martes, 30 de noviembre de 2010

¿Vuelve el ransomware? Troyano utiliza criptografía asimétrica (y II)

El ransomware es un tipo de troyano que, de vez en cuando, asoma al mundo del malware. Esta semana hemos visto un espécimen que nos ha llamado la atención porque utiliza criptografía asimétrica para cifrar los archivos del usuario y pedir así un rescate por ellos. Veamos cómo funciona exactamente y qué fallos y aciertos ha cometido su autor.

1.- El troyano (empaquetado con UPX) contiene en su interior una clave pública del atacante, un archivo BMP (el fondo de pantalla) y el texto del mensaje.

2.- Utilizando las APIs criptográficas de Windows, genera un par de claves públicas y privadas (las llamaremos A y B) usando el protocolo RSA.

3.- Cifra con su clave pública una de las claves (pongamos A) generadas en el paso 2, lo que daría A'. Este paso es interesante, porque así evita que alguien con conocimientos aplique el proceso inverso de cifrado.

4.- En este punto el troyano crea un hilo y comienza a realizar dos tareas en paralelo. Por un lado muestra el mensaje de texto (concatenando en el texto la clave A') y cambia el fondo de pantalla y por otro comienza a cifrar. Esto es un grave error por parte del atacante, puesto que mientras muestra el mensaje de alerta, ya está cifrando entre bambalinas los archivos. La víctima, una vez visualizado el mensaje, solo tiene que identificar y matar el proceso. Así salvará la mayor parte de sus ficheros. Lo ideal (desde el punto de vista del atacante) hubiese sido primero cifrarlo todo y luego avisar a la víctima. El troyano no se ejecutará de nuevo en el sistema.

5.- El troyano busca en todas las unidades, ficheros con estas extensiones: jpg, .jpeg, .psd, .cdr, .dwg, .max, .mov, .m2v, .3gp, .doc, .docx, .xls, .xlsx, .ppt, .pptx, .rar, .zip, .mdb, .mp3, .cer, .p12, .pfx, .kwm, .pwm, .txt, .pdf, .avi, .flv, .lnk, .bmp, .1cd, .md, .mdf, .dbf, .mdb, .odt, .vob, .ifo, .mpeg, .mpg, .doc, .docx, .xls, y.xlsx. Cifra con la otra clave B generada en el paso 2 y en bloques la mitad del tamaño de cada archivo. Suponemos que por eficiencia (es un proceso que consume recursos). Es interesante destacar que los archivos son sobrescritos (hace que los originales no puedan recuperarse). Antes de cifrar cada archivo, debe comprobar que no se llame HOW TO DECRYPT FILES.txt o el nombre aleatorio que pone al BMP que usa como fondo de pantalla. Si es así, no los cifra. Esta es una comprobación que se podía haber ahorrado si creara estos archivos después del cifrado y no antes, como hemos mencionado.

6.- Borra la clave B con la que ha cifrado los archivos. Ahora, será necesario que el atacante descifre A' con su clave privada. Con esto el atacante obtendrá A, necesaria para descifrar lo que ha sido cifrado con B.

7.- El troyano crea un bat temporal para borrarse.

En el mensaje se advierte a la víctima de que después de un tiempo los ficheros cifrados serán borrados. Esto no es cierto, no está programado en el código.

Si alguien queda infectado y no cuenta con copia de seguridad de sus ficheros puede perderlos definitivamente. Solo queda, como hemos apuntado, detectar la infección (por el mensaje que aparece y el cambio de fondo de escritorio) y matar el proceso o apagar el sistema. Un usuario con conocimientos de ingeniería inversa podría depurar el proceso mientras está cifrando e intentar rescatar de la memoria la clave B, pero es complejo (y se debe ser rápido). Nunca se debe realizar el pago.

La primera muestra que tenemos en Virustotal data del 25 de noviembre. Era detectada por firmas por 5 motores. La última está siendo detectada por 24 motores. El país de donde provienen la mayoría de las muestras es Alemania.


Alejandro J. Gómez
agomez@hispasec.com

Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (29/11/2010) Vídeo: ¿Vuelve el ransomware? Troyano utiliza criptografía asimétrica (I)
http://www.hispasec.com/unaaldia/4419/comentar

lunes, 29 de noviembre de 2010

Vídeo: ¿Vuelve el ransomware? Troyano utiliza criptografía asimétrica (I)

El ransomware es un tipo de troyano que, de vez en cuando, asoma al mundo del malware. Esta semana hemos visto un espécimen que nos ha llamado la atención porque utiliza criptografía asimétrica para cifrar los archivos del usuario y pedir así un rescate por ellos. La mala noticia es que, al contrario que otros ransomware, este está relativamente bien hecho y los archivos pueden quedar inservibles. La buena noticia es que el atacante ha cometido un par de fallos y el impacto se puede mitigar.

Su funcionalidad básica es cifrar documentos y archivos del usuario y pedir un rescate por ellos (en este caso 120 dólares). Normalmente los atacantes utilizan una cuenta de PayPal o cualquier servicio de giro postal que facilite el anonimato. La mayoría ni se molestan, una vez recibido el dinero, en descifrar los archivos. Juegan con la desesperación de las víctimas, que pueden ver como todas las fotografías, documentos, presentaciones y vídeos de su disco duro quedan inservibles.

Uno de los más famosos fue PGPcoder, que saltó a la luz en 2004. Este troyano cifraba los archivos de los sistemas y solicitaba dinero a los usuarios afectados si querían volver a restaurarlos. La realidad es que, debido a un mal diseño de su creador, el troyano utilizaba un algoritmo de cifrado muy simple basado en valores fijos, que permitía invertirlo y recuperar automáticamente los archivos. Cada cierto tiempo el creador ha publicado una nueva versión y si bien comenzó a utilizar criptografía fuerte, no era asimétrica. Kaspersky consiguió crackear la contraseña usada y ofrecía soluciones a las víctimas para descifrar los archivos sin necesidad de pagar el rescate.

Pero parece que los atacantes han aprendido la lección. Este troyano utiliza una combinación de RSA (para generar un par de claves pública y privada) y AES para cifrar. A su vez, utiliza la clave pública del atacante para cifrar la privada con la que han sido cifrados los ficheros de la víctima. Además también evitan borrar los ficheros originales. Ahora los sobrescribe. En versiones anteriores, era posible recuperar los datos cifrados con cualquier programa para recuperar ficheros eliminados del sistema.

Pero aun así, el atacante comete algún que otro error. Lo analizamos en profundidad en la siguiente entrega.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:27 minutos)




Sergio de los Santos
ssantos@hispasec.com


Más información:

una-al-dia (01/06/2005) El talón de Aquiles de PGPcoder, el troyano chantajista
http://www.hispasec.com/unaaldia/2412

una-al-dia (08/06/2005) Descifrado del troyano PGPcoder
http://www.hispasec.com/unaaldia/2419

domingo, 28 de noviembre de 2010

Denegación de servicio a través de ficheros adjuntos en Microsoft Outlook 2007

Sarid Harper de la empresa danesa CSIS Security Group descubrió el pasado mes de septiembre esta vulnerabilidad que puso en conocimiento de Microsoft a través de sus canales oficiales.

El fallo se debe a un error en el manejo de los email que contienen ficheros adjuntos que carecen de extensión. Un atacante remoto podría causar una denegación de servicio a través del envío de un fichero especialmente manipulado, siempre y cuando, el usuario pulse sobre el fichero para abrirlo a través del panel de lectura de la aplicación.

El fallo afecta a la versión Microsoft Outlook 2007 SP2, aunque no se descarta que afecte a un mayor número de versiones.

Microsoft ha publicado como contramedida, para mitigar la vulnerabilidad, desactivar el panel de lectura:
http://office.microsoft.com/en-us/outlook-help/make-changes-to-the-reading-preview-pane-HA010118503.aspx?CTT=1#_Toc267389729


Fernando Ramírez
framirez@hispasec.com


Más información:

Papper CSIS
http://www.csis.dk/downloads/CA191110.pdf

sábado, 27 de noviembre de 2010

Actualización del kernel para Debian Linux 5.x

Debian ha publicado una actualización del kernel 2.6.x, que soluciona un total de 31 CVE. Las vulnerabilidades podrían permitir a un atacante llegar a elevar privilegios, causar una denegación de servicio u obtener información sensible.

Esta es la octava actualización del kernel en lo que va de año y la que incluye un mayor número de correcciones. A continuación se detallan los CVE y un resumen de la vulnerabilidad.

CVE-2010-4164: Existe una falta de comprobación de límites en la función 'x25_parse_facilities' localizada en 'net/x25/x25_facilities.c' que podría causar un desbordamiento de enteros. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de una llamada a la función 'x25_parse_facilities' especialmente manipulada.

CVE-2010-4083: Un error en las llamadas al sistema semctl, al no inicializar la pila de memoria, podría permitir a un atacante acceder a información sensible.

CVE-2010-4080: Un fallo en el driver ALSA para dispositivos de audio 'RME Hammerfall DSP', podrían permitir a atacantes locales acceder a información sensible a través de la llamada al sistema SNDRV_HDSP_IOCTL_GET_CONFIG_INFO.

CVE-2010-4081: Un fallo en el driver ALSA para dispositivos de audio 'RME Hammerfall DSP MADI', podría permitir a atacantes locales acceder a información sensible a través de una llamada al sistema SNDRV_HDSP_IOCTL_GET_CONFIG_INFO.

CVE-2010-4079: Un fallo en el driver 'ivtvfb' usados por el dispositivo 'Hauppauge PVR-350', podría permitir a un atacante local obtener información sensible a través de una llamada al sistema FBIOGET_VBLANK.

