lunes, 31 de enero de 2011

Lección 4 de intypedia: Introducción a la seguridad en redes telemáticas

Se encuentra disponible en el servidor Web de intypedia la cuarta lección de la Enciclopedia de la Seguridad de la Información con el título "Introducción a la seguridad en redes telemáticas" del autor Dr. Justo Carracedo Gallardo, Catedrático de la Universidad Politécnica de Madrid.

El vídeo con una duración de 15:12 minutos está constituido por 4 escenas o capítulos:

1. Redes telemáticas. Definiciones.
2. Riesgos y protecciones en las redes telemáticas.
3. Conociendo a tu enemigo.
4. Protegiendo la red.

En la lección se hace una introducción a la redes telemáticas y los conceptos asociados a la seguridad de las mismas, analizando las vulnerabilidades y presentando las medidas básicas necesarias para su protección.

El vídeo viene acompañado por los siguientes documentos en pdf que pueden descargarse desde el sitio Web de intypedia: el guión de la lección, unas diapositivas de apoyo y un conjunto de cuestiones para autoevaluación.

En los próximos días estará disponible en el servidor Web de intypedia la versión en inglés de esta lección.

Las dos siguientes entregas de esta enciclopedia visual de la seguridad de la información, en las que ya se está trabajando sobre un guión terminado, son:

Lección 5: Seguridad perimetral, del autor D. Alejandro Ramos (SIA, Security By Default)

Lección 6: Introducción al Malware, del autor D. Bernardo Quintero (Hispasec Sistemas)


Jorge Ramió Aguirre
intypedia: http://www.intypedia.com/



domingo, 30 de enero de 2011

Vulnerabilidad a través de MHTML en Microsoft Windows

Han sido publicados los detalles acerca de una vulnerabilidad en el manejador del protocolo MHTML. El fallo podría permitir a un atacante remoto obtener información importante a través de un enlace HTML especialmente manipulado.

MHTML es un protocolo para incrustar recursos MIME en una página web al modo en que lo hace el correo electrónico.

La vulnerabilidad fue publicada en un webzine chino llamado Ph4nt0m y en la conocida lista Full Disclosure por un grupo denominado 80vul.

El error reside en la forma en que MHTML filtra las cadenas usadas para construir un enlace. Un atacante podría crear un enlace especialmente manipulado e inyectar código javascript que terminaría ejecutándose durante toda la sesión de navegación.

Aunque podría asociarse erróneamente, la vulnerabilidad no se encuentra en el navegador Internet Explorer (aunque es el vector más apropiado). MHTML es un manejador de protocolo del sistema operativo Windows que ofrece a las aplicaciones que quieran procesar este tipo de recursos.

Microsoft ha reconocido la vulnerabilidad y ha publicado un boletín con información con sugerencias y una solución temporal aplicable a través de Microsoft Fix It hasta la publicación del parche final.

La vulnerabilidad tiene asignado el CVE-2011-0096 y afecta a toda la familia de sistemas operativos Windows soportados por Microsoft.


David García
dgarcia@hispasec.com


Más información:

Microsoft Security Advisory (2501696)
http://www.microsoft.com/technet/security/advisory/2501696.mspx

sábado, 29 de enero de 2011

Corregida vulnerabilidad en la librería Pango

Se ha corregido una vulnerabilidad en la librería Pango que podría permitir a un atacante remoto causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de un archivo de fuentes especialmente manipulado.

Pango es una librería de fuente abierta para dibujar texto con énfasis en la internacionalización. Es un proyecto muy asociado al toolkit GTK+, GNOME y usado en múltiples aplicaciones.

El error, descubierto por Dan Rosenberg, reside en la función 'pango_ft2_font_render_box_glyph' localizada en el archivo 'pango/pangoft2-render.c'.

El error se produce cuando libpango usa la librería FreeType2 como respaldo para ciertas operaciones con archivos de fuentes (tipografías).

En la función 'pango_ft2_font_render_box_glyph' se reserva memoria efectuando el cálculo para el tamaño necesario de manera errónea:

126 box->bitmap.buffer = g_malloc0 (box->bitmap.rows * box->bitmap.pitch);

Pero varias líneas más arriba podemos observar:

123 box->bitmap.rows = height;
124 box->bitmap.pitch = height;

Cuando realmente box->bitmap.pitch debería estar inicializado a al valor de 'width'. Esto altera las dimensiones correctas del bloque de memoria reservado y permite que se sobreescriba.

La vulnerabilidad ha recibido el CVE-2011-0020 y se ha publicado una nueva versión de Pango. Es de esperar que las diferentes distribuciones Linux publiquen actualizaciones en breve.


David García
dgarcia@hispasec.com


Más información:

Heap corruption in font parsing with FreeType2 backend
https://bugzilla.gnome.org/show_bug.cgi?id=639882

Web del Proyecto Pango
http://www.pango.org/

viernes, 28 de enero de 2011

Servidores de Sourceforge comprometidos por atacantes

Desde Sourceforge se han detectado una serie de ataques dirigidos específicamente contra ellos que han concluido con el compromiso de varios servidores. Sourceforge se ha visto obligado a apagar "un puñado" de servidores para intentar contrarrestar el ataque.

Desde el blog de Sourceforge.net han avisado durante el día 27 de enero de que se han visto atacados varios servidores de la organización. Nada más ser detectados, en un intento de limitar el alcance del ataque y salvaguardar la integridad de los datos, se han visto obligados a apagar un número indeterminado de servidores. Están trabajando para identificar cómo han accedido los atacantes y restaurar servicios.

El fallo se ha descubierto en primera instancia en los sistemas que alojan el repositorio CVS, pero otras máquinas se han visto comprometidas y todavía no pueden determinar el alcance completo. Por tanto, en respuesta a los ataques han apagado: los CVS, los ViewVC, servicios interactivos de shell y la posibilidad de subir nuevas versiones de programas.

En nuevo comunicado de Sourceforge realizado menos de 24 horas después del primero, no aporta mucho más: siguen trabajando en detectar qué ha ocurrido y por qué.

Sourceforge es una especie de incubadora de software libre muy popular. Ofrece una plataforma para cubrir todo el ciclo de desarrollo colaborativo de software, además de facilitar la distribución. Si el compromiso en los sistemas hubiese llegado al control de esta distribución de software (por ejemplo troyanizando software popular), el impacto podría ser muy elevado.

Estaremos atentos a nuevos comunicados. Sería interesante conocer cómo han accedido a los repositorios y hasta dónde han llegado los atacantes.


Sergio de los Santos
ssantos@hispasec.com


Más información:

SourceForge.net Attack Update
http://sourceforge.net/apps/wordpress/sourceforge/2011/01/27/sourceforge-net-attack-update/

Service downtime due to exploit
http://sourceforge.net/apps/wordpress/sourceforge/2011/01/27/service-downtime/

jueves, 27 de enero de 2011

Actualización de HP OpenView Storage Data Protector

HP ha publicado actualizaciones para corregir un fallo en el software HP OpenView Storage Data Protector (versiones 6.0 a 6.11) que podría permitir a un atacante remoto causar una denegación de servicio.

HP OpenView Storage Data Protector es un producto para el manejo y realización de copias de seguridad multiplataforma.

La vulnerabilidad a la que le ha sido asignado el cve CVE-2011-0275 y de la que no se han dado a conocer apenas detalles, aplica únicamente a entornos Windows, y ha sido calificada con 7.1 según las métricas CVSS 2.0.

HP proporciona las siguientes actualizaciones para resolver esta vulnerabilidad.
Para OV DP 6.11 para Windows el Core DPWIN_00475
Para OV DP 6.10 para Windows el Core DPWIN_00489
Para OV DP 6.00 para Windows el Core DPWIN_00488
Que pueden descargarse desde http://support.openview.hp.com/selfsolve/patches


Fernando Ramírez
framirez@hispasec.com


Más información:


HPSBMA02626 SSRT100301 rev.1 - HP OpenView Storage Data Protector, Remote Denial of Service (DoS)
http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c02699143

miércoles, 26 de enero de 2011

Vulnerabilidades en Cisco Content Services Gateway

Cisco ha anunciado la existencia de varias vulnerabilidades en Cisco Content Services Gateway - Second Generation (CSG2), que se ejecuta en los Cisco Service and Application Module for IP (SAMI).

Una primera vulnerabilidad de salto de directivas de seguridad podría permitir a los usuarios evitar el pago al acceder a sitios marcados con directivas de pago, así como permitir el acceso a sitios los que se tenga restringido el acceso.

De forma adicional, Cisco IOS Software Release 12.4(24)MD1 en los Cisco CSG2 se ve afectado por dos vulnerabilidades que podrían permitir a un atacante remoto sin autenticar crear condiciones de denegación de servicio.

Cisco, a través de los canales habituales, ofrece a sus clientes soluciones para solventar el problema. Dada la diversidad de problemas y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20110126-csg2.shtml.


