sábado, 30 de abril de 2011

Ejecución de código en Bluecoat ProxySG y ProxyOne

Ha sido publicado un error de desbordamiento de memoria intermedia basado en pila en el componente BCAAA, usado en los sistemas de Bluecoat ProxySG y ProxyOne.

El componente BCAAA hace uso de un sistema de 'single sign-on' en el puerto 16102, por defecto, que no procesa correctamente ciertos paquetes cuya longitud es excesiva.

Un atacante remoto podría hacer que la máquina Windows dejase de responder y, potencialmente, ejecutar código arbitrario con los permisos de BCAAA, que por necesidad son privilegios elevados (de SYSTEM, habitualmente).

Han sido publicadas las contramedidas que minimizan el impacto (como por ejemplo controlar a través de un cortafuegos la conexión a ese puerto) y las actualizaciones para las versiones 6.2 y 5.5 de ProxySG.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Security Advisory
https://kb.bluecoat.com/index?page=content&id=SA55

viernes, 29 de abril de 2011

Práctico: Cómo funciona el almacenamiento de datos de localización del iPhone

Mucho se ha hablado estos días sobre qué datos de localización almacena un iPhone. Sobre todo alrededor de la polémica en torno a la privacidad y sobre cómo, además, parece una práctica habitual en el resto de teléfonos y sistemas operativos para móviles de última generación. Pero ¿cómo sé qué datos se guardan exactamente? ¿Cómo funciona? Mostramos cómo cualquier usuario (sin herramientas especiales) puede conocer a qué antenas se conectó su teléfono (normalmente cerca de donde se encuentra el terminal) desde que ejecuta iOS 4.

Alasdair Allan y Pete Warden, durante una sesión en la conferencia Where 2.0 llamada "¿Quién tiene acceso a estos datos?", desvelaron un software para estudiar el archivo de los iPhone e iPad que almacena la información de localización. En el programa se podía ver en un mapa todos los lugares por los que había pasado el terminal. Apple reconocía el hecho y, además, se descubría que el fichero sobrevivía aunque se borrasen el resto de datos. Vamos a ver, a bajo nivel, cómo funciona ese software. Mientras, en torno a la polémica, el propio Steve Jobs ha tenido que salir a la palestra para calmar ánimos y confirmar que esta "funcionalidad" del iPhone será eliminada en la próxima actualización.

El archivo de la discordia

iPhone almacena varios archivos llamados consolidated.db, que no es más que una base de datos en formato SQLite. Si podemos acceder al sistema de ficheros (porque el sistema operativo se encuentre "jailbroken") se comprueba que son:

private/var/root/Library/Caches/locationd/consolidated.db

var/root/Library/Caches/locationd/consolidated.db

System/Library/Frameworks/CoreLocation.framework/Support/consolidated.db

Siendo los dos primeros exactamente el mismo fichero, y el que nos interesa. El tercero, es una base de datos de uso interno del iPhone que almacena datos genéricos de localización, por ejemplo, la longitud y latitud que abarcan los países, su código, etc. Si se estudian más profundamente, se podrán observar incluso
direcciones MAC de routers WiFi.

Si no podemos acceder al teléfono, es sencillo recuperarlo de la copia que el propio terminal (a través de iTunes) almacena en el sistema. En Mac OS, se encuentra en

/Users//Library/Application Support/MobileSync/Backup

Y en Windows, en

C:\Users\\AppData\Roaming\Apple Computer\MobileSync\Backup\

Dentro del directorio más reciente se encuentran diferentes archivos con nombres poco reconocibles. Existen varias formas de localizar consolidated.db que nos interesa. Una es estudiando Manifest.mbdb y Manifest.mbdx, y otra buscando una cadena específica entre todos los archivos del directorio. En Windows se puede hacer con el comando:

 findstr /M /I celllocation *.* 




Esto nos devolverá un archivo que será el que se encuentra almacenado en el iPhone. En mi caso, tiene el peso de unos 6 megabytes. Cabe recordar que el archivo se encontrará en todas las máquinas con las que se haya sincronizado el iPhone.

Estudiando el fichero

 Mirando las cabeceras del fichero, se ve trivialmente que corresponde a una base de datos SQLlite. Con cualquier herramienta, ya se podrían realizar muchos tipos de estudio de los datos almacenados y automatizar diferentes procesos. Para cualquiera que quiera simplemente ver cómo funciona, lo más sencillo es descargar, por ejemplo, la herramienta gratuita SQLlite Browser desde http://sqlitebrowser.sourceforge.net/.

Se abre el fichero con el programa, y se busca la tabla CellLocation, que contiene la localización de las células (más o menos, las antenas a las que se conecta el teléfono). A partir de ahí, se deduce la localización.

La tabla contiene diferentes campos relativos al protocolo GSM:




* MCC - Mobile Country Code

* MNC - Mobile Network Code

* LAC - Location Area Code

* CI - Cell Identity

* Timestamp. Para traducir este dato a una fecha "comprensible" es necesario saber que se encuentra en formato " Cocoa NSDate" y corresponde al número de segundos desde el 1 de enero de 2001 (algo parecido al Epoch). Para traducirlo a una fecha real de forma muy sencilla, se puede usar, por ejemplo, la herramienta web http://blog.paddlefish.net/?page_id=90

* Latitud y Longitud. Los datos más interesantes. Ayudándonos de Google Maps o Google Earth, comprobamos el punto exacto de la localización. Para conseguirlo en Google Maps, se introduce la latitud y la longitud separados por una coma.




 Otros datos

 Es curioso como, sobre todo, es muy sencillo reconstruir viajes y largos desplazamientos. Se observan en la tabla que a un mismo "timestamp" (un mismo momento exacto) pueden llegar a corresponder varias
localizaciones. Esto no tiene nada que ver con la ubicuidad sino que en realidad son las antenas cercanas. También se observan intervalos de tiempo en los que no se registra nada. Se debe a que al parecer el
terminal solo recoge la información de las antenas a las que tiene acceso cuando detecta desplazamientos significativos.

Existen, como hemos mencionado, herramientas que reconstruyen itinerarios con esta información (iPhoneTracker), pero en esta entrada he querido reflejar cómo se realiza esto a bajo nivel. Por ejemplo, como curiosidad (resulta incluso adictivo) he podido reconstruir viajes personales con mucha precisión (duración, momento exacto, etc) que apenas recordaba.



Sergio de los Santos
ssantos@hispasec.com


Más información:

iPhone Tracker
http://petewarden.github.com/iPhoneTracker

Got an iPhone or 3G iPad? Apple is recording your moves
http://radar.oreilly.com/2011/04/apple-location-tracking.html

Apple actualizará el software de iPhone e iPad para evitar guardar datos de localización
http://www.elpais.com/articulo/tecnologia/Apple/actualizara/software/iPhone/iPad/evitar/guardar/datos/localizacion/elpeputec/20110427elpeputec_7/Tes

jueves, 28 de abril de 2011

Desbordamiento de enteros en PHP 5.x

Alexander Gavrun ha publicado en su blog personal un fallo de seguridad que ha descubierto en la función 'phar_parse_tarfile' de PHP 5.

'phar' es una extensión de PHP concebida para empaquetar aplicaciones PHP y facilitar así su distribución e instalación en otros sistemas. Proporciona además una abstracción para manipular ficheros ZIP y TAR.

El fallo se encuentra en el fichero 'ext\phar\tar.c'. Existe un error de programación que introduce un desbordamiento de enteros durante el manejo de las cabeceras de los ficheros TAR. Un atacante puede manipular el valor 'entry.filename_len' al haber sido asignado después de operar con el resultado de la función 'phar_tar_number' que utiliza como argumento el 'header->size'.

Al llamar a la función 'php_stream_read' se intentaría copiar datos a un buffer que no ha sido previamente reservado, lo que provocaría una denegación de servicio y potencialmente permitiría ejecutar código arbitrario.

Alexander Gavrun ha publicado una prueba de concepto en su blog, codificada en Base64. Hasta el momento php.net no ha publicado ninguna solución oficial.

Se recomienda no procesar con esta función archivos TAR en los que no se confíe.


Alejandro J. Gómez López
agomez@hispasec.com


Más información:

PHP (phar extension) heap overflow
http://0x1byte.blogspot.com/2011/04/php-phar-extension-heap-overflow.html

miércoles, 27 de abril de 2011

Grupo de parches de abril para múltiples productos Oracle

Oracle ha publicado un conjunto de parches para diversos productos de la casa que solventan un total de 73 nuevas vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados.

Los fallos se dan en varios componentes de los productos:
* Oracle Database 11g Release 2, versiones 11.2.0.1 y 11.2.0.2
* Oracle Database 11g Release 1, versión 11.1.0.7
* Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4 y 10.2.0.5
* Oracle Database 10g Release 1, versión 10.1.0.5
* Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.2.0, 11.1.1.3.0 y 11.1.1.4.0
* Oracle Application Server 10g Release 3, versión 10.1.3.5.0
* Oracle Application Server 10g Release 2, versión 10.1.2.3.0
* Oracle Identity Management 10g, versiones 10.1.4.0.1 y 10.1.4.3
* Oracle JRockit, versiones R27.6.8 y anteriores (JDK/JRE 1.4.2, 5, 6), R28.1.1 y anteriores (JDK/JRE 5, 6)
* Oracle Outside In Technology, versiones 8.3.2.0 y 8.3.5.0
* Oracle WebLogic Server, versiones 8.1.6, 9.2.3, 9.2.4, 10.0.2 y 11gR1 (10.3.2, 10.3.3, 10.3.4)
* Oracle E-Business Suite Release 12, versiones 12.0.6, 12.1.1, 12.1.2 y 12.1.3
* Oracle E-Business Suite Release 11i, versión 11.5.10.2
* Oracle Agile Technology Platform, versiones 9.3.0.2 y 9.3.1
* Oracle PeopleSoft Enterprise CRM, versión 8.9
* Oracle PeopleSoft Enterprise ELS, versiones 9.0 y 9.1
* Oracle PeopleSoft Enterprise HRMS, versiones 9.0 y 9.1
* Oracle PeopleSoft Enterprise Portal, versiones 8.8, 8.9, 9.0 y 9.1
* Oracle PeopleSoft Enterprise People Tools, versiones 8.49, 8.50 y 8.51
* Oracle JD Edwards OneWorld Tools, versión 24.1.x
* Oracle JD Edwards EnterpriseOne Tools, versión 8.98.x
* Oracle Siebel CRM Core, versiones 7.8.2, 8.0.0 y 8.1.1
* Oracle InForm, versiones 4.5, 4.6 y 5.0
* Oracle Sun Product Suite
* Oracle Open Office, versión 3 y StarOffice/StarSuite, versiones 7 y 8

Hay que recordar que también se incluyen los parches para el sistema operativo Solaris. Tras la compra de Sun por parte de Oracle, las actualizaciones de Sun pasan a integrarse dentro del calendario de publicaciones trimestrales.