CVE-2010-2963: Existe un error en la llamada a 'copy_from_user' localizada en 'drivers/media/video/v4l2-compat-ioctl32.c' que no comprueba la memoria de destino. Esto podría ser aprovechado por un atacante local que tenga acceso al dispositivo v4l para escribir en una parte del kernel aleatoria y elevar privilegios.

CVE-2010-3067: Existe un error de desbordamiento de entero en la función 'do_io_submit' en 'fs/aio.c'. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través de llamadas especialmente diseñadas a 'io_submit'.

CVE-2010-3297: Existe un error al no ser modificada o inicializada a cero la variable 'master_name' antes de ser devuelta al usuario en la función 'eql_g_master_cfg' del fichero '/drivers/net/eql.c'. Un atacante local sin privilegios podría leer hasta 16 bytes de memoria no inicializada a través de vectores no especificados.

CVE-2010-3310: Se ha encontrado un fallo de comprobación de signo en las funciones 'rose_bind' y 'rose_connect' del 'fichero net/rose/af_rose.c'. Esto podría ser aprovechado por un atacante local para eludir la comprobación de límites de memoria y provocar una denegación de servicio. Para que el sistema sea vulnerable debe disponer de un dispositivo ROSE.

CVE-2010-3296: Existe un error al no ser modificada o inicializada a cero la variable 'addr' antes de ser retornada al usuario en la función 'cxgb_extension_ioctl' del fichero '/drivers/net/cxgb3/cxgb3_main.c'. Esto podría ser aprovechado por un atacante local sin privilegios para leer hasta 4 bytes de memoria no inicializada a través de vectores no especificados.

CVE-2010-3432: Existe un error en el manejador de trozos de paquetes en la función 'sctp_packet_config' localizada en 'b/net/sctp/output.c' que podría causar un desbordamiento de memoria intermedia. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de vectores no especificados.

CVE-2010-3437: Existe un error en la función 'pkt_find_dev_from_minor' al usar como parámetro un entero sin signo para obtener un puntero a un dispositivo 'pktcdvd_device' desde el array 'pkt_devs'. Esto podría ser usado por un atacante local para obtener partes arbitrarias de la memoria del kernel o causar una denegación de servicio a través de un valor entero especialmente manipulado.

CVE-2010-3442: Existe un error de desbordamiento de entero en la función 'snd_ctl_new' de 'sound/core/control.c'. Un atacante local podría causar una denegación de servicio y potencialmente elevar privilegios a través de vectores no especificados.

CVE-2010-3477: Existe un error en la función 'tcf_act_police_dump' de 'net/sched/act_police.c' al no inicializar correctamente ciertas estructuras. Esto podría ser usado por un atacante local para obtener información sensible a través de un volcado de memoria.

CVE-2010-3448: Existe un error que bloquea el acceso al estado de la salida de audio en los ficheros 'drivers/platform/x86/Kconfig' y 'drivers/platform/x86/thinkpad_acpi.c' que podría ser aprovechado por un atacante local para causar una denegación de servicio a través de la lectura de '/proc/acpi/ibm/video'.

CVE-2010-3705: Existe un error procesando una autenticación HMAC en la función 'sctp_auth_asoc_get_hmac' localizada en '/net/sctp/auth.c' que podría causar que la memoria se corrompa. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de un paquete especialmente manipulado.

CVE-2010-3848: Existe un desbordamiento de memoria intermedia basado en pila en el protocolo Econet. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio y potencielmente elevar privilegios a través de un valor muy alto en 'msg->msgiovlen'

CVE-2010-3849: Existe un error de comprobación de restricciones en la función 'sendmsg' del protocolo Econet. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través de una llamada a la función 'sendmsg' con el valor dirección remota instanciado a NULL.

CVE-2010-3850: Existe un error de comprobación de restricciones en el protocolo Econet que podría ser aprovechado por un atacante remoto para asignar direcciones econet a interfaces arbitrarias a través de vectores no especificados.

CVE-2010-3859: Existe un error al cargar el módulo tipc que podría ser aprovechado por un atacante local para elevar privilegios a través de una llamada a 'sendmsg' especialmente diseñada.

CVE-2010-3858: Existe un error de comprobación de límites en la función 'setup_arg_pages' que podría ser aprovechado por un atacante local para causar una denegación de servicio a través de una llamada especialmente diseñada a la función 'setup_arg_pages'.

CVE-2010-3873: Existe falta de comprobación en la función 'x25_parse_facilities' localizada en 'net/x25/x25_facilities.c' que podría provocar que la memoria se corrompa. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio, y potencialmente, ejecutar código arbitrario a través de una llamada a la función 'x25_parse_facilities' especialmente manipulada.

CVE-2010-3874: Existe un desbordamiento de memoria intermedia basado en heap en el subsistema CAN (Control Area Network) en sistemas de 64-bits que podría ser aprovechado por un atacante local para causar una denegación de servicio a través de vectores no especificados.

CVE-2010-3875: Existe un error en la función 'ax25_getname' localizada en
'net/ax25/af_ax25.c' al leer memoria de la pila no inicializada. Esto
podría ser aprovechado por un atacante local para revelar información sensible a través de vectores no especificados.

CVE-2010-3876: Existe un error en la función 'packet_getname_spkt' localizada en 'net/packet/af_packet.c' al inicializar la estructura sockaddr si la longitud de la variable dev->name es menor de 13. Esto podría ser aprovechado por un atacante local para revelar información sensible a través de vectores no especificados.

CVE-2010-3877: Existe un error en el protocolo TIPC al copiar en el espacio de usuario la estructura 'sockaddr_tipc' localizada en 'net/tipc/socket.c'. Esto podría ser aprovechado por un atacante local para revelar información sensible a través de vectores no especificados.

CVE-2010-3880: Existe un error de comprobación de restricciones en el subsistema 'INET_DIAG' que podría ser aprovechado por un atacante local para causar una denegación de servicio a través de la ejecución de 'INET_DIAG'.

CVE-2010-4072: Existe un error al leer memoria no inicializada en el subsitema 'System V shared memory' en el fichero 'ipc/shm.c' que podría ser aprovechado por un atacante local para revelar información sensible a través de vectores no especificados.

CVE-2010-4073: Existe un error al leer memoria no inicializada en el subsistema 'System V shared memory' en el fichero 'ipc/compat.c' y 'ipc/compat_mq.c' que podría ser aprovechado por un atacante local en un sistema de 64-bits para revelar información sensible a través de una llamada a la función 'semctl' especialmente diseñada.

CVE-2010-4078: Existe un error al no inicializar la estructura fb_vblank en el driver del framebuffer 'sisfb' localizada en 'drivers/video/sis/sis_main.c'. Esto podría ser aprovechado por un atacante local para revelar información sensible a través de una llamada de sistema 'FBIOGET_VBLANK' especialmente diseñada.

Se recomienda actualizar a través de las herramientas automáticas
apt-get.


Fernando Ramírez
framirez@hispasec.com


Más información:

[SECURITY] [DSA 2126-1] New Linux 2.6.26 packages fix several issues
http://lists.debian.org/debian-security-announce/2010/msg00177.html

viernes, 26 de noviembre de 2010

Grave fallo de seguridad en Android 2.2

Se ha descubierto un fallo de seguridad en el sistema operativo para teléfonos Android 2.2 que podría permitir a un atacante obtener cualquier fichero del usuario almacenado en el teléfono si la víctima visita una web especialmente manipulada.

El fallo, descubierto por Thomas Cannon, reside en que el navegador, al visitar una página web, podría tener acceso a cualquier fichero del usuario siempre que conozca su ruta exacta. Esto no es problema, por
ejemplo, para obtener fotografías realizadas por el dispositivo, puesto que el nombre de archivo consta de un número incrementado secuencialmente. El atacante no puede acceder a ficheros de sistema porque el navegador corre dentro de una sandbox.

Para aprovechar este fallo, la víctima debe visitar un enlace. Éste, a través de JavaScript, podría obtener el fichero deseado y subirlo al servidor del atacante, por ejemplo. El descubridor ha eliminado de su blog (a petición de Google) los detalles técnicos del problema, pero básicamente describe que el fallo se da por una combinación de factores:

* El navegador de Android no pide permiso al usuario a la hora de descargar un fichero HTML. Se almacena automáticamente.

* Con JavaScript, es posible lanzar una vez descargado ese fichero y el
navegador lo procesa.

* En ese contexto, Android ejecutará el JavaScript sin pedir permiso al
usuario y además será capaz de acceder a ficheros del usuario.

Se recomienda a usuarios con Android 2.2 en sus teléfonos (Google Nexus One, Samsung Galaxy Tab, HTC Desire?) que deshabiliten JavaScript o utilicen un navegador alternativo como Opera. Este último confirma con el usuario antes de descargar un fichero.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Android Data Stealing Vulnerability
http://thomascannon.net/blog/2010/11/android-data-stealing-vulnerability/

jueves, 25 de noviembre de 2010

0 day: Elevación de privilegios en Microsoft Windows

Se ha publicado un nuevo 0 day en Microsoft Windows que permite a un usuario local obtener privilegios de SYSTEM (control total sobre el sistema) eludiendo cualquier control de usuario.

Los detalles técnicos se han hecho públicos, así como el código fuente y el programa necesarios para aprovechar el fallo. El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa ciertos valores del registro. En concreto, el exploit manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.