Antonio Ropero
antonior@hispasec.com


Más información:

Cisco Security Advisory: Cisco Content Services Gateway Vulnerabilities
http://www.cisco.com/warp/public/707/cisco-sa-20110126-csg2.shtml

martes, 25 de enero de 2011

Desbordamiento de memoria intermedia en MaraDNS

Witold Baryluk ha descubierto un desbordamiento de memoria intermedia basada en heap en MaraDNS. El fallo se encuentra en la función 'compress_add_dlabel_points' localizada en el fichero 'dns/Compress.c' y podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente permitir la ejecución de código arbitrario a través de resoluciones de dominios especialmente largos.

MaraDNS es un servicio de DNS de código abierto que implementa las funciones básicas de un servicio de resolución de nombres, cuyo fuerte, según el propio MaraDNS es la seguridad. En la propia página del producto se afirma que se han mitigado los problemas habituales del código que permiten las vulnerabilidades. Por ejemplo, "first of all, MaraDNS uses a special string library which is resistant to buffer overflows..." (lo primero de todo, MaraDNS utiliza una librería de cadenas especial resistente a los desbordamientos de memoria intermedia...). Este es el fallo de seguridad más serio al que se han enfrentado hasta ahora.

El fallo ha sido publicado a través de 'Debian Bug' y le ha sido asignado el cve CVE-2011-0520. Actualmente está pendiente de solución.


Fernando Ramírez
framirez@hispasec.com


Más información:

maradns: crash on long name queries
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=610834

lunes, 24 de enero de 2011

Vulnerabilidades en VLC Media Player

Se han anunciado dos vulnerabilidades en el reproductor multimedia VLC Media Player (versiones 1.1.5 y anteriores), que podrían permitir a atacantes remotos lograr comprometer los sistemas que ejecuten este conocido programa.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft.

Los problemas están provocados por errores en el indexado de matrices en las funciones "DecodeTileBlock()" y "DecodeScroll()" de modules/codec/cdg.c incluidas en el módulo decodificador CDG al procesar datos mal construidos. Un atacante remoto podría emplear estos fallos para lograr la ejecución de código arbitrario si consigue que un usuario reproduzca un archivo CD+G (CD+Graphics) o visite una página web específicamente creada.

Se encuentra disponible una actualización, disponible vía GIT :
http://git.videolan.org/?p=vlc.git;a=commit;h=f9b664eac0e1a7bceed9d7b5854fd9fc351b4aab


Antonio Ropero
antonior@hispasec.com


Más información:

Fix heap overflows in CDG decoder
http://git.videolan.org/?p=vlc.git;a=commit;h=f9b664eac0e1a7bceed9d7b5854fd9fc351b4aab

domingo, 23 de enero de 2011

Security Blogger Summit 2011

El próximo jueves 3 de febrero se celebra el tercer Security Blogger Summit. Un encuentro de bloggers de seguridad en el que la temática de este año girará alrededor del ciberactivismo, el ciberterrorismo y la ciberguerra.

El evento dará comienzo a las 18,00 PM (GMT +1) y permita realizar un seguimiento continuo vía Twitter mediante el hashtag #sbs11, posteriormente se publicarán los videos del evento.

Están ya confirmados los siguientes invitados para la mesa redonda:

* Enrique Dans: profesor de Sistemas de Información en IE Business School desde 1990, colaborador de diferentes medios de información, líder de opinión y creador de corrientes, sobre todo en cuanto a nuevas tecnologías se refiere. Será el encargado, además, de abrir esta tercera edición con su keynote que introducirá el tema.

* Elinor Mills: redactora senior de CNET News para temas de seguridad con más de 20 años de experiencia en la profesión. Nos llega como experta en este ámbito desde Estados Unidos.

* Robert McMillan: periodista especializado en seguridad informática basado en San Francisco. Escribe sobre delitos informáticos, productos de seguridad y la lucha continua de los profesionales de IT para estar un paso por delante de los hackers. En 2010 fue nombrado uno de los periodistas más importantes de Estados Unidos en temas de seguridad informática por el SANS Institute.

* Chema Alonso: es Ingeniero Informático por la URJC, postgraduado en Sistemas de Información y actualmente trabaja en su doctorado en seguridad Web. Trabaja como consultor de Seguridad en Informática 64 desde hace 10 años. Ha sido premiado como Most Valuable Professional en Seguridad por Microsoft durante 6 años. Y en este caso, también representa al Consejo Nacional Consultivo sobre Cyberseguridad.

* Rubén Santamarta: es un joven leonés de 28 años. Investigador de seguridad, con cerca de una década de experiencia en el mundo de la ingeniería inversa y la seguridad IT. Ha descubierto docenas de vulnerabilidades en productos de empresas líderes como Microsoft, Apple, Symantec, Intel u Oracle. Así como fallos en software de control industrial y sistemas SCADA.

El evento tendrá lugar en el Círculo de Bellas Artes, Sala Columnas (4ª planta) de Madrid y la asistencia es gratuita (aunque el aforo es limitado), previa inscripción enviando un mail a comunicación@pandasecurity.com




Más información:

3rd Security Blogger Summit 2011
http://www.securitybloggersummit.com/

sábado, 22 de enero de 2011

Un fallo en 'ast_uri_encode' permite la ejecución de código arbitrario en Asterisk

Existe un error de desbordamiento de memoria intermedia basado en pila en la función 'ast_uri_encode' de Asterisk. Esta función se encarga de filtrar los datos de un ID de llamada. Debido a un error en la comprobación de la longitud de los datos, un atacante remoto autenticado podría ejecutar código arbitrario a través de un ID especialmente diseñado.

Asterisk es una aplicación de código abierto de una central telefónica (PBX). Como cualquier PBX, se puede conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP. Asterisk incluye interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, y otras muchas más. Asterisk funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

Asterisk ha solucionado este error en las versiones 'Open Source' 1.4.38.1, 1.4.39.1, 1.6.1.21, 1.6.2.15.1, 1.6.2.16.1, 1.8.1.2 y 1.8.2.2 ,al igual que en la versión comercial 'Business Edition' C.3.6.2


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Asterisk Security Advisory:
http://downloads.asterisk.org/pub/security/AST-2011-001.html

Diff:
https://reviewboard.asterisk.org/r/1081/diff/#index_header

viernes, 21 de enero de 2011

Últimas plazas para los talleres RootedLabs

RootedLabs es un conjunto de actividades formativas que se llevarán a cabo en marzo de 2011 en Madrid, durante los tres días previos al congreso de seguridad informática RootedCON. Estos laboratorios de alto nivel técnico y enfoque eminentemente práctico, impartido por reputados profesionales del sector, abarcarán diferentes disciplinas relacionadas con la seguridad.

Agenda RootedLabs:

* Lunes, 28 de febrero 2011, Chema Alonso - Técnicas de Inyección en aplicaciones web

* Lunes, 28 de febrero 2011, José Selvi - Metasploit para Pentesters

* Lunes, 28 de febrero 2011, Pedro Sánchez - Análisis Forense de Dispositivos Móviles

* Martes, 1 de marzo 2011, Juan Garrido - Análisis Forense de red

* Martes, 1 de marzo 2011, Luciano Bello - Introducción doméstica a la Criptografía

* Martes, 1 de marzo de 2011, Taddong - Seguridad en Bluetooth, Wi-Fi, GSM y GPRS

* Miércoles, 2 de marzo 2011, Alejandro Ramos - Test de intrusión. COMPLETO.

* Miércoles, 2 de marzo 2011, Chema Alonso - Open Source Intelligence Gathering for Pentesting with FOCA.

* Miércoles, 2 de marzo 2011, Joxean Koret - Fundamentos de Ingeniería Inversa

* Miércoles, 2 de marzo 2011, Juan Luis G. Rambla - Ataques en redes de datos


Para asegurar la calidad y el dinamismo de las actividades formativas, las plazas de cada uno de los laboratorios están limitadas a un máximo de 15 asistentes. Dado que la inscripción se hará por estricto orden de realización de la reserva, recomendamos a los interesados premura a la hora de registrarse.

Cada laboratorio tendrá una duración de un día completo y en él está incluido el desayuno y la comida. El precio es de 200 euros + IVA por cada uno. Instrucciones para inscribirse en:
http://labs.rootedcon.es


Laboratorio Hispasec
laboratorio@hispasec.com



jueves, 20 de enero de 2011

Múltiples fallos en Tor

Han sido solucionados múltiples fallos en el programa Tor. Un total de siete errores que permiten desde obtener información sensible a ejecutar código.

Tor es un programa diseñado para proporcionar un canal de comunicación anónimo a través de la rutas dinámicas. Esto permite a un usuario de esta red confundirse entre el resto de equipos que forman parte de ella y cambiar de ruta de acceso al servidor constantemente, variando así a IP que es capaz de detectar el destino.

CVE-2011-0015: Este error causado por no filtrar correctamente los datos de comprimidos, permite a un atacante causar una denegación de servicio a través de un factor de compresión especialmente largo.

