lunes, 31 de octubre de 2011

Múltiples vulnerabilidades en la suite OmniTouch Instant Communication

Tobias Glemser, investigador de la empresa Tele-consulting, ha descubierto diferentes vulnerabilidades en la suite OmniTouch de Alcatel-Lucent.

El sistema ICS de Alcatel ofrece servicios de comunicación unificados a través de diferentes medios de acceso tales como dispositivos móviles y clientes web. Destacar las características del cliente web webICS que permitiría servicios finales al usuario tales como acceso a directorios personales y globales, redirección de llamadas...

Es precisamente en este cliente web donde se encontrarían las vulnerabilidades descubiertas que permitirían, entre otros, ataques de cross site scripting (XSS), tanto persistentes como no, así como cross site request forgery (CSRF).

Uno de los posibles ataques que se podrían realizar sería el cambio de la configuración del teléfono del usuario final causando una redirección de llamada a través de un XSS almacenado en la libreta de direcciones.

Las vulnerabilidades tienen asignados los siguientes CVE: CVE-2011-4058 y CVE-2011-4059. Los scripts vulnerables a CSRF se encontrarían en la ruta "/websoftphone/servlet/DispPhonSet" y "/websoftphone/servlet/DispRTC". El ataque de XSS almacenado sería posible a través de todos los campos en los que se puedan insertar datos de la libreta de direcciones y el ataque XSS reflejado sería posible realizarlo a través de diferentes parámetros localizados principalmente en ficheros de la ruta "websoftphone/jsp/*".

Alcatel-Lucent ha publicado un hotfix que corregiría estas vulnerabilidades.

Más información:

TC-SA-2011-01: Multiple vulnerabilities in OmniTouch Instant
Communication Suite


Borja Luaces

domingo, 30 de octubre de 2011

Eludir la prohibición de envío de ejecutables a través de Facebook

El investigador de seguridad Nathan Power ha descubierto un fallo en la subida de ficheros de Facebook que podría permitir el envío de cualquier tipo de fichero a través de los mensajes de la red social.

Facebook, a través de su servicio de mensajes entre sus usuarios, permite el envío de archivos adjuntos. Como es lógico, en ningún caso se permite  que se intercambie un archivo ejecutable, por tanto la plataforma realiza ciertas  comprobaciones sobre el fichero enviado para evitar que se trate de un binario.

Según ha confirmado el investigador, todas las comprobaciones sobre el contenido del mensaje se limitan a analizar la extensión del nombre del fichero indicado. Este dato es enviado dentro de la petición POST en la que se manda el archivo, (concretamente en el atributo filename del multipart/form-data). Al tratarse de una variable bajo el  control del cliente, es fácilmente modificable teniendo acceso al tráfico HTTP justo antes de enviar con cualquier programa, o generando una petición personalizada. Tras varios intentos, el Nathan Power finalmente consiguió evadir el filtro de Facebook, y por tanto enviar el ejecutable, simplemente añadiendo un espacio al final del nombre del fichero. De este comportamiento se extraen varias conclusiones:
  • El módulo, función o software encargado de tratar el nombre del fichero, no realiza un tratamiento adecuado del nombre del fichero. En este caso en concreto, eliminar los espacios al final del nombre del archivo.
  • Para discernir entre un archivo permitido o no, se comprueba la extensión del archivo, y se recurre a una lista negra de extensiones (exe, bat...), en lugar de una lista  blanca.
  • No se realiza comprobación alguna del tipo del contenido real del archivo (por ejemplo los dos primeros bytes).
  • Se comenten errores básicos y antiguos, que ya han solucionado desde hace tiempo otras aplicaciones que han tenido que lidiar mucho con los adjuntos: los clientes de correo.
Facebook fue avisado el día 30 de septiembre,  pero no respondió hasta pasado casi un mes. En el momento de escribir esta noticia, todavía se podían  enviar ejecutables y, como hemos comprobado, al descargar el archivo  el espacio final del fichero desaparece (quizás ya demasiado tarde).

Más información:

Facebook Attach EXE Vulnerability

Javier Rascón
jrascon@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
@ssantosv

sábado, 29 de octubre de 2011

Múltiples vulnerabilidades en Winamp

Se han descubierto varias vulnerabilidades en Winamp que pueden permitir la ejecución de código arbitrario.

Winamp es uno de los reproductores de audio y vídeo más populares para la plataforma Windows, aunque también está disponible para otras como Mac y Android. Winamp soporta una gran cantidad de formatos multimedia, entre los que se encuentran MID, MIDI, MP1, MP2, MP3, MP4, AAC, Ogg Vorbis, WAV, WMA, CDA, KAR (Karaoke), AVI, MPEG y NSV.

Se han publicado varias vulnerabilidades que afectan a diferentes plugins de Winamp en su versión 5.621 y anteriores. Dichas vulnerabilidades son las siguientes:
  • Un error en "in_midi" al manejar el valor "iOffsetMusic" en la cabecera de archivos de audio CMF (Creative Music Format), puede provocar un desbordamiento de memoria intermedia basada en heap. Un atacante remoto podría aprovechar esta vulnerabilidad para ejecutar código arbitrario a través de un archivo .CMF especialmente manipulado.
  • Un error de desbordamiento de memoria intermedia basada en heap en en "in_mod" al manejar el valor "channels" en la cabecera de archivos AMF (Advanced Module Format). Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de un archivo .AMF especialmente manipulado.
  • Un error en "in_nsv" al manejar el valor "toc_alloc" en la cabecera de archivos de vídeo NSV (Nullsoft Streaming Video) puede provocar un desbordamiento de memoria intermedia basada en heap, permitiendo a un atacante remoto la ejecución de código arbitrario a través de un archivo .NSV especialmente manipulado.
Estas vulnerabilidades no tienen asignado ningún identificador CVE.

Se encuentra disponible para su descarga desde la página oficial de Winamp, la versión 5.622 que corrige estas vulnerabilidades.

Más información:


Juan José Ruiz
jruiz@hispasec.com

viernes, 28 de octubre de 2011

Una-al-día cumple 13 años

Una al día nació el 28 de octubre de 1998. Desde entonces, poco ha cambiado su estructura. Mantiene el boletín por correo. En 2002 se añadió la posibilidad de seguir una-al-día por RSS. En agosto de 2010, nos unimos a Twitter con @unaaldia. Pero aún podíamos seguir realizando mejoras.

Por ejemplo, la falta de comentarios (públicos), integración en redes sociales... Somos técnicos y "puristas" por lo que hemos avanzado con cierta lentitud a la hora de adoptar estos nuevos modelos de comunicación. Pero siempre lo hemos tenido en mente como una potencial mejora.

Ahora, cuando el boletín cumple 13 años ininterrumpidos, cambiamos radicalmente el modelo para convertirlo en todo lo que se entiende por un blog. Esto permitirá comentarios y la integración más sencilla de las noticias en las redes sociales. Vamos a mantener el boletín por correo (en texto plano y firmado, como señas de identidad) pero en la web, se podrán leer las una-al-día por fin en una web 2.0.

Aún quedan cabos por atar. Por ejemplo no hemos migrado todavía todas las noticias de años anteriores. Lo haremos poco a poco. Con respecto a los comentarios, en principio serán no moderados y anónimos. Esperamos que esto fomente la participación y el debate.

Como siempre decimos, gracias a todos. En especial, a nuestros fieles suscriptores: desde la primera persona que leyó el boletín en octubre de 1998, hasta el usuario del último correo que se ha suscrito al servicio hace apenas unos minutos.

Este año no hay concurso, ni regalos... ni libro (todavía hay disponibles del aniversario anterior). Tan solo esperamos que este nuevo avance sea para bien... y que cumplamos muchos más.


Laboratorio Hispasec


jueves, 27 de octubre de 2011

Cisco publica cinco boletines de seguridad

Cisco ha publicado cinco boletines de seguridad que solventan diversas vulnerabilidades, entre las que se encuentran dos escaladas de directorios, dos ejecuciones de código y una denegación de servicio.
Los productos afectados son los siguientes:

* Cisco Unified Contact Center Express: Permitiría a un usuario remoto no autenticado obtener ficheros a través de una URL especialmente manipulada mediante una escalada de directorios. (CVE-2011-3315)

* Cisco Security Agent: El fallo, que permitiría una ejecución de código arbitrario, es debido a dos vulnerabilidades de software externo a Cisco, presentes en la librería 'Oracle Outside In' utilizada por Cisco Security Agent. (CVE-2011-0794 y CVE-2011-0808)

* Cisco Video Surveillance IP Cameras: Una denegación de servicio causada por el envío de paquetes RTSP TCP especialmente manipulados, causaría que las cámaras dejasen de emitir las imágenes grabadas y procediesen a reiniciarse. (CVE-2011-3318)

* Cisco WebEx Player: Varios desbordamientos de memoria intermedia en el reproductor Cisco WebEx Recording Format (WRF), podrían permitir que un atacante remoto ejecutase código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)

* Cisco Unified Communications Manager: El componente de procesamiento de llamadas IP de Cisto también se encuentra afectado por un fallo que permitiría la revelación, a través de una escalada de directorios, del contenido de archivos que en teoría no deberían ser accesibles desde el exterior del sistema. (CVE-2011-3315)

Junto con los boletines de seguridad, Cisco ha publicado las correspondientes actualizaciones que solventan todas las vulnerabilidades comentadas.

Javier Rascón
jrascon@hispasec.com

Más Información:

Cisco Unified Contact Center Express Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-uccx

Cisco Security Agent Remote Code Execution Vulnerabilities
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-csa

Denial of Service Vulnerability in Cisco Video Surveillance IP Cameras
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-camera

Buffer Overflow Vulnerabilities in the Cisco WebEx Player
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-webex

Cisco Unified Communications Manager Directory Traversal Vulnerability
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111026-cucm

miércoles, 26 de octubre de 2011

Congreso Seguridad en Cómputo 2011 en México

La Universidad Nacional Autónoma de México, a través de la Subdirección de Seguridad de la Información/UNAM-CERT de la Dirección General de Cómputo y de Tecnologías de Información y Comunicación (DGTIC), organiza el "Congreso Seguridad en Cómputo 2011".
 
