Madrid

Los días 22,23 y 24 de Octubre, tendrá lugar la segunda edición del Asegúr@IT Camp. Un evento centrado en Seguridad y Tecnología que se diferencia de las versiones anteriores por realizarse en un camping cerca del Escorial.

El evento comienza el viernes con una cena y termina el domingo con un desayuno pasando por un sábado repleto de actividades que van desde charlas de Análisis de Malware, Ataques a través de buscadores, Técnicas de Análisis Forense, Internet Explorer 9... hasta campeonato de futbolín Internacional o pruebas de conducción con el simulador SIMAX

Entre los ponentes participarán:
* Dragos Lungu, experto en malware que vendrá de la mano de BitDefender
* Pedro Sánchez de Conexión Inversa,
* Chema Alonso, MVP de Enterprise Security por Microsoft,
* Iñaki Ayucar MVP en C# y creador de SIMAX, simulador de conducción utilizado, entre otros, por Toyota
* José Bonnin de Microsot, que presentará Internet Explorer 9
* Niko, creador de Cálico Electrónico y Armoria,
* Alejandro Martín Bailón de Informática64.

La reunión tendrá lugar en el Camping del Escorial y tienes toda la información de la agenda, el proceso de registro y como llegar en la web del evento.




Más información:
Asegúr@IT Camp 2: http://www.informatica64.com/aseguraitcamp2

viernes, 3 de septiembre de 2010

Actualización del kernel para SuSE Linux Enterprise 10

SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 10 SP3 en la que se corrigen dos vulnerabilidades de denegación de servicio.

Uno de los problemas corregidos en que la pila de procesos puede crecer hasta sobreescribir otras áreas mapeadas, esto podría conllevar la terminación del proceso. Un segundo problema, consiste en una denegación de servicio del servidor NFSv4 ante peticiones específicamente construidas.

Se recomienda actualizar a la última versión del kernel, disponible a
través de la herramienta automática YaST.


Antonio Ropero
antonior@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: kernel (SUSE-SA:2010:038)
http://lists.opensuse.org/opensuse-security-announce/2010-09/msg00002.html

jueves, 2 de septiembre de 2010

Desbordamiento de búfer en ftpd de IBM AIX

Se ha confirmado una vulnerabilidad en servidor ftp de los sistemas IBM AIX 5.3 (y anteriores), por la que un usuario remoto autenticado podría llegar a ejecutar código arbitrario en los sistemas afectados.

La vulnerabilidad reside en un desbordamiento de búfer (explotable de forma remota) en el tratamiento de comandos NLST específicamente creados. Si el ftp permite acceso de escritura, el atacante podrá explotar el fallo para obtener los hashes de usuario (cifrados con DES).

Se ha publicado un exploit de demostración del problema.

IBM ha publicado actualizaciones de seguridad que pueden descargarse desde:
http://aix.software.ibm.com/aix/efixes/security/ftpd_ifix.tar


Antonio Ropero
antonior@hispasec.com


Más información:

AIX ftpd buffer overflow vulnerability
http://aix.software.ibm.com/aix/efixes/security/ftpd_advisory.asc

miércoles, 1 de septiembre de 2010

Denegación de servicio en Cisco IOS XR

Cisco ha confirmado una vulnerabilidad de denegación de servicio remota que afecta a todos los dispositivos con Cisco IOS XR configurados con rutado BGP.

El problema se produce cuando un par BGP anuncia un prefijo con un atributo transitivo específico y válido, pero no reconocido. A la recepción de este prefijo, el dispositivo Cisco IOS XR destinatario corrompe el atributo antes de enviarlo a los dispositivos vecinos. Esto provoca que los dispositivos vecinos reinicien la sesión de pares BGP.

Ni Cisco IOS ni los dispositivos Cisco IOS XR que no estén configurados para rutado BGP no se ven afectados.

Cisco ha publicado actualizaciones para evitar este problema, disponible desde el sitio de descargas:
http://www.cisco.com/public/sw-center/sw-usingswc.shtml
Se recomienda consultar el boletín publicado disponible en:
http://www.cisco.com/warp/public/707/cisco-sa-20100827-bgp.shtml


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco IOS XR Software Border Gateway Protocol Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20100827-bgp.shtml