CVE-2011-0016: Existe un error en el manejador de claves, que permitiría a un atacante local obtener información sensible del sistema.

CVE-2011-0427: Existe un error de desbordamiento de memoria intermedia basado en heap. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de paquetes de datos especialmente manipulados.

CVE-2011-0490: Existe un error en Libevent, el sistema de Log de Tor. Esto podría se aprovechado por un atacante remoto para causar una denegación de servicio a través de un paquete de datos especialmente diseñado para hacer saltar el sistema de logs.

CVE-2011-0491: La función 'tor_realloc', encargada de realojar el contenido en memoria se ha encontrado un fallo en al calcular el tamaño; esto podría ser usado por un atacante remoto para causar una denegación de servicio.

CVE-2011-0492: Un error en la función 'read_file_to_str' permitiría a un atacante remoto causar una denegación de servicio.

CVE-2011-0493: Un error en el sistema de direccionamiento permitiría a un atacante remoto causar una denegación de servicio. Este error es causado al no validar correctamente le tamaño de los datos que se van a alojar en memoria.

Ya está disponible una nueva versión 0.2.1.29 que soluciona estos fallos en: https://www.torproject.org/download/download


Victor Antonio Torre
vtorre@hispasec.com


Más información:

ChangeLog:
https://gitweb.torproject.org/tor.git/blob/release-0.2.1:/ChangeLog

Tor 0.2.1.29 is released:
http://blog.torproject.org/blog/tor-02129-released-security-patches

CVE-2011-0015:
https://trac.torproject.org/projects/tor/ticket/2324

CVE-2011-0016:
https://trac.torproject.org/projects/tor/ticket/2384
https://trac.torproject.org/projects/tor/ticket/2385

CVE-2011-0427:
https://gitweb.torproject.org/tor.git/commitdiff/115782bdbe42e4b3d5cb386d2939a883bc381d12

CVE-2011-0490:
https://trac.torproject.org/projects/tor/ticket/2190

CVE-2011-0491:
https://trac.torproject.org/projects/tor/ticket/2324

CVE-2011-0492:
https://trac.torproject.org/projects/tor/ticket/2326

CVE-2011-0493:
https://trac.torproject.org/projects/tor/ticket/2352

miércoles, 19 de enero de 2011

CIBSI 2011: Nueva cita con la seguridad de la información en Bucaramanga

Este año 2011 la sede Bucaramanga, en Colombia, de la Universidad Pontificia Bolivariana recibe la sexta edición del Congreso Iberoamericano de Seguridad Informática CIBSI 2011, una iniciativa de la Red Temática CriptoRed que cuenta, además, con el patrocinio de la Universidad Politécnica de Madrid, España.

CriptoRed, decana de las redes temáticas, presenta en sus once años de vida la celebración de cinco congresos internacionales CIBSI celebrados en ediciones anteriores en México dos veces, Chile, Argentina y Uruguay. Una red con más de 850 miembros de 25 países y que representan a 226 universidades y 310 empresas.

En todas sus ediciones CIBSI ha contando con una excelente participación de docentes, técnicos e investigadores de muchos países, lo que permite analizar del estado del arte de la I+D+i en seguridad de la información, una especialidad que cada día aumenta su abanico de temas como Fundamentos de la Seguridad, Criptografía, Criptoanálisis, Algoritmos y Protocolos Criptográficos, Vulnerabilidades de los Sistemas, Infraestructuras de Clave Pública, Seguridad en Aplicaciones, Seguridad en Redes y Sistemas, Seguridad Web, Controles de Acceso y de Identidad, Técnicas de Autenticación, Arquitecturas y Servicios de Seguridad, Implantación y Gestión de la Seguridad, Planes de Contingencia y Recuperación, Auditoría Informática, Forensia Informática. Legislación en Seguridad y Delitos, Normativas y Estándares en Seguridad, Negocio y Comercio Electrónico, etc.

Las fechas de interés para autores son: Límite de recepción de trabajos, 15 de abril de 2011; notificación de aceptación, 15 de junio de 2011; versión final para actas del congreso, 22 de julio de 2011.

La historia de estos casi 10 años celebrando el CIBSI permite indicar que tras la recepción de más de 70 ponencias durante el plazo de envío que se abre este 17 de enero de 2011, un Comité de Programa compuesto por 50 expertos internacionales selecciona entre 45 y 50 ponencias para ser presentadas en el congreso, y que proceden de una decena de países. Además de público en general, se asegura la asistencia de investigadores de estos países, lo que facilita y fortalece el intercambio de experiencias, siendo por tanto un excelente entorno para plantear nuevos proyectos de colaboración académica, técnica y científica.

Próximamente se anunciarán los conferenciantes invitados a sesiones plenarias de conferencias magistrales.

En un aspecto más lúdico, los eventos sociales que se planifican y ofrecen a los congresistas permiten un amplio conocimiento del arte y la cultura del país anfitrión, en este caso Colombia y la región de Santander. Mención especial merece el Parque Nacional del Cañón del Chicamocha, considerado como una de las maravillas de Colombia y que los asistentes al congreso tendrán la oportunidad de conocer, al estar incluida una visita a este hermoso paraje en la Agenda del congreso, y subir a su espectacular teleférico inaugurado en enero de 2009, que cuenta con seis kilómetros de longitud y es uno de los más extensos del mundo.

Por todos estos motivos, académicos y lúdicos, te recomendamos no pierdas la oportunidad de asistir al CIBSI 2011 de Bucaramanga y lo apuntes en tu agenda, en unas fechas además muy propicias.


Angélica Flórez, Jeimy Cano, Reinaldo Mayol (UPB)
Jorge Ramió (UPM)
CIBSI 2011


Más información:

Universidad Pontificia Bolivariana
http://www.upb.edu.co/bucaramanga

CriptoRed
http://www.criptored.upm.es/

martes, 18 de enero de 2011

Grupo de parches de enero para múltiples productos Oracle

Oracle ha publicado un conjunto de 66 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

En este boletín han sido solucionados 66 errores agrupados en los siguientes productos:

* Oracle Database 11g Release 2, versión 11.2.0.1
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4, 10.2.0.5
* Oracle Database 10g Release 1, versión 10.1.0.5
* Oracle Audit Vault 10g Release 2, versión 10.2.3.2
* Oracle Secure Backup 10g Release 3, versión 10.3.0.2
* Oracle , 11g Release 1, versiones 11.1.1.2.0, 11.1.1.3.0
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0
* Oracle Beehive, versiones 2.0.1.0, 2.0.1.1, 2.0.1.2, 2.0.1.2.1, 2.0.1.3
* Oracle BI Publisher, versiones 10.1.3.3.2, 10.1.3.4.0, 10.1.3.4.1, 11.1.1.3
* Oracle Document Capture, versiones 10.1.3.4, 10.1.3.5
* Oracle GoldenGate Veridata, versión 3.0.0.4
* Oracle JRockit versiones, R27.6.7 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.0.1 y anteriores (JDK/JRE 5, 6)
* Oracle Outside In Technology, versión 8.3.0
* Oracle WebLogic Server, versiones 7.0.7, 8.1.6, 9.0, 9.1, 9.2.3, 10.0.2, 10.3.2, 10.3.3
* Oracle Enterprise Manager Suite Release 10, versión 10.2.0.5
* Oracle Enterprise Manager Real User Experience Insight, versión RUEI 6.0
* Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1, 12.1.2, 12.1.3
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Agile Core, versiones 9.3.0.2, 9.3.1
* Oracle Transportation Manager, versiones 5.5, 6.0, 6.1, 6.2
* Oracle PeopleSoft Enterprise CRM, versiones 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise HRMS, versiones 8.9, 9.0, 9.1
* Oracle PeopleSoft Enterprise PeopleTools, versiones 8.49, 8.50, 8.51
* Oracle Argus Safety, versiones 5.0, 5.0.1, 5.0.2, 5.0.3
* Oracle InForm Portal, versiones 4.5, 4.6, 5.0
* Oracle Sun Product Suite
* Oracle Open Office, versión 3.2.1 y StarOffice/StarSuite, versiones 7, 8

De los 66 errores existen, los más graves son (calificados de máxima criticidad, esto es, permiten ejecución de código sin intervención del usuario y no resultan complejos de aprovechar):

* CVE-2010-4449: En el protocolo HTTP del componente Audit Vault.
* CVE-2010-3574: En múltiples protocolos del componente Oracle JRockit.
* CVE-2010-3510: En Node Manager de Oracle WebLogic Server.
* CVE-2010-4435: En el protocolo RPC de Solaris 8, 9 y 10

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial:


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - January 2011:
http://www.oracle.com/technetwork/topics/security/cpujan2011-194091.html

lunes, 17 de enero de 2011

Actualización de Symantec Web Gateway soluciona un fallo de inyección SQL

Symantec Web Gateway es un servicio que actúa como puerta de enlace capturando todo el tráfico HTTP en busca de actividades fraudulentas como URL maliciosas, y tráfico originado por malware.