Este evento contempla la impartición de cursos especializados y un ciclo de conferencias, en el que participan destacados especialistas nacionales e internacionales.
 
Líneas de Especialización, del 18 al 23 de noviembre, Centro de extensión Tlatelolco. Capacitación especializada en las siguientes áreas: 
  • Administración y seguridad en Windows
  • Cómputo forense y legislación relacionada
  • Análisis de vulnerabilidades, técnicas de intrusión y pentest
  • Detección de intrusos y tecnologías honeypots
  • Otros talleres
Conferencias Magistrales el 24 y 25 de noviembre en el Palacio de Minería.
 
Más información sobre los cursos, conferencias, registro, costos, etc. en la página del evento:

Más Información:
 
Congreso Seguridad en Cómputo

martes, 25 de octubre de 2011

Evitar la contraseña de Ipad 2 con el Smart Cover

Un fallo en los Ipad 2 que dispongan de Smart Cover, permite eludir la contraseña de bloqueo y acceder a las aplicaciones del dispositivo.

Smart Cover es un accesorio exclusivo de Ipad2 entre cuyas particularidades se encuentran la posibilidad de activar el dispositivo estando en standby sin necesidad de apretar el botón de encendido.

El fallo encontrado, permitiría a un atacante con acceso físico al aparato, acceder sin necesidad de teclear la contraseña. Parece que el atacante no tendría acceso completo, sino que solamente podría acceder a aquello que se encontraba en ejecución antes de pasar al estado de standby.

Este fallo se ha corroborado en la versión IOS 5, y quizás funcione en la rama anterior. Por ahora, la forma de corregir temporalmente este fallo pasaría por la desactivación del encendido automático por parte del dispositivo Smart Cover.

Los pasos para probar el error son sencillos:

* Bloquear el dispositivo.
* Mantener presionado el botón de apagado hasta que muestre el deslizador de apagado.
* Cerrar el Smart Cover.
* Abrir el Smart Cover.
* Presionar el botón de cancelar

Se ha publicado un vídeo demostrando la prueba de concepto. Se encuentra en el apartado de más información.

Borja Luaces
bluaces@hispasec.com

Más Información:

Anyone with a Smart Cover can break into your iPad 2
http://9to5mac.com/2011/10/20/anyone-with-a-smart-cover-can-break-into-your-ipad-2/

lunes, 24 de octubre de 2011

Un gusano se aprovecha de Servidores JBoss Application Server vulnerables o mal configurados

Un gusano aprovecha para infectar servidores que ejecutan JBoss Application Server (JBoss AS) con una incorrecta configuración de seguridad o en los que no se han aplicado los parches de seguridad publicados.

JBoss Application Server es un servidor de aplicaciones J2EE que actualmente va por su versión 7. Se distribuye bajo licencia GPL por lo que es muy utilizado tanto por parte de los desarrolladores como por las empresas.

Se ha detectado un gusano que afecta a los servidores que ejecutan JBoss AS y aplicaciones basadas en él. Se aprovecha de consolas JMX incorrectamente aseguradas o sin ninguna protección para ejecutar código arbitrario. Se propaga inyectándose en la consola a través del método HEAD con una llamada a la función 'store' del servicio 'jboss.admin' de la forma siguiente:


También se aprovecha de sistemas más antiguos que no están parcheados para corregir la vulnerabilidad CVE-2010-0738 subsanada en abril de 2010. El gusano está escrito en Perl, y se puede encontrar un interesante análisis en el apartado de más información.

Para evitar la infección se deben aplicar los parches de seguridad disponibles así como las siguientes configuraciones para asegurar la consola JMX:


http://community.jboss.org/wiki/SecureTheJmxConsole

Además resulta conveniente configurar las siguientes protecciones lógicas:

* Quitar los privilegios de 'root' a los procesos de JBoss AS.

* Cambiar la configuración de seguridad por defecto de la consola JMX para bloquear todas las peticiones a través de los métodos GET y POST que no estén debidamente autenticadas. Para ello se debe editar el archivo 'deploy/jmx-console.war/WEB-INF/web.xml' y eliminar las líneas indicadas:




* Habilitar 'RewriteValve' para bloquear peticiones externas que intenten acceder a URLs de administración como, por ejemplo, jmx-console, editando el archivo 'deploy/jbossweb.sar/server.xml' de la siguiente forma:


Además es conveniente crear el directorio 'conf/jboss.web', y en su interior el fichero 'rewrite.properties' con el siguiente contenido:


Esto bloqueará todas las peticiones que no provengan de la propia máquina (127.0.0.1) o de la red LAN (en este ejemplo 192.168.x.x).

Nótese en la antepenúltima línea del ejemplo del fichero de configuración, que la IP de la red es del tipo 192.168.x.x, esto debe modificarse según la configuración concreta de la red de cada caso.



Juan José Ruiz
jruiz@hispasec.com


Más información:

Statement Regarding Security Threat to JBoss Application Server
http://community.jboss.org/blogs/mjc/2011/10/20/statement-regarding-security-threat-to-jboss-application-server

Securing the JMX Console and Web Console (HTTP)
http://community.jboss.org/wiki/SecureTheJmxConsole

JBoss Worm
http://pastebin.com/U7fPMxet

domingo, 23 de octubre de 2011

¿Cuánto vive un tweet... borrado?

Creo que no soy el primero que se ha dado cuenta, pero no he visto demasiada información al respecto. Tampoco que se le haya dado la importancia que pienso que merece. En estos momentos y desde hace tiempo, borrar un twitter es "inútil". O lo que es lo mismo: cuando envíes algo a twitter, mejor no te arrepientas..


Tengo una cuenta que uso exclusivamente para pruebas. Ensayando, escribí unas instrucciones para la botnet en forma de tweets, y los borré. No estuvieron más de unos minutos colgados. Algunos tweets estuvieron online segundos, literalmente. Dos días después, descubro que todo el mundo puede acceder a esos tweets de prueba borrados 48 horas antes... y se quedaron ahí una semana.

Lo descubrí porque por casualidad, busqué mi cuenta en el iPhone y me devolvió los resultados con todos los tweets borrados. No estaba registrado con esa cuenta en ese momento. Volví a la web a buscar
lo mismo. No aparecían.



Volví al iPhone. Allí estaban de nuevo. Al alcance de cualquiera. ¿Por qué en el iPhone me encontraba tweets borrados y en la web no? La diferencia es que el programa del iPhone utiliza la API de búsqueda que
twitter pone al alcance de los desarrolladores. No conocía la URL exacta así que hice pasar el tráfico por un proxy. La petición devuelve un json con los resultados.



Obviamente, consultando esa URL con la cadena de búsqueda deseada desde un navegador cualquiera, devuelve el mismo resultado: los tweets borrados están ahí para el que los busque desde cualquier punto, sin
necesidad de tener conocimiento de la API ni usarla específicamente en un programa.

Afortunadamente, no se puede "formar" una URL típica de acceso directo a los tweets.



Poco después tuve la oportunidad de volver a comprobar este comportamiento "involuntariamente". Escribí con una errata en el nombre de un compañero. Apenas un segundo después de enviarlo, borré el
erróneo, y lo corregí en un nuevo tweet. Cuatro horas después, una búsqueda con la API devolvía la entrada borrada. Esta estuvo menos tiempo accesible. No fue una semana pero sí unos tres días. Tampoco
estuvo disponible "inmediatamente" después de borrarla, pero sí unos minutos después.




La segunda entrada en la imagen, fue borrada un segundo después de enviarse, pero sigue disponible horas después. Lo que puede estar ocurriendo es que twitter indexa (y "cachea") en su base de datos los
tweets nada más ser enviados. Luego, los marca como borrados para no mostrarlos. Pero el contenido de los tweets queda almacenado. El sistema de búsqueda de la API, parece ignorar este punto y muestra todo, incluso los marcados como borrados. Aunque supongo que será por razones de rendimiento es, a mi juicio, un error.

¿Y durante cuánto tiempo? Pues no lo sé. Las búsquedas de tweets, por lo que veo, suelen devolver aproximadamente hasta una semana. Por tanto, sospecho que los tweets borrados dejarán de aparecer al ser buscados con la API como máximo, cuando pase ese tiempo. Otros (como el ejemplo de la
imagen) parecen estar disponibles menos tiempo. Según tweetbackup.com: "[...] Tweeter API bug; only your most recent 3200 tweets are searchable either via the Tweeter API or the Tweeter website."

Para empeorar el asunto, existen numerosos robots que buscan en twitter con la API (con el propio tweetbackup), cacheando resultados a su vez en sus bases de datos. Con el comportamiento actual, si escribes y envías algo que se queda en el servidor aunque sea un segundo, se mantendrá como mínimo unas horas en las búsquedas de la API. Tiempo más que suficiente para que cualquier crawler (por muy perezoso que sea) llegue a ese contenido y lo almacene a su vez en su base de datos.

Por poner un ejemplo análogo, imaginemos que la caché de Google funcionase igual. Cualquier contenido colgado en Internet, aunque fuera durante un segundo, aunque fuese una errata cometida al escribir en un
foro, aunque se tratase un error de maquetación borrado un minuto después... quedaría almacenado en su caché y por tanto accesible por todos durante unos días. ¿No sería injusto?

Como conclusión: piensa bien antes de escribir en twitter. Sus búsquedas son traicioneras.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv



sábado, 22 de octubre de 2011

Revelación de información sensible en Joomla!

Se han publicado dos fallos de seguridad en Joomla! que podrían permitir a un atacante tener acceso a información sensible.