A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas:

* Seis nuevas vulnerabilidades corregidas en Oracle Database. Dos de los problemas corregidos son explotables remotamente sin autenticación.

* Otras nueve vulnerabilidades afectan a Oracle Fusion Middleware. Seis de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle JRockit, Oracle WebLogic Server, Oracle Security Service, Oracle HTTP Server, Oracle Help, Portal, Single Sign On y Oracle Outside In Technology.

* Un parche afecta a Oracle Enterprise Manager Grid Control. En esta ocasión un atacante remoto sin autenticar no podría llegar a explotar la vulnerabilidad. El componente afectado es Application Service Level Management.

* 30 nuevas vulnerabilidades afectan a Oracle Applications divididas en: cuatro en Oracle E-Business Suite, una en Oracle Supply Chain Products Suite, 14 en Oracle PeopleSoft Products, ocho en Oracle JD Edwards Products y tres en Oracle Siebel CRM.

* 26 parches afectan a la suite de productos Oracle Sun. 18 de estas nuevas vulnerabilidades afectaban a estos productos y otras ocho a Oracle Open Office Suite.

* También se ha corregido una vulnerabilidad, no explotable remotamente sin autenticar, en Oracle Industry Applications.

Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial en:
Oracle Critical Patch Update Advisory - April 2011
http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html


Antonio Ropero
antonior@hispasec.com


Más información:

Oracle Critical Patch Update Advisory - April 2011
http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html

martes, 26 de abril de 2011

Sony reconoce una intrusión en PlayStation Network

Era un rumor que empezaba a extenderse. Hacía casi una semana que PlayStation Network (PSN) permanecía inaccesible, y empezaba a sospecharse una posible intrusión en sus sistemas. Finalmente Sony ha tenido que reconocerlo: han sufrido una intrusión en sus sistemas y los datos de más de más de 70 millones de usuarios de la popular consola pueden verse afectados.

Desde el día 20 de abril no se podía acceder a la red de PlayStation. Se supuso en un principio que se trataba de nuevo de un ataque del grupo Anonymous, que ya consiguió echar abajo la red de Sony en ocasiones anteriores. Pero confirmaron que no eran ellos, a la vez que cobraba fuerza la teoría de una intrusión externa. A medida que pasaban los días, los rumores sobre algo "más grave" aumentaban. Finalmente, Sony confirma que se produjo una intrusión en su red entre el 17 y 19 de abril.

El comunicado de Sony confirma el robo de información personal (nombres, direcciones, fechas de nacimiento, contraseña, etc.), pero no descarta el robo de datos bancarios, incluidos los de las tarjetas de crédito. "Mientras seguimos investigando los detalles de este incidente, creemos que una persona no autorizada ha obtenido acceso a la siguiente información: Nombre, dirección (estado, ciudad y código postal), dirección de correo electrónico, fecha de nacimiento y contraseña y usuario de PlayStation Network. Es posible que datos como el historial de compras y dirección de facturación hayan sido obtenidos".

Y no llega a confirmar el robo de los datos más preocupantes, como los de las tarjetas de crédito, pero tampoco lo desmiente: "Si has facilitado tus datos de tarjetas de crédito a través de PlayStation Network o Qriocity, es posible que el número de la tarjeta de crédito (no incluyendo el código de seguridad), y la fecha de caducidad de la misma hayan sido también obtenidos".

En la información emitida por Sony, ofrece algunas de recomendaciones de seguridad ya habituales: "Para vuestra seguridad, os avisamos de tener especial cuidado con estafas vía correo electrónico, correo postal, u otro tipo de estafas cuyo objetivo sea obtener vuestra información personal. Sony no os contactará de ninguna forma, incluido el correo electrónico, preguntado por número de tarjeta de crédito, numero de la seguridad social, o cualquier otro tipo de información personal. Si eres preguntado esto, da por seguro que Sony no es la entidad detrás de esto. Adicionalmente, si la información que usas para PlayStation Network o Qriocity es la misma que otros servicios o cuentas, te recomendamos que los cambies. En cuanto los servicios de PlayStation Network y Qriocity vuelvan a estar disponibles, recomendamos también el cambiar tu contraseña. Para protegerte contra posible robo de identidad o pérdidas financieras, recomendamos el permanecer vigilantes, y revisar tu balance de cuenta y movimientos".

La ley en Estados Unidos obliga a las empresas a notificar a cada usuario afectado, tras una fuga de datos personales, del alcance del robo. Así que se supone que en el futuro, en el momento en el que Sony conozca con detalle qué y hasta dónde ha ocurrido, este punto deberá quedar aclarado.

Sony sigue investigando el problema y tratando de restablecer los sistemas. Esperan que algunos servicios estén disponibles en menos de una semana. No han dado detalles técnicos sobre cómo se ha producido la intrusión, pero un cierre tan prolongado hace pensar que la intrusión ha sido sofisticada y su evaluación es tediosa, por tanto, nos sitúa en el peor de los escenarios.

Según un periodista en twitter (aunque esta información está sin confirmar y habría que tomarla con mucha precaución) se están realizando pequeños cargos no autorizados en las tarjetas de usuarios de la red de Sony.


Sergio de los Santos
ssantos@hispasec.com
Antonio Ropero
antonior@hispasec.com


Más información:

Sony hack revives Oz disclosure debate
http://www.theregister.co.uk/2011/04/27/sony_security_disclosure_debate/

Actualización en el servicio de PlayStation Network.
http://blog.latam.playstation.com/2011/04/26/actualizacion-en-el-servicio-de-playstation-network-2/

[Mantenimiento Emergencia] PlayStation Network. 24/04/2011 - Error
80710A06 / 80710092 y otros
http://community.eu.playstation.com/t5/Ayuda-PlayStation-Network/Mantenimiento-Emergencia-PlayStation-Network-24-04-2011-Error/m-p/12758784?WT.mc_id=TSO_ES_0098

lunes, 25 de abril de 2011

Elevación de privilegios en Webmin

Se ha descubierto una vulnerabilidad en Webmin que podría permitir a un atacante elevar privilegios a través de un cross site scripting.

Webmin es un popular programa que que permite administrar servidores a través de una única y centralizada interfaz web.

El fallo se da porque useradmin/index.cgi no filtra adecuadamente los datos introducidos por cualquier usuario. Un atacante sin privilegios con acceso a Webmin podría modificar su información personal insertando código javascript y hacer que éste se ejecutase en el contexto de otro usuario con mayores privilegios. Para ejecutar este código, la victima (con mayores privilegios) debería abrir el módulo de gestión de usuarios y visualizar la cuenta del atacante. Éste conseguiría así aumentar privilegios y conseguir administrar el sistema.

Para reproducir el error, es necesario que "CHFN_RESTRICT" se encuentre establecido a "frwh" o "off" en /etc/login.defs.

Se publicó un parche oficial en menos de una hora que soluciona esta vulnerabilidad en el módulo de grupos y usuarios. Está disponible desde:
http://www.webmin.com/updates/useradmin-1.540-2.wbm.gz. Sin embargo desde la página oficial de descarga todavía se ofrece la versión con el error.

Ha sido publicada una prueba de concepto con vídeo incluido.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Advisory and POC:
http://javierb.com.ar/2011/04/24/xss-webmin-1-540/

Confirmación Oficial:
http://sourceforge.net/mailarchive/message.php?msg_id=27403345

Parche:
https://github.com/webmin/webmin/commit/46e3d3ad195dcdc1af1795c96b6e0dc778fb6881

domingo, 24 de abril de 2011

Actualizaciones de seguridad para Adobe Reader y Acrobat

Adobe ha publicado una actualización para corregir dos vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante ejecutar código con los permisos con los que se lance la aplicación afectada.

Las versiones afectadas son Adobe Reader X 10.0.1 (y anteriores) para Windows, Adobe Reader X 10.0.2 (y anteriores) para Macintosh y Adobe Acrobat X 10.0.2 (y anteriores) para Windows y Macintosh.

Las vulnerabilidades clasificadas como CVE-2011-0610 y CVE-2011-0611, podrían provocar la caída y potencialmente tomar el control de los sistemas afectados. Según confirma Adobe, al menos la vulnerabilidad CVE-2011-0611, se está explotando de forma activa a través de Adobe Flash Player, Adobe Reader y Acrobat, así como mediante archivos Flash (.swf) incrustados en archivos Word o Excel distribuidos como adjuntos en correos e-mail. Las protecciones de Adobe Reader X Protected Mode pueden evitar la ejecución exitosa del exploit.

Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/.