Esto quiere decir que el atacante debe crear una clave en el registro donde un usuario no administrador tiene privilegios para hacerlo. Luego intenta leerla, provoca el fallo en el driver y obtiene los privilegios. La prueba de concepto utiliza esta clave:

HKEY_USERS\[SID DEL USUARIO]\EUDC

La prueba de concepto funciona perfectamente en Windows Vista, 7 y 2008 totalmente parcheados. Tanto si el usuario pertenece al grupo de usuarios como al de administradores (incluso con la protección UAC activa), se obtendrán privilegios sin ningún tipo de advertencia por parte de Windows y por supuesto, sin necesidad de conocer la contraseña.

En Windows XP, la prueba de concepto no funciona (no existe por defecto esa rama del registro) pero es posible que la vulnerabilidad también le afecte. La prueba de concepto no es detectada por ningún motor en estos momentos:

http://www.virustotal.com/file-scan/report.html?id=59260532fe33547420613b0aa7b001aed3f565201e50f91558a16cf7465775f6-1290672402

Para que este fallo fuese aprovechado por un atacante o malware, primero debería acceder al sistema por cualquier otro medio y encontrarse con que no puede realizar los cambios que desea a causa de los permisos. Realmente, este no suele ser un impedimento para el malware masivo (puesto que el usuario medio suele o bien obviar el UAC o bien deshabilitarlo o bien en XP pertenecer al grupo de administradores). Sí que es posible que este fallo sea usado en ataques dirigidos o entornos profesionales, donde los usuarios de escritorio suelen tener privilegios limitados en el dominio.

Con este fallo, ya son dos problemas de elevación de privilegios que Microsoft debe arreglar. El fallo anterior fue descubierto en el cuerpo del famoso troyano Stuxnet. A través del programador de tareas, el malware era capaz de elevar privilegios en el equipo infectado. Hace algunos días los detalles de esta vulnerabilidad también se hicieron públicos.

El equipo de seguridad de Microsoft ha declarado en su twitter que está investigando el asunto. Un método para prevenir el problema hasta que exista parche oficial es limitar los permisos del usuario en la rama

HKEY_USERS\[SID DEL USUARIO]\EUDC

En el registro, se debe negar el permiso de escritura a los usuarios no administradores. Gráficamente, es sencillo (localizar el SID del usuario, botón derecho sobre la rama del registro y denegar).

Para automatizar el proceso, aconsejamos (aunque puede tener efectos secundarios, hágalo bajo su responsabilidad) utilizar subinacl.exe, una herramienta oficial de Microsoft descargable desde:

http://www.microsoft.com/downloads/en/details.aspx?FamilyID=e8ba3e56-d8fe-4a91-93cf-ed6985e3927b

Una vez instalada, localizar el SID del usuario (normalmente terminará en 1000) y el nombre de máquina y usuario con el comando:

whoami /user:

INFORMACIÓN DE USUARIO
----------------------

Nombre de usuario SID
==============================================
ordenador\usuario S-1-5-21-123456789-12345677889-123445678990-1000

y ejecutar:

subinacl.exe /subkeyreg "HKEY_USERS\
S-1-5-21-123456789-12345677889-123445678990-1000\EUDC" /deny=
ordenador\usuario=w

Esto evitará que el usuario pueda escribir en esa rama y por tanto la prueba de concepto no funcionará. Repetir para el resto de usuarios en el equipo si los hubiera.


Sergio de los Santos
ssantos@hispasec.com


Más información:

POC:
http://www.exploit-db.com/sploits/uacpoc.zip

We 're investigating public PoC for a local EoP vuln requiring an
account on the target system
http://twitter.com/msftsecresponse

miércoles, 24 de noviembre de 2010

Congreso de Seguridad en Cómputo en México

Del 24 de noviembre al 1 de diciembre se celebrará en México el "Congreso Seguridad en Cómputo 2010". Este evento está organizado por la Universidad Nacional Autónoma de México a través de la Subdirección de Seguridad de la Información/UNAM-CERT de la Dirección General de Cómputo y de Tecnologías de Información y Comunicación

El Congreso Seguridad en Cómputo 2010 está dividido en dos fases: capacitación especializada en seguridad de la información y un ciclo de conferencias, impartidas por reconocidos expertos en la materia. La capacitación o líneas de especialización se llevará a cabo del 24 al 29 de noviembre de 2010 y tendrán como sede el Centro de Extensión Tlatelolco. Por otra parte, el ciclo de conferencias tendrá lugar los días 30 de noviembre y 1 de diciembre de 2010 en el Palacio de la Escuela de Medicina.

En las líneas de especialización se cuentan cursos como: "Administración y seguridad en Windows", "Cómputo forense y legislación relacionada", "Técnicas de intrusión y PenTest", "Detección de intrusos y tecnología honeypots" y por último una serie de diferentes talleres.

La parte de conferencias, contará en un primer día con las siguientes exposiciones:
"La seguridad de la información en los procesos de la organización" por David Treviño, "El papel de la industria en la seguridad en Internet" por Julio César Vega, "Combate a los delitos electrónicos en la Policía Federal" por Eduardo Espina García, "Los diez peores errores en seguridad de la información cometidos por la alta dirección de la empresa" por Jesús Torrecillas, "Ocultamiento y persistencia de la información" por Luis Miguel Murguía, "Los nuevos retos del cómputo forense en América Latina" por Andrés Velázquez, "Implementación de seguridad en Bases de Datos" por Johnny Villalobos, "Panel: La protección de datos personales en Internet" con Ivonne Muñoz Torres y Juan Carlos Carrillo.

El miércoles 1 de diciembre, se impartirán las siguientes conferencias: "Vulnerabilidades en módems 2010" por Pedro Joaquín, "Panel: El cómputo forense en la investigación de delitos" con Fausto Estrella y Andrés Velázquez, "Malware Fails" por Tillman Werner y Felix Leder, "Telescopio de seguridad informática" por el UNAM-CERT, "The cloud: exposures, education, jogging" por Raffael Marty, un Panel con Jesús Torrecillas y Fausto Estrella, "La divulgación de los datos personales por medio de Internet: sus consecuencias sociales, informáticas y jurídicas" por David Alfredo Domínguez Pérez y María Natalia Pérez Rul, "Regulation-Deregulation: How compliance regulation get made" por Michael Dahn, "What if…?" por Tillman Werner y Felix Leder y un último Panel "Perspectiva de amenazas de seguridad 2011" por Raffael Marty, Michael Dahn y David Treviño.

Más información sobre los cursos, conferencias y conferenciantes, costos, becas para estudiantes y registro, en la página del evento:
http://congreso.seguridad.unam.mx/


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Congreso Seguridad en Cómputo
http://congreso.seguridad.unam.mx/

martes, 23 de noviembre de 2010

Actualización de seguridad de Apple Safari


Apple ha publicado una actualización de seguridad para su navegador Safari (versiones 4.1.3 y 5.0.3) que solventan múltiples vulnerabilidades que podrían ser aprovechadas por un atacante remoto para lograr el compromiso de los sistemas afectados.

Safari es un popular navegador web desarrollado por Apple, incluido en las sucesivas versiones de Mac OS X y del que también existen versiones oficiales para Windows 7, XP y Vista. Durante los últimos meses se ha ofrecido la descarga de Safari junto con las actualizaciones periódicas de iTunes, el gestor de archivos multimedia de Apple.

Se han corregido un total de 27 vulnerabilidades, relacionadas todas ellas con WebKit y que podrían permitir obtener información sensible, modificar el historial, falsificar la URL de la barra de direcciones o incluso lograr la ejecución de código arbitrario.

Se recomienda actualizar a la versión 4.1.3 o 5.0.3 de Safari para Mac OS X o Windows disponible a través de las actualizaciones automáticas de Apple, o para su descarga manual desde:
http://www.apple.com/safari/download/


Antonio Ropero
antonior@hispasec.com


Más información:

APPLE-SA-2010-11-18-1 Safari 5.0.3 and Safari 4.1.3
http://lists.apple.com/archives/security-announce/2010/Nov/msg00002.html

lunes, 22 de noviembre de 2010

Adobe publica la versión X de Reader

Adobe ha publicado una nueva versión de su lector de archivos pdf. Se trata de una completa renovación con interesantes novedades en el apartado de seguridad.

Si hacemos una simple búsqueda en cualquier base de datos de vulnerabilidades, sin duda, encontraremos al Reader de Adobe en los primeros puestos de los resultados. Reader ha sido el blanco de investigadores de seguridad y creadores de malware desde que hace unos años se abriese la veda a la caza y captura de la brecha que permitiese romper, una vez más, su seguridad. Desde entonces a Adobe le han llovido las críticas, algunas incluso declarando desahuciado al propio formato pdf.

Sin duda la característica estrella es el modo protegido o más concretamente, la adición de una sandbox que aislará a Reader del sistema, impidiendo o limitando el impacto de un ataque en caso de explotación.

Los equipos de Adobe llevan trabajando varios meses en este modelo conjuntamente con los equipos de seguridad de Microsoft Office y Google Chrome entre otros. Equipos con experiencia en la implementación de este modelo en sus respectivos productos.

El modo protegido vendrá activado por defecto y causará que Reader se ejecute en un entorno de mínimos privilegios. Cualquier acción potencialmente peligrosa será conducida a través de un proceso denominado 'Broker' con la capacidad de filtrarlas. La sandbox no impedirá la explotación de vulnerabilidades (no es su misión principal) pero mitigará sus efectos como línea defensiva.

