viernes, 31 de enero de 2014

Si usas Yahoo Mail cambia tu contraseña

Continúan los problemas para Yahoo. Tal y como anunciaba ayer mismo Jay Rossiter, vicepresidente senior de Yahoo, "han identificado un intento coordinado para obtener acceso a las cuentas de correo de Yahoo".

Según confirma, para el ataque se ha empleado una base de datos de usuarios y contraseñas recogidas de un ataque a otra compañía (sin identificar el origen). También indica que se ha empleado un programa especial, para automatizar el intento de acceso con las cuentas y contraseñas.

Según confirma el vicepresidente se han "reseteado" las contraseñas de las cuentas atacadas y se está empleado autenticación de doble factor para que los usuarios puedan asegurar sus cuentas. A los usuarios afectados se les pedirá (si no lo han sido ya) el cambio de contraseña, igualmente habrán recibido una notificación por correo o incluso un SMS en caso de tener un número de móvil asociado a la cuenta.

Igualmente Yahoo está colaborando con las autoridades federales para encontrar a los responsables del ataque. También se han implementado medidas adicionales para bloquear este ataque contra los sistemas de Yahoo.

Este problema ya es habitual, tras la intrusión sufrida por Adobe fueron varias las compañías que vieron intentos de acceso empleando la base de datos comprometida. Por ejemplo, Facebook (entre otras), ´también instó a los usuarios afectados al cambio de contraseña.

Como medidas de seguridad recodar las ya habituales, como no emplear la misma contraseña en diferentes sitios, cambiar regularmente la "password" así como emplear caracteres y símbolos en la contraseña. Usar de la misma contraseña en múltiples servicios hace al usuario vulnerable ante este tipo de ataques.

Más información:

Important Security Update for Yahoo Mail Users




Antonio Ropero
Twitter: @aropero

jueves, 30 de enero de 2014

Solucionada vulnerabilidad de ejecución remota de código en servidores de Yahoo

El investigador de seguridad Ebrahim Hegazy (@Zigoo0) ha descubierto recientemente una vulnerabilidad de inyección de código PHP en los servidores de Yahoo.

El error reside en el tratamiento del parámetro GET 'sid' del siguiente enlace http://tw.user.mall.yahoo.com/rating/list?sid=$Vulnerability
Véase como ejemplo el siguiente payload ${@print(system("whoami"))} con el que se podrían ejecutar comandos de forma remota gracias a la función system() de PHP.

                             http://www.youtube.com/watch?v=V3CHd6ePICo

No conforme con ello, según Ebrahim dicho servidor tenía una versión antigua del kernel que permitiría una elevación de privilegios.

La vulnerabilidad fue confirmada y ha sido arreglada por parte del equipo de seguridad de Yahoo.

Más información:

Yahoo! Remote Command Execution Vulnerability.

Yahoo.com Remote Command Execution


Fernando Castillo

miércoles, 29 de enero de 2014

Versión troyanizada del cliente FTP Filezilla

Avast, la compañía que desarrolla el antivirus del mismo nombre, ha alertado de la detección de varias versiones troyanizadas del popular programa Filezilla.

Filezilla es un cliente FTP con licencia GNU, escrito en C++ sobre la librería wxWidgets. La primera versión data de junio del 2001, diseñado originalmente por Tim Kosse. Filezilla se encuentra disponible en varias plataformas incluyendo Windows, Linux y OS X.

Según Avast, habrían sido detectadas al menos dos versiones falsificadas del cliente. En concreto las versiones 3.7.3 y 3.5.3. Las versiones maliciosas no habrían sido expuestas en el sitio oficial, no se trata de una inyección de código malicioso en el repositorio ni una intrusión en el sitio web.

Las versiones troyanizadas habrían sido publicitadas y colgadas en distintos sitios web atacados. Desde Hispasec hemos efectuado un rastreo en la web y hemos dado rápidamente con algunos ejemplos:



Una vez bajada la versión troyanizada de Filezilla 3.7.3, podemos analizarla en Virustotal y el resultado es el esperado:


El malware, cuando se instala, imita el proceso de instalación y la interfaz del instalador de Filezilla, la única diferencia es que la versión del instalador de NullSoft es la 2.46.3-Unicode en el troyano, siendo la v2.45-Unicode en la oficial.

Tal y como anota Avast y hemos comprobado, el troyano instala una versión completamente funcional del cliente FTP. Es decir, no termina la instalación con un error y abortando el proceso como es habitual en algunos esquemas de infección por troyano. Además el tamaño del ejecutable "filezilla.exe" es menor en el troyano e incluye dos librerías (ibgcc_s_dw2-1.dll y libstdc++-6.dll) que no están presentes en el Filezilla oficial. También, curiosamente, en el dialogo de "About Filezilla" las versiones de las librerías SQLite y GnuTLS son más antiguas que las que porta el software original.