Antonio Ropero
antonior@hispasec.com


Más información:

Security updates available for Adobe Reader and Acrobat
http://www.adobe.com/support/security/bulletins/apsb11-08.html

sábado, 23 de abril de 2011

Debilidad en el cifrado de IBM WebSphere

Se ha anunciado una vulnerabilidad en IBM WebSphere Application Server (versiones 5.0.x, 5.1.x, 6.0.x, 6.1.x y 7.0.x) y WebSphere Commerce (versiones 6.0.x y 7.0.x), que podría permitir a un atacante conseguir acceso a información sensible.

IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

El problema reside en un algoritmo de cifrado débil, empleado por WS-Security para cifrar los datos intercambiados a través del Web Service (JAX-WS o JAX-RPC). Esto podría permitir a un atacante descubrir los datos cifrados contenidos en las peticiones web.

IBM ha publicado las siguientes actualizaciones para corregir estos problemas:
Para IBM WebSphere Application Server:
http://www.ibm.com/support/docview.wss?uid=swg21474220
Para IBM WebSphere Commerce:
http://www-01.ibm.com/support/docview.wss?uid=swg21496880


Antonio Ropero
antonior@hispasec.com



viernes, 22 de abril de 2011

Ejecución de código en Qemu

Existe un fallo de validación en las funciones 'virtio_blk_handle_write' y 'virtio_blk_handle_read' del driver virtio-blk de Quemu que podría ser aprovechado por un atacante local en la máquina huésped (virtual) para acceder a la maquina host (física) causando una denegación de servicio y, posiblemente, ejecución de código.

Qemu es un emulador y virtualizador de código abierto. Es capaz de emular distintas arquitecturas de procesadores, como ARM o PPC entre otros. Soporta virtualización sobre con Xen y KVM. Un ejemplo de su uso, es el emulador de Android incluido en el SDK.

Las funciones vulnerables no validan correctamente los datos de una petición para que sean divisibles entre el tamaño de los bloques que van a ser leídos o escritos. Esto causa un desbordamiento de memoria basado en heap y podría ser aprovechado por un atacante para acceder, con los privilegios heredados de la máquina virtual, a la máquina física donde se virtualiza.

El problema fue encontrado por casualidad mientras se escribía un driver virtio-blk para Solaris. El parche para este fallo ya ha sido publicado y se está esperando la asignación de un CVE que identifique la vulnerabilidad.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Qemu-devel Mail List
http://lists.nongnu.org/archive/html/qemu-devel/2011-04/msg00642.html

Red Hat confirmation
https://bugzilla.redhat.com/show_bug.cgi?id=698906

Commit
http://git.kernel.org/?p=virt/kvm/qemu-kvm.git;a=commit;h=52c050236eaa4f0b5e1d160cd66dc18106445c4d

jueves, 21 de abril de 2011

Solucionadas dos vulnerabilidades en Asterisk

Se han corregido dos vulnerabilidades en Asterisk, que podrían permitir a atacantes provocar denegaciones de servicio o ejecutar comandos.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El primero de los fallos solucionados, identificado como CVE-2011-1507, provoca una denegación de servicio. Los sistemas Asterisk no implementan correctamente la gestión del numero y duración de las conexiones, por tanto, un atacante remoto podría agotar el número de conexiones disponibles y podría saturar el disco con mensajes de error. Para solucionar este fallo se han añadido varias opciones que permiten gestionar el numero y la duración de las conexiones.

El segundo de los errores solucionados permite a un atacante elevar permisos. Un fallo de validación de permisos en la función 'action_originate' situada en 'main/manager.c' permite a un usuario autenticado ejecutar comandos con permisos de 'system'.

Existen exploits conocidos para ambas vulnerabilidades, las cuales han sido solucionadas en las versiones 1.4.40.1, 1.6.1.25, 1.6.2.17.3, y 1.8.3.3.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Asterisk Security Release:
http://www.asterisk.org/node/51622

Commit 1.4:
http://svnview.digium.com/svn/asterisk?view=revision&revision=314607

miércoles, 20 de abril de 2011

Elevación de privilegios a través de polkit

Neel Mehta investigador de Google ha reportado un error en polkit. El fallo descubierto por este investigador consiste en una condición de carrera. Esto permitiría a un atacante local ejecutar comando arbitrarios con permisos de root.

Polkit es un manejador de procesos que permite definir y manejar politicas para intercomunicar procesos que corren con permisos distintos.

El fallo es provocado por el modo de obtener los permisos de un proceso en 'pkexec'. A esta vulnerabilidad se le ha asignado el identificado CVE-2011-1485.

Este fallo ha sido solucionado por Ubuntu en sus versiones 10.x y 9.2 y en Red hat en la versión 6.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Red Hat bug report:
https://bugzilla.redhat.com/show_bug.cgi?id=692922

Red Hat Security Advisory:
http://rhn.redhat.com/errata/RHSA-2011-0455.html

Ubuntu Security Notice:
http://www.ubuntu.com/usn/usn-1117-1/

martes, 19 de abril de 2011

Ejecución de código en Tivoli Directory Server

IBM soluciona un fallo descubierto por ZDI que permite a un atacante no autenticado ejecutar código arbitrario a través de un paquete LDAP especialmente manipulado.

Tivoli Directory Server es un software de gestión de identidad de IBM, basado en tecnología LDAP (Lightweight Directory Access Protocol) que proporciona servicios de autenticación centralizado. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX...

El error provoca un desbordamiento de memoria intermedia basado en pila, en la función 'ber_get_int'. Esto se produce cuando se procesan paquetes 'CRAM-MD5' especialmente diseñados. Este fallo permite a un atacante remoto poder ejecutar código arbitrario en el contexto de 'SYSTEM'.

El CVE asignado a esta vulnerabilidad ha sido 'CVE-2011-1206' y se ha publicado un prueba de concepto para esta vulnerabilidad.

Se han publicado actualizaciones para corregir este problema para las versiones 5.2.x y 6.x.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

ZDI advisory
http://www.zerodayinitiative.com/advisories/ZDI-11-136/

IBM Security advisory
https://www-304.ibm.com/support/docview.wss?uid=swg21496117

POC
http://www.protekresearchlab.com/index.php?option=com_content&view=article&id=26&Itemid=26

lunes, 18 de abril de 2011

Denegación de servicio a través del disector NFS en Wireshark 1.4

Se han anunciado una vulnerabilidad de denegación de servicio en Wireshark 1.4.

Wireshark (antiguamente conocido como Ethereal) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su gran popularidad es debida a las funcionalidades que facilitan el análisis de las capturas, como la capacidad para interpretar archivos de capturas generados por hasta 20 diferentes aplicaciones y la gran cantidad de protocolos que soporta, actualmente más de 480. Wireshark es una herramienta de software libre (sujeto a licencia GPL) y está disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.

El error, que puede hacer que la aplicación deje de funcionar, está localizado en la función 'dissect_nfs_clientaddr4' del archivo 'packet-nfs.c'. Para que el fallo pueda ser explotado, un atacante remoto debería enviar de un paquete especialmente manipulado a través de la red que está siendo monitorizada o conseguir que la potencial víctima utilice una versión vulnerable de Wireshark para abrir un archivo de captura de tráfico especialmente manipulado.

Lo llamativo de este caso es que error solamente está presente en la versión de 32 bits para la plataforma Windows. El fallo aparece cuando ciertas variables declaradas como 'quint8' son interpretadas por la función 'sscanf' utilizando el formato 'hh'. En Linux éste se corresponde con un char con signo o sin él (en concordancia con el estándar C'99), mientras que en la plataforma Windows se interpreta como int16 y no como int8.

El fallo ha sido arreglado en la versión 1.4.5, que ya puede ser descargada desde http://www.wireshark.org/download.html


Javier Rascón
jrascon@hispasec.com


Más información:


Bug 5209 - Decode of SETCLIENTID calls fails with STATUS_ACCESS_VIOLATION
https://bugs.wireshark.org/bugzilla/show_bug.cgi?id=5209

domingo, 17 de abril de 2011

Salto de restricciones en Dropbox

Dropbox es un conocido servicio de alojamiento de archivos en la nube que puede ser utilizado tanto en ordenadores de distintas plataformas, como en dispositivos móviles. Éste permite la sincronización en diferentes máquinas de los archivos alojados, además de la compartición de los mismos.

Recientemente Derek Newton ha publicado en su blog el descubrimiento de la posibilidad de que los credenciales de Dropbox de un equipo puedan ser utilizados en otras máquinas.

Dropbox almacena en una base de datos SQLite, a la cual se puede acceder con herramientas al alcance de cualquiera, varios valores que podrían ser utilizados para identificarse con el servidor de sincronización, como son el 'host_id' y el 'email'. Esta forma de almacenamiento de dichos datos no habría trascendido si además de la utilización del valor 'host_id' para la autenticación se necesitasen otros credenciales, o identificadores como pueden ser la MAC del equipo, nombre de la máquina, número de serie de la CPU... ; pero tras varias pruebas se descubrió que esto no es así. El único método de autenticación e identificación de la máquina es el envío del valor de 'host_id', hecho que permite que pueda ser utilizado en cualquier otro equipo diferente al que le ha extraída la información.

El conocer el identificador, además de permitir la sincronización y total acceso a los archivos, además, da acceso de forma automática al sitio web desde donde se gestiona la cuenta. Otro problema que se suma a que la identificación del equipo se realice únicamente con este identificador es que aunque el usuario de la cuenta cambie su contraseña, dicho identificador no sufrirá ningún cambio; siendo igualmente válido a pesar de dicho cambio. Este comportamiento puede generar un problema, ya que las credenciales que hubiesen caído en manos extrañas seguirían siendo efectivas hasta que el usuario legítimo elimine la asociación entre la cuenta y el equipo de donde haya sido extraído el 'host_id'.

Se han hecho públicas herramientas que permiten de forma totalmente automática obtener el archivo 'config.db' y la extracción de su contenido, además de facilitar la configuración en otras máquinas con los credenciales extraídos y el envío de los mismos a páginas web.