En comparación, con Reader 9 explotar una vulnerabilidad tan solo requería evadir DEP, y si Reader se estaba ejecutando con privilegios de administrador la explotación exitosa resultaría en resultados fatales. Ahora, con Reader X, se ha de hallar una brecha en la sandbox, evadir protecciones, explotar una vulnerabilidad en el proceso 'Broker', volver a evadir protecciones y elevar privilegios ya que dicho proceso, como se ha comentado, corre con derechos restringidos.

Naturalmente, esto no quiere decir que ni se dejen de encontrar fallos, ni que éstos dejen de ser explotables, pero sin duda va a representar un nuevo aliciente o reto franquear esta nueva frontera (como ya se han hecho con otras) para aquellos que buscan la sensación de ver aparecer a la calculadora de Windows por el escritorio llamada desde donde no debiera.

El tiempo nos dirá si esta nueva etapa permite llevar la tranquilidad a los usuarios y sacar a Adobe de los titulares en la sección de seguridad.

De momento Reader X se ha publicado en su versión inglesa, se espera que próximamente se publiquen en el resto de idiomas habituales.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:


Adobe Reader X is here!
http://blogs.adobe.com/asset/2010/11/adobe-reader-x-is-here.html

Introducing Adobe Reader Protected Mode
http://blogs.adobe.com/asset/2010/07/%20introducing-adobe-reader-protected-mode.html

domingo, 21 de noviembre de 2010

Dos vulnerabilidades en Wireshark

Se han anunciado dos vulnerabilidades en Wireshark versiones 1.4.0 a 1.4.1 y 1.2.0 a 1.2.12.

Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows.

El primero de los problemas, reside en un desbordamiento de búfer en el disector LDSS al procesar líneas de resumen de gran longitud, un atacante podría aprovechar este problema para ejecutar código arbitrario. La segunda vulnerabilidad es una denegación de servicio debida a un bucle infinito en el disector ZigBee ZCL.

Se recomienda actualizar a Wireshark 1.4.2 o 1.2.13 desde:
http://www.wireshark.org/download.html


Antonio Ropero
antonior@hispasec.com


Más información:

LDSS vulnerability in Wireshark® version 1.2.0
http://www.wireshark.org/security/wnpa-sec-2010-13.html

LDSS and ZigBee ZCL vulnerabilities in Wireshark® version 1.4.0
http://www.wireshark.org/security/wnpa-sec-2010-14.html

sábado, 20 de noviembre de 2010

Se celebró el 1º Simposium Internacional de T.I. Orientado a Seguridad, CETIF - AMSI

La asociación mexicana de seguridad informática (AMSI) ha celebrado el primer simposio Internacional de T.I. Orientado a Seguridad CETIF-AMSI. Ocurrió los días 3, 4 y 5 de noviembre de 2010 en la Facultad de Contaduría Pública y Administración de la Universidad Autónoma de Nuevo León (México).

El simposio contó con los siguientes ponentes:

* Romeo A. Sánchez López : "Hacking Ético": Y tú ¿eres un hacker de sombrero blanco o un hacker de sombrero negro? ¿Qué es mejor para el negocio? ¿Denunciar a atacante, contratarlo, o tapar el hecho?

* David Treviño: "Pérdida de Datos": La mayoría de los usuarios de ordenadores personales tenemos datos importantes en nuestros equipos que no quisiéramos perder, desde fotos personales a importantes documentos de trabajo, todo, absolutamente todo, lo tenemos guardado en un pequeño dispositivo con un delicado sistema de almacenamiento magnético, y nosotros, conscientes de la fragilidad de este tipo de sistema, no tomamos ninguna medida para evitar la pérdida de estos datos. ¿Y dónde quedaron esos datos? Nos preguntamos, y además ¿Por qué desaparecieron?

* Israel Sotelo:"El Futuro de la Seguridad Informática en México": Durante décadas, México cerró los ojos al desarrollo tecnológico y a la prevención en materia de seguridad informática; comparado con otros países de su misma región, tiene un rezago de hasta 60 años. ¿Qué nos espera el día de mañana con una seguridad vulnerable?

Además, se contó con una vídeo-conferencia. "Cómo salir de la etapa larval a partir del descubrimiento de vulnerabilidades y la explotación de software." Por Christian Elihú Navarrete Discua: Cómo salir de la etapa larval a partir del descubrimiento de vulnerabilidades y la explotación de software. "¿Cómo puedo descubrir agujeros de seguridad?", "¿Qué herramientas debo utilizar?" o simplemente "¿Por donde debería empezar?"


Laboratorio Hispasec
laboratorio@hispasec.com



viernes, 19 de noviembre de 2010

Chrome es el navegador con mayor número de vulnerabilidades graves (en 2010)

La compañía Bit9, en un pequeño estudio, ha contado (y sólo contado) el número de vulnerabilidades graves en doce programas muy populares destinados al usuario. El navegador con menor número de fallos registrados en 2010 es Opera (6), seguido de Internet Explorer (32) y Firefox (51).

Bit9 se ha limitado a buscar en la base de datos pública de NIST (http://nvd.nist.gov) el número de vulnerabilidades graves archivadas para cada software. Ha contabilizado las publicadas entre el 1 de enero y el 21 de octubre de 2010. Consideran graves las vulnerabilidades cuyo valor estándar CVSS (Common Vulnerability Scoring System) es mayor que 7.

Este es el resultado:

* Google Chrome (76 vulnerabilidades graves)
* Apple Safari (60 vulnerabilidades graves)
* Microsoft Office (57 vulnerabilidades graves)
* Adobe Reader y Acrobat (54 vulnerabilidades graves)
* Mozilla Firefox (51 vulnerabilidades graves)
* Sun Java Development Kit (36 vulnerabilidades graves)
* Adobe Shockwave Player (35 vulnerabilidades graves)
* Microsoft Internet Explorer (32 vulnerabilidades graves)
* RealNetworks RealPlayer (14 vulnerabilidades graves)
* Apple WebKit (9 vulnerabilidades graves)
* Adobe Flash Player (8 vulnerabilidades graves)
* Apple QuickTime (6 vulnerabilidades graves) y Opera (6
vulnerabilidades graves)

En Hispasec hemos realizado las mismas búsquedas en la base de datos, y comprobamos que efectivamente los datos son correctos. Teniendo en cuenta que el NIST es una de las fuentes más serias y completas sobre vulnerabilidades confirmadas, los datos pueden considerarse fiables... pero son ¿acertados?

El estudio se queda ahí, y no pretende ir mucho más allá. Lógicamente, evaluar la seguridad integral de un producto involucraría muchas otras variables. Desde la velocidad de parcheo (sobre lo que Hispasec ya realizó su propio estudio) hasta el nivel de explotación de las vulnerabilidades, pasando por lo "hipotético" de una explotación real (que culmine en ejecución de código) de estas vulnerabilidades. Tampoco hay que olvidar que en teoría nada impide a Microsoft, por ejemplo, ocultar vulnerabilidades y solucionarlas de forma "silenciosa" (mientras que con software libre, a la larga, esto no sería posible). En la práctica, pensamos que no es una circunstancia habitual, dado el interés de los atacantes en descubrir fallos ocultos.

En este sentido, aunque los resultados del informe le sean favorables, Internet Explorer es el más atacado. Ciñéndose a los números, es el navegador (de entre Chrome, Safari y Firefox) con menor número de fallos graves. Pero esta "cualidad" no luce demasiado cuando sus fallos son, de lejos, los más explotados, mediáticos, deseados y aprovechados por atacantes. Igual ocurre con Adobe. Poco importa que en este estudio ocupe el cuarto puesto en número de vulnerabilidades. Durante los dos últimos años ha sido muy atacado y ha gestionado muy mal su seguridad: En cuestión de inseguridad "global", es el primero.

Probablemente este estudio de Bit9, incluso siendo realmente sencillo y llegando hasta donde llega, será interpretado a gusto del "consumidor" en "beneficio" propio, esto es, adaptándolo a las pasiones generales fuera del ámbito puramente técnico. En este sentido, tenemos un ejemplo reciente de cómo algunos han malinterpretado un estudio de Hispasec que también se limitaba a comparar la capacidad de detección de URLs fraudulenta por parte de los navegadores. El título original de la noticia "Firefox el navegador más seguro contra el fraude" fue rápidamente truncado en miles de páginas (más de 3.000 en Google) por "Firefox, el navegador más seguro según Hispasec", que desde luego, no es el mensaje original. Sería como titular esta noticia "Internet Explorer es el navegador más seguro (después de Opera)".

En nuestra opinión, este estudio de Bit9 viene a recordar (y no a "demostrar") que es posible que, si en algún momento Firefox o Chrome superan la cuota de uso de Internet Explorer, probablemente los atacantes tendrán más fallos donde elegir para explotar vulnerabilidades en su propio beneficio.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Annual Report on Top Vulnerable Applications in 2010
http://www.bit9.com/landing/vulnapps2010/

Firefox el navegador más seguro contra el fraude
http://www.hispasec.com/unaaldia/4360

Estudio sobre la demora de los fabricantes de software en la corrección
de vulnerabilidades no públicas
http://www.hispasec.com/laboratorio/Hispasec_Estudio_Vulnerabilidades.pdf

jueves, 18 de noviembre de 2010

Actualizaciones de seguridad para Adobe Reader y Acrobat

Adobe ha publicado una actualización para corregir dos vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante ejecutar código con los permisos con los que se lance la aplicación afectada.

Las versiones afectadas son Adobe Reader 9.4 (y anteriores) para Windows, Macintosh y UNIX; y Adobe Acrobat 9.4 (y versiones 9.x anteriores) para Windows y Macintosh.

Las vulnerabilidades corregidas residen en dos problemas diferentes de corrupción de memoria que pueden dar lugar a la ejecución de código arbitrario.

Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/http://get.adobe.com/es/reader/


Antonio Ropero
antonior@hispasec.com


Más información:

Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb10-28.html

miércoles, 17 de noviembre de 2010

Así funciona SpyEye (y II)

SpyEye es el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se vende en los entornos "underground" y que permite a un atacante crear de forma muy sencilla una botnet y recopilar datos sensibles de sus víctimas. Tras el vídeo publicado anteriormente, explicamos ahora sus funciones más llamativas.

* Uno de los aspectos más curiosos de SpyEye es su panel de control y los métodos para robar datos y realizar fraudes. El más llamativo sin duda es "Create task for Billings". Este ingenioso método permite hacer que los datos de tarjetas de crédito robados sean usados directamente para realizar compras automatizadas en los lugares que el atacante elige. Por ejemplo: el atacante crea un software inútil o toma cualquier programa que no sea suyo y lo aloja en alguna plataforma de pago y distribución de software. Estas plataformas se encargan de realizar las gestiones de pago a los desarrolladores que alojan en ellas sus programas. El atacante automatiza una tarea y SpyEye se encarga automáticamente de comprar ese software en las páginas indicadas, cada cierto tiempo y utilizando los datos robados de las víctimas (sus tarjetas de crédito o cuentas de PayPal). Así, el atacante recibe un beneficio directo (las personas infectadas están "comprando" su producto) y el delito es más difícil de ser rastreado.

* Create Task for Loader. Esta función permite al atacante indicarle a los zombies que carguen alguna página y cuántas veces deben hacerlo. Si se configura para los zombis visiten anuncios o banners publicitarios, el atacante obtendrá un beneficio directo. También puede ser utilizado para indicar a las víctimas que descarguen nuevo malware.

* Virtest. Es un plugin del C&C de SpyEye que no se ha mostrado en el vídeo. Virtest es una página europea que permite a los usuarios registrados y previo pago, analizar un binario por varios motores antivirus (una especie de VirusTotal de pago, pero con oscuros intereses). Con este plugin el binario puede ser enviado cómodamente desde el panel de control de SpyEye.

* FTP backconnect y Socks5: Tampoco mostrado en el vídeo. Permite conectarse a cualquier zombi para subir ficheros, por ejemplo o usarlo como proxy.

* La opción "settings" del panel de recopilación de datos es curiosa. Permite configurar una cuenta de correo donde los datos de la base de datos serán comprimidos, enviados y borrados cada cierto tiempo. En caso de caída del C&C, el atacante podría recuperar los datos en este respaldo.

En resumen, SpyEye es muy cómodo para los atacantes. Se diferencia de Zeus fundamentalmente (obviando los apartados técnicos) en que se centra mucho más en la comodidad para aprovecharse de los datos robados. Zeus simplemente recopilaba datos, y dejaba a la imaginación del atacante cómo utilizarlos. SpyEye se preocupa de automatizar las tareas más "sucias" o sea, el empleo de los datos robados para obtener un beneficio real.


Sergio de los Santos
ssantos@hispasec.com


Más información:

The SpyEye Interface, Part 1: CN 1
http://blog.trendmicro.com/the-spyeye-interface-part-1-cn-1/

The SpyEye Interface Part 2: SYN 1
http://blog.trendmicro.com/the-spyeye-interface-part-2-syn-1/

una-al-dia (16/11/2010) Vídeo: Así funciona SpyEye (I)
http://www.hispasec.com/unaaldia/4406

martes, 16 de noviembre de 2010

Vídeo: Así funciona SpyEye (I)

SpyEye es el nuevo kit de creación de botnets que está recogiendo el exitoso testigo de Zeus. Se trata de un troyano bancario 2.0 que se vende en los entornos "underground" y que permite a un atacante crear de forma muy sencilla una botnet y recopilar datos sensibles de sus víctimas. Hemos grabado un vídeo para demostrar lo sencillo que sería para un atacante crear este troyano.

Zeus (Zbot) lleva ya varios años siendo de los troyanos bancarios más presentes en los equipos infectados. Supuso una revolución por su facilidad de uso y eficacia. Las botnets controladas por él (más o menos numerosas) se cuentan por cientos de miles. Pero la atención mediática recibida parece haber hecho mella y ha llegado el momento en el que otros desarrolladores tomen el testigo y creen una herramienta "rival". SpyEye es el digno sucesor de Zeus. En sus primeras versiones, parecían competir entre ellos (SpyEye eliminaba de los equipos infectados a Zeus para alojarse él mismo) pero los últimos rumores sugieren que los creadores originales de Zeus dejarán de mantener a su criatura y colaborarán con SpyEye para mejorarlo y potenciarlo.

Hemos grabado un vídeo que, si bien no pretende ser muy exhaustivo explicando todo el potencial de este troyano, sí que mostrará lo sencillo que resultaría crear una botnet y recopilar datos para alguien que se hiciese con el kit de creación de SpyEye.

Este tipo de kits constan de dos partes diferenciadas. Un programa que crea el troyano en sí, y una web (C&C) que recopilará datos y desde donde se enviará la información a los zombis de las botnets. Para crear el C&C solo es necesario montar un servidor web, un MySQL, crear las tablas con los archivos del kit y alojar los archivos PHP que también proporciona el kit. Esta parte se ha omitido en el vídeo.

Invitamos al lector a visualizar el vídeo alojado en YouTube (4:32 minutos).




En una próxima entrega explicaremos más sobre las opciones de este troyano mostradas en el vídeo.


Sergio de los Santos
ssantos@hispasec.com



lunes, 15 de noviembre de 2010

Vulnerabilidad de denegación de servicio en OpenSSL

Se ha públicado una vulnerabilidad en OpenSSL, reportada por Rob Hulswit, a través de la cual un usuario remoto podría causar una denegación de servicio y potencialmente ejecutar código arbitrario mediante el envío de datos especialmente manipulados.

OpenSSL es un proyecto para desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3) así como de los protocolos de seguridad en la capa de transporte (TLS v1)así como de una librería criptográfica de propósito general.

Todas las versiones de OpenSSL que soporten extensiones TLS se ven afectadas por esta vulnerabilidad incluyendo OpenSSL 0.9.8f a 0.9.8o, 1.0.0 y 1.0.0a.

Cualquier servidor TLS basado en OpenSSL es vulnerable si es multihilo y emplea el mecanismo de cacheo interno de OpenSSL. Los servidores que sean multiproceso y/o tengan desactivado el cacheo interno de sesión no se ven afectados.

En particular, los servidores HTTP Apache y Stunnel no están afectados.

Las recomendaciones dadas por el fabricante son las siguientes:

Para OpenSSL entre las versiones 0.9.8f a 0.9.8o deberían actualizarse a la versión 0.9.8p.
Para OpenSSL 1.0.0 y 1.0.0a deberían actualizarse a la versión 1.0.0b.

En caso de que la actualización inmediata no sea posible, en el enlace propuesto (ver más información) se puede encontrar el parche a aplicar directamente sobre el código.

Esta vulnerabilidad tiene asignado el siguiente CVE: CVE-2010-3864


Borja Luaces
bluaces@hispasec.com


Más información:

Fuente:
http://www.openssl.org/news/secadv_20101116.txt

CVE:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2010-3864

SSL:
http://es.wikipedia.org/wiki/Transport_Layer_Security

OpenSSL:
http://www.openssl.org/

domingo, 14 de noviembre de 2010

Las botnets controladas por web doblan su número cada 18 meses

Team Cymru ha informado de que, aunque todavía en uso, las botnets orquestadas por IRC (que resultaba el método "tradicional") suponen solo una décima parte de las botnets controladas por web mientras que estas doblan su número cada 18 meses. Zeus y SpyEye han tenido mucho que ver en esto últimamente.

Team Cymru es una empresa dedicada a monitorizar actividades fraudulentas en Internet. Ha publicado un informe en el que dice que las botnets controladas por HTTP superan ampliamente las controladas por el tradicional protocolo de chat IRC.

Hace años, el método tradicional para gestionar una botnet era que el sistema infectado se uniese a una sala de chat controlada por un atacante. Este les enviaba comandos en forma de conversaciones, públicas o privadas en la sala y los zombis obedecían sus órdenes. El atacante aparecía como operador del canal.

Poco a poco, el tráfico IRC fue siendo controlado y vigilado por las soluciones de seguridad, de forma que los atacantes se veían obligados a cifrar el tráfico o moverlo a puertos diferentes al estándar (6667 es el usado por defecto).

Desde la explosión de la web 2.0 (y del malware 2.0), las botnets han descubierto en el HTTP un método mucho más eficaz de controlar a sus zombis. HTTP es un protocolo que no suele ser filtrado "hacia afuera" en un sistema, puesto que impediría la navegación estándar. Poco a poco Internet migra hacia el navegador como contenedor de toda la experiencia en la Red y esto no es diferente para los atacantes. Para ellos también resulta mucho más cómodo controlar una botnet desde el navegador. El malware ha ido migrando hacia este sistema, que permite cifrado sencillo (SSL) y pasar más desapercibido para las soluciones de seguridad. Los números ofrecidos por Cymru lo confirman.

Kits de fabricación de malware con tanto éxito como Zeus (y más recientemente SpyEye), no han hecho más que estandarizar la web como el sistema de control preferido de los atacantes.

La razón de que todavía existan redes zombi basadas en IRC, según Cymru, es que todavía deben estar proporcionando algún tipo de beneficio al atacante, pero que no se desarrollan "nuevas" en este sentido. Sin embargo, se observa que el número de C&C (Command and control) de redes zombi basadas en HTTP se dobla cada 18 meses.