Joomla! es un sistema de gestión de contenidos y framework web muy popular para la realización de portales web. Cuenta con una la gran cantidad de extensiones de fácil integración que le proporcionan un gran potencial.

El primero de los fallos de seguridad fue reportado por Aung Khant, perteneciente al grupo de hacking ético YGN. El problema está en la inadecuada comprobación de errores. Un atacante remoto podría obtener información sensible. La versión de Joomla! afectada sería la 1.7.1 y anteriores. Este fallo fue reportado el dos de agosto a los desarrolladores, pero no ha sido corregido hasta el 17 de octubre.

El segundo de los fallos fue reportado por Jeff Channell y estaría basado en un cifrado débil que permitiría a atacante remoto obtener igualmente acceso a información sensible. La versión de Joomla! afectada sería la 1.5.23 y anteriores. Este fallo fue reportado el nueve de septiembre a los desarrolladores y corregido también el 17 de octubre.

La recomendación por parte de Joomla! Es la actualización a las versiones 1.5.24 o posterior y 1.7.2 o posterior.


Borja Luaces
bluaces@hispasec.com


Más información:

[20111002] - Core - Information Disclosure
http://developer.joomla.org/security/news/371-20111002-core-information-disclosure

[20111003] - Core - Information Disclosure
http://developer.joomla.org/security/news/372-20111003-core-information-disclosure

viernes, 21 de octubre de 2011

Ejecución arbitraria de comandos en CiscoWorks Common Services

Cisco ha confirmado la existencia de una vulnerabilidad en CiscoWorks Common Services, en todas las versiones anteriores a la 4.1 para Microsoft Windows, que podría permitir la ejecución de comandos arbitrarios a atacantes remotos.

Se ven afectados CiscoWorks LAN Management Solution, Cisco Security Manager, Cisco Unified Operations Manager, Cisco Unified Service Monitor, CiscoWorks Quality de Service Policy Manager y CiscoWorks Voice Manager incluyendo Common Services.

CiscoWorks Common Services es un conjunto de servicios de administración compartidos por las aplicaciones de gestión de redes de Cisco.

El problema reside una validación incorrecta de entradas en el componente CiscoWorks Home Page. Un atacante puede enviar una URL específicamente creada a los puertos TCP 443 o 1741, para lograr la ejecución de comandos arbitrarios en el sistema afectado con privilegios de administrador.

Cisco ha publicado la versión CiscoWorks Common Services 4.1 para resolver este problema.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

CiscoWorks Common Services Arbitrary Command Execution Vulnerability.
http://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20111019-cs

jueves, 20 de octubre de 2011

Múltiples vulnerabilidades en la plataforma educativa Moodle

Se han publicado 15 boletines de seguridad que afectan a la plataforma Moodle. Las vulnerabilidades permiten saltar restricciones, ejecutar código arbitrario, revelar información sensible, afectar la integridad de los datos, realizar ataques XSS, CSRF, inyección SQL, y denegación de servicio.

Moodle, acrónimo de Modular Object-Oriented Dynamic Learning Environment (en español, Entorno de Aprendizaje Dinámico, Orientado a Objetos y Modular). Es una plataforma educativa de código abierto escrita en PHP, que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

Se han publicado un total de 15 boletines de seguridad, del MSA-11-0027 al MSA-11-0041, que contienen diferentes vulnerabilidades que afectan a la plataforma Moodle en las versiones 1.9.x, 2.0.x, y 2.1.x. Ninguna de las vulnerabilidades tiene asignado un identificador CVE de momento, por lo que se exponen a continuación identificándolas por el boletín:

* MSA-11-0027: existe un error de falta de validación de las peticiones HTTP hechas por los usuarios que podría ser utilizado para realizar un 'cross site reference forgery' (CSRF) con los enlaces de la wiki.

* MSA-11-0028: existe un error de falta de validación en determinadas entradas relacionadas con los comentarios de la wiki que podría ser utilizado para llevar a cabo ataques 'cross-site scripting' (XSS).

* MSA-11-0029: revela un error de falta de comprobación de permisos en el servidor de ficheros que podría utilizarse para revelar información acerca de las categorías y cursos a usuarios sin acceso a ellos.

* MSA-11-0030: expone un fallo en la implementación del plugin 'Box.net' al no incluir las funcionalidades de autenticación OAuth de la aplicación para solicitar los credenciales de los usuarios.

* MSA-11-0031: existe un error en la función 'setConstant' que toma los valores de los formularios y que podría ser aprovechado para modificar los valores enviados a través de dichos formularios.

* MSA-11-0032: revela un error al manipular los datos entregados por la función 'openssl_verify' en 'MNet' que podría ser utilizado para evitar la validación de certificados SSL.

* MSA-11-0033: existe un error durante el proceso de instalación que provoca que no se establezca correctamente el valor secreto 'registration_hubs.secret' relacionado con los centros de la comunidad.

* MSA-11-0034: existe un fallo en la funcionalidad del chat que provoca una revelación de información sensible tal como los nombres completos de todos los usuarios de la plataforma incluidos aquellos que han sido eliminados.

* MSA-11-0035: un fallo relacionado con la variable 'CFG->usesid' en las sesiones sin cookies podría ser aprovechado para realizar un salto de restricciones.

* MSA-11-0036: un error de falta de comprobación en 'message/refresh.php' provoca ilimitadas peticiones al cambiar el valor del parámetro 'wait' por cero, y podría causar una denegación de servicio.

* MSA-11-0037: existe un error de falta de comprobación de los datos introducidos por los usuarios en 'editsection.html' y que podría ser utilizado para ejecutar código arbitrario (HTML y JavaScript) a través de datos de entrada especialmente manipulados.

* MSA-11-0038: múltiples errores de filtrado en funciones de la base de datos podrían ser utilizado para realizar ataques de inyección SQL.

* MSA-11-0039: un error de falta de validación del parámetro de entrada 'section' podría ser utilizado para realizar ataques 'cross site scripting' (XSS).

* MSA-11-0040: existe un error no especificado en 'mod/forum/user.php' que podría ser utilizado para revelar información sensible acerca de los usuarios de la plataforma a personas no autorizadas.

* MSA-11-0041: existe un fallo de comprobación de permisos en la funcionalidad del buscador global que podría permitir a un usuario invitado revelar información sensible a través de búsquedas de este tipo directamente desde una URL.

Las vulnerabilidades publicadas en los boletines MSA-11-0036, MSA-11-0037, y MSA-11-0038 solo afectan a las versiones 1.9.x de Moodle.

Las vulnerabilidades de los boletines MSA-11-0027, MSA-11-0028, MSA-11-0029, MSA-11-0030, MSA-11-0033, MSA-11-0034, MSA-11-0035, MSA-11-0039, y MSA-11-0041 solo afectan a las versiones 2.0.x, y 2.1.x de Moodle, aunque la MSA-11-0035 también podría afectar a las versiones 1.9.x si no están correctamente configuradas.

Por último, las vulnerabilidades de los boletines MSA-11-0031, MSA-11-0032, y MSA-11-0040 afectan a ambas ramas, tanto las versiones 1.9.x como las 2.0.x, y 2.1.x.

Se encuentran disponibles para su descarga desde la página oficial de Moodle, las actualizaciones a las versiones 1.9.14, 2.0.5, y 2.1.2 que corrigen todas las vulnerabilidades anteriores.


Juan José Ruiz
jruiz@hispasec.com


Más información:

Moodle Release Notes:
http://docs.moodle.org/dev/Moodle_1.9.14_release_notes
http://docs.moodle.org/dev/Moodle_2.0.5_release_notes
http://docs.moodle.org/dev/Moodle_2.1.2_release_notes

miércoles, 19 de octubre de 2011

Duqu, ¿el nuevo malware descendiente de Stuxnet?

Alguien parece que ha tomado el código de Stuxnet y creado un nuevo malware al que se ha llamado Duqu (porque crea ficheros que comienzan con ~DQ). Es un troyano creado como un sistema de control remoto, pero parece estar orientado a infectar sistemas industriales.

Diferencias con Stuxnet

Stuxnet contenía dentro de su código la contraseña por defecto "2WSXcder" para la base de datos central del producto SCADA WinCC de Siemens. El troyano conseguía acceso de administración de la base de datos. Duqu parece que simplemente se trata de un sistema de control remoto, pero que se ha encontrado en dependencias industriales europeas.

Duqu no se replica. En este caso, parece haber aprendido la lección. En la una-al-día de octubre de 2010, "Éxitos y fracasos de Stuxnet (II)" ya se apuntaba este aspecto: "El punto débil (siempre desde el punto de vista de Stuxnet y sus creadores) ha sido solo uno: ¿por qué un gusano que se autorreplica indiscriminadamente? ¿Qué necesidad de infectar más allá de los sistemas objetivo?"

Otra diferencia muy importante y que lo aleja de la sofisticación de Stuxnet es que no contiene ningún ataque a Windows desconocido hasta el momento (0 day). Aunque Symantec no lo ha analizado por completo, parece que no contiene ninguno, mientras que Stuxnet usaba cuatro. Una permitía la ejecución de código aunque el AutoPlay y AutoRun se encontrasen desactivados. A efectos prácticos, implica que se había descubierto una forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. La segunda permitía la ejecución de código a través del servicio de impresión (spooler) de cualquier Windows. En impresoras compartidas por red, el troyano podía enviar una petición al servicio y colocar archivos en rutas de sistema. Esto permitía su máxima difusión dentro de una red interna, por ejemplo. Las otras dos, permitían la elevación de privilegios.

Sin embargo, se parecen mucho en su código. Esto quiere decir o bien que las mismas personas están detrás de esta nueva creación, o bien que se ha filtrado de alguna manera el código original. Siendo sinceros, asociarlo con Stuxnet también es una forma de "vender" la noticia. El problema es que quizás, este tipo de ataques que con Stuxnet se han considerado "sofisticados" se conviertan en norma relativamente frecuente de ahora en adelante y las comparaciones sean innecesarias.