A pesar de que en el estudio inicial solo se haya hecho referencia al archivo 'config.db' y al funcionamiento de la aplicación en Windows, todos los sistemas de distintas plataformas que utilicen esta forma de funcionamiento son igual de susceptibles para poder extraer el identificador de la máquina en la que se encuentra instalado Dropbox.

Dropbox por su parte no considera que el problema sea tan grave, alegando que la persona que obtenga dicho fichero, deberá tener acceso físico a la máquina, y por lo tanto a todos los archivos que han sido compartidos.


Javier Rascón
jrascon@hispasec.com


Más información:

Dropbox authentication: insecure by design
http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/

Herramienta:
DropBox Cloner
http://marcoramilli.blogspot.com/2011/04/dropbox-cloner.html

sábado, 16 de abril de 2011

Actualización acumulativa para Internet Explorer

Dentro del conjunto de boletines de seguridad de abril publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS11-018) de una actualización acumulativa para Internet Explorer 6, 7 y 8; que además solventa cinco nuevas vulnerabilidades.

Tres de las vulnerabilidades corregidas residen en errores de desbordamiento de memoria al acceder a objetos no inicializados o borrados en Internet Explorer. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada. Los otros dos problemas pueden permitir a un atacante obtener información sensible a través de una pagina web especialmente manipulada.

Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad:
http://www.microsoft.com/spain/technet/security/bulletin/MS11-018.mspx


Antonio Ropero
antonior@hispasec.com


Más información:

Boletín de seguridad de Microsoft MS11-018 – Crítico
Actualización de seguridad acumulativa para Internet Explorer (2497640)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-018.mspx

viernes, 15 de abril de 2011

Salto de restricciones en McAfee Firewall Reporter

Un fallo localizado en el código responsable de la autenticación de los usuarios de McAfee Firewall Reporter, concretamente en el archivo 'GernalUtilities.pm', podría permitir a un atacante remoto evadir las restricciones de seguridad y tomar el control del dispositivo.

McAfee Firewall Reporter es un gestor de eventos de seguridad destinado a auditar y a mantener los logs de otras aplicaciones empresariales destinadas a la seguridad de la red. Sus principales funciones son las de transformar los flujos de auditoría en información que puede ser procesada mediante una monitorización centralizada.

El problema se debe a que GernalUtilities.pm no realiza ningún filtrado de los valores de entrada de la cookie interpretada. La lógica de programación simplemente comprueba la existencia de cierto archivo para validar al usuario, sin hacer ninguna inspección de su contenido. Utilizando alguna técnica de escalada de directorios, un atacante podría hacer que cierto valor de la cookie apuntase a algún archivo que existiese en el servidor, con lo que, independientemente de su contenido, conseguiría evadir las restricciones de seguridad establecidas. Con estos privilegios el atacante tendría acceso a la interfaz web de McAfee Firewall Reporter, lo que le permitiría desactivar el antivirus o añadir exclusiones no deseadas.

El fallo ya ha sido arreglado por McAfee en la versión 5.1.0.13.


Javier Rascón
jrascon@hispasec.com


Más información:

McAfee Firewall Reporter update fixes authentication bypass issue
https://kc.mcafee.com/corporate/index?page=content&id=SB10015

jueves, 14 de abril de 2011

Descubren cómo comprar gratis pagando con PayPal, Amazon Payments o Google Checkout

Se han descubierto varios fallos en la lógica de la comunicación de las principales páginas web de tiendas con servicios de terceros destinados al pago on-line (tipo PayPal), que permitían obtener productos de forma gratuita o a un precio arbitrario.

Investigadores de la Universidad de Indiana (Rui Wang y XiaoFeng Wang) y Microsoft Research descubrieron fallos en la lógica de comunicación de las principales tiendas online que utilizaban servicios de pago de terceros como PayPal, Amazon Payments o Google Checkout (los llamados Cashier-as-a-Service o CaaS). Las técnicas empleadas aprovechaban múltiples inconsistencias introducidas por la complejidad resultante de utilizar medios de pago de terceros. Se basaban en cómo los estados del pago eran percibidos por parte del vendedor y el CaaS y cómo se genera cierta "confusión" al actuar como cajas negras entre ellos.

En un escenario típico para la adquisición del los productos pagando a través del CaaS, el cliente es redireccionado desde la página del vendedor a la del CaaS donde se da la orden de realizar el pago, para finalmente, ser redirigido de vuelta a la web del vendedor con objetivo de validar el pago y terminar el pedido. Este es el "punto débil" de la interactuación entre la tienda y el CaaS.

Los fallos descubiertos, con cierto detalle, son:

* NopComerce integrado junto con PayPal: Una vez que el cliente decide pagar, el vendedor le indica al comprador el identificador del pedido y la cantidad a pagar, procediendo a la inmediata redirección del navegador del comprador hacia la página del CaaS, que valida el ID del pedido... pero no así la cantidad que debe pagarse, pudiendo esta ser modificada antes de ser redirigido a la página donde se realiza el pago.

* Amazon: En este caso es necesario poseer una cuenta de vendedor en Amazon, lo que está al alcance de cualquiera. Un atacante podría realizar un pago a un vendedor (él mismo en este caso) y en el paso de confirmación del pedido, donde se redirige desde la web del CaaS hacia la página del vendedor, indicar la página del vendedor al que le queremos hacer creer que el pago ha sido realizado. Esto ocurre por no verificar que el pago haya sido realizado a la página donde finalmente termina confirmándose la compra.

* Inerspire junto con PayPal: Se aprovecha el fallo de que, que tras haber realizado el pago de cierto producto, es posible cambiar el orderID, que se encarga de identificar los productos que van a ser adquiridos.

* Google Checkout: La variable que identifica el pedido no es creada hasta que se ha realizado el pago; una vez hecho, se crea el pedido con el contenido del carrito. El problema en este caso radica en que esta última operación no es atómica (no se realiza en un solo "movimiento"), por lo que podría aprovecharse para añadir más productos al carrito justo antes de indicar el contenido del mismo.

* Amazon Simple Pay: El problema reside en su SDK, que permite al comprador indicar el certificado que será utilizado para verificar los mensajes del CaaS encargados de confirmar el pago del pedido. En este caso el atacante indicaría un certificado propio y él mismo generaría los mensajes firmados que indicarían que el pago ya ha sido realizado, por lo que ni siquiera se tendría que interactuar con el CaaS, implicando que no se realizaría en ningún momento ningún pago.

Los descubridores llegaron a comprar realmente productos sin pagar y comprobaron realmente la eficacia de las técnicas. Más tarde avisaron de los fallos a los afectados de forma privada, devolvieron los productos que habían adquirido, y trabajaron juntos para arreglarlos. Ya han sido subsanados.

Estos investigadores formaron parte del equipo que descubrió vulnerabilidades en Facebook que podían permitir a sitios maliciosos acceder y compartir datos privados de los usuarios.


Javier Rascón
jrascon@hispasec.com


Más información:

Amazon, others make fixes after IU informaticists uncover online security flaws, receive free products
http://newsinfo.iu.edu/news/page/normal/17898.html

miércoles, 13 de abril de 2011

Hispasec participa en Asegúr@IT 9, "La cabeza en las nubes, los pies en el suelo"

Llega la novena edición del Asegúr@IT . El evento tendrá lugar en la ciudad de Málaga. Está dirigido a responsables de seguridad, responsables de tecnología y auditores de seguridad. Hispasec participará con una charla sobre malware en el evento.

El próximo 5 de mayo tendrá lugar en el Parque Tecnológico de Andalucía, en Málaga el Asegúr@IT 9. La agenda es la siguiente.

09:00 – 09:30 Registro

09:30 – 10:00 Las passwords dan miedo. Swivel Secure – PINSafe
En esta sesión Swivel Secure mostrará soluciones de autenticación multifactor con mensajes OTP mezclados con algorítmica para evitar la vulneración del canal de envío OTP. Esta tecnología se podrá aplicar a las conexiones Forefront IAG o UAG para implantar sistemas de VPN robusta.

10:00 – 10:30 Algunos trucos de hacking usando buscadores

Enrique Rando, responsable de informática de la delegación de trabajo en Málaga de la Junta de Andalucía, dará una sesión en la que enseñará algunos trucos nuevos y curiosos en el uso de Google, Bing y Shodan para realizar auditorias de seguridad y hacking ético.

10:30 – 11:15 Dust: Tu Feed RSS es tuyo
Las legislaciones en el mundo sobre los contenidos que se pueden publicar o no hace que cada vez esté más en riesgo un canal de comunicación RSS. En esta sesión, Chema Alonso hablará de DUST, una solución para compartir fedds RSS por redes P2P y generar canales redundandes de lectura de tu audiencia.

11:15 – 11:45 Café

11:45 – 12:30 El malware se adapta a los tiempos
Pensar que el malware es estático y se puede solucionar con un plan de protección no revisado continuamente es un riesgo. En esta sesión, Sergio de los Santos, escritor del libro “Una al día: 12 años de seguridad”, hablará de como el malware está más adaptado que nunca a los nuevos cambios de Internet.

12:30 – 13:15 Cloud Computing: Security & Compliant

José Parada, Director de Seguridad de Microsoft Ibérica, dará una sesión sobre la seguridad en las tencologías de Cloud Computing, no solo desde el punto de vista de protección, sino del cumplimiento legislativo de las mismas.

13:15 – 13:45 Preguntas


Laboratorio Hispasec
laboratorio@hispasec.com



martes, 12 de abril de 2011

Vídeo: Ransomware "Activar Windows" con operadores telefónicos fraudulentos

Presentamos en esta ocasión un ransomware peculiar, que juega con la idea de la activación de Windows para estafar a los usuarios infectados. Bloquea el sistema con la excusa de la activación. Lo novedoso es que, en vez de pedir los datos de tarjeta o un pago a una cuenta para devolver el control del sistema, obliga a llamar a unos números de teléfono especiales para recibir un código... que no lo desactiva del todo.