En mayo de 2007 publicábamos en una-al-día que según Prolexic (compañía dedicada a mitigar ataques de denegación de servicio), se estaba observando un nuevo fenómeno a la hora de realizar ataques DDoS contra servidores. Cada vez con mayor frecuencia, se estaban utilizando las redes P2P para realizar este tipo de fechorías, en vez del típico botnet basado en un C&C (Command and control) y esclavos "zombies".

Tres años y medio después, realmente podemos observar que la tendencia ha ido hacia kits de malware basados en web, más que el malware basado en P2P.


Sergio de los Santos
ssantos@hispasec.com


Más información:

El botnet tradicional ha muerto... ¡viva el botnet P2P!
http://www.hispasec.com/unaaldia/3135

Episode 77: Dead Botnets
http://www.youtube.com/watch?v=vYTM9s15yk4

sábado, 13 de noviembre de 2010

Actualización del kernel para SuSE Linux Enterprise 11

SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en su versión 11 SP1 en la que se corrigen tres vulnerabilidades de escalada de privilegios.

Los problemas corregidos están relacionados con los sockets RDS y con video4linux, en todos los casos podrían permitir a un atacante local la obtención de privilegios de root.

Se recomienda actualizar a la última versión del kernel, disponible a
través de la herramienta automática YaST.


Antonio Ropero
antonior@hispasec.com


Más información:

[security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2010:057)
http://lists.opensuse.org/opensuse-security-announce/2010-11/msg00004.html

viernes, 12 de noviembre de 2010

Tres vulnerabilidades en Adobe Flash Media Server

Se han anunciado tres nuevas vulnerabilidades críticas en Adobe Flash Media Server 4.0 (y anteriores). Un atacante remoto podría emplear estos fallos para provocar condiciones de denegación de servicio o llegar a ejecutar código arbitrario en los sistemas afectados.

Concretamente, los problemas afectan a Adobe Flash Media Server (FMS) 4.0 (y versiones anteriores), Adobe Flash Media Server 3.5.3 (y versiones anteriores), y Adobe Flash Media Server (FMS) 3.0.6 (y versiones anteriores) para Windows y Linux.

Existen dos vulnerabilidades de denegación de servicio, una por fuga de memoria y otra por un error en el tratamiento de procesos. Una tercera vulnerabilidad más grave reside en un fallo de segmentación que podría dar lugar a la ejecución de código arbitrario en los sistemas afectados.

Adobe ha publicado las versiones 4.0.1, 3.5.5 y 3.0.7 que corrigen estos problemas disponible desde:
http://www.adobe.com/support/flashmediaserver/downloads_updaters.html


Antonio Ropero
antonior@hispasec.com


Más información:

Security update available for Adobe Flash Media Server
http://www.adobe.com/support/security/bulletins/apsb10-27.html

jueves, 11 de noviembre de 2010

Actualización de seguridad para Apple Mac OS X, no soluciona un grave fallo y "rompe" algunos sistemas cifrados

Apple ha lanzado recientemente la versión 10.6.5 de su sistema operativo Mac OS X junto con una nueva actualización de seguridad. Se ven afectados las versiones Mac OS X 10.6.x y 10.5.8 y se resuelven un total de 134 vulnerabilidades. Deja sin parchear un grave fallo de seguridad y sin arrancar algunos sistemas cifrados.

Esta es la séptima actualización del año (con el código 2010-007). Los componentes y software afectados son: AFP Server, Apache mod_perl, Apache, AppKit, ATS, CFNetwork, CoreGraphics, CoreText, CUPS, Directory Services, diskdev_cmds, Disk Images, el plug-in Flash Player, gzip, Image Capture, ImageIO, Image RAW, Kernel, MySQL, neon, Networking, OpenLDAP, OpenSSL, Password Server, PHP, Printing, python, QuickLook, QuickTime, Safari RSS, Time Machine, Wiki Server, X11 y xar.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/

Hay que tener en cuenta que para la versión 10.5, se ha dejado sin parchear un grave fallo de seguridad que permite la ejecución de código. Core Security, harta de que Apple le prometa que va a solucionar el fallo pero no sea parcheado, ha hecho públicos los detalles. La versión 10.6 no es vulnerable.

Por otro lado, aunque ya se ha proporcionado una solución oficial, los usuarios de la opción de cifrado completo de disco de la utilidad de seguridad PGP de Symantec se han llevado una "sorpresa" al actualizar a la versión 10.6.5. Todos los equipos que tenían el disco cifrado, tras aplicar la actualización de seguridad que Apple 10.6.5 no eran capaces de arrancar.


Laboratorio Hispasec
laboratorio@hispasec.com


Más información:

Si tienes cifrado el disco con PGP no actualices a 10.6.5
http://www.seguridadapple.com/2010/11/warning-si-tienes-cifrado-el-disco-con.html

Mac OS X security flaw publicized after Apple fails to patch
http://www.zdnet.com/blog/security/mac-os-x-security-flaw-publicized-after-apple-fails-to-patch/7712

APPLE-SA-2010-11-10-1 Mac OS X v10.6.5 and Security Update 2010-007
http://lists.apple.com/archives/security-announce/2010/Nov/msg00000.html

miércoles, 10 de noviembre de 2010

Hispasec presenta LapSec

Hispasec ha desarrollado una herramienta destinada a intentar mitigar con un solo click los riesgos más importantes que puede conllevar utilizar un sistema operativo Windows en un portátil. Cada vez que se instala (o se encuentra de serie) un Windows en un ordenador portátil, se deberían realizar los mismos cambios (específicamente útiles para portátiles) para intentar que se mantenga un poco más seguro. Ofrecemos una herramienta gratuita para automatizar el proceso.

LapSec viene de "Laptop Securer" y es una herramienta destinada a automatizar los cambios más aconsejables para asegurar Windows en un ordenador portátil. Básicamente, aglutina en un solo botón varias tareas. No está destinado a asegurar "por completo" un sistema, sino que pretende facilitar las modificaciones más importantes para un "bastionado" de ordenador portátil, mucho más susceptible de ser perdido o sustraído. Evidentemente, estas medidas también son útiles para un ordenador de sobremesa. También es importante destacar que hay más medidas de seguridad aplicables a un portátil en particular y Windows en general, pero que no han sido implementadas en LapSec por resultar medidas más "genéricas" que se salen del objetivo del programa: activar funcionalidades de seguridad Windows especialmente útiles para portátiles.

El principal objetivo a la hora de asegurar un portátil es: a) que nadie acceda al sistema operativo (o al sistema de ficheros) b) que si accede, la información confidencial esté inaccesible ya sea con cifrado o con borrado seguro. Esto hemos intentado conseguirlo con las siguientes medidas implementadas en el programa:

* Eliminar el cifrado LM de las contraseñas (en Vista y 7 no es necesario).

* Sobrescribir el archivo de memoria paginada (pagefile.sys)

* Ocultar el nombre del usuario que el Sistema Operativo muestra en la pantalla de presentación

* Activar la protección por contraseña del salvapantallas.

* Eliminar la autoejecución de archivos cuando se introducen unidades extraíbles.

* Comprobar la existencia de contraseña del usuario.

* Comprobar la complejidad de las contraseñas.

* Comprueba la activación de la contraseña en la consola de recuperación.

* Deshabilitar el almacenamiento de contraseñas en el navegador Internet Explorer.

* Deshabilitar la hibernación (hibernation.sys).

* Deshabilitar la cuenta de administrador y de invitado del sistema.

* Cifrado de la carpeta Mis Documentos.

* Exportación del certificado de forma sencilla para casos de "desastre".

* Además de activar estas funcionalidades propias de Windows, añade un sistema de borrado seguro, accesible a través del menú contextual de los archivos.

El programa no es "complejo" pero creemos es muy cómodo. Agradecemos a quien encuentre bugs (que seguro contiene) o quien desee aportar sugerencias, que nos escriba a lapsec@hispasec.com.

La interfaz está en inglés, aunque la ayuda la hemos escrito tanto en español como inglés.

NOTA: Sí, para asegurar un portátil, probablemente lo más eficaz es utilizar TrueCrypt en la partición del sistema. Pero este programa pretende ayudar ahí donde, por cualquier razón, usar TrueCrypt no es posible.

ADVERTENCIA: Este software se distribuye "tal como es". No implica ningún tipo de garantía, expresa o implícita. Debes usarlo asumiendo el riesgo. Hispasec Sistemas no se hará responsable de cualquier tipo de daño o pérdida derivada del uso correcto o incorrecto de este software.


Laboratorio Hispasec
laboratorio@hispasec.com



martes, 9 de noviembre de 2010

Boletines de seguridad de Microsoft en noviembre

Este martes Microsoft ha publicado tres boletines de seguridad (del MS10-087 al MS10-089) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft uno de los boletines tiene un nivel de gravedad "crítico", mientras que los dos restantes son de grado "importante". En total se han resuelto 11 vulnerabilidades.

El boletín "crítico", con identificador MS10-087, presenta una actualización para corregir cinco vulnerabilidades en Microsoft Office. La más grave podría permitir la ejecución remota de código si un usuario abre, u obtiene una vista previa, de un mensaje de correo electrónico RTF especialmente diseñado. Afecta a Microsoft Office XP, 2003, 2007 y 2010, así como las versiones 2004 y 2008 de Microsoft Office para Mac.

Con el identificador MS10-088 ofrece la corrección a dos vulnerabilidades en Microsoft PowerPoint, que podrían permitir la ejecución remota de código si un usuario abre un archivo de PowerPoint especialmente diseñado.