Características

Duqu parece un medio más que un fin. Ha sido usado para instalar a su vez un registrador de teclas en los sistemas infectados. En este sentido, se comporta como una botnet "tradicional" usando http y https para conectarse con su "command and control" (alojado en India), al que parece enviar información disfraza de imágenes JPG. A los 36 días, el troyano se borra a sí mismo.

Al igual que Stuxnet, se trata de un driver (.sys) firmado digitalmente por una entidad legal a la que probablemente han robado su certificado. Si Stuxnet utilizó certificados de Realtek, estos son de C-Media, una empresa de chipsets en Taiwan. Ya han sido revocados. ¿Cómo lo han hecho? Bien pueden haber sido robados, bien pueden haber sido falsificados en nombre de esa empresa. Aún no se sabe.

Cronología

La primera aparición de un componente de este troyano se da el 1 de septiembre de 2011, aunque por la fecha de compilación, se deduce que podrían haber sido creados a principios de diciembre de 2010.

En VirusTotal fue visto por primera vez ese día 1 de septiembre. Entonces era detectado por AntiVir, BitDefender, F-Secure, GData y SUPERAntiSpyware (5 de 41) por heurística. Hoy en día, lo detectan 29 de 43 motores. Esa variante nos ha llegado 8 veces. Existen dos variantes más que han sido enviadas a VirusTotal 4 veces en total.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

The Day of the Golden Jackal ? The Next Tale in the Stuxnet Files: Duqu
http://blogs.mcafee.com/mcafee-labs/the-day-of-the-golden-jackal-?-further-tales-of-the-stuxnet-files

23/10/2010 Éxitos y fracasos de Stuxnet (I)
http://www.hispasec.com/unaaldia/4382

24/10/2010 Éxitos y fracasos de Stuxnet (II)
http://www.hispasec.com/unaaldia/4383

25/10/2010 Éxitos y fracasos de Stuxnet (y III)
http://www.hispasec.com/unaaldia/4384

W32.Duqu: The Precursor to the Next Stuxnet
http://www.symantec.com/connect/w32_duqu_precursor_next_stuxnet

martes, 18 de octubre de 2011

Denegación de servicio en Asterisk

Se ha anunciado un problema de seguridad en Asterisk (Versiones 1.8.x anteriores a 1.8.7.1 y 10.x anteriores a 10.0.0-rc1) que podría permitir a un atacante remoto provocar condiciones de denegación de servicio.

Asterisk es una aplicación de una central telefónica (PBX) de código abierto. Como cualquier PBX, se pueden conectar un número determinado de teléfonos para hacer llamadas entre sí e incluso conectarlos a un proveedor de VoIP para realizar comunicaciones con el exterior. Asterisk es ampliamente usado e incluye un gran número de interesantes características: buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Además el software creado por Digium está disponible para plataformas Linux, BSD, MacOS X, Solaris y Microsoft Windows.

El problema reside en un fallo en el controlador del canal SIP, que podría permitir a un atacante remoto sin autenticar provocar la caída del sistema. Para llevar a cabo el ataque, se debería enviar al servidor una petición específicamente creada de forma que el sistema accede a una variable sin inicializar y se desencadena la vulnerabilidad.

El problema se encuentra solucionado en las versiones 1.8.7.1 y 10.0.0-rc1.


Antonio Ropero
antonior@hispasec.com
Twitter: @aropero


Más información:

Asterisk Project Security Advisory - AST-2011-012
Remote crash vulnerability in SIP channel driver
http://downloads.digium.com/pub/security/AST-2011-012.html

lunes, 17 de octubre de 2011

Ejecución de código arbitrario a través del comando hardlink

A través de Openwall, Alexander Peslyak (más conocido como Solar Designer) ha publicado un fallo en el comando "hardlink" que podría permitir causar una denegación de servicio y, potencialmente, ejecutar código arbitrario a través de nombre de directorios especialmente manipulados.

La vulnerabilidad se trata de un desbordamiento de memoria intermedia. Su explotación, de manual básico de la teoría de un desbordamiento, utiliza cadenas especialmente largas. Según se explica en la lista de Openwall, el comando hardlink trabaja con rutas absolutas, lo que facilitaría el poder forzar a la aplicación a trabajar con cadenas extremadamente largas.

En el fallo explotado, se han utilizado rutas con gran profundidad de directorios (20 directorios),con nombres especialmente creados para la ocasión, siendo de una gran longitud (250 caracteres).

Además del desbordamiento de memoria, se han reportado otros fallos menos críticos, como la posibilidad de que cambie la ruta sobre la que se ejecuta 'hardlink' o que se realice un 'enlace duro' hacia un archivo que más tarde se convierta en un enlace.

Según el descubridor del fallo, ha conseguido reproducir dichos fallos en Fedora, aunque no se descarta que otras distribuciones se encuentren también afectadas por el error.

Solar Designer es un investigador mítico en el mundo de la seguridad, autor de John the Ripper y de las primeras técnicas de desbordamiento de memoria basada en heap. También ha publicado interesantes artículos sobre explotación de vulnerabilidades.


Javier Rascón
jrascon@hispasec.com


Más información:

hardlink(1) has buffer overflows, is unsafe on changing trees
http://seclists.org/oss-sec/2011/q4/74

domingo, 16 de octubre de 2011

Primer troyano para MAC que detecta la virtualización

Desde el blog de F-Secure alertan de la aparición del primer troyano para Mac que detecta si está siendo ejecutado en una máquina virtual, para así alterar su comportamiento y evitar ser analizado.

El hecho de que el malware compruebe si se está ejecutando en un entorno de virtualización no es nada nuevo. Es una técnica que viene siendo utilizada desde hace años por gran cantidad de malware. Esto tiene un claro objetivo: los que analizamos malware solemos ejecutarlo en un entorno virtual, que permite aislar los efectos y poder volver rápidamente a un entorno "limpio" restaurando a un estado anterior.

Existen infinitas técnicas para comprobar si se está en una máquina virtual, y se ha convertido casi en un arte: buscar procesos característicos, ficheros, drivers que suelen venir en los virtualizadores más populares... Los troyanos realizan una comprobación nada más ser ejecutados y, si los detectan, no continúan. Los analistas debemos entonces o bien pasar a un entorno físico, intentar conocer qué buscan e intentar engañarlos, o bien utilizar software de virtualización menos popular (evitar VirtualBox o VMWare).

También el malware utiliza la detección de máquinas virtuales para eludir los análisis automáticos que suelen realizar sandboxes públicas que se encuentran automatizadas.

Si bien es un método antiguo, sí es cierto que es la primera vez que se observa este tipo de comportamiento en malware destinado al sistema operativo de Apple. Como viene siendo habitual, los avances técnicos de los creadores de malware suelen estar enfocados hacia evitar a los analistas "manuales". De entre sus "enemigos", son los más "peligrosos" para ellos. Desde luego, el usuario final no le supone tanto problema por ahora. Con la ingeniería social le basta y no le hacen falta artificios técnicos. En el caso de Mac, su enemigo más fuerte tampoco son los antivirus ni necesita esforzarse demasiado por eludirlos.

La muestra analizada por F-Secure en concreto, se hacía pasar por una actualización de Adobe Flash Player, y en caso de detectar que está siendo ejecutando sobre una máquina virtual, detiene por completo su ejecución. Por el momento, la única máquina virtual que sobre la que se comprueba si está corriendo es VMWare.

Existen numerosos métodos para comprobar si se está en un entorno virtual. Se puede encontrar información en la propia página de VMWare, con sus pros y sus contras:

http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458

En este caso en concreto no se utiliza ninguna de las técnicas descritas en la web de VMWare, muy posiblemente porque no funcionan en el 100% de los casos. Este troyano en cuestión recurre a un método descubierto por el investigador Ken Kato, que consiste en interactuar con un puerto de Entrada/Salida (puerto 'VX') que no debería existir en un entorno no virtualizado, puesto que es utilizado por la máquina huésped para comunicarse con la máquina virtual.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv

Javier Rascón
jrascon@hispasec.com


Más información:

Mac Trojan Flashback.B Checks for VM
http://www.f-secure.com/weblog/archives/00002251.html

sábado, 15 de octubre de 2011

El culo de Scarlett y el eslabón más débil (y II)

Gracias al cuerpo desnudo de Scarlett Johansson frente al espejo, la prensa ha descubierto una nueva etiqueta muy "resultona" que explotar: hackerazzi. Hackers cuyas víctimas son famosos. Sin embargo, lo importante no ha sido descubrir los hábitos frente al espejo de Scarlett sino cómo las fotografías salieron de su móvil hacia Internet para gozo de muchos. A través del eslabón más débil.

Medidas fracasadas

Se han puesto todo tipo de cataplasmas sobre el correo para hacerlo seguro, pero no muchas han tenido éxito. Todavía hoy me resulta complicado encontrar usuarios que firmen o cifren sus correos o que entiendan por qué lo hago. Existen numerosos servicios que intentan autenticar al remitente, pero no son ampliamente usados. Google, pionero como siempre, comienza a introducir el móvil como segundo factor para autenticar y validar al usuario de Gmail. Este es el camino.

Y es que no importa que en las redes sociales, servicios en la nube o páginas de socios se usen contraseñas fuertes: al final, todo acaba en que se puede recuperar el acceso perdido a través de su correo asociado. Todos tienden a utilizarlo como el identificador más importante. Para colmo, no es habitual ni cómodo manejar varias cuentas de correo (que sería útil para segmentar el daño en caso de compromiso). Es lógico pensar entonces que es esta cuenta la que hay que proteger con toda la intensidad que se merece y desplegando un arsenal de herramientas que, hoy en día, sólo se aplica a la banca online.

¿Por qué no?