La funcionalidad básica del malware (anunciado por F-Secure) es residir en el sistema y bloquear el escritorio cuando se inicia sesión. Muestra una pantalla que simula ser la de activación tradicional de Windows, detectando el idioma de la conexión. Invita a llamar a una serie de números de teléfono:

002392216368
002392216469
004525970180
00261221000181
00261221000183
00881935211841

Dice que son gratuitos, pero no es así. Los números pertenecen a operadores fraudulentos y llevan a países con tarifas muy caras, pero los operadores la redirigen en realidad a países más baratos. Cobran el precio de la llamada cara, y se quedan con la diferencia. Lo interesante es que, además de la programación del troyano, es necesario que haya detrás operadores fraudulentos para completar la estafa. Los países a los que pertenecen los números son Santo Tomé y Príncipe (239), Dinamarca (45), Madagascar (261) y "Globalstar Mobile Satellite Service" (8819).

Hemos realizado la prueba y al menos desde el laboratorio, parece que algunos no funcionan, y otros simplemente no son atendidos. En cualquier caso, según F-Secure, atiende un sistema automático que pide marcar un código. El código devuelve un número tras unos minutos: 1351236. El código es válido y permite efectivamente acceder al escritorio, pero solo temporalmente. El troyano sigue residente y volverá a activarse en el siguiente inicio de sesión. No se entiende este comportamiento puesto que así no conseguirán más llamadas del mismo usuario (si esa era su intención). Siempre devuelve el mismo número y el usuario infectado solo tendrá que recordarlo. Este código también es posible conseguirlo realizando ingeniería inversa al troyano.

El troyano llegó a Virustotal por primera vez el 10 de marzo, con el nombre Firefox_update.exe desde Francia. En ese momento, solo era detectado por firmas por 3 antivirus. El día 15 pasó a ser detectado por 18 motores, hasta que poco a poco (a medida que ha captado atención mediática) ha sido detectado por 40 motores el día 11 de abril.

Invitamos al lector a visualizar el vídeo alojado en YouTube (2:21 minutos)




Sergio de los Santos
ssantos@hispasec.com


Más información:

"Windows license locked!"
http://www.f-secure.com/weblog/archives/00002139.html

lunes, 11 de abril de 2011

Boletines de seguridad de Microsoft en abril

Tal y como adelantamos, este martes Microsoft ha publicado 17 boletines de seguridad (del MS11-018 y el MS11-034) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft nueve boletines presentan un nivel de gravedad "crítico", mientras que los ocho restantes se clasifican como "importantes". En total se han resuelto 64 vulnerabilidades.

Tan solo en una ocasión anteriormente (el pasado mes de diciembre) Microsoft había publicado un número similar de boletines.

Los boletines críticos, corrigen vulnerabilidades de ejecución remota de código en Internet Explorer, en el cliente y servidor SMB, en determinados ActiveX, en .NET Framework, en Windows GDI+, en la resolución DNS de Windows, en los motores JScript y VBScript y en el controlador OpenType Compact Font Format (CFF).

Los boletines importantes resuelven problemas de elevación de privilegios, obtención de información sensible y de ejecución remota de código. Afectas a Microsoft Excel, PowerPoint, Office, al editor de cubiertas de fax, a la librería Microsoft Foundation Class (MFC), en MHTML, en los conversores de texto de WordPad y en los drivers modo-kernel de Windows.

Como es habitual, también se ha publicado una actualización para la herramienta Microsoft Windows Malicious Software Removal Tool.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Antonio Ropero
antonior@hispasec.com


Más información:

Microsoft Security Bulletin Summary for April 2011
http://www.microsoft.com/technet/security/bulletin/ms11-apr.mspx

Boletín de seguridad de Microsoft MS11-018 - Crítico
Actualización de seguridad acumulativa para Internet Explorer (2497640)
http://www.microsoft.com/spain/technet/security/bulletin/MS11-018.mspx

Boletín de seguridad de Microsoft MS11-019 - Crítico
Vulnerabilidades en el cliente SMB podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-019.mspx

Boletín de seguridad de Microsoft MS11-020 – Crítico
Una vulnerabilidad en el servidor SMB podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-020.mspx

Boletín de seguridad de Microsoft MS11-021 - Importante
Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-021.mspx

Boletín de seguridad de Microsoft MS11-022 - Importante
Vulnerabilidades en Microsoft PowerPoint podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-022.mspx

Boletín de seguridad de Microsoft MS11-023 - Importante
Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-023.mspx

Boletín de seguridad de Microsoft MS11-024 - Importante
Una vulnerabilidad en Editor de portadas de fax de Windows podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-024.mspx

Boletín de seguridad de Microsoft MS11-025 - Importante
Una vulnerabilidad en la biblioteca Microsoft Foundation Class (MFC) podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-025.mspx

Boletín de seguridad de Microsoft MS11-026 - Importante
Una vulnerabilidad en MHTML podría permitir la divulgación de información
http://www.microsoft.com/spain/technet/security/bulletin/MS11-026.mspx

Boletín de seguridad de Microsoft MS11-027 - Crítico
Actualización de seguridad acumulativa de bits de interrupción de ActiveX
http://www.microsoft.com/spain/technet/security/bulletin/MS11-027.mspx

Boletín de seguridad de Microsoft MS11-028 - Crítico
Una vulnerabilidad en .NET Framework podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-028.mspx

Boletín de seguridad de Microsoft MS11-029 - Crítico
Una vulnerabilidad en GDI+ podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-029.mspx

Boletín de seguridad de Microsoft MS11-030 - Crítico
Una vulnerabilidad en la resolución DNS podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-030.mspx

Boletín de seguridad de Microsoft MS11-031 - Crítico
Una vulnerabilidad en los motores de scripting de VBScript y JScript podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-031.mspx

Boletín de seguridad de Microsoft MS11-032 - Crítico
Una vulnerabilidad en el controlador de OpenType CFF (Compact Font Format) podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-032.mspx

Boletín de seguridad de Microsoft MS11-033 - Importante
Una vulnerabilidad en los convertidores de texto de WordPad podría permitir la ejecución remota de código
http://www.microsoft.com/spain/technet/security/bulletin/MS11-033.mspx

Boletín de seguridad de Microsoft MS11-034 - Importante
Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios
http://www.microsoft.com/spain/technet/security/bulletin/MS11-034.mspx

domingo, 10 de abril de 2011

Denegación de servicio en Kerberos

El investigador Felipe Ortega ha hecho público un fallo en Kerberos a través de las listas de Debian Bugs que permite provocar una denegación de servicio en Kerberos y, potencialmente, ejecutar código arbitrario.

El fallo, que podría ser aprovechado por un atacante remoto para causar una denegación de servicio, se debe a un error en la interpretación de las peticiones recibidas. Este fallo provoca el procesado de un valor incorrecto de versión y hace que el servicio kadmind se detenga, ocasionando por tanto una denegación de servicio. Es posible que el fallo permita la ejecución de código, aunque no se ha demostrado aún.

La vulnerabilidad fue descubierta mientras se ejecutaba aplicación nmap para intentar determinar la versión de Kerberos, con el siguiente comando:

nmap -n -sV [servidor]

Siendo [servidor] el servidor de Kerberos principal.

El fallo que ha sido confirmado para la versión krb5-1.9 y está pendiente de solución. No se descarta que afecte a otras versiones.


Fernando Ramírez
framirez@hispasec.com


Más información:

krb5-admin-server: kadmind dies after nmap -sV
http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=621726

sábado, 9 de abril de 2011

Corregidas 3 vulnerabilidades en Wordpress

Ya está disponible la nueva versión de Wordpress 3.1.1 que corrige aproximadamente 30 fallos entre los que se incluyen 3 vulnerabilidades descubiertas por los desarrolladores Jon Cave y Peter Westwood.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Una de las vulnerabilidades corregidas permitía a un atacante remoto el secuestro de la sesión de autenticación al forzar al navegador de los usuarios autenticados a realizar acciones no autorizadas al visitar una página web especialmente manipulada.

Esta vulnerabilidad, localizada en el componente 'media uploader' permitía evadir la protección contra cross-site request forgery (CSRF). Ha sido corregida mediante la asociación de códigos únicos en las peticiones.

La segunda de las vulnerabilidades corregidas era un cross-site scripting (XSS) localizado en el código encargado de las actualizaciones de la base de datos.

Esta vulnerabilidad se debe a la insuficiente validación de los parámetros de entrada y podría ser empleada, en el peor de los casos, para generar páginas web especialmente manipuladas permitiendo la ejecución de código HTML o JavaScript en el contexto de otro sitio web.

Estas dos primeras vulnerabilidades fueron descubiertas y notificadas por Jon Cave, quien a su vez es miembro activo del equipo de seguridad de Wordpress.

La tercera y última vulnerabilidad, descubierta por Peter Westwood, permitía causar una denegación de servicio a través del uso de enlaces especialmente manipulados en los comentarios. El fallo en este caso, reside en la función 'make_clickable' del fichero 'wp-includes/formatting.php' al no comprobar la longitud de la URL en los comentarios antes de ser procesada por la libreria PCRE.

Junto con estas 3 vulnerabilidades, la nueva versión de Wordpress corrige a su vez 26 fallos entre los que cabría destacar el soporte con IIS6, permalinks relacionados con PATHINFO, así como varios problemas de compatibilidad con ciertos plugins.

Se recomienda la actualización a esta nueva versión de Wordpress, bien desde Dashboard -> updates o bien descargándola y realizando la actualización a mano.


Borja Luaces
bluaces@hispasec.com


Más información:

Wordpress 3.1.1
http://wordpress.org/news/2011/04/wordpress-3-1-1/

viernes, 8 de abril de 2011

Microsoft publicará 17 boletines el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 17 boletines de seguridad que solucionarán 64 vulnerabilidades. 13 de los boletines van destinados a Microsoft Windows, 4 a Microsoft Office (uno compartido entre ambos) y otro a "Microsoft Developer Tools and Software".