El fallo, al que se le ha asignado el CVE CVE-2010-0115, fue reportado por RadLSneak a través de TippingPoint Zero Day Initiative, por lo que ha sido publicado de manera coordinada entre ambas partes.

El fabricante ha publicado una actualización disponible para sus clientes a través de sus canales autorizados, la actualización se corresponde con el número de versión 4.5.0.376.


Fernando Ramírez
framirez@hispasec.com


Más información:

Security Advisories Relating to Symantec Products - Symantec Web Gateway Blind SQL Injection
http://www.symantec.com/business/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2011&suid=20110112_00

domingo, 16 de enero de 2011

Google corrige varios fallos de seguridad en Chrome

Se han corregido dieciséis vulnerabilidades en Chrome, una de gravedad crítica, trece de gravedad alta y dos valoradas como de gravedad media. Con esta actualización, a través de su sistema de recompensas, Google ha premiado con más de 14.000 dólares en total a los descubridores.

La nueva versión 8.0.552.237 de Chrome corrige numerosos fallos de seguridad, entre ellos uno de gravedad crítica. Cabe destacar que es la primera vez que Google concede a un investigador la recompensa "elite" dotada con 3.133,7 dólares por encontrar una vulnerabilidad crítica. La razón de que la vulnerabilidad tenga esta valoración se debe a que permitiría ejecutar código arbitrario con los privilegios del usuario que ejecuta el navegador sin que éste tenga que realizar ninguna acción adicional más que visitar un enlace.

Su descubridor, Sergey Glazunov, además, ha reportado cuatro vulnerabilidades más de gravedad alta.

Dos de las vulnerabilidades que han sido parcheadas con esta actualización corrigen fallos relacionados con el manejo de archivos PDF, que pueden ser visualizados de forma nativa en el navegador desde hace poco más de medio año.

La nueva versión de Google Chrome puede ser actualizada desde las opciones de actualización del mismo navegador o desde la página web de Chrome.


Javier Rascón
jrascon@hispasec.com


Más información:

Chrome Stable Release
http://googlechromereleases.blogspot.com/2011/01/chrome-stable-release.html

sábado, 15 de enero de 2011

Según el New York Times, Stuxnet fue creado por el gobierno de Estados Unidos e Israel

New York Times ha venido a confirmar lo que ya se rumoreaba desde hace tiempo: Stuxnet, un gusano que sorprendió a propios y extraños por su extrema complejidad y profesionalidad, ha sido financiado por el gobierno de Estados Unidos de América e Israel, y su objetivo eran las centrales nucleares de Irán.

Desde mediados de 2010, Stuxnet ha marcado un antes y un después en la mitología del malware, acaparando titulares. Técnicamente, es muy avanzado: el uso combinado e inteligente de vulnerabilidades desconocidas hasta el momento para difundirse, el uso de certificados válidos, y unos objetivos muy concretos (el software para controlar ciertos aspectos de las centrales nucleares) hacían pensar que detrás de este código debía existir un despliegue fuera de lo común. Se necesita mucho conocimiento, poder, investigación y tiempo (o sea, mucho dinero en resumen) para desarrollar Stuxnet y esta tarea ya se le reservaba a los gobiernos. Por ejemplo, en octubre ya escribíamos en una-al-día que Stuxnet fue "diseñado y financiado supuestamente por algún gobierno para atacar el plan nuclear Iraní" y Eugene Kaspersky consideraba en esas mismas fechas que Stuxnet "era el prototipo funcional de una ciber-arma, que dará el pistoletazo de salida a una ciber-guerra en el mundo"

Lo que sugiere el New York Times es que Estados Unidos e Israel desarrollaron el gusano para paralizar el plan nuclear iraní. Durante dos años se utilizó una central nuclear de Dimona (al sur de Israel) como laboratorio para examinar y ensayar Stuxnet con el objetivo de sabotear las centrifugadoras nucleares en Irán. En Dimona, los israelitas utilizaron el mismo tipo de centrifugadoras que operan en la central iraní de Natanz, donde se produce el enriquecimiento de uranio. Así consiguieron que fuese tan efectivo: el gusano paralizó la quinta parte de las centrifugadoras de uranio de Natanz. Stuxnet primero modificaba sus parámetros de regulación para destruirlas y luego enviaba señales al sensor para aparentar que todo estaba correcto.

En principio, la información del New York Times viene de "expertos militares y de inteligencia norteamericanos", pero muy probablemente nunca será confirmado oficialmente (aunque todo apunta a que sea cierto).

Por ejemplo, en la noticia se habla de que llevaban dos años trabajando en el gusano. Según nuestra base de datos de Virustotal, la primera referencia a Stuxnet viene el 1 de julio de 2009. Sí, 2009 (Stuxnet saltó a los medios en julio de 2010). Pero no es el troyano como tal. Lo que encontramos entonces son las primeras referencias a malware que aprovecha una vulnerabilidad por entonces llamada simplemente por algunos antivirus "Autorun". Solo era detectado por 6 motores. Lo que no sabían, es que esta sería la vulnerabilidad que más tarde (un año más tarde) se calificaría como CVE-2010-2568, y que permitía a Stuxnet la ejecución de código a través de enlaces LNK. En pocas palabras: esta vulnerabilidad (que obligó a Microsoft a publicar un parche de emergencia por su gravedad) era conocida desde hacía más de un año y, aunque algunos motores la detectaban entonces, no descubrieron que era "nueva". La metieron en el saco de malware genérico que se ejecutaba a través del Autorun. Tuvo que entrar en escena Stuxnet para que se analizase, saliera a la luz y fuera corregida.

Las primeras muestras en aprovechar este fallo vienen desde Vietnam, China y una casa antivirus en el Reino unido en julio de 2009. Se siguen recibiendo muestras, pocas, durante todo 2009 y 2010, y no es hasta julio de 2010 que es ampliamente reconocida como lo que realmente es. Una muestra real de Stuxnet en nuestra base de datos la encontramos por primera vez el 16 de mayo de 2010. Se trata de un driver (archivo .sys que contiene la funcionalidad de rootkit de Stuxnet) que no era detectado entonces por ningún motor. Sigue pasando relativamente desapercibido hasta el 7 de julio, cuando un antivirus lo bautiza como Stuxnet. A partir de ahí, recibimos muchas muestras, pero no es hasta finales de julio que es detectado por la mayoría.

El primer ejecutable Stuxnet del que tenemos noticia, se remonta también al 16 de mayo de 2010 y sigue una trayectoria muy similar al driver en nivel de detección.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Israel y EEUU crearon el virus que dañó el programa nuclear iraní
http://www.elmundo.es/elmundo/2011/01/16/internacional/1295180388.html

Éxitos y fracasos de Stuxnet (I)
http://www.hispasec.com/unaaldia/4382

Éxitos y fracasos de Stuxnet (II)
http://www.hispasec.com/unaaldia/4383

Éxitos y fracasos de Stuxnet (y III)
http://www.hispasec.com/unaaldia/4384

viernes, 14 de enero de 2011

Actualización de Samba para Solaris 9, 10 y 11 Express

Oracle ha anunciado una actualización de seguridad para Samba en Solaris 9, 10 y 11 Express, para evitar una vulnerabilidad que podría permitir a un atacante remoto lograr la ejecución de código arbitrario.

La vulnerabilidad reside en un desbordamiento de búfer basado en pila en las funciones sid_parse y dom_sid_parse de Samba en versiones anteriores a 3.5.5. Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio y potencialmente ejecutar código arbitrario mediante un Windows Security ID (SID) manipulado en un archivo compartido.

Según versión y plataforma, las actualizaciones están disponibles desde:

Para SPARC:
Solaris 9: Instalar parche 114684-17 o posterior, disponible en
http://sunsolve.sun.com/patchfinder/?uiForm=N&patchId=114684-17

Solaris 10:
Instalar parche 146363-01 o posterior, disponible en
http://sunsolve.sun.com/patchfinder/?uiForm=N&patchId=146363-01

Para x86:

Solaris 9:
Instalar parche 114685-17 o posterior, disponible en
http://sunsolve.sun.com/patchfinder/?uiForm=N&patchId=114685-17

Solaris 10:
Instalar parche 146364-01 o posterior, disponible en
http://sunsolve.sun.com/patchfinder/?uiForm=N&patchId=146364-01

Para Solaris 11 Express:
Solucionado en sistemas basados en snv_151a o posterior.


Antonio Ropero
antonior@hispasec.com


Más información:

CVE-2010-3069 Multiple Stack-Based Buffer Overflows in Samba
http://blogs.sun.com/security/entry/cve_2010_3069_multiple_stack

Vulnerability Summary for CVE-2010-3069
http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-3069

jueves, 13 de enero de 2011

Actualización del kernel para Red Hat 6

Red Hat ha publicado una actualización del kernel 2.6.x, que soluciona un total de 31 vulnerabilidades. Las vulnerabilidades podrían permitir a un atacante llegar a elevar privilegios, causar una denegación de servicio u obtener información sensible.