Por qué no entonces, proteger el acceso al correo web a través de un teclado virtual para sortear los keyloggers básicos. Por qué no usar sistemas OTP, certificados... Y sobre todo, por qué no eliminar la posibilidad de "recordar tu contraseña" que tantos problemas ha demostrado. ¿Alguien utiliza un banco online que le permita recuperar su contraseña o tarjeta de coordenadas enviándolas automáticamente a un correo o respondiendo a preguntas secretas, sin más comprobaciones? Seguro que existen (y habrá que evitarlos), pero no son mayoría.

Quizás en otros servicios online la recuperación tenga sentido, pero si todos dependen del correo, este no puede basarse en una pregunta o un dato personal para poder tener acceso a él. Echa por tierra todas las medidas de seguridad no solo de ese email, sino de sus servicios asociados. Si no hay más remedio que usarlo, la respuesta a la pregunta secreta debería considerarse como una cadena aleatoria o frase de paso incluso más compleja que la principal. Para recordar ambas contraseñas, se pueden usar gestores gratuitos.

Un usuario debe aprender a gestionar su contraseña de correo de forma responsable y si la pierde, el correo debería perderse con él, o iniciar un trámite mucho más complejo para recuperarla. Los grandes gestores de correo web gratuito como Gmail y Hotmail deberían empezar a cuidar el acceso a su servicio como ya lleva tiempo haciéndolo la banca online. Si nos importa nuestro dinero, también debería importarnos nuestra privacidad. Y es que hoy en día con el auge de las redes sociales (y su uso indiscriminado), el correo asociado a esas cuentas no es solo un correo, es la llave a media vida online.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

FBI makes arrest after Johansson, Aguilera e-mails hacked
http://edition.cnn.com/2011/10/12/showbiz/hacking-arrest/index.html

viernes, 14 de octubre de 2011

El culo de Scarlett y el eslabón más débil (I)

Gracias al cuerpo desnudo de Scarlett Johansson frente al espejo, la prensa ha descubierto una nueva etiqueta muy "resultona" que explotar: hackerazzi. Hackers cuyas víctimas son famosos. Sin embargo, lo importante no ha sido descubrir los hábitos frente al espejo de Scarlett sino cómo las fotografías salieron de su móvil hacia Internet para gozo de muchos. A través del eslabón más débil.

La historia repetida

A finales de febrero de 2005, se publicó el contenido del teléfono móvil de Paris Hilton. En un principio se baraja la posibilidad de que hubieran accedido a la tarjeta SIM, o de que se tratara de una intrusión a los servidores de T-Mobile aprovechando inyecciones SQL. Al final se hace público que el método empleado es mucho más sencillo, bastaba con contestar a la pregunta ?¿cuál es el nombre de su mascota favorita??. El teléfono de Paris por entonces, un Sidekick II de T-Mobile, permitía mantener una copia de los contenidos en un servidor de Internet, accesible a través de la web. T-Mobile utilizaba el método de preguntas secretas para permitir el acceso a quien olvidara contraseñas. El nombre de su perro chihuahua era bien conocido a raíz de que la famosa heredera ofreciera en el pasado una recompensa de varios miles de dólares tras extraviarlo. El resultado es que a hoy todavía se puede descargar todo el contenido del móvil de Paris Hilton. En él, se encontraban los teléfonos personales de otras famosas además de fotos personales (subidas de tono) realizadas con el móvil.

En 2008, un atacante accedió al correo personal de Sarah Palin, la candidata a vicepresidenta en Estados Unidos con el republicano John McCain. Se dio a conocer su email personal, alojado en Yahoo! y usado además para cuestiones gubernamentales. A un tal "Rubico" le costó apenas una hora cambiar la contraseña del correo de Sarah. Se hicieron públicas conversaciones y fotografías personales. El método es calificado por las agencias de noticias como "un magistral ataque cirbenético". La verdad es que simplemente se usó el servicio de recuperación de contraseña, la Wikipedia y Google para acertar la pregunta secreta y poder acceder a los emails.

El eslabón más débil

En 2011 vuelve a ocurrir. Christopher Chaney de Florida, utiliza las redes sociales para recabar información y finalmente consigue hacerse con la contraseña del correo de Scarlett. A partir de ahí, se hace con nuevos datos no solo de Johansson sino de otras famosas, hasta que llega a la información contenida en su teléfono móvil.

La conclusión es clara. El eslabón más débil de la mayoría de los servicios de seguridad es el correo, un servicio esencial que nos acompaña desde los inicios de Internet, pero que no se ha cuidado lo suficiente. Si se utiliza un cliente de correo, tanto POP3 (para gestionar) como SMTP (para enviar y recibir) son protocolos inseguros por definición y los más usados. Si se utiliza un correo web, hasta hace no mucho era habitual que ni siquiera se empleara SSL para acceder a las páginas. Si tenemos en cuenta que casi todos los servicios que usamos hoy en día están asociados a un correo y que, controlándolo, se puede recuperar la contraseña de la mayoría de ellos, parece que no se le da la importancia que requiere. El email personal actúa como llave maestra de buena parte de nuestra vida en la Red. ¿Cómo se está protegiendo?


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

FBI makes arrest after Johansson, Aguilera e-mails hacked
http://edition.cnn.com/2011/10/12/showbiz/hacking-arrest/index.html

27/02/20La pregunta secreta del caso "Paris Hilton"
http://www.hispasec.com/unaaldia/2318

22/09/2008 Ataques "magistrales" de "hackers" mediáticos
http://www.hispasec.com/unaaldia/3621

jueves, 13 de octubre de 2011

El router Xtreme N Storage de D-Link, no cifra la red inalámbrica WPA o WPA2

Jerry Decime ha reportado un error en el router DIR-685 Xtreme N Storage de D-Link que haría que una red inalámbrica cifrada pasase a transmitir todo su tráfico sin ningún tipo de protección.

Al parecer, una de las condiciones en las que se ha conseguido reproducir el fallo se da cuando el router está configurado para ofrecer una red inalámbrica con cifrado WPA o WPA2 y clave AES precompartida (PSK).

La segunda condición que da lugar al fallo es la de transmitir una gran cantidad de datos sobre la red. Bajo esta carga, el router pasaría de cifrar todo el tráfico generado, a enviar todos los datos en claro a través de la red. Además no sería necesario conocer la contraseña para poder acceder a la red inalámbrica. Habría que reiniciar el dispositivo para volver a la configuración de protección de la red inalámbrica original establecida por el usuario, es decir WPA o WPA2 y clave AES PSK.

Precisamente las condiciones para que el tráfico sea desvelado no son nada "extrañas". Precisamente este dispositivo se anuncia como ideal para utilizar aplicaciones y protocolos orientados a la transmisión de gran cantidad de datos, como son BitTortrent, NAS, FTP o streaming... Además, el uso de WPA o WPA2 con clave AES es lo más recomendado por no conocerse ningún fallo grave de seguridad aún en esta configuración.

Por el momento D-Link no ha publicado ningún parche o contramedida oficial para solventar el problema. Se recomienda los usuarios del modelo afectado evitar el uso del cifrado AES y pasar a la alternativa "menos mala" en estos momentos, que es RC4 (y por tanto, el protocolo TKIP) o si es posible, autenticación por RADIUS.


Javier Rascón
jrascon@hispasec.com


Más información:

D-Link DIR-685 Xtreme N storage router WPA/WPA2 encryption failure
http://www.kb.cert.org/vuls/id/924307

miércoles, 12 de octubre de 2011

Actualización de OS X (75 vulnerabilidades) y iOS (98 fallos)

Apple ha publicado una serie de actualizaciones para varios de sus productos, entre los que destacan OS X, iOS y Safari, encontrándose también presentes nuevas versiones para sus programas Numbers, Pages, iTunes y Apple TV.

La actualización de OS X a la versión 10.7.2 soluciona un total de 75 vulnerabilidades, la mayoría de ellas permitían la ejecución de código arbitrario, además de denegaciones de servicio y elevaciones de privilegios. Muchas de las vulnerabilidades que han sido parcheadas son causadas por software de tercetos, como BIND, PHP, python, X11... Otras, sin embargo, pertenecían a software de Apple, entre ellas encontramos las siguientes:

* Un fallo en File Vault dejaba al descubierto 250 MB de los datos previamente cifrados por la aplicación, al no borrarlos tras la activación del mismo. El fallo se ha arreglado borrando el área no cifrada tras la activación de File Vault. (CVE-2011-3212)

* Una persona con acceso físico a la máquina vulnerable podría desbloquear un equipo puesto en suspensión que se encontrase ejecutando Cinema Display. La contraseña necesaria para el desbloqueo y la recuperación de la suspensión del equipo no sería requerida en caso de que se encontrase habilitado el modo 'display sleep'. (CVE-2011-3214)

* Un fallo conocido desde el mes de julio, permitía la obtención de contraseñas de usuarios a través del puerto Firewire durante el proceso de arranque y apagado. (CVE-2011-3215)

* Tres vulnerabilidades en Open Directory permitían la obtención de hashes de las contraseñas de los usuarios, la modificación de las claves sin que fuese necesario el conocimiento de las antiguas, y el acceso a servidores LDAP asociados a Open Directory sin que se requiriese la contraseña (CVE-2011-3435, CVE-2011-3436, CVE-2011-3226)

Otro cambio notable introducido en esta serie de actualizaciones, es el que hace que los archivos Disk Image (.dmg) y los paquetes de instalación (.pkg) no sean considerados seguros, por lo que no serán ejecutados de manera automática.

De las 98 vulnerabilidades solucionadas en iOS cabe destacar el envío del AppleID cifrado por parte de las aplicaciones, la revocación de los certificados de DigiNotar o el arreglo de 69 fallos de WebKit. Además se ha añadido soporte para TLS 1.2 en las conexiones cifradas.


Javier Rascón
jrascon@hispasec.com


Más información:

Apple security updates
http://support.apple.com/kb/HT1222

martes, 11 de octubre de 2011

Resumen de boletines de Microsoft en octubre

Tal y como adelantamos, este martes Microsoft ha publicado ocho boletines de seguridad (del MS11-075 hasta el MS11-082) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "importante" y los otros dos "críticos". En total se han resuelto 23 vulnerabilidades.