El tercer y último boletín, el MS10-089, soluciona cuatro vulnerabilidades en Forefront Unified Access Gateway (UAG). El más grave de los problemas podría permitir la elevación de privilegios si un usuario visita un sitio web afectado mediante una URL especialmente diseñada.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de noviembre de 2010 http://www.microsoft.com/spain/technet/security/bulletin/ms10-nov.mspx

Boletín de seguridad de Microsoft MS10-087 – Crítico
Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/ms10-087.mspx

Boletín de seguridad de Microsoft MS10-088 - Importante
Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/ms10-088.mspx

Boletín de seguridad de Microsoft MS10-089 - Importante
Vulnerabilidades en Forefront Unified Access Gateway (UAG) podrían permitir la elevación de privilegios
http://www.microsoft.com/spain/technet/security/bulletin/ms10-089.mspx

lunes, 8 de noviembre de 2010

Múltiples vulnerabilidades en Novell GroupWise

Se han anunciado multiples vulnerabilidades en Novell GroupWise (versiones anteriores a la 8.02), que podrían ser empleadas por atacantes remotos para conseguir acceso a información sensible, provocar denegaciones de servicio, evitar restricciones de seguridad o llegar a conseguir el control total de los sistemas afectados.

Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc.

Varios de los problemas, incluidos desbordamientos de búffer, se presentan en los módulos "gwia.exe" y "gwwww1.dll". Tambíen se han detectado problemas en los componentes IMAP, WebAcces y WebPublisher, así como en los agentes WebAccess y Document Viewer.

Se recomienda actualizar a Novell GroupWise versión 8.02 HP (Hot Patch).


Antonio Ropero
antonior@hispasec.com


Más información:

Security Vulnerability - GroupWise 8 Internet Agent IMAP Remote Code Execution Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7007151

Security Vulnerability - GroupWise 8 Internet Agent "Content-Type" Multiple Value Parsing
http://www.novell.com/support/viewContent.do?externalId=7007152

Security Vulnerability - GroupWise 8 Internet Agent "Content-Type" String Data Parsing
http://www.novell.com/support/viewContent.do?externalId=7007153

Security Vulnerability - GroupWise 8 Internet Agent "Content-Type" Number Parsing
http://www.novell.com/support/viewContent.do?externalId=7007154

Security Vulnerability - GroupWise 8 Internet Agent VCALENDAR Variable Parsing
http://www.novell.com/support/viewContent.do?externalId=7007155

Security Vulnerability - GroupWise 8 WebAccess Arbitrary File Download Vulnerability
http://www.novell.com/support/viewContent.do?externalId=7007156

Security Vulnerability - GroupWise Internet Agent Authenticated IMAP User Remote Code Execution
http://www.novell.com/support/viewContent.do?externalId=7007157

Security Vulnerability - GroupWise 8 WebPublisher Cross-Site Scripting (XSS)
http://www.novell.com/support/viewContent.do?externalId=7007158

Security Vulnerability - GroupWise 8 Agent HTTP Interfaces Remote Code Execution
http://www.novell.com/support/viewContent.do?externalId=7007159

domingo, 7 de noviembre de 2010

Disponible en intypedia la Lección 2: "Sistemas de cifra con clave secreta"

Se encuentra disponible desde el servidor Web de intypedia (http://www.intypedia.com/) la segunda lección de la Enciclopedia de la Seguridad de la Información con el título "Sistemas de cifra con clave secreta".

Un vídeo de 11:02 minutos cuyo autor es el Dr. Fausto Montoya Vitini, investigador del Consejo Superior de Investigaciones Científicas CSIC en Madrid, España, con cuatro capítulos o escenas:

1. Analogía de la criptografía con los candados.
2. Fundamentos de la criptografía de clave secreta.
3. Los ataques por fuerza bruta.
4. El problema de la distribución de claves.

En la lección se hace un repaso a los principales conceptos de la criptografía simétrica, sus fortalezas y debilidades, terminando en el capítulo en el que se plantea el problema al que se ha enfrentado la criptografía durante siglos y solamente resuelto hace poco menos de 35 años cuando Whitfield Diffie y Martin Hellman inventan el protocolo de intercambio de claves.

Como es habitual, el vídeo viene acompañado por los siguientes documentos en pdf que pueden descargarse desde el sitio Web de intypedia: el guión, unas diapositivas de apoyo y un conjunto de cuestiones para autoevalulación.

En los próximos días estará disponible en el servidor la versión en inglés de esta lección.

Como podrá comprobarse, en esta nueva entrega se ha hecho un importante esfuerzo en horas de cómputo y renderización para mejorar la calidad de las imágenes.

La siguiente entrega de intypedia, continuación lógica de esta segunda lección, lleva por título "Sistemas de cifra con clave pública".


Jorge Ramió Aguirre
intypedia: http://www.intypedia.com/



sábado, 6 de noviembre de 2010

Más de 350 fallos en el Kernel de Android

Recientemente ha sido publicado el informe "Coverity Scan 2010 Open Source Integrity Report"; este informe es desarrollado por la empresa Coverity y el departamento de seguridad nacional de los EE.UU. y vienen desarrollando esta labor desde 2006. Este informe se realiza sobre programas de código abierto y este año le ha tocado el turno al kernel de Android.

Este estudio ha sido realizado sobre el kernel 2.6.32 de Android (Froyo), en concreto sobre un terminal "HTC Droid Incredible", el estudio matiza que alguno de los fallos puede que no afecten a todas las versiones del kernel de Android; dada la fragmentación existente en Android. Esto es causado debido a que algunas de las piezas del sistema dependen directamente de los fabricantes del Hardware.

Esta investigación ha descubierto 359 fallos de seguridad, 88 de ellos han sido clasificados como de alto riesgo y 271 como riesgo medio. Para detectar los errores se ha empleado un analizador de código estático, y como en toda auditoría estática de código se detectaron 46 falsos positivos durante la investigación de los posibles errores.

Como riesgo elevado se han reportado errores de corrupción de memoria, acceso ilegal a memoria, pérdida de recursos y errores al inicializar variables. Estos errores permiten ejecutar código arbitrario o el acceso al GPS sin autenticación, entre otros posibles impactos.

Entre los problemas de riesgo medio encontramos errores de implementación de API, errores en el control de flujo, en los manejadores o referencias a punteros a nulos. Estos fallos causan una denegación de servicio haciendo que el terminal se quede bloqueado.

Los componentes donde se han encontrado los fallos han sido, por número de errores: Fs, especificaciones de Android, Net, Drivers, Kernel y Arch entre otros. Destacar que la mayoría de fallos críticos se encuentran el las especificaciones de Android.

Los detalles de cada vulnerabilidad no han sido publicados, dado el impacto de estos y serán publicadas cuando estén disponibles los parches. Alguno de estos fallos puede que afecte a versiones inferiores de Android.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Coverity Release:
http://www.coverity.com/html/press/coverity-scan-2010-report-reveals-high-risk-software-flaws-in-android.html

viernes, 5 de noviembre de 2010

Vulnerabilidad de denegación de servicio en IBM Tivoli Directory Server

Se ha anunciado una vulnerabilidad en IBM Tivoli Directory Server 6.1, que podría ser empleada por atacantes remotos para provocar condiciones de denegación de servicio.

El problema reside en un error en el servidor proxy cuando construye peticiones de búsqueda LDAP, lo que podría permitir a un atacante remoto provocar la caída de un servidor afectado mediante el envío de una operación en la página de resultados de búsqueda.

Se recomienda aplicar la actualización 6.1.0-TIV-ITDS-FP0005.


Antonio Ropero
antonior@hispasec.com


Más información:

IO13282: proxy server crash cleaning up paged search on backend
http://www-01.ibm.com/support/docview.wss?uid=swg1IO13282

jueves, 4 de noviembre de 2010

Novedades en VirusTotal: VTchromizer

El día 9 de septiembre publicábamos una Una-al-día describiendo el funcionamiento de VTzilla, una extensión para el navegador Mozilla Firefox que permite analizar enlaces con tan sólo un click derecho de ratón, escanear ficheros previa descarga por el navegador y consultar hashes y URLs en la base de datos de VirusTotal con una sencilla barra de herramientas. Se trataba de una de las novedades que se introdujeron con la actualización de la página de VirusTotal en agosto del presente año.

En esta ocasión queremos presentaros VTchromizer, el equivalente de VTzilla para el navegador Google Chrome.

Una extensión es una pequeña aplicación que amplía la funcionalidad de serie del navegador. Las extensiones pueden ser de todo tipo, por ejemplo, una de las más populares es AdBlock, que bloquea la renderización de publicidad cuando se está navegando.

Las extensiones de Chrome tienen acceso completo (no restringido) al DOM de las páginas visitadas y no están sujetas a las restricciones de "Same origin policy" a las que están sujetas las webs (siempre y cuando se les concedan los permisos necesarios en su fichero “manifest”). Por estas razones y dado que cada vez más trámites que involucran dinero (banca electrónica, comercio online, etc.) se realizan con el navegador, muchos creadores de malware también se han basado en las extensiones para interceptar las credenciales, patrones de navegación, etc. de sus víctimas.