¿Qué hace el troyano?

La funcionalidad maliciosa se limita, hasta ahora, a conectar con un sitio web operado por el atacante y depositar las credenciales de conexión FTP de la víctima. Esto lo hace justo cuando el usuario se  autentica contra el servidor FTP que use. Decimos hasta ahora porque esto puede cambiar en cualquier momento si los autores publican una versión con una capacidad más dañina.

Si usas el cliente Filezilla, asegúrate que no tienes una versión maliciosa y que esta ha sido descargada de una fuente oficial.

Más información:


David García
Twitter: @dgn1729

martes, 28 de enero de 2014

Nueva actualización de seguridad para Google Chrome

Apenas una semana después de que Google publicara la versión Chrome 32, se ha anunciado la versión 32.0.1700.102 para todas las plataformas (Windows, Mac, Linux y Chrome Frame), que junto con nuevas funcionalidades y mejoras, además viene a corregir 14 nuevas vulnerabilidades.

Según el aviso de Google se han corregido problemas con el puntero del ratón al salir del modo de pantalla completa, con el arrastrar y soltar archivos, caída del plugin Quicktime, fallos al usar un trackpad, el scroll no funciona en las "combo box" y problemas de inestabilidad.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado 14 vulnerabilidades, se facilita información de dos de ellas (de carácter alto).

Las vulnerabilidades descritas están relacionadas con el uso de punteros después de liberar en el tratamiento de imágenes SVG (CVE-2013-6649) y una corrupción de memoria en V8 (CVE-2013-6650).

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía las vulnerabilidades descritas anunciadas han supuesto un total de 10.000 dólares en recompensas a los descubridores de los problemas.

Más información:

Stable Channel Update

una-al-dia (22/01/2014) Google anuncia nueva versión de Chrome y corrige 11 vulnerabilidades



Antonio Ropero
Twitter: @aropero

lunes, 27 de enero de 2014

Actualización de seguridad para Adobe Digital Editions

Adobe ha publicado una actualización para Adobe Digital Editions para Windows y Macintosh, destinada a corregir una vulnerabilidad considerada crítica y que podría permitir a un atacante tomar el control de los sistemas afectados. 

Adobe Digital Editions (ADE) es un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks. ADE utiliza el sistema de protección antipiratería conocido como DRM (Digital Right Management), por lo que es necesario su utilización para la descarga, lectura, copia al lector, etc. de libros protegidos.

El problema, con CVE-2014-0494, afecta a Adobe Digital Editions versión 2.0.1 para Windows y Macintosh. Reside en una vulnerabilidad de corrupción de memoria (de la que no se han especificado detalles) que podría dar lugar a una ejecución remota de código. Un atacante que aproveche este fallo podría provocar la caída de la aplicación e incluso tomar el control de los sistemas afectados.

Adobe recomienda a los usuarios actualizar los productos afectados a la nueva versión 3.0 descargando el instalador desde:
y seguir las instrucciones de dicho programa.

Más información:

Security update available for Adobe Digital Editions



Antonio Ropero

Twitter: @aropero

domingo, 26 de enero de 2014

Crónica de la intrusión en blogs.perl.org

El pasado día 25, Aaron Crane, uno de los administradores del dominio blogs.perl.org, la plataforma de federación de blogs del lenguaje Perl, publicó una entrada donde anunciaba que el sitio había sido víctima de una intrusión. Los datos de casi 3000 cuentas de usuario habían sido publicados.

Vamos a analizar como se realizó la intrusión con la información que Crane y otros usuarios aportaron y que medidas tomaron tras el episodio.

La mañana del 22 de enero, los administradores del sitio, fueron alertados de la intrusión. No comentan si esta fue descubierta al ver las cuentas publicadas o el defacement. Los atacantes dejaron un mensaje reivindicativo en blogs.perl.org/icrg.php pero, al parecer, no tocaron el index. Algo bastante típico en este tipo de ataques, por lo que supuestamente el mensaje no aparecía visitando la raíz.



En el leak de las cuentas, subido a https://www.quickleak.org/QtPly6aE puede observarse la fecha del volcado de la base de datos: 21.01.2014 y la página creada el 22.01.2014 unas cuatro horas después, por lo que cabe la posibilidad de que alguien que lo viese diera la voz de alarma a los administradores. Tras el aviso, desactivaron la parte dinámica del sitio (los módulos Perl y PHP de Apache) para determinar que estaba ocurriendo, en ese momento solo se ofrecía contenido estático.

blogs.perl.org corre una plataforma Movable Type versión 4, podemos verlo simplemente accediendo al código HTML de cualquier página generada. Movable Type es una plataforma de contenido para blogs realizada en el lenguaje Perl para la gestión y PHP para la publicación. Esto es un dato curioso ya que los atacantes usaron PHP en el ataque mientras que la vulnerabilidad estaba presente en un módulo de Perl. Otro dato naturalmente importante es que la versión 4 ya no recibe soporte oficial desde hace bastante tiempo.