* MS11-075

Ejecución de código en el componente Microsoft Active Accessibility. Este boletín es de carácter "importante" y la vulnerabilidad que resuelve afecta a Windows Server 2003 y 2008, Windows XP, Windows Vista y Windows 7 (CVE-2011-1247).

* MS11-076

Ejecución remota de código en Windows Media Center (CVE-2011-2009). Afectando a Windows Vista y 7. Esta vulnerabilidad se basa en la falta de políticas de seguridad a la hora de controlar la ruta de ejecución de librerías externas, permitiendo que un atacante utilice DLLs especialmente manipuladas. En definitiva, resuelve un nuevo caso de DLL hijacking.

* MS11-077

Ejecución de código en los controladores en modo kernel de Windows. Este boletín está valorado como "importante" y resuelve cuatro vulnerabilidades que afectan a Windows Server 2003 y 2008, XP, Vista y 7 (CVE-2011-1985, CVE-2011-2002, CVE-2011-2003 y CVE-2011-2011).

* MS11-078

Ejecución de código en en .NET Framework y Microsoft Silverlight. Este boletín esta valorado como "crítico" y resuelve una vulnerabilidad que afecta a Windows Server 2003 y 2008, XP, Vista y 7. (CVE-2011-1253).

* MS11-079

Ejecución de código en Microsoft Forefront Unified Access Gateway (UAG), este boletín esta valorado como "importante" y cuenta con cinco vulnerabilidades (CVE-2011-1895, CVE-2011-1896, CVE-2011-1897, CVE-2011-1969 y CVE-2011-2012 ).

* MS11-080

Elevación de privilegios a través de el controlador de función auxiliar de Microsoft Windows (AFD.SYS). Esta vulnerabilidad afecta a Windows XP y Windows Server 2003 (CVE-2011-2005).

*MS11-081

Ejecución de código en Internet Explorer. Este boletín esta valorado como "crítico" y soluciona ocho vulnerabilidades que afectan a todas sus versiones.(CVE-2011-1993, CVE-2011-1995, CVE-2011-1996, CVE-2011-1997, CVE-2011-1998, CVE-2011-1999, CVE-2011-2000 y CVE-2011-2001 ).

* MS11-082

Denegación de servicio en Host Integration Server. Un atacante remoto que envía paquetes de red especialmente diseñados a un servidor Host Integration Server que escuche en el puerto UDP 1478 o en los puertos TCP 1477 y 1478 podría causar una denegación de servicio. (CVE-2011-2007 y CVE-2011-2008).

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.


Fernando Iglesias
figlesias@hispasec.com


Más información:

Una vulnerabilidad en Microsoft Active Accessibility podría permitir la ejecución remota de código (2623699)
http://technet.microsoft.com/es-es/security/bulletin/ms11-075

Una vulnerabilidad en Windows Media Center podría permitir la ejecución remota de código (2604926)
http://technet.microsoft.com/es-es/security/bulletin/ms11-076

Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la ejecución remota de código (2567053)
http://technet.microsoft.com/es-es/security/bulletin/ms11-077

Una vulnerabilidad en .NET Framework y Microsoft Silverlight podría permitir la ejecución remota de código (2604930)
http://technet.microsoft.com/es-es/security/bulletin/ms11-078

Vulnerabilidades en Microsoft Forefront Unified Access Gateway podrían provocar la ejecución remota de código (2544641)
http://technet.microsoft.com/es-es/security/bulletin/ms11-079

Una vulnerabilidad en el controlador de función auxiliar podría permitir la elevación de privilegios (2592799)
http://technet.microsoft.com/es-es/security/bulletin/ms11-080

Actualización de seguridad acumulativa para Internet Explorer (2586448)
http://technet.microsoft.com/es-es/security/bulletin/ms11-081

Vulnerabilidades en Host Integration Server podrían permitir la denegación de servicio (2607670)
http://technet.microsoft.com/es-es/security/bulletin/ms11-082

lunes, 10 de octubre de 2011

Por qué un cortafuegos personal ¿nunca? es efectivo contra el malware

El cortafuegos personal es una de las medidas "estrella" recomendada desde hace muchos años para luchar contra todo tipo de males. La inercia de la recomendación ha seguido hasta nuestros días, donde un cortafuegos entrante tradicional, poco o nada puede hacer contra muchos de los ataques más sofisticados que se sufren hoy en día. Veamos por qué.

Instalar un cortafuegos personal era imprescindible hace diez años. Los sistemas operativos (por llamarlos de alguna forma) Windows 9X estaban conectados directamente a la red, con IP pública a través de módem. No contar con un firewall constituía un suicidio tecnológico. Después de Sasser y Blaster, XP SP2 se instauró con cortafuegos entrante integrado y activo. Las reglas del juego cambiaron por completo, pero parece que pocos se acordaron de actualizar las instrucciones. Los atacantes se adaptaron rápido, las víctimas... todavía no.

El cortafuegos entrante

Hoy en día un cortafuegos entrante no es útil contra el malware, han aprendido a sortearlo y es complicado encontrar troyanos "clásicos" que abran puertos en el sistema. Además, aunque lo consiguieran, no sería efectiva esta técnica: hoy también es mucho más habitual conectarse a la red de forma indirecta, anteponiendo un router. Estos routers suelen disponer de cortafuegos que protege del exterior y, aunque no lo tuvieran, un atacante tendría que realizar una traducción a direcciones y puertos internos para llegar al sistema que quiere atacar. Por tanto, el cortafuegos entrante en el sistema no está diseñado contra el malware de hoy. Sería una herramienta más útil contra otro tipo de ataques.

El cortafuegos saliente

¿Qué es efectivo entonces? El cortafuegos saliente. Ese que introdujo Vista en 2006... desactivado por defecto y por tanto, con nulo impacto real en la Red. Su ventaja es que detendría a una buena parte (me atrevería a decir que la inmensa mayoría) de los troyanos actuales, que depende de infraestructuras externas para salir a Internet e infectar el sistema.

Su problema es que si bien no todas las aplicaciones legítimas reciben conexiones procedentes del exterior (no tienen que ser revisadas por el cortafuegos entrante), sí que casi todas hoy en día se comunican con el exterior, y tendrían por tanto que estar contempladas como excepción en el cortafuegos saliente. Es una tarea compleja, pero teniendo en cuenta lo bien que se las ha apañado Windows con Vista y 7 para diseñar un cortafuegos entrante que no "estorba" y es efectivo, sospecho que en el futuro podría tenerlo activo por defecto si trabajan ciertos aspectos.

Por ejemplo, podrían añadir ciertas funciones para hacer más cómodo un cortafuegos saliente. Estas son algunas ideas:

* Que sólo las aplicaciones firmadas pudieran salir sin problema a Internet. Las no firmadas, pedirían confirmación.

* Que sólo las aplicaciones alojadas en ciertas rutas (en las que el usuario no tiene permiso de escritura como tal, sólo como administrador) pudieran salir sin problemas.

* Función para bloquear aplicaciones por hash,

* Función para bloquear aplicaciones según el lugar de donde proviene (descargada desde alguna zona concreta de Internet Explorer...)

¿Filosofía AppLocker aplicada al cortafuegos?

Escribiendo estas recomendaciones, descubrimos rápidamente que en realidad son las mismas funciones y condiciones con las que permite jugar AppLocker y SRP (Software Restriction Policy), una tecnología ya activa desde hace años en Windows para bloquear la ejecución de programas bajo ciertas circunstancias. La idea para implementar un cortafuegos saliente efectivo sería trasladar este concepto a la "conexión", en vez de a la "ejecución".

Por supuesto que esto tendría problemas. Por ejemplo AppLocker y SRP son eludibles de diferentes maneras. Por supuesto que, aun con todas las barreras activas, un troyano puede inyectarse en el espacio de memoria de un proceso existente en el sistema y salir a Internet camuflado. O peor aún, alcanzar el ring0 y modificar el comportamiento de sistema donde ninguna regla tendría ya valor. Esto se sabe desde hace tiempo y es una técnica usada por troyanos sofisticados. Pero si al menos se implementara algo así, se estaría elevando un listón que, en este sentido, ahora mismo está abandonado en el suelo mientras el malware campa a sus anchas.


Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv



domingo, 9 de octubre de 2011

Múltiples vulnerabilidades en productos Cisco

Cisco ha anunciado una serie de vulnerabilidades que afectan al módulo Firewall Services Module (FWSM) de los switches Catalyst serie 6500 y los routers de la serie 7600 en las versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x.

Las vulnerabilidades pueden tener un impacto de denegación de servicio o salto de restricciones. Más detalles a continuación:

* Denegación de servicio a través de un error en los mensajes 'syslog'.

El error se encuentra en la implementación de un mensaje de log cuyo identificador es 302015. Cuando se genera este mensaje a causa del tráfico IPv6, puede ocurrir un fallo de memoria que conlleve una denegación de servicio. A esta vulnerabilidad se le ha asignado el identificador CVE-2011-3296.

* Denegación de servicio a través de 'Authentication Proxy'.

Existe un error en la autenticación para permitir el acceso a los usuarios de la red conocida como 'Authentication Proxy' o 'cut-through'. Cuando dicha autenticación se configura a través de los comandos 'aaa authentication match' o 'aaa authentication include', puede producirse una denegación de servicio si hay un elevado número de peticiones de autenticación. El identificador asignado a esta vulnerabilidad es el CVE-2011-3297.

* Salto de restricciones a través de TACACS+.

TACACS+ ('Terminal Access Controller Access Control System') es un protocolo utilizado para gestionar el acceso a servidores y dispositivos. A través de un error no especificado en la implementación de este protocolo, es posible eludir la autenticación de usuarios utilizando una respuesta TACACS+ especialmente manipulada. Su identificador es el CVE-2011-3298.