Si el mes pasado se publicaron solo tres boletines (lo que viene a confirmar la tendencia a alternar meses con pocos boletines con ciclos de decenas de vulnerabilidades), este mes se publican 17 boletines que corrigen 64 vulnerabilidades, uno de los números más altos alcanzados en un mes. Microsoft ha catalogado nueve de los boletines como críticos, y los restantes como importantes.

Microsoft también publicará simultáneamente una actualización para la herramienta Microsoft Windows Malicious Software Removal Tool.

En esta tanda se solucionará un fallo en SMB hecho público el 15 de febrero, que permitía provocar una denegación de servicio y en la que, según Microsoft, la ejecución de código es muy improbable. También planean solucionar el fallo MHTML detectado en enero, y del que sí se han notificado ataques aprovechando el fallo. No se especifica si estos boletines corregirán otros fallos de seguridad pendientes, como por ejemplo los que se usaron en el concurso Pwn2Own, donde Stephen Fewer consiguió hacerse con el control de un Windows 7 gracias a, al menos dos problemas de seguridad desconocidos hasta el momento en Internet Explorer.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín, información detallada sobre los nuevos parches.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for April 2011
http://www.microsoft.com/technet/security/Bulletin/MS11-apr.mspx

jueves, 7 de abril de 2011

SLAAC attack: el "hombre en el medio" de IPv6

Investigadores de InfoSec Institute han descubierto una nueva forma de robar el tráfico de una red interna gracias a la configuración por defecto de IPv6 en Windows y MacOS X. Se trata de una especie de hombre en el medio, pero mucho más sencillo que las técnicas habituales en IPv4 (por ejemplo arp-spoofing). Al ataque se le ha llamado SLAAC, pero no se trata de un 0 day, como proclaman.

Obtener y redirigir el tráfico de una red interna hacia una máquina controlada por un atacante es una técnica conocida en el mundo de IPv4. Envenenar la caché ARP de los sistemas, es uno de los métodos más empleados. Ahora, el ataque SLAAC consigue el un efecto parecido pero de forma más "limpia".

En qué consiste

El atacante debe introducir un router (o algún dispositivo que actúe como tal, puede ser su propio ordenador) en la red interna con dos interfaces (virtuales o no): una de cara a la red interna, que soporte solamente IPv6 y otra con la conexión a Internet (solamente IPv4). En esos momentos existirá una red adicional IPv6, pero el atacante no controlará el tráfico. El intruso comenzará a enviar RA (router advertisements, anuncios de rutas), que es una especie de DHCP para IPv6. El objetivo es que el tráfico pase a través de la interfaz IPv6 sin que los clientes noten nada y esto se consigue gracias a una especificación obsoleta.

NAT-PT es un mecanismo que permite traducir de IPv4 a IPv6 y viceversa para que dispositivos que soporten una u otra versión puedan comunicarse. Un protocolo ideado para facilitar la migración entre redes que fue abandonado en 2007 porque resultaba demasiado complejo, contenía demasiados errores. El método es definir en el router un prefijo IPv6 e incrustar en los últimos 32 bits una dirección IP versión 4, que según el ataque previsto, debe coincidir con un servidor DNS del propio atacante, situado en la interfaz IPv4 del router (en Internet). Si se configura adecuadamente ese router del atacante para que se encargue de traducir (a través de NAT-PT) las direcciones IPv6 de las víctimas a IPv4, se consuma el ataque, engañando al usuario para que crea que su servidor DNS es el del atacante.

El siguiente paso es hacer que los sistemas operativos usen la red IPv6 (y sus DNS) creada paralelamente... y que lo hagan rápido (si no responde a tiempo, se usaría el DNS legítimo). Esto se consigue de forma muy sencilla por dos razones: La primera es el uso de Application Layer Gateways (ALGs), que es necesario en NAT-PT para hacer NAT en protocolos "especiales" como FTP. La segunda es que los sistemas operativos modernos prefieren siempre utilizar IPv6 (se han diseñado así para, presumiblemente, facilitar la migración tan deseada que parece que nunca llega).

En resumen, la víctima utiliza sin darse cuenta el DNS del atacante para resolver direcciones y, por tanto, puede ser redirigido a cualquier página (que no use certificados) de forma transparente.

Por qué ocurre

Gracias a Stateless address autoconfiguration (SLAAC) los sistemas operativos como Windows y Mac OS X, preferirán usar IPv6 en una red siempre que sea posible. IPv6 está ideado para autoconfigurarse al máximo. Por tanto, obtendrán automáticamente información del router fraudulento introducido por el atacante sin que se note, y comenzarán a usar su servidor DNS fraudulento. Además, es poco probable que en una red exista algún router IPv6, por tanto el atacante no tendrá "interferencias".

Aunque en InfoSec proclamen que se trata de un 0 day, está lejos de la definición formal de ese concepto. Según ellos, se han puesto en contacto con Microsoft y comentan que valorarán el problema.

Ventajas e inconvenientes del ataque

Estos problemas con routers "rogue" ya son más que conocidos en entornos IPv4, e incluso en entornos IPv6 existe software para simularlo. Pero hasta ahora se tomaban más como una molestia que como un ataque. Esta prueba de concepto confirma un escenario y un método de "aprovechamiento" viable.

El ataque SLAAC tiene además una serie de ventajas. Por ejemplo, no es necesario alterar la red IPv4 de la víctima (ni la caché ARP de los equipos...), ni siquiera utilizar una dirección IP de esa red. Se aprovecha de forma limpia una funcionalidad (no un fallo) de los sistemas modernos: preferir IPv6 sobre IPv4.

El ataque también tiende a ser silencioso: la red IPv4 y por tanto, sus sistemas de defensa y monitorización "tradicionales", no son alterados.

Recomendaciones

Simplemente, como siempre, deshabilitar lo que no se utilice. En este caso, el soporte IPv6 desde las propiedades de red.



Sergio de los Santos
ssantos@hispasec.com


Más información:

SLAAC Attack – 0day Windows Network Interception Configuration Vulnerability
http://resources.infosecinstitute.com/slaac-attack/

miércoles, 6 de abril de 2011

LizaMoon, otro ataque de inyección SQL masivo

Websense ha descubierto (de nuevo) un ataque de inyección SQL masivo. Páginas legítimas están siendo contaminadas, a través de un fallo de inyección SQL, con código que redirige al usuario hacia páginas web que intentan infectarle.

Los atacantes están consiguiendo contaminar páginas web legítimas con código JavaScript propio y que redirige al visitante a páginas maliciosas. El fallo que están aprovechando para conseguirlo es un problema de inyección SQL sobre sus aplicaciones web. Cabe destacar que, aunque no se trate de un fallo de esta base de datos, se están centrando en las páginas que tienen su infraestructura basada en Microsoft SQL Server. El fallo es de programación, aunque todavía no se conoce exactamente el punto en común de las webs atacadas.

Las páginas maliciosas

El ataque ha sido bautizado como LizaMoon, que fue el primer dominio confirmado que se utilizaba para este ataque. Por ahora, las páginas que insertan en las web legítimas tienen una estructura similar

hxxp://*.*/ur.php

y si se realiza una búsqueda en Google de:

"<script src=http://*/ur.php"

Aparecen más de millón y medio de páginas como resultado. Esto, obviamente, no indica que todas estén infectadas.

Estas páginas "ur.php", a su vez, contienen una redirección a través de document.location a otras que intentan contaminar con un rogueware llamado "Windows Stability Center" al usuario. En VirusTotal, la primera fecha en la que se recibió este rogueware, con md5 815d77f8fca509dde1abeafabed30b65, es el día 31 de marzo, procedente de la India y solamente era detectado por dos motores. Tres días más tarde, es detectado por firmas por 24 de 42 de estos antivirus.

El ataque de inyección SQL

Las páginas que están siendo víctimas de la inyección tienen algún problema en su código (típicamente ASP) que permite, a través de formularios, GET o cualquier otra entrada del usuario, incrustar código SQL. Los atacantes han conseguido así alterar las bases de datos de alguna forma, añadiendo sus scripts. Como la página se nutrirá de algún campo de esa base de datos para mostrarlo en su web, tomará los datos alterados y mostrará el contenido que el atacante haya incrustado.

Para que esto ocurra a gran escala y de forma automática, los atacantes deben utilizar una misma estructura de base de datos (en este caso Microsoft SQL Server) y una aplicación web más o menos común. O en su defecto usar la fuerza bruta para encontrar nombres de campos comunes, por ejemplo.

Un ejemplo de sentencia utilizada para realizar la inyección SQL:




Que de forma más legible, quedaría algo así:



Se trata de una actualización mal intencionada de un campo.

No es la primera vez

Hace justo 3 años, en abril de 2008, se vivió una situación muy parecida con más de medio millón de páginas afectadas. Se sufrió un ataque masivo de inyección SQL a webs basadas en Microsoft SQL Server y ASP. Igualmente, introducían código que redirigía a webs que intentaban infectar al visitante. Microsoft tuvo que salir a la palestra a explicar que el fallo no tenía nada que ver con su servidor web sino con una mala programación.