A continuación se detallan los CVE y un resumen de la vulnerabilidad.

CVE-2010-2492: Existe un error en la fución 'cryptfs_uid_hash()' localizada en '/fs/ecryptfs/messaging.c' que podría causar un desbordamiento de memoria intermedia. Esto podría ser aprovechado por un atacante local no autenticado para causar una denegación de servicio a través de una llamada a la función 'cryptfs_uid_hash()' especialmente manipulada.

CVE-2010-3067: Existe un error de desbordamiento de entero en la función 'do_io_submit' en 'fs/aio.c'. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través de llamadas especialmente diseñadas a 'io_submit'.

CVE-2010-3078: Existe un error de comprobación de restricciones en la función 'xfs_ioc_fsgetxattr' en 'fs/xfs/linux-2.6/xfs_ioctl.c '. Esto podría ser aprovechado por un atacante local para revelar información a través de llamadas XFS_IOC_FSGETXATTR.

CVE-2010-3080: Existen varios errores de dereferencia a memoria liberada y doble liberación de memoria en la función 'snd_seq_oss_open' en 'sound/core/seq/oss/seq_oss_init.c'. Esto podría ser aprovechado por un atacante local para ejecutar código arbitrario a través de vectores no especificados.

CVE-2010-3298: Existe un error al no ser modificada o inicializada a cero la variable 'reserved' antes de ser devuelta al usuario en la función ' hso_get_count' del fichero '/drivers/net/usb/hso.c'. Un atacante local sin privilegios podría leer hasta 9 bytes de memoria no inicializada a través de vectores no especificados.

CVE-2010-3477: Existe un error en la función 'tcf_act_police_dump' de 'net/sched/act_police.c' al no inicializar correctamente ciertas estructuras. Esto podría ser usado por un atacante local para obtener información sensible a través de un volcado de memoria.

CVE-2010-3861: Existe un error en la función 'ethtool_get_rxnfc' localizada en 'net/core/ethtool.c' que no inicializa ciertos bloques de memoria. Esto pordría ser aprovechado por un atacante local para revelar información, y potencialmente, elevar privilegios a través de un comando ETHTOOL_GRXCLSRLALL especialmente manipulado con un valor info.rule_cnt muy largo.
Es una vulnerabilidad distinta a CVE-2010-2478.

CVE-2010-3865: Existe un error de desbordamiento de entero en la función 'rds_rdma_pages' de 'net/rds/rdma.c'. esto podría ser aprovechado por un atacante local para elevar privilegios a través de una llamada especialmente manipulada a esta función.

CVE-2010-3874: Existe un desbordamiento de memoria intermedia basado en heap en el subsistema CAN (Control Area Network) en sistemas de 64-bits que podría ser aprovechado por un atacante local para causar una denegación de servicio a través de una operación de conexión.

CVE-2010-3876: Existe un error no especificado en el protocolo de paquetes que podría ser aprovechado por un atacante local para revelar información sensible a través de vectores no especificados.

CVE-2010-3880: Existe un error de comprobación de restricciones en el subsistema 'INET_DIAG' que podría provocar un bucle infinito. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través de la ejecución de instrucciones 'INET_DIAG_REQ_BYTECODE' especialmente manipuladas.

CVE-2010-4072: Existe un error en la función 'copy_shmid_to_user' del subsitema 'System V shared memory' localizada en 'ipc/shm.c' que no inicializa ciertas estructuras. Esto podría ser aprovechado por un atacante local para revelar información sensible a través de una llamada shtmctl especialmente manipulada.

CVE-2010-4073: Existen varios errores al no inicializar ciertas estructuras en el subsistema 'System V shared memory' en el fichero 'ipc/compat.c' y 'ipc/compat_mq.c' que podría ser aprovechado por un atacante local en un sistema de 64-bits para revelar información sensible a través de una llamada a la función 'semctl' especialmente diseñada.

CVE-2010-4074: Existe un error al inicializar ciertas estructuras en los drivers 'mos7720' y 'mos7840' para conversión de dispositivos USB/serie que podría ser aprovechado por un atacante local para revelar información sensible a través de una llamada 'TIOCGICOUNT' especialmente manipulada.

CVE-2010-4075: Existe un error en la función 'uart_get_count' localizada en 'drivers/serial/serial_core.c' que no inicializa adecuadamente ciertas estructuras. Esto podría ser aprovechado por un atacante local para revelar información sensible a través de una llamada 'TIOCGICOUNT' especialmente manipulada.

CVE-2010-4077: Existe un fallo en la función 'ntty_ioctl_tiocgicount' localizada en 'drivers/char/nozomi.c' que no inicializa adecuadamente ciertas estructuras. Esto podría ser aprovechado por un atacante local para obtener información sensible a través de una llamada al sistema 'TIOCGICOUNT' especialmente manipulada.

CVE-2010-4079: Existe un fallo en la función 'ivtvfb_ioctl' usados por el dispositivos 'Hauppauge PVR-350' localizado en 'drivers/media/video/ivtv/ivtvfb.c' que no inicializa adecuadamente ciertas estructuras. Esto podría ser aprovechado por un atacante local para obtener información sensible a través de una llamada al sistema 'FBIOGET_VBLANK' especialmente manipulada.

CVE-2010-4080: Existe un error en la función 'snd_hdsp_hwdep_ioctl' en el driver ALSA para dispositivos de audio 'RME Hammerfall DSP' localizada en 'sound/pci/rme9652/hdsp.c' que no inicialiliza ciertas estructuras. Esto podrían ser aprovechado por un atacante local para acceder a información sensible a través de una llamada ioctl 'SNDRV_HDSP_IOCTL_GET_CONFIG_INFO' especialmente manipulada.

CVE-2010-4081: Existe un error en la función 'snd_hdspm_hwdep_ioctl' en el driver ALSA para dispositivos de audio 'RME Hammerfall DSP MADI' localizada en 'sound/pci/rme9652/hdspm.c' que no inicialiliza ciertas estructuras. Esto podrían ser aprovechado por un atacante local acceder a información sensible a través de una llamada ioctl 'SNDRV_HDSPM_IOCTL_GET_CONFIG_INFO' especialmente manipulada.

CVE-2010-4082: Existe un error en la función 'viafb_ioctl_get_viafb_info' al no inicializar correctamente cierto miembro de una estructura. Esto podría ser usado por un atacante local para revelar información sensible a través de vectores no especificados.

CVE-2010-4083: Existe un error en las llamadas al sistema semctl al no inicializar la pila de memoria. Esto podría ser aprovechado por un atacante local para acceder a información sensible a través de ciertos comandos en la llamada al sistema semctl.

CVE-2010-4158: Existe un error al inicializar una matriz local en la función 'sk_run_filter' localizada en 'net/core/filter.c' que podría permitir a un atacante local revelar información sensible a través de una llamada a la función especialmente manipulada.

CVE-2010-4160: Existe falta de comprobación de límites en la función 'sendto' localizada en 'net/socket.c' que podría provocar un desbordamiento de entero. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través de una llamada a la función 'pppol2tp_sendmsg' especialmente manipulada.

CVE-2010-4162: Existe un error de desbordamiento de entero en ciertas funciones de 'fs/bio.c' y 'block/blk-map.c'. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través del envío de ioctls especialmente manipuladas a un dispositivo SCSI.

CVE-2010-4163: Existe un error al procesar ciertas peticiones entrada/salida con una longitud 0 en la función 'blk_rq_map_user_iov' localizada en 'block/blk-map.c'. Esto podría ser aprovechado por un atacante local para causar una denegación de servicio a través de una llamada IOCTL especialmente manipulada.

CVE-2010-4242: Un error en la función 'hci_uart_tty_open' localizada en el archivo 'drivers/bluetooth/hci_ldisc.c' debido a que no comprueba si un tty está abierto, podría permitir a un atacante local llevar elevar privilegios.

CVE-2010-4248: Existe un error en la función 'posix_cpu_timers_exit_group' localizada en 'posix-cpu-timers.c' que podría causar una condición de carrera. Esto podría ser aprovechado por un atacante local no autenticado para causar una denegación de servicio a través de una llamada especialmente manipulada.

CVE-2010-4249: Un error de diseño en el manejador de sockets de Unix podría permitir a un atacante local causar una denegación de servicio, debido a un consumo excesivo de memoria, a través de una aplicación especialmente manipulada.

CVE-2010-4263: Existe una dereferencia a puntero nulo en el driver igb que podría ser aprovechada por un atacante remoto para causar una denegación de servicio a través del envio de un paquete VLAN a una interfaz que use dicho driver.

CVE-2010-4525: Existe un error al no inicializar el campo kvm_vcpu_events.interrupt.pad. Esto podría ser aprovechado por un atacante local para obtener información sensible a través de vectores no especificados.