* Denegación de servicio a través del motor de inspección de SunRPC.

El motor de inspección habilita o deshabilita la inspección de aplicaciones para el protocolo SunRPC ('Sun Remote Procedure Call'). Se han publicado 4 vulnerabilidades que pueden causar la sobrecarga del dispositivo al procesar mensajes SunRPC especialmente manipulados cuando está activado el motor. Los identificadores asignados a estas vulnerabilidades son: CVE-2011-3299, CVE-2011-3300, CVE-2011-3301, y CVE-2011-3302.

* Denegación de servicio a través del motor de inspección ILS

El motor de inspección ILS ('Internet Locator Server') proporciona el servicio de traducción de direcciones de red o NAT ('Network Address TranslationT') al intercambiar información de directorios con el servidor ILS. Existe un error no especificado que puede sobrecargar el dispositivo al procesar mensajes ILS malformados cuando dicho motor está habilitado. Se le ha asignado el identificador CVE-2011-3303.

Las dos últimas series de vulnerabilidades, las de SunRPC e ILS, no se ven afectadas por el tráfico dirigido a estos dispositivos, sino únicamente por el tráfico de paso.

Por otra parte, las 3 últimas series de vulnerabilidades, aquellas que se refieren a TACACS+, SunRPC, e ILS, afectan además a los módulos Adaptive Security Appliances de Cisco ASA serie 5500 y ASA Services Module de Cisco Catalyst serie 6500, en las versiones 7.0.x, 7.1.x, 7.2.x, 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, y 8.5.x.

Los parches que solucionan estas vulnerabilidades se encuentran disponibles para su descarga en la página de Cisco.


Juan José Ruiz
jruiz@hispasec.com


Más información:

Cisco Security Advisory: Multiple Vulnerabilities in Cisco Firewall
Services Module
http://www.cisco.com/en/US/products/products_security_advisory09186a0080b97904.shtml

sábado, 8 de octubre de 2011

Revelación de información a través de 'mod_proxy' en Apache 2.x

Se ha publicado un fallo en el módulo 'mod_proxy' de Apache 2.x que podría permitir a un atacante obtener información sobre la red interna detrás de un servidor vulnerable.

'mod_proxy' es un módulo de Apache que desempeña la función de un proxy/gateway, permitiendo configuraciones 'forward' y 'reverse'.

La configuración 'forward proxy' actúa de intermediario entre el cliente y el servidor, y requiere que el cliente esté debidamente configurado para utilizarlo. El uso más común de este tipo de configuración es proporcionar acceso a Internet a usuarios que se encuentran en una intranet protegida por un cortafuegos.

Por otro lado, la configuración 'reverse proxy' es totalmente transparente al usuario, por lo que éste no necesita realizar ningún tipo de configuración especial. El uso típico de esta configuración es permitir a usuarios de Internet el acceso a servidores alojados tras un cortafuegos.





Sin embargo existe un fallo en el módulo 'mod_proxy', al utilizar las directivas 'RewriteRule' y 'ProxyPassMatch' para configurar un servidor Apache en modo 'reverse proxy' mediante coincidencias depatrones. Esto puede provocar que, de forma inadvertida, los servidores internos o no públicos queden expuestos, de tal manera que un atacante remoto obtenga información sensible a través de peticiones especialmente manipuladas.

El fallo está provocado por una configuración como la que sigue

RewriteRule (.*)\.(jpg|gif|png)     http://images.ejemplo.com$1.$2 [P]
ProxyPassMatch (.*)\.(jpg|gif|png)  http://images.ejemplo.com$1.$2

ya que, ante una petición de este tipo

GET @otro.ejemplo.com/otro.png HTTP/1.1

podría traducirse, por ejemplo, en:

http://images.ejemplo.com@otro.ejemplo.com/algo.png

lográndose una conexión a la máquina otro.ejemplo.com que en principio no debería ser accesible, confundiendo el sistema la parte izquierda de la URL con credenciales. Un atacante podría así obtener información de los sistemas internos de una red según la respuesta data ante la petición.







La siguiente configuración no se ve afectada por esta vulnerabilidad (nótese el carácter '/' antes de '$1.$2'):

RewriteRule (.*)\.(jpg|gif|png)     http://images.ejemplo.com/$1.$2 [P]
ProxyPassMatch (.*)\.(jpg|gif|png)  http://images.ejemplo.com/$1.$2

La vulnerabilidad tiene asignado el identificador CVE-2011-3368, y el parche para corregirla puede descargarse desde el siguiente enlace:


http://www.apache.org/dist/httpd/patches/apply_to_2.2.21/



Juan José Ruiz
jruiz@hispasec.com


Más información:

CVE-2011-3368 httpd: reverse web proxy vulnerability
https://bugzilla.redhat.com/show_bug.cgi?id=740045

viernes, 7 de octubre de 2011

Microsoft publicará ocho boletines de seguridad el próximo martes

Siguiendo con su ciclo habitual de publicación de parches de seguridad los segundos martes de cada mes, Microsoft publicará el próximo 11 de octubre ocho boletines de seguridad, del MS11-075 al MS11-082. Se espera que los boletines solucionen hasta 23 vulnerabilidades en total.

Los fallos afectan a toda la gama de sistemas operativos Windows, Internet Explorer, .NET Framework, Silverlight, Forefront Unified Access Gateway, y Microsoft Host Integration Server.

Dos de los boletines consideran los fallos en Windows, Internet Explorer, .NET Framework, y Silverlight como críticos, lo que conlleva ejecución remota de código. El resto de los boletines son calificados como importantes, y afectan a Windows, Forefront Unified Access Gateway, y Host Integration Server.

Además, como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool que estará disponible desde Microsoft Update, Windows Server Update Services, y el centro de descarga.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.


Juan José Ruiz
jruiz@hispasec.com


Más información:

Microsoft Security Bulletin Advance Notification for October 2011
http://technet.microsoft.com/en-us/security/bulletin/ms11-oct

jueves, 6 de octubre de 2011

Ejecución de código en el gestor de paquetes RPM

El boletín Red Hat Security Advisory 2011-1349-01, ha publicado una serie de fallos que afectan al gestor de paquetes RPM.

RMP Manager Packet, más conocido por sus siglas RPM, es un gestor de paquetes utilizado por múltiples sistemas operativos GNU/Linux, aunque originalmente fue desarrollado por Red Hat.

Se han detectado múltiples fallos en la forma en que la biblioteca RPM analiza las cabeceras de dichos paquetes, de forma que podría permitir a un atacante remoto llevar a cabo una denegación de servicio o, incluso, ejecutar código arbitrario utilizando un paquete RPM especialmente manipulado.

La vulnerabilidad tiene asignado el identificador CVE-2011-3378.

Las distribuciones de GNU/Linux que utilizan el gestor de paquetes RPM, tales como Red Hat, CentOS, Mandriva, etc. ya han comenzado a actualizarlo para corregir este problema.


Juan José Ruiz
jruiz@hispasec.com


Más información:

Important: rpm security update
http://rhn.redhat.com/errata/RHSA-2011-1349.html

miércoles, 5 de octubre de 2011

Códigos QR y malware

De un tiempo a esta parte los códigos QR han ido reproduciéndose en el ámbito publicitario principalmente, hasta el punto en el que es complicado no encontrar un anuncio que lo contenga. ¿Qué son realmente los códigos QR y qué relación pueden tener con el malware?

QR es un tipo de código de barras inicialmente diseñado para la industria automovilística. Hoy, mucho más popular, está siendo ampliamente empleado en anuncios, transporte, etiquetas... Su mayor virtud es su fácil lectura (no es necesario un escáner, sino que basta con la cámara de cualquier móvil) y su capacidad de almacenamiento de datos. En los anuncios actuales, por ejemplo, se está usando para almacenar una URL. El usuario no tendrá que recordarla, sino que podrá hacer una fotografía con su móvil e incluso visitarla directamente con este mismo dispositivo.

Desde el momento en el que se permite este comportamiento, la relación entre códigos QR y malware es clara. Pueden ser usados para incitar al usuario a visitar una URL sin que realmente conozca de antemano hacia dónde se dirige. Aunque la URL de destino está habitualmente pensada para llevar a una página donde se obtenga mayor información, en realidad puede dirigir al usuario a cualquier punto: desde un phishing hasta una dirección desde donde descargar aplicaciones troyanizadas para su móvil. Pasando por una web que aproveche algún fallo del teléfono y robe sus datos.

Kaspersky ya ha descubierto una página web que contenía un código QR que redirigía a aplicaciones APK que no era más que un cliente ICQ para Android troyanizado. En realidad, es un caso parecido a los populares acortadores de URL actuales. Los códigos QR no modifican las reglas actuales del juego, en el sentido de que no suponen un método novedoso de infección. Sólo amplían las posibilidades de los atacantes en un campo que está, cada vez parece que con mayor intensidad, en el punto de mira del malware: los dispositivos móviles y en concreto Android. Por ejemplo, pensemos en un código QR en la calle, prometiendo algún premio como reclamo y que redirija al usuario hacia una web que intente robarle los datos.

Para ilustrar de forma sencilla ese creciente interés en la creación de malware para Android, podemos remitirnos simplemente a un troyano que varias casas antivirus califican como Trojan-SMS.AndroidOS (especialmente diseñados para enviar SMS a cuentas premium). Han llegado a VirusTotal unas 150 muestras diferentes en la última semana.

qrcode

Borja Luaces
bluaces@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Malicious QR Codes Pushing Android Malware
http://www.securelist.com/en/blog/208193145/Its_time_for_malicious_QR_codes

martes, 4 de octubre de 2011

Denegación de servicio en Pidgin 2.10.0

Se ha solucionado un error de denegación de servicio en la función 'silc_private_message' del módulo SILC de el popular cliente de mensajería instantánea Pidgin.