Sergio de los Santos
ssantos@hispasec.com



martes, 5 de abril de 2011

Nuevos contenidos en la Red Temática CriptoRed (marzo de 2011)

Breve resumen de las novedades producidas durante el mes de marzo de 2011 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS VÍDEOS DE INTYPEDIA EN EL MES DE MARZO DE 2011
* Lesson 5 Network perimeter security (Alejandro Ramos, 14.00 minutos)
http://www.criptored.upm.es/intypedia/index.php?lang=en
* Lección 6: Malware (Bernardo Quintero, 13:26 minutos)
http://www.criptored.upm.es/intypedia/index.php?lang=es

2. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE MARZO DE 2011
* Informe de la Red de Sensores de INTECO del mes de febrero de 2011 sobre virus y malware
https://ersi.inteco.es/informes/informe_mensual_201102.pdf
* Cibercrimen: Evolución y desafíos en una sociedad digital en Blog IT-Insecurity, Jeimy Cano
http://insecurityit.blogspot.com/2011/03/cibercrimen-evolucion-y-desafios-en-una.html
* Informe sobre riesgos y amenazas en cloud computing de INTECO-CERT
http://cert.inteco.es/extfrontinteco/img/File/intecocert/EstudiosInformes/cert_inf_riesgos_y_amenazas_en_cloud_computing.pdf
* Postura individual de seguridad de la información en el Blog IT-Insecurity, Jeimy Cano
http://insecurityit.blogspot.com/2011/03/postura-individual-de-seguridad-de-la.html

3. RELACIÓN DE CONGRESOS, SEMINARIOS Y CONFERENCIAS POR ORDEN CRONOLÓGICO DE CELEBRACIÓN
* Marzo 1 a Mayo 24 de 2011: VII Ciclo de Conferencias UPM TASSI (Madrid - España)
* Abril 12 al 14 de 2011: XXII edición del Congreso español de Seguridad de la Información Securmática (Madrid - España)
* Abril 15 de 2011: VII OWASP Spain Chapter Meeting (Barcelona - España)
* Mayo 12 al 13 de 2011: IV edición Workshop Internacional Foundations & Practice of Security FPS 2011 (París - Francia)
* Mayo 16 de 2011: Workshop on Security for Grid and Cloud Computing (Anchorage - Alaska)
* Junio 7 al 10 de 2011: 9th International Conference on Applied Cryptography and Network Security (Nerja - España)
* Junio 8 al 10 de 2011: 4th International Conference on Computational Intelligence for Security in Information Systems CISIS '11 (Torremolinos - España)
* Junio 8 al 11 de 2011: Eighth International Workshop on Security In Information Systems WOSIS-2011 (Beijing - China)
* Junio 15 al 17 de 2011: XI Jornadas Nacionales de Seguridad Informática (Bogotá - Colombia)
* Junio 15 al 18 de 2011: 6a Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2011 (Chaves - Portugal)
* Junio 21 de 2011: The First International Workshop on Information Systems Security Engineering - WISSE'11 en (Londres - Reino Unido)
* Julio 18 al 21 de 2011: International Conference on Security and Cryptography SECRYPT 2011 (Sevilla - España)
* Septiembre 11 al 15 de 2011: Tercer congreso internacional Castle Meeting on Coding Theory and Applications 3ICMTA (Castillo de Cardona - España)
* Septiembre 15 al 16 de 2011: International Conference on Information Technologies InfoTech 2011 (Varna - Bulgaria)
* Septiembre 16 al 17 de 2011: VIII edición Congreso No cON Name 2011 (Barcelona - España)
* Octubre 26 al 28 de 2011: 17th International Congress on Computer Science Research CIICC'11 (Morelia - México)
* Noviembre 2 al 4 de 2011: VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Bucaramanga - Colombia)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE MARZO DE 2011
* Convocatoria para el VII OWASP Spain Chapter Meeting en Barcelona con asistencia gratuita (España)
* Conferencia ¿Seguro que estás seguro? de Chema Alonso en el Ciclo UPM TASSI el martes 15 de marzo (España)
* Convocatorias de Virtual Hands on Lab HOL de Informática 64 para marzo y abril de 2011 (España)
* Segundo Call For Papers para el Congreso Iberoamericano de Seguridad Informática CIBSI 2011 y cartel del congreso (Colombia)
* Tríptico y cartel del seminario gratuito Wikileaks: el valor de la información el 30 de marzo en la EUITT-UPM (España)
* Nace el proyecto The Hacking Day con talleres prácticos de seguridad informática y técnicas de hacking (Colombia)
* Dos nuevas ediciones de FTSAI Formación Técnica en Seguridad y Auditoría Informática de Informática64 (España)
* CFP para el número 7 de la Revista Ibérica de Sistemas y Tecnologías de Información RISTI (Portugal)
* CFP 17th International Congress on Computer Science Research CIICC'11 en Morelia (México)
* Call for papers para el congreso No cON Name 2011 a celebrarse en
Barcelona (España)
Para acceder al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2011.htm#mar11

5. OTROS DATOS DE INTERÉS EN LA RED TEMÁTICA
* Número actual de miembros en la red: 863
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas del servidor: 42.555 visitas, con 121.188 páginas solicitadas y 36,68 GigaBytes servidos en marzo de 2011
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Estadísticas intypedia: 8.154 reproducciones en marzo de 2011
http://www.criptored.upm.es/paginas/intypediamensual.htm

6. CIBSI 2011, Buracamanga, Colombia.
** Deadline para el envío papers: 15 de abril **
http://www.cibsi.upbbga.edu.co/


Jorge Ramió Aguirre
Director de CRIPTORED
http://www.criptored.upm.es/



lunes, 4 de abril de 2011

El ataque a la RSA se produjo a través de un 0 day en Flash

El pasado 18 de marzo RSA confesó que había sufrido un ataque dirigido en el que le robaron información relativa a su famoso producto SecurID. En estos momentos ya se sabe cómo accedieron a la información los atacantes y, de paso, que RSA tardó varios días en hacer público el incidente.

En una entrada oficial llamada "anatomía de un ataque" RSA explica cómo ocurrió un grave incidente de seguridad en su compañía. Si bien explica muy bien el ataque, se centra en buena medida en explicar que las APT (Advanced Persistent Threat, amenazas avanzadas y persistentes sobre una misma compañía) son muy complejas, que ocurren en las mejores familias y que ellos hicieron lo correcto. Parece que es así, pero lo interesante es centrarse en los errores para poder aprender de este tipo de situaciones.

Cómo empezó
Según la RSA, el atacante envío dos correos en un periodo de dos días, a dos pequeños grupos de empleados. RSA concreta que "no se consideraría a estos usuarios particularmente de perfil alto u objetivos valiosos". ¿Quiere decir con esto, que se encontraban menos protegidos que el resto? Dentro de una organización de este calibre, todos los usuarios con acceso a la red deberían ser considerados de alto riesgo y protegidos por igual. Se les envió un correo con el asunto "2011 Recruitment Plan" con un Excel del mismo nombre adjunto. Uno de los usuarios, incluso, rescató el email de la carpeta de correo basura. Según RSA, es porque el correo estaba muy bien construido. Una buena política de seguridad debería prohibir y entrenar expresamente a los usuarios para no abrir archivos no solicitados, sin excusas.

El Excel contenía en su interior un fallo no conocido hasta el momento en Flash, que permitía la ejecución de código. De hecho, Adobe anunció el 14 de marzo que sabía que una vulnerabilidad desconocida estaba siendo aprovechada para atacar sistemas. Si bien no hacía mención explícita a RSA, parece que la vulnerabilidad apareció a causa de este ataque. Adobe ya lo ha solucionado con un parche emitido fuera de su ciclo habitual.

De esto se deduce que, aunque RSA hubiera mantenido todo su software actualizado, el atacante hubiese igualmente conseguido ejecutar código. En estos casos, es en los que se echa de menos el uso de herramientas como DEP o ASLR o cualquier otro software que prevenga los desbordamientos de memoria. Es irrelevante el uso de Office, LibreOffice o Flash... si los atacantes han tenido acceso a un 0 day en Flash... podrían haberlo conseguido de cualquier otro programa.

Una vez dentro

Luego los atacantes instalaron una variante del conocido RAT (herramienta de administración remota) Poison Ivy y crearon una conexión inversa hacia un servidor propio del atacante. RSA afirma que "esto lo hace más difícil de detectar", pero no es del todo cierto. Lo que hace más difícil de detectar estas conexiones es el hecho de que suelen estar cifradas, ofuscadas y en puertos estándares que no levantan sospechas, no el hecho en sí de que sean "inversas". En realidad, esto está asumido como estándar. La opción contraria, establecer una conexión desde fuera a la máquina infectada está descartado desde un primer momento en la mayoría de los escenarios y es una opción que los atacantes serios ni siquiera contemplarían. En este punto hubiesen sido necesarios inspectores de tráfico e IDS, aunque es cierto que el nivel de éxito de esta medida podría ser menor si los atacantes realmente se lo proponen.

Según la RSA, el ataque fue detectado por su Computer Incident Response Team mientras se estaba produciendo. Insiste en que, en muchos otros casos, el ataque se desarrolla durante meses antes de ser detectado. Sin embargo, los atacantes tuvieron tiempo de hacerse una idea de la red interna y buscar usuarios con más privilegios que los infectados inicialmente. Llegaron a comprometer cuentas de administrador.

El atacante más tarde transfirió muchos ficheros RAR protegidos por contraseña desde el servidor de la RSA hacia un tercero externo y comprometido. Descargó la información, la borró de ese servidor... y se quedó con ella.

RSA sigue sin aclarar qué fue lo robado exactamente, aunque explica bien cómo funcionó el ATP y, extrayendo la información adecuada de su mensaje, podría servir como experiencia en la que apoyarse para prevenir incidentes futuros.


Sergio de los Santos
ssantos@hispasec.com


Más información:

0 day en Adobe Flash, Reader y Acrobat
http://www.hispasec.com/unaaldia/4524

Anatomy of an Attack
http://blogs.rsa.com/rivner/anatomy-of-an-attack/

una-al-dia (18/03/2011) Comprometen la seguridad de RSA y roban información sobre el producto SecurID
http://www.hispasec.com/unaaldia/4528/

domingo, 3 de abril de 2011

Actualización de seguridad para RealNetworks Helix Server

RealNetwoks Inc. ha publicado una actualización para Helix Server que afecta a las versiones 12.x, 13.x y 14.x en la que corrige 2 fallos de seguridad.