CVE-2010-4668: Existe un error en la función 'blk_rq_map_user_iov' localizada en 'block/blk-map.c' que podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de una llamada ioctl especialmente manipulada con el valor de longitud 0.
Esto es una regresión relacionada con CVE-2010-4163

Se recomienda actualizar a través de YUM o del agente de actualización de Red Hat


Alejandro J. Gómez
agomez@hispasec.com


Más información:

Important: kernel security and bug fix update
https://rhn.redhat.com/errata/RHSA-2011-0007.html

miércoles, 12 de enero de 2011

Nuevos contenidos en la Red Temática CriptoRed (diciembre de 2010)

Breve resumen de las novedades producidas durante el mes de diciembre de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE DICIEMBRE DE 2010
* Evaluación de las predicciones en seguridad de la información para el 2010 y el riesgo de las predicciones para el 2011(Jeimy Cano, 6 páginas, Colombia)
http://www.criptored.upm.es/guiateoria/gt_m142n1.htm
* Geometría algebraica aplicada a las telecomunicaciones (Eduardo Ruiz Duarte, 40 páginas, México)
http://www.criptored.upm.es/guiateoria/gt_m736b.htm
* Criptografía y esteganografía: una breve experiencia (Eduardo Ruiz Duarte, 31 páginas, México)
http://www.criptored.upm.es/guiateoria/gt_m736a.htm

2. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE DICIEMBRE DE 2010
* Lección 3: Sistemas de cifra con clave pública (Gonzalo Álvarez Marañón, 11.32 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=criptografia-asimetrica&lang=es
* Lesson 3: Public-key cipher systems (Gonzalo Álvarez Marañón, 11.53 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=asymmetric-cryptography&lang=en

3. NUEVOS VÍDEOS PRODUCIDOS POR LA CÁTEDRA UPM APPLUS+ EN DICIEMBRE DE 2010
Vídeos del Quinto Día Internacional de la Seguridad de la Información DISI 2010 en el Canal YouTube de la UPM (España)
* Inauguración: D. José Manuel Perales, D. Taher Elgamal, D. César Benavente y D. Jorge Ramió
http://www.youtube.com/watch?v=xbmfYROJCls
* eCommerce and Internet Security: the last 15 years and the next 15 years: Taher Elgamal
http://www.youtube.com/watch?v=Fky7aBZxHZY
* Coloquio Esquema Nacional de Seguridad ENS y centros de respuesta a incidentes de seguridad: Eduardo Carozo, Dña. Chelo Malagón, D. Javier Candau, D. Marcos Gómez, moderado por Dña. Gemma Déler
http://www.youtube.com/watch?v=41k0aTupUqM
* Coloquio Atacando las Infraestructuras Críticas: D. José Parada, D. Juan Luis Rambla, D. Rubén Santamarta, moderado por D. Justo Carracedo
http://www.youtube.com/watch?v=DIQ3AUPaO6k
* Clausura: D. César Sanz, D. Taher Elgamal, Dña. Gemma Déler y D. Jorge Ramió
http://www.youtube.com/watch?v=XpfMfyHmtXo

4. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE DICIEMBRE DE 2010
* Informe de la Red de Sensores de INTECO del mes de noviembre de 2010 (España)
https://ersi.inteco.es/informes/informe_mensual_201011.pdf
* Especial sobre Investigación Forense en el Boletín Informativo de noviembre de 2010 de CXO Latam Community (Argentina)
http://www.cxo-community.com/component/content/3509?task=view

5 SOFTWARE RECOMENDADO DE OTROS SERVIDORES EN EL MES DE DICIEMBRE DE 2010
* Herramienta LapSec Laptop Securer (Hispasec, España)
http://www.hispasec.com/lapsec/

6. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Febrero 7 al 11 de 2011: X Seminario Iberoamericano de Seguridad en las Tecnologías de la Información (La Habana - Cuba)
* Febrero 24 al de 2011: Jornadas de Seguridad 2011 del GSIC en la Facultad de Informática de la Universidade da Coruña (A Coruña- España)
* Marzo 2 al 5 de 2011: Rooted CON 2011 (Madrid - España)
* Marzo 11 al 13 de 2011: IADIS International Conference Information Systems 2011 (Ávila - España)
* Mayo 16 de 2011: Workshop on Security for Grid and Cloud Computing (Anchorage - Alaska)
* Junio 7 al 10 de 2011: 9th International Conference on Applied Cryptography and Network Security ACNS '11 (Nerja, Málaga - España)
* Junio 8 al 10 de 2011: 4th International Conference on Computational Intelligence for Security in Information Systems CISIS '11 (Torremolinos, Málaga - España)
* Junio 8 al 11 de 2011: Eighth International Workshop on Security In Information Systems WOSIS-2011 (Beijing - China)
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla - España)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

7. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE DICIEMBRE DE 2010
* En enero comienza la gira Up To Secure 2011 de Informática64 que recorrerá toda España (España)
* CFP para 4th International Conference on Computational Intelligence for Security in Information Systems CISIS '11 en Torremolinos (España)
* Ciclo de conferencias de cierre de los Máster en Seguridad Informática y en Auditoría Informática de ALI UPM (España)
* Encuesta sobre centros de respuesta para los CSIRT en Latinoamérica y el Caribe del Proyecto AMPARO (Uruguay, Costa Rica, Ecuador)
* Curso SGS Lead Auditor: Auditor Jefe en Sistemas de Gestión de la Información en la UPM (España)
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2010.htm#dic10

8. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 854
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas: 29.253 visitas, con 87.278 páginas solicitadas y 28,73 GigaBytes servidos en diciembre de 2010.
En los próximos días se días se informará sobre las estadísticas globales del año 2010.


Jorge Ramió Aguirre
Director de CRIPTORED
http://www.criptored.upm.es/



martes, 11 de enero de 2011

Boletines de seguridad de Microsoft en enero

Tal y como adelantamos, este martes Microsoft ha publicado dos boletines de seguridad (el MS11-001 y el MS11-002) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft uno de los boletines presenta un nivel de gravedad "crítico", mientras que el restante se clasifica como "importante". En total se han resuelto tres vulnerabilidades.

El boletín "crítico" es el MS11-002, que presenta una actualización para corregir dos vulnerabilidades de ejecución remota de código en Microsoft Data Access Components. Afecta a Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7.

El boletín MS11-001 trata de una actualización importante para Windows Vista para evitar una vulnerabilidad de ejecución remota de código en el Administrador de copias de seguridad de Windows.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Resumen del boletín de seguridad de Microsoft de enero de 2011
http://www.microsoft.com/spain/technet/security/bulletin/ms11-jan.mspx

Boletín de seguridad de Microsoft MS11-001 - Importante
Una vulnerabilidad en Administrador de copia de seguridad de Windows podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-001.mspx

Boletín de seguridad de Microsoft MS11-002 - Crítico
Vulnerabilidades en Microsoft Office Web Components podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-002.mspx

lunes, 10 de enero de 2011

Debilidad en la implementación del driver wireless Orinoco en Linux

Existe una debilidad de diseño en la implementación de la función 'orinoco_ioctl_set_auth' de 'drivers/net/wireless/orinoco/wext.c' en el driver wireless Orinoco.

Esto provoca la habilitación de la tarjeta si están habilitadas las contramedidas para TKIP haciendo los ataques más efectivos.

Un atacante remoto podría obtener ventaja en ciertos ataques si este error de diseño está presente.

Como podemos observar en el parche introducido:

if (param->value) {
priv->tkip_cm_active = 1;
- ret = hermes_enable_port(hw, 0);
+ ret = hermes_disable_port(hw, 0);
} else {
priv->tkip_cm_active = 0;
- ret = hermes_disable_port(hw, 0);
+ ret = hermes_enable_port(hw, 0);
}


El fallo es un simple error de lógica al intentar justo lo contrario de lo que se pretendía en el diseño original.

La acción correcta a tomar es si priv->tkip_cm_active = 1, es decir que las contramedidas para TKIP estén activas, deshabilitar la tarjeta.


Laboratorio Hispasec
laboratorio@hispasec.com



domingo, 9 de enero de 2011

Corregido el fallo de la "constante" en PHP

PHP ha publicado la versión 5.3.5 (5.2.17 para la rama 5.2) que corrige un fallo que podría causar una denegación de servicio a través de múltiples vectores.

PHP es un popular lenguaje de programación de código abierto usado principalmente en la creación de sitios y aplicaciones web.

El error reside en la conversión de cierta constante flotante desde una cadena.

Por ejemplo:

$var = (double)"2.2250738585072011e-308";

Esta conversión hace que PHP haga un consumo excesivo de ciclos de la CPU causando que el proceso deje de responder.

La vulnerabilidad es particularmente significativa debido a que puede ser provocada en cualquier contexto que involucre la entrada de datos y su posterior conversión a 'double'.