Pidgin es un programa de mensajería instantánea multicuenta y multiprotocolo distribuido bajo licencia GNU GPL. Permite por tanto conectarse de manera simultánea a varios servicios de mensajería como AIM, MSN o ICQ entre otros.

El problema se encuentra en la validación de los datos recibidos en el prototolo SILC. Cuando la comunicación está marcada como UTF-8 y se envían datos no codificados de esa forma, la función 'silc_private_message' no valida que la cadena sea correcta. Esto provoca que al llamar a otra función 'g_utf8_next_char', devuelva un valor inválido y cause un bucle infinito.

Esta vulnerabilidad ha sido solucionada en los repositorios de Pidgin y estará incluida entre las soluciones publicadas con la futura versión 2.10.1.


Víctor Antonio Torre
vtorre@hispasec.com


Más información:

Bug Ticket:
http://developer.pidgin.im/ticket/14636

Parche:
http://developer.pidgin.im/viewmtn/revision/info/7eb1f6d56cc58bbb5b56b7df53955d36b9b419b8

lunes, 3 de octubre de 2011

Nuevos contenidos en la Red Temática CriptoRed (septiembre de 2011)

Breve resumen de las novedades producidas durante el mes de septiembre de 2011 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS VÍDEOS EN LA ENCICLOPEDIA DE LA SEGURIDAD DE LA INFORMACIÓN INTYPEDIA EN SEPTIEMBRE DE 2011
* Lección 10: Ataques al protocolo SSL (Luciano Bello – Chalmers University; Alfonso Muñoz - T>SIC UPM, 16:51 minutos)
http://www.criptored.upm.es/intypedia/video.php?id=ataques-ssl&lang=es

2. DOCUMENTOS RECOMENDADOS DE OTROS SERVIDORES EN EL MES DE SEPTIEMBRE DE 2011
* Informe de la Red de Sensores del mes de agosto de 2011 sobre virus y malware (INTECO, España)
https://ersi.inteco.es/informes/informe_mensual_201108.pdf
* Inseguridad de la información: Maestra en la ciencia de la protección de la información, Blog IT-Insecurity (Jeimy Cano, Colombia)
http://insecurityit.blogspot.com/2011/08/inseguridad-de-la-informacion-maestra.html
* Máxima Seguridad en Windows: Secretos Técnicos (Sergio de los Santos - Hispasec España)
http://www.informatica64.com/libros.aspx?id=mswindows
* Seguridad por Niveles (Alejandro Corletti - España)
http://darfe.es/CMS/index.php?module=noticias&func=display&sid=11
* Lo que 4 Años en la Web enseñan sobre Malware en Blog Seguridad + Investigación (Gaspar Modelo - Panamá)
http://iobses.blogspot.com/2011/09/lo-que-4-anos-en-la-web-ensenan-sobre.html

3. RELACIÓN DE CONGRESOS, SEMINARIOS Y CONFERENCIAS POR ORDEN CRONOLÓGICO DE CELEBRACIÓN
* Octubre 17 al 21 de 2011: First International Workshop on Rational, Secure and Private Ad-Hoc Networks RASEP '11 (Creta - Grecia)
* Octubre 26 al 28 de 2011: 17th International Congress on Computer Science Research CIICC'11 (Morelia - México)
* Octubre 27 al 29 de 2011: Congreso Nacional de Seguridad Informática, Tecnologías de Información, Cómputo y Telecomunicaciones (Acapulco - México)
* Noviembre 1 al 5 de 2011: VI International Conference on Non Associative Algebra and its Applications (Zaragoza - España)
* Noviembre 2 al 4 de 2011: VI Congreso Iberoamericano de Seguridad Informática CIBSI 2011 (Bucaramanga - Colombia)
* Noviembre 7 al 11 de 2011: Workshop sobre Seguridad de la Información e Inteligencia Artificial en la Internet de las Cosas SIIAIC (La Laguna - España)
* Noviembre 7 al 11 de 2011: XXIII Encuentro Chileno de Computación ECC2011 (Talca - Chile)
* Noviembre 7 al 11 de 2011: 30th International Conference of the Chilean Computer Science Society SCCC2011 (Talca - Chile)
* Noviembre 17 al 18 de 2011: Jornadas de Criptografía Spanish Cryptography Days SCD2011 (Murcia - España)
* Noviembre 28 al 30 de 2011: 2nd International Symposium on Innovation and Technology ISIT 2011 (Lima - Perú)
* Noviembre 28 a diciembre 2 de 2011: Workshop on Computational Security 2011 en el Centre de Recerca Matemàtica (Bellaterra - España)
* Diciembre 13 al 15 de 2011: 10th International Information and Telecommunication Technologies Conference (Curitiba - Brasil)
* Marzo 1 al 3 de 2012: Rooted CON 2012 (Madrid - España)
Más información en:
http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. FUE NOTICIA EN LA RED TEMÁTICA EN EL MES DE SEPTIEMBRE DE 2011
* Semana de la seguridad en Bogotá Infosecurity 2011 Before & After Wikileaks (Colombia)
* VI International Conference on Non Associative Algebra and its Applications en Zaragoza (España)
* Curso ejecutivo de preparación del examen de certificación CGEIT (España)
* Despedida de la Cátedra UPM Applus+ y nueva sección Multimedia en la Red Temática (España)
* Asegú@IT Camp 3 se celebra del 21 al 23 de octubre de 2011 en El Escorial (España)
* Seminario SIC de Control y ciclo de vida de dispositivos inteligentes. Gestión y seguridad en entornos de movilidad (España)
* X Seminario Anual Tendencias de Seguridad Informática Argentina 2011 (Argentina)
* VI edición de Curso de Experto en Seguridad Informática de la Universidad de Mondragón en formato online (España)
* CFP para la tercera edición de Rooted CON 2012 en Madrid (España)
* Congreso Nacional de Seguridad Informática, Tecnologías de Información, Cómputo y Telecomunicaciones en Acapulco (México)
Acceso al contenido de estas noticias:
http://www.criptored.upm.es/paginas/historico2011.htm#sep11

5. OTROS DATOS DE INTERÉS EN LA RED TEMÁTICA
* Número actual de miembros en la red: 897
http://www.criptored.upm.es/paginas/particulares.htm
* Estadísticas criptored: 30.760 visitas, con 101.675 páginas solicitadas y 36,81 Gigabytes servidos en septiembre de 2011, descargándose 21.164 archivos zip o pdf
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html
* Estadísticas intypedia: 5.964 reproducciones en septiembre de 2011
http://www.criptored.upm.es/paginas/intypediamensual.htm

7. Queda menos de un mes para el VI Congreso Iberoamericano CIBSI 2011
Buracamanga, Colombia, del 2 al 4 de noviembre
Primer Taller Iberoamericano TIBETS 2011
Buracamanga, Colombia, 3 de noviembre
http://www.cibsi.upbbga.edu.co/
Te esperamos en Bucaramanga


Jorge Ramió Aguirre
Coordinador de Criptored
Twitter: @criptored



domingo, 2 de octubre de 2011

Adobe no solucionará un problema de ejecución de código en Photoshop Elements 8

Aunque ya no tiene soporte, se ha publicado una vulnerabilidad que afecta a Photoshop Elements 8 y versiones inferiores. Descubierta por Gjoko Krstic, permite ejecutar código arbitrario. El problema es que fue descubierta mientras que la versión 8 era la última de la rama.

Photoshop Elements es el programa de diseño, edición y creación de imágenes más usado en la actualidad. Es usado ampliamente en el retoque fotográfico. La vulnerabilidad provoca un desbordamiento de memoria intermedia cuando se procesan ficheros con formato .ABR (brushes) o .GRD (gradients), lo que lleva a la ejecución de código en el equipo que abra ficheros de este tipo. Se han dado todos los detalles técnicos del fallo.

La vulnerabilidad fue reportada al fabricante el 9 de marzo de 2010, cuando sólo se distribuía la versión 8 del software. No es hasta el 20 de septiembre de ese mismo año que Adobe crea la nueva versión 9. Esta nueva versión no es vulnerable a este ataque, pero aún no aparece ninguna solución para la versión anterior ni se hace público el fallo.

Casi un año después, el 30 de septiembre de 2011 se pública esta vulnerabilidad identificada como APSA11-03 o CVE-2011-2443 que afecta a la rama 8. Adobe alega que, al no estar ya soportada, no se va a publicar un parche para esta vulnerabilidad y anima a los usuarios a que actualicen las versiones 9 y 10, que no se ven afectadas.

Por lo que se deduce de la cronología desvelada ahora por su descubridor, Adobe ignoró la vulnerabilidad en la versión 8 durante unos seis meses, mientras preparaba la nueva versión 9 de su software y la corregía sin informar a nadie. Ahora que el programa ya no tiene soporte, hace públicos todos los detalles (coordinándose con el descubridor) y anima a los usuarios a actualizarse (y por tanto, a pasar por caja) para poder solucionarlo.

Adobe no las única que utiliza la seguridad como aliciente para que los usuarios actualicen a versiones más modernas de sus programas, pero parece irresponsable dejar pasar un año y medio desde que se descubre un fallo para informar del potencial peligro que sufren los usuarios de esa versión. En este caso, Adobe ha confiado en que el descubridor mantenga pacientemente en secreto el problema, pero en tantos meses, se puede dar la circunstancia de que sea descubierta por otros investigadores que posean otras intenciones. Otro dato que resulta curioso es que, por razones desconocidas, el descubridor esperó desde septiembre de 2009 a marzo de 2010 para informar a Adobe de que había descubierto la vulnerabilidad.


Víctor Antonio Torre
vtorre@hispasec.com

Sergio de los Santos
ssantos@hispasec.com
Twitter: @ssantosv


Más información:

Adobe Security Advisory:
http://www.adobe.com/support/security/advisories/apsa11-03.html

PoC:
http://www.zeroscience.mk/en/vulnerabilities/ZSL-2011-5049.php