La primera vulnerabilidad, a la que se le ha sido asignado el CVE-2010-4235, se encuentra al procesar una cabecera 'x-wap-profile' especialmente manipulada, que permitiría a un usuario remoto ejecutar código arbitrario sobre la víctima.

Para impedir que la vulnerabilidad sea explotada, se debe negar el procesamiento de estas cabeceras añadiendo 'Retieve X-WAP profikes=No' en cada user-agent en la configuración Media Delivery del Administrador Helix.

La segunda vulnerabilidad, a la que se le ha sido asignado el CVE-2010-4596, se encuentra al procesar una petición Real Time Streaming Protocol (RTSP) especialmente manipulada, lo que podría provocar un desbordamiento de memoria intermedia que podría ser aprovechado por un atacante remoto no autenticado para ejecutar código arbitrario con los privilegios con los que se esté ejecutando el servicio. Para la explotación de la vulnerabilidad se debe establecer una conexión TCP sobre el puerto 554 del servidor objetivo.

Para mitigar el impacto, se deberá configurar Helix Server para que se ejecute con los mínimos privilegios posibles. Para ello se deberá de introducir una cuenta de usuario válido en cada nombre o grupo en la configuración de usuarios y grupos del Administrador Helix.

La versión 14.2 corrige estas vulnerabilidades.


Jose Ignacio Palacios
jipalacios@hispasec.com


Más información:

RealNetworks SecurityUpdate033111HS.pdf
http://docs.real.com/docs/security/SecurityUpdate033111HS.pdf

iDefense Labs
http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=899

sábado, 2 de abril de 2011

Vulnerabilidades en Cisco Secure Access Control System (ACS) y NAC (Network Access Control)

Cisco ha publicado dos alertas de seguridad que afectan a sus productos Cisco Secure Access Control System (ACS) y NAC (Network Access Control).

Cisco ACS opera como un servidor RADUIS y TACACS+ que combina la autenticación de usuarios, la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.

La vulnerabilidad, calificada con el CVE-2011-0951 permite a un atacante remoto no autenticado cambiar la contraseña de algunos usuarios sin la necesidad de saber la contraseña anterior. No todas las contraseñas podrían ser modificadas por un atacante. Están exentas del problema:

* Las cuentas de usuario definidas en un almacenamiento externo (como servidores LDAP o RADIUS externos).
* Cuentas de administrador si se han configuro a través de la interfaz web.
* Cuentas de usuario que hayan sido configuradas a través de comandos CLI.

La segunda vulnerabilidad afecta a Cisco Network Access Control (NAC) Guest Server en su versión anterior a 2.0.3. Cisco NAC es un sistema que permite gestionar automáticamente los dispositivos que acceden a la red según ciertas características definidas.

El fallo se encuentra en el fichero de configuración de RADIUS. Un atacante remoto no autenticado que explote la vulnerabilidad podría tener acceso a una red protegida independientemente de las restricciones interpuestas y sin necesidad de usuario y contraseña. A esta vulnerabilidad se le ha asignado el CVE-2011-0963.

Cisco ha publicado actualizaciones para corregir los problemas. La última versión del software Cisco NAC Guest Access Server puede obtenerse desde: http://www.cisco.com/cisco/software/release.html?mdfid=282450822&flowid=4363&softwareid=282562545.


José Ignacio Palacios
jipalacios@hispasec.com


Más información:

Cisco Secure Access Control System Unauthorized Password Change Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74117.shtml

Cisco Network Access Control Guest Server System Software Authentication Bypass Vulnerability
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74114.shtml

viernes, 1 de abril de 2011

Caso Samsung y la "conspiranoia": VIPRE ni siquiera detecta el StarLogger real

Hemos asistido a un caso curioso que merece una reflexión en algunos aspectos que parece que aún no se han analizado. En un solo día, se ha "crucificado" a una empresa, para más tarde condenar a un antivirus. Pero creemos que los verdaderos culpables son dos: Mohamed Hassan que alertó con alarmismo, falta de profesionalidad e imprecisiones además de acusar con unas pruebas ridículamente endebles, y el antivirus VIPRE por un incomprensible falso positivo. Además, como ironía adicional, demostramos que el motor VIPRE (esgrimido como prueba de culpabilidad) no solo sufrió un absurdo falso positivo, sino que además, aunque el keylogger hubiese existido realmente a los portátiles, ni siquiera lo hubiese detectado.

Qué ha pasado

Mohamed Hassan es MSIA, CISSP, CISA, fundador de una compañía de seguridad y profesor de forense en la universidad de Phoenix. Un día compra un portátil de Samsung y, según él, comprueba fehacientemente que contiene un keylogger (software para almacenar las teclas pulsadas) comercial llamado StarLogger. La noticia (gracias a la inmediatez, a veces irreflexiva, de las redes sociales) corre como la espuma e inmediatamente se crucifica a Samsung. Pero igual de rápido, se demuestra que se trata de un falso positivo del antivirus VIPRE (que pertenecía a Sunbelt, que ahora es de GFI). Pero si analizamos lo que escribió Mohamed Hassan en un principio, todo esto se podía haber evitado. El supuesto "análisis" para demostrar una acusación tan grave, realmente no tiene sustento alguno.

Sus "pruebas"

Una persona que presuma de tener conocimientos de seguridad, no debería escribir frases como "this key logger is completely undetectable" (este key logger es completamente indetectable). Ningún malware es indetectable. Es más, en el caso concreto de StarLogger, no solo no es indetectable como ningún malware sino que ya es detectado. Hemos descargado desde www.willebois.nl/starlogsetup.exe el programa. Sus tres ejecutables son detectados a través de firmas por tres y siete antivirus. Su DLL es reconocida por 14. Curiosamente VIPRE no lo detecta ni detectó por firmas en ningún momento. Al tratarse de un keylogger "oficial", se entiende como herramienta y muchas casas antivirus prefieren no incluirlo como malware por las posibles consecuencias y presiones legales. Lo que VIPRE detectaba (con las heurísticas agresivas activas) era solo la presencia de c:\windows\SL que (por defecto, pero puede ser cambiado) es el lugar donde se instala el keylogger. SL es también el directorio donde se aloja la aplicación Microsoft Live Application en su versión eslovena. Dar un positivo por la existencia de una carpeta es uno de los falsos positivos más ridículos vistos.

Mohamed Hassan sigue cometiendo errores en su análisis. Afirma que "After an in-depth analysis of the laptop" (después de un profundo análisis del portátil) llega a la conclusión de la existencia del keylogger. Dudo mucho de que realizara un "profundo" análisis. Por ejemplo, como mínimo debían encontrarse en el portátil alguno de los tres ejecutables y la DLL que conforma StarLogger y debió haberlos analizado por si se trataba de variantes... pero ni siquiera estaban en el sistema. Además, ¿supuestamente dónde enviaba los datos de las teclas pulsadas? ¿a Samsung? ¿analizó el tráfico?... El estudio es tremendamente impreciso y realmente parece basarse exclusivamente en la detección de VIPRE.

Además afirma rotundamente que sus herramientas (que no menciona explícitamente) son infalibles "The findings are false-positive proof since I have used the tool that discovered it for six years now and I am yet to see it misidentify an item throughout the years." (Los descubrimientos son a prueba de falsos positivos puesto que he utilizado la herramienta que lo descubrió por seis años ya y todavía no he visto identificar mal un ítem durante estos años). No existen herramientas infalibles, ni méritos pasados garantizan éxitos futuros. En definitiva, un estudio poco serio, aunque muy eficaz para lanzar titulares espectaculares.

Posiblemente lo que le convenció de que tenía razón fue la respuesta telefónica de un operario de soporte Samsung. "The supervisor who spoke with me was not sure how this software ended up in the new laptop thus put me on hold. He confirmed that yes, Samsung did knowingly put this software on the laptop to, as he put it, "monitor the performance of the machine and to find out how it is being used." (El supervisor que habló conmigo no estaba seguro de cómo este software acabó en el portátil así que me dejó en espera. Me confirmó que sí, Samsung ponía a sabiendas este software en la máquina para averiguar cómo estaba siendo utilizada).

Esto es un error de Samsung. Claramente el operario de soporte se referiría a cualquier otro programa de los muchos que analizan ciertos patrones de uso del sistema para "mejorar nuestra experiencia" (o sea, minería de datos) pero los datos recopilados no suelen ser personales. Si esto fuera así, sería un suicidio para Samsung y ningún operario lo reconocería. Además... ¿por qué instalaría un keylogger comercial? ¿Para qué querría Samsung cada tecla pulsada de sus clientes? Si deseara hacer algo así, habría actuado como Sony en 2005. Creó un rootkit propio. Y aun tratándose de un rootkit y programado expresamente para Sony, no tardó en ser descubierto. Concluimos que el operario fue irresponsable a pronunciarse sobre un asunto que claramente no dominaba.

Conclusiones

Si bien es cierto que podía haber sido perfectamente posible, todo olía a imprecisión desde el principio. Parece que nadie se detuvo a cuestionar el estudio de Hassan, quizás porque después de su nombre aparecen ciertas siglas y títulos que suenan a profesional. Lo importante era el titular. Afortunadamente, todo se ha aclarado. El mal lugar ha quedado para Hassan, el operario de Samsung y sobre todo, para el motor VIPRE, que ha dado a entender que su sistema de detección heurístico puede ser ridículo.


Sergio de los Santos
ssantos@hispasec.com


Más información:

Samsung installs secret keylogger on its laptops
http://www.networkworld.com/newsletters/sec/2011/032811sec2.html

VIPRE no detecta StarLogger por firmas
http://www.virustotal.com/file-scan/report.html?id=e331de948801087f294e5e634ea04e8a16b6c34fe8dc07140d17c8ac8c3f6f79-1301585735