El fallo, localizado en la función 'zend_strtod', solo afecta a ciertas compilaciones de 32 bits para la arquitectura x86. A su vez está relacionado con un fallo en la arquitectura de la FPU x87.

La vulnerabilidad tiene asignado el CVE-2010-4645 y fue informada por Rick Regan.


David García
dgarcia@hispasec.com


Más información:

PHP Hangs On Numeric Value 2.2250738585072011e-308
http://www.exploringbinary.com/php-hangs-on-numeric-value-2-2250738585072011e-308/

Bug #53632 PHP hangs on numeric value 2.2250738585072011e-308
http://bugs.php.net/53632

sábado, 8 de enero de 2011

Microsoft publicará dos boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad. El primer boletín va dirigido para Windows Vista, mientras que el segundo boletín afecta a toda la gama del sistema operativo Windows. Ambos boletines pueden contener un número indeterminado de vulnerabilidades.

Mientras que el mes pasado Microsoft publicaba el mayor número de boletines 17 y acababa el año con una cifra récord de 106 boletines, este año lo hace con dos boletines de seguridad dirigidos a todas las versiones de su sistema operativo.

Parece que Microsoft no va a dar solución este mes a los dos "Security Advisory" que están pendiente de parche:
Microsoft Security Advisory 2490606
http://www.microsoft.com/technet/security/advisory/2490606.mspx
relacionada con Windows Graphics Rendering Engine.

Microsoft Security Advisory 2488013
http://www.microsoft.com/technet/security/advisory/2488013.mspx
relacionada con Internet Explorer.

Mientras tanto recomienda a los usuarios afectados que sigan las recomendaciones para mitigar ambas vulnerabilidades, sobre todo la relacionada con Internet Explorer, de la que se han empezado a observar ataques dirigidos.


Fernando Ramírez
framirez@hispasec.com


Más información:


http://blogs.technet.com/b/msrc/archive/2011/01/06/advance-notification-service-for-the-january-2011-security-bulletin-release.aspx

viernes, 7 de enero de 2011

Informática64 reedita en papel el anuario "Una al día: 12 años de seguridad informática"

Hispasec vuelve a ampliar el anuario original "Una al día: 10 años de seguridad informática" con una tercera edición abarcando 2010. En esta ocasión es la empresa Informatica64 la que ha decidido reeditarlo en papel y publicarlo por 12 euros más gastos de envío.

Por tercer año consecutivo, se amplía y reedita lo que parece que se convertirá en un anuario de la seguridad informática. En octubre de 2008 nuestro boletín diario sobre seguridad una-al-día cumplió 10 años. Para celebrarlo se publicó (en papel) un libro que recogía los acontecimientos más importantes sobre la seguridad ocurridos en esa década, además de entrevistas exclusivas, curiosidades, recopilación de noticias, etc. Un año más tarde, a finales de 2009, se ofrecía ese mismo libro ampliado y gratuitamente en PDF.

Puesto que la licencia del libro es Creative Commons: Reconocimiento-No comercial-Sin obras derivadas 3.0, hemos acordado con Informática64 ampliar la obra original y que ellos se encarguen de su distribución, remaquetación, venta, etc. Han ajustado el precio hasta 12 euros, prácticamente el precio de coste para sus 272 páginas.

Así, el libro pasa a formar parte de la colección de textos de Informática 64:

* Análisis forense digital en entornos Windows (Juan Garrido Caballero)
* Aplicación de la LOPD en la empresa (Juan Luis García Rambla)
* MS Forefront Threat Management Gateway TMG 2010 (Juan Luis García Rambla)
* MS SharePoint 2010: Seguridad (Rubén Alonso Cebrián)
* DNIe: Tecnología y usos (Rames Sarwat)
* Una al día: 1998/2010 Doce años de seguridad informática (Sergio de los Santos)

Agradecemos a Informatica64 el interés mostrado en esta obra. Destacar que la versión anterior de libro sigue disponible gratuitamente en PDF desde www.hispasec.com.




Más información:

Una al día: 12 años de seguridad informática
http://www.hispasec.com/uad/index_html

Un gran libro de historia
http://www.elladodelmal.com/2010/12/un-gran-libro-de-historia.html

Una al día: 12 años de seguridad informática
http://www.informatica64.com/libros.aspx?id=uad

Hispasec publica el libro: "Una al día: 10 años de seguridad informática"
http://www.hispasec.com/unaaldia/3664

Una-al-día cumple 11 años y libro gratis de regalo
http://www.hispasec.com/unaaldia/4022

jueves, 6 de enero de 2011

Comienza la Gira Up to Secure 2011 por España

Como ya es habitual, la Gira Up To Secure va comenzar, durante el próximo mes de enero, a recorrer 10 ciudades españolas con sesiones de seguridad. En esta ocasión los participantes son las empresas Microsoft, Telefónica, Bitdefender, Quest Software e Informática64 y llevarán 4 sesiones con diferentes temáticas, todas ellas referentes a seguridad. Los eventos no tienen ningún coste y las ciudades por las que pasará serán las siguientes: Pamplona, Zaragoza, Barcelona, Valladolid, Vigo, A Coruña, Valencia, Madrid, Tenerife y Sevilla. La agenda es la siguiente:

Agenda:

09:00 – 09:30 Registro

09:30 – 10:15 BitDefender: Mac OS X & Malware en tu empresa
Durante esta sesión se mostrará cómo aquellos tiempos en que se podía pensar que vivir con sistemas operativos Mac OS X sin riesgo a sufrir una mala experiencia con el malware han terminado. Si a esto le añadimos la cada día más creciente participación de los equipos de Apple en las empresas, el riesgo se dispara. En esta sesión se verá cómo poder proteger también esa tecnología sin necesidad de cambiar la forma en que gestionas tu empresa.

10:15 – 11:00 Telefónica: Protege tus teléfonos móviles... forever!
Los aún llamados "teléfonos móviles" son equipos informáticos de gama alta que almacenan datos privados, secretos comerciales y mucho más. Son una herramienta de trabajo que nos acompaña de viaje en el tren, avión e, incluso, navegando en vacaciones. ¿Quieres proteger tus datos y tu dispositivo aun cuando lo hayas perdido?

11:00 – 11:45 Café

11:45 – 12:30 Quest Software: ¿Son seguras las soluciones en "la Nube"?
El uso de soluciones basadas en Cloud Computing se está extendiendo rápidamente. Pero no todo el mundo confía en la seguridad que ofrecen las distintas compañías de servicios y muchos clientes temen por la integridad de sus datos.

12:30 – 13:15 Microsoft – Informática64: La seguridad Sí importa: Windows Live & IE9
Hoy en día, la gran mayoría de profesionales cuenta con correos personales que coordina con los correos corporativos, correos personales que extienden la vida personal y profesional de los usuarios a través de Internet. En esta sesión veremos los problemas de seguridad y las herramientas que ofrecen los servicios de Windows Live para protegernos del spam, los ataques de spoofing, el robo de contraseñas y los ataques de botnets. Esta charla será impartida por Chema Alonso, Microsoft MVP en Enterprise Security, de Informática64 y escritor del blog "Un informático en el lado del Mal" http://www.elladodelmal.com.

13:15 – 13:30 Preguntas & Respuestas

Toda la información de registro en la página de la Gira Up To Secure 2011
http://www.informatica64.com/uptosecure/





miércoles, 5 de enero de 2011

Nuevo 0 day en Windows. Microsoft acumula al menos cinco vulnerabilidades graves sin solucionar

Mal comienzo de año para Microsoft. Con la última publicación de una vulnerabilidad que permite la ejecución de código, Microsoft acumula al menos cinco vulnerabilidades recientes graves sin parchear. Además, 2010 ha sido un año récord para Microsoft en el que se han corregido más vulnerabilidades que cualquier otro. Esto, aunque no es necesariamente un dato "negativo", indica que a Microsoft se le empieza a acumular el trabajo.

Si 2010 ha sido un año con muchas vulnerabilidades en Windows (además se batió el récord de número de vulnerabilidades corregidas en un solo mes en sus productos en octubre), 2011 no comienza mejor. Aunque se tenían indicios (sin muchas pruebas) sobre el fallo desde el día 23 de diciembre, finalmente el día 4 de enero Microsoft ha declarado que existe una grave vulnerabilidad en su intérprete de gráficos, concretamente en la librería shimgvw.dll. Y lo ha declarado porque finalmente ha salido a la luz (una vez más a través de Metasploit) un exploit para aprovechar el fallo. El problema se da en todos los sistemas operativos vigentes excepto Windows 7 y 2008 R2 y permite que un atacante ejecute código con solo enviar a la víctima un archivo thumbnail, o hacer que lo visualice de alguna forma.

Microsoft recomienda renombrar o eliminar los permisos a todos los usuarios para acceder a %WINDIR%\SYSTEM32\shimgvw.dll. Esto tendrá un impacto indeterminado sobre las aplicaciones que utilicen esta librería.