Tal y como sucediera con VTzilla, hoy presentamos una extensión con fines bien distintos. Se trata de una pequeña utilidad que facilita la interacción con VirusTotal. En primer lugar VTchromizer añade una opción (escanear con VirusTotal) al menú contextual de Google Chrome que aparece cuando se hace clic con el botón derecho del ratón sobre cualquier enlace de una página. Esta funcionalidad permite enviar directamente la URL a la que apunta el enlace al escáner de URLs de VirusTotal. Este analizador escanea con diversas herramientas de análisis de URLs la página y a su vez descarga la respuesta del servidor (html, ejecutables, etc.) y la analiza con el motor de análisis de binarios. Este detalle es importante, en muchas ocasiones una determinada URL podría no ser detectada como maliciosa y sin embargo el fichero alojado en ella sí ser detectado por los distintos antivirus. Esta claro que el usuario no debe olvidar seguir el enlace "Antivirus report: View downloaded file análisis" que se encuentra en el informe preliminar de la URL, dicho enlace nos lleva al análisis del fichero descargado.

Invitamos a los usuarios de la extensión a comprobar enlaces sospechosos con ella, pero queremos destacar que desde nuestra perspectiva no sólo nos interesa recibir enlaces a binarios maliciosos, también son de sumo interés las páginas de phishing y otros tipos de fraude. Por ejemplo, un usuario que se acostumbre a enviar las URLs de correos de phishing que recibe en su buzón personal estará ayudando a la comunidad en general dado que dichas páginas acabarán en manos de los desarrolladores de barras antiphishing y estos podrán refinar sus herramientas.

Dicho esto, el botón derecho no es la única forma de analizar webs con VirusTotal. La extensión también añade un icono en la barra superior del navegador con un popup emergente que permite escanear la página que se está visualizando. Ese mismo popup integra un cuadro de búsqueda en el que se puede introducir el md5/sha1/sha256/permalink de un fichero, una determinada URL o un determinado tag de comentarios sobre muestras para buscar en la base de datos de VirusTotal.

Al igual que VTzilla, esta extensión no es ningún santo grial, tal y como sucede en casi cualquier ámbito de la seguridad informática existen múltiples formas de mermar su utilidad, algunas de ellas triviales. Por ejemplo, los enlaces se pueden implementar con JavaScript, de tal forma que el menú contextual de VTzilla no aparezca al pulsar con el botón derecho porque no se reconozca un "anchor" HTML con atributo "href". Otro truco más que evidente es que puesto que los binarios asociados a URLs se descargan con VirusTotal, un atacante podría servir un fichero inocuo a VirusTotal (basándose en nuestra IP) y otro malicioso al usuario final cuando realmente descargue el fichero a su máquina.

Cuando Google Chrome amplíe su API integraremos la opción de escanear con VirusTotal en el diálogo de descarga de ficheros, hasta entonces seguiremos trabajando en una extensión equivalente para Internet Explorer.

La extensión puede descargarse desde:
http://www.virustotal.com/advanced.html#browser-addons


Emiliano Martínez Contreras
emartinez@hispasec.com


Más información:

Extensiones de navegador para VirusTotal
http://www.virustotal.com/advanced.html#browser-addons

Descarga desde la galería de extensiones de Google Chrome
https://chrome.google.com/extensions/detail/efbjojhplkelaegfbieplglfidafgoka?hl=en

Una-al-día presentando VTzilla para Mozilla Firefox
http://www.hispasec.com/unaaldia/4338

Una-al-día presentando la actualización de la página web de VirusTotal
http://www.hispasec.com/unaaldia/4315

miércoles, 3 de noviembre de 2010

Microsoft publica una alerta por vulnerabilidad 0-day en Internet Explorer

Microsoft acaba de publicar un aviso de seguridad para informar y alertar sobre una nueva vulnerabilidad descubierta recientemente en su navegador y que podría permitir la ejecución remota de código arbitrario.

Se anuncian como vulnerables las versiones de Internet Explorer 6, 7 y 8, mientras que la beta de Internet Explorer 9 se libra de este problema. Según reconoce Microsoft en su aviso, en la actualidad la vulnerabilidad se está explotando de forma activa.

El problema reside en que Internet Explorer al procesar determinadas combinaciones de hojas de estilo asigna la memoria de forma incorrecta. Concretamente en el módulo "mshtml.dll" al procesar el atributo "clip" con una posición determinada de las CSS (Cascading Style Sheets). Esto podría permitir a un atacante remoto la ejecución de código arbitrario a través de una página específicamente manipulada.

Microsoft se encuentra desarrollando las actualizaciones necesarias para corregir este problema, mientras tanto como contramedida se recomienda anular las hojas de estilo con una CSS definida por el usuario, asignar las zonas de seguridad del navegador a un nivel Alto, implementar el Enhanced Mitigation Experience Toolkit (EMET) o habilitar Data Execution Prevention (DEP) para Internet Explorer 7.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Advisory (2458511)
Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2458511.mspx

DEP, EMET protect against attacks on the latest Internet Explorer vulnerability
http://blogs.technet.com/b/srd/archive/2010/11/03/dep-emet-protect-against-attacks-on-the-latest-internet-explorer-vulnerability.aspx

martes, 2 de noviembre de 2010

Cross-Site Scripting en IBM WebSphere Portal

Se ha anunciado una vulnerabilidad de cross-site scripting en IBM WebSphere Portal 6.1.0.1 (y anteriores). Un atacante remoto podría emplear este problema para ejecutar código script arbitrario.

IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.

El problema reside en un error de validación de entradas en "SemanticTagService.js". Un atacante remoto podría crear una URL específicamente creada, que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.

IBM ha publicado una corrección para evitar este problema, disponible
con la identificación APAR PK91972:
http://www-01.ibm.com/support/docview.wss?uid=swg1PK91972


Antonio Ropero
antonior@hispasec.com


Más información:

PK91972: Semantictagservice.js has a css vulnerability
http://www-01.ibm.com/support/docview.wss?uid=swg1PK91972

lunes, 1 de noviembre de 2010

Nuevos contenidos en la Red Temática CriptoRed (octubre de 2010)

Breve resumen de las novedades producidas durante el mes de octubre de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE OCTUBRE DE 2010
* El factor gente y la seguridad de la información (Carlos Ormella Meyer, 10 páginas, Argentina)
http://www.criptored.upm.es/guiateoria/gt_m327f.htm

2. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE OCTUBRE DE 2010
* Video intypedia000en: Presentation of Intypedia the Information Security Encyclopedia (Jorge Ramió, 6.18 minutes)
* Lesson 1: History of cryptography and its early stages in Europe (Arturo Ribagorda, 11.46 minutes)
http://www.intypedia.com/?lang=en

3. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE OCTUBRE DE 2010
* Informe de la Red de Sensores de INTECO del mes de septiembre de 2010 (España)
https://ersi.inteco.es/informes/informe_mensual_201009.pdf
* El debido cuidado en seguridad de la información. Un ejercicio de virtudes para la función de seguridad de la información en Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2010/10/el-debido-cuidado-en-seguridad-de-la.html
* Guías para el Desarrollo del Esquema Nacional de Seguridad (Centro Criptológico Nacional CCN, España)
http://www.ccn-cert.es/ens
* Presentación de la Cátedra UNESCO de Privacidad de Datos de la URV (Revista Datos Personales, Josep Domingo-Ferrer, España)
http://bit.ly/bX7KEk
* La protección de datos de carácter personal en el sector de la salud: un enfoque hacia la e-salud (Revista Datos Personales, Jorge Ramió, España)
http://bit.ly/c2vWxq

4. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Noviembre 8 al 10 de 2010: International Conference E-Activity and Leading Technologies 2010 (Oviedo - España)
* Noviembre 11 al 12 de 2010: Congreso Computational Intelligence in Security for Information Systems CISIS'10 (León - España)
* Noviembre 29 a Diciembre 3 de 2010: VI Congreso Internacional de Telemática y Telecomunicaciones (La Habana - Cuba)
* Febrero 7 al 11 de 2011: X Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
* Marzo 2 al 5 de 2011: Rooted CON 2011 (Madrid - España)
* Marzo 11 al 13 de 2011: IADIS International Conference Iinformation Systems 2011 (Ávila - España)
* Mayo 16 de 2011: Workshop on Security for Grid and Cloud Computing (Anchorage - Alaska)
* Junio 7 al 10 de 2011: 9th International Conference on Applied Cryptography and Network Security ACNS '11 (Nerja, Málaga - España)
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla - España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

5. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE OCTUBRE DE 2010
* Más de 6.000 accesos a los vídeos del proyecto intypedia en el día de su lanzamiento (España)
* VIII Jornada Internacional de ISMS Forum Spain The future of information security en Barcelona (España)
* IV Jornada de Derecho y Delitos Informáticos UCEMA Buenos Aires (Argentina)
* Séptima edición de No cON Name en Barcelona (España)
* Seminario Seguridad en Base de Datos de CYBSEC en Buenos Aires (Argentina)
* Jornada gratuita DLP Prevención Pérdida y Robo de Información Crítica de Red Seguridad (España)
* Extendido deadline 2nd World Congress on Computer Science and Information Engineering CSIE 2011 al 05/11 (China)
* Cartel de la Quinta Edición del Día Internacional de la Seguridad de la Información DISI 2010 (España)
* Call For Papers para Workshop on Security for Grid and Cloud Computing (Alaska)
* Problemas Actuales de la Privacidad y Seguridad de la Información en III Foro DPI el 03/11 en Madrid (España)
* McAfee Security Conference 2010 el 11 de noviembre en Madrid (España)
* Convocatoria Presentación de la Enciclopedia de la Seguridad de la Información en Rectorado de la UPM (España)
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2010.htm#oct10

6. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 842 (223 universidades y 312 empresas)
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 40.809 visitas, con 124.209 páginas solicitadas y 38,39 GigaBytes servidos en octubre de 2010
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html


Jorge Ramió Aguirre
Director de CRIPTORED
http://www.criptored.upm.es/