Con este fallo, Microsoft acumula al menos cinco vulnerabilidades graves y recientes en sus sistemas operativos que todavía no han sido solucionadas. En concreto:

* Michal Zalewski acaba de hacer público que, a través de su nueva herramienta de fuzzing, ha descubierto una denegación de servicio en Internet Explorer 8 que, muy probablemente, acabará permitiendo la ejecución de código. Según él, "looks like EIP is pretty much fully attacker-controlled." (parece que el registro EIP es bastante controlable por completo por el atacante). Todavía no se ha demostrado y se sospecha que es conocido por terceras partes no demasiado confiables que podrían estar usándolo.

* Un fallo al procesar los CSS de Internet Explorer permite la ejecución de código. Descubierto a principios de diciembre como denegación de servicio y redescubierto como vulnerabilidad de ejecución de código el 14 de diciembre. Existe exploit público.

* Un fallo en el componente Windows Fax Cover Page Editor (fxscover.exe) de todos los Windows que permite la ejecución de código si la víctima abre un archivo con extensión .cov especialmente manipulado. Descubierto el 26 de diciembre y con exploit público.

* Un problema de elevación de privilegios en el kernel desde finales de noviembre. Existe exploit público.

* Un fallo en la librería Data Access Objects (dao360.dll) que permite la ejecución de código, relacionada con el DLL "hijacking". Descubierto a finales de octubre.

Además, acumula otras vulnerabilidades recientes sin parchear en sus herramientas de administración WMI, en el servidor FTP de IIS versión 7... y otras menos graves que acumula desde principios de 2010.

El 11 de enero se esperan nuevos boletines de seguridad de Microsoft, pero muy probablemente sólo se corrijan algunos de estos problemas en ellos.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Vulnerability in Graphics Rendering Engine Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2490606.mspx

Recomendaciones contra la última vulnerabilidad en Internet Explorer
http://www.hispasec.com/unaaldia/4444

Fuzzer variant: cross_fuzz_msie_randomized_seed.html
http://lcamtuf.coredump.cx/cross_fuzz/msie_crash.txt

0 day: Elevación de privilegios en Microsoft Windows
http://www.hispasec.com/unaaldia/4415

Vulnerability in Internet Explorer Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/advisory/2488013.mspx

martes, 4 de enero de 2011

Mozilla publica accidentalmente nombres y contraseñas de 44.000 usuarios

Desde la fundación Mozilla han comunicado que ha sido publicada por error una parte importante de los datos de usuarios registrados en addons.mozilla.org, concretamente el identificador de usuario y hash MD5 de las contraseña de 44.000 de sus usuarios.

Al parecer el fallo se debió a que esta información fue dejada en un servidor público de manera accidental hasta que, el 17 de diciembre, un investigador independiente alertó de este error a través del programa de recompensas. No se sabe en qué fecha ni por qué se hicieron públicos los datos.

Desde Mozilla aseguran, después de un análisis de sus logs, que las únicas personas que accedieron a la información fueron la persona que puso en conocimiento esta información y miembros del equipo Mozilla. Además, al parecer pertenecían a usuarios "inactivos". La empresa ha respondido deshabilitando las cuentas y mandando un correo electrónico a todos los afectados para que recuperen sus contraseñas.

El problema de esta divulgación accidental reside en las cada vez más escasas garantías que ofrece MD5 debido a su debilidad criptográfica. En pocas palabras: es relativamente sencillo obtener, a partir del hash MD5, la contraseña original si no es extremadamente compleja. Además, en este caso la contraseña no contenía una "sal". Por esta razón Mozilla adoptó en abril de 2009 un sistema criptográfico más seguro, SHA512 para almacenar sus contraseñas, y es el método que utilizan todas las cuentas actuales.


Fernando Ramírez
framirez@hispasec.com


Más información:

addons.mozilla.org disclosure
http://blog.mozilla.com/security/2010/12/27/addons-mozilla-org-disclosure

lunes, 3 de enero de 2011

Nuevo jailbreak para PS3 sin necesidad de hardware externo

Una de las charlas ofrecidas en el marco de la 27º Conferencia del Chaos Computer Club, tenía por título: "Console Hacking 2010". A pesar del genérico título destacaba una pequeña parte de su introducción: "We will detail the operation of current PS3 exploits, show a few new ones..." (detallaremos el funcionamiento de los exploit para PS3 actuales y unos cuantos nuevos...)

Mucha era la expectación ante lo que podría ser el anuncio de un exploit mejorado para la PS3 de Sony. Hasta ahora la PS3 podía ser liberada a través de sistemas que implican la conexión de un hardware externo. El sistema conocido como dongle. Pero hasta ahora no se había conseguido evadir la protección del sistema únicamente a través de código con la intención de hacer correr programas de manera no oficial.

fail0verflow, el equipo que lo ha conseguido, comenzó su charla hablando del estado actual de la seguridad en las consolas, haciendo un repaso por las que actualmente dominan el mercado, léase Wii, XBox360 o DSi. Tras ello repasaron el abanico de técnicas actuales de explotación centrándose en PS3.

Al final de la introducción pasaron al momento que todos esperaban. No defraudaron y presentaron un sistema de jailbreaking sin necesidad de apoyo de hardware externo (dongle-less) y algo no tan esperado y posiblemente más comprometedor: las claves privadas con las que se firma el software. Esto último posibilita que cualquiera pueda firmar código y hacerlo pasar por autorizado. El equipo las ha hecho públicas.

Según fail0verflow su meta era poder devolver la capacidad de instalar un sistema Linux en la PS3, opción que Sony eliminó en una de las actualizaciones del firmware. También anuncian que van a publicar la prueba de concepto y varias herramientas, pero dejan claro que no van a publicar ningún firmware no oficial, tarea que asumen se encargaran otros grupos.


David García
dgarcia@hispasec.com


Más información:

Web de fail0verflow
http://fail0verflow.com/

Console Hacking 2010
http://events.ccc.de/congress/2010/Fahrplan/events/4087.en.html

domingo, 2 de enero de 2011

Ejecución de código en VLC a través de ficheros Real Player

Existe un error de desbordamiento de memoria intermedia en el reproductor VLC. Este fallo se produce al procesar la cabecera de un archivo de Real Player y permite la ejecución de código.

VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6. Dispone de un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores oficiales de Apple o Microsoft.

Esta vulnerabilidad, a la que se le ha asignado el CVE CVE-2010-3907, permite ejecutar código a través de un fichero Real Player especialmente diseñado.

VLC ha solucionado este error en la versión 1.1.6, aunque todavía no está disponible en la página oficial de descarga.

Como contramedida se aconseja desactivar los plugins del navegador o renombrar o eliminar los ficheros del tipo 'libreal_plugin.*' de la carpeta 'plugins' en el directorio de instalación.


Victor Antonio Torre
vtorre@hispasec.com


Más información:

Oficial Security Advisory:
http://www.videolan.org/security/sa1007.html

Diff de la solución:
http://git.videolan.org/?p=vlc.git;a=commitdiff;h=6568965770f906d34d4aef83237842a5376adb55;hp=403718957b551c3c27546b7f82b2ae9ba937652f

sábado, 1 de enero de 2011

"Geinimi" troyano para Android con capacidad para recibir órdenes

Recientemente se ha observado un nuevo ejemplar de Troyano para la plataforma móvil Android con ciertas características similares a las encontradas en el malware asociado a botnets.

El primer avistamiento fue efectuado por la empresa china de seguridad NetQin. A principios de diciembre ya se publicó una noticia en CNETNews China sobre este malware alertando de su existencia.

El ejemplar, estudiado por investigadores de la empresa LookOut, es más sofisticado de lo habitual ya que permite una vez instalado en el dispositivo de la víctima recibir comandos desde un servidor remoto de control.

El resto de características presenta los puntos comunes y esperables en este tipo de malware: El troyano va insertado en aplicaciones reempaquetadas y que presentan un aspecto "sano", descargables desde páginas chinas de aplicaciones para Android.

De hecho, el ejemplar, en principio solo afecta al público chino. Tras la instalación y la solicitud al usuario de los permisos y excepciones de seguridad, el ejemplar se dedica a recabar datos sobre el terminal como el IMEI, el IMSI (número de identificación de la SIM) o la geolocalización del usuario entre otros. También reseñar que el troyano puede desinstalar e instalar aplicaciones, aunque para ello necesite el permiso del usuario.

Geinimi viene con una lista de unos diez dominios preconfigurados a los que interroga cada 5 minutos. Si uno de ellos responde el troyano envía los datos capturados al servidor.

El bytecode de Geinimi está ofuscado y partes de la comunicación entre el troyano y el servidor de control se envían y reciben cifradas como medio de defensa frente a análisis.

El antivirus de Microsoft ha sido de los primeros (y únicos) en detectar este malware por firma:
http://www.virustotal.com/file-scan/report.html?id=e464c07435efab5ff471c148789c7ddff12f2d530f69b0eab731e7c9416cd673-1293778805


David García
dgarcia@hispasec.com