¿Qué vulnerabilidad usaron?

No usaron un 0day, ni una vulnerabilidad conocida pero sin exploit publicado, tampoco usaron una vulnerabilidad conocida con un exploit publicado al que hay que retocar algo el código para que funcione correctamente. En el ataque se usó una vulnerabilidad que permite inyectar código Perl arbitrario en remoto, sobre la que se conoce su existencia desde hace un año y de la cual se tiene un exploit funcional en la suite por excelencia: Metasploit (http://www.exploit-db.com/exploits/24321/)

La vulnerabilidad se encuentra en "mt-upgrade.cgi" cuya funcionalidad reside en “lib/MT/Upgrade.pm”. Esta vulnerabilidad se encuentra perfectamente descrita en http://www.sec-1.com/blog/2013/402 y tiene asignado el CVE-2013-0209.

Básicamente es un script que es usado durante la instalación y actualización de la plataforma. El problema es que puede ser invocado desde el exterior, sin necesidad de autenticación y (sin parche) contiene una función con un parámetro que efectúa un 'eval' sobre cualquier código Perl que inyectemos vía petición HTTP POST.

Afortunadamente para los usuarios que no podían permitirse la migración o actualización, Movable Type publicó un parche para las ramas afectadas: 4.2 y 4.3. Dicho parche fue publicado hace justamente un año, días antes del anunció de la vulnerabilidad.

Recapitulando, blogs.perl.org llevaba más de un año funcionando con una vulnerabilidad que permitía ejecutar código arbitrario en su sitio. Con un exploit publicado. Corriendo un software con una versión fuera de soporte y sin aplicar un parche que lleva igualmente un año disponible para tapar el agujero. La pregunta quizás no es por qué no se molestaron en revisar la seguridad sino como han sido capaces de permanecer intactos un año entero…si es que realmente han permanecido intactos.

Evaluación de daños

Aunque no lo relatan directamente es bastante probable que los atacantes usaran la vulnerabilidad para subir una shell en PHP. Crane comenta en la entrada "borramos la herramienta del atacante", por lo que es asumible que hicieran esto último.

Las medidas que tomaron fue el borrado del script PHP, aplicación del parche correspondiente y otro parche más, creado por ellos mismos, que cambia el algoritmo de generación de los hashes a SHA-512.

Públicamente solo se tiene conocimiento del mensaje y el leak de la tabla "mt_author" que contiene, entre otros datos, el correo, contraseña y nombre.

De las contraseñas se almacena el hash usando la función "crypt" de Perl, básicamente una envoltura de la función correspondiente de la librería C (ver "unistd.h" o man 3 crypt). Esta función contiene dos parámetros: un texto en claro y una sal y devuelve el hash en forma de 13 bytes siendo los dos primeros la sal. Se puede "experimentar" con la función con un simple oneliner:

perl -e ‘ print crypt(“cadena”, “sal”) . “\n” ’

Internamente “crypt” usa el algoritmo DES ligeramente modificado, aunque puede utilizar otros. Solo se usan los ocho primeros bytes de la cadena por lo que las contraseñas ven reducidas su longitud efectiva a ese tamaño. DES y su actualización Triple DES son considerados inseguros y sobre ellos pueden usarse diversos tipos de ataques con éxito. Otra nota curiosa es que la función, tanto en Perl como en C, es llamada "crypt" lo que hace pensar erroneamente que se "cifran" las contraseñas.

El verdadero problema de los leaks con los hashes es el uso cruzado que puede darse de las contraseñas. Teniendo información del usuario (correo, nombre, etc) puede darse el caso de que una misma contraseña sea usada en múltiples sitios (ssh, correo, ftp…). En una conversación privada se ha comentado que con un simple portátil alguien ya ha conseguido el 20% de las contraseñas en solo 3 horas.

Cuando ocurre una brecha de esta clase cabe preguntarse ¿Hasta donde han podido ramificar el ataque? ¿Le habrá dado tiempo al usuario x a cambiar esa contraseña que usa también en el repositorio de código, donde guardan celosamente el código fuente de una aplicación de miles de dólares?


David García
Twitter: @dgn1729


sábado, 25 de enero de 2014

Ejecución de código en Apple Pages

Apple ha confirmado una vulnerabilidad en Apple Pages, que podría permitir a un atacante remoto comprometer los sistemas afectados.


Pages para Mac es un procesador de texto, incluido dentro del conjunto de herramientas iWork (que también incluye Keynote y Numbers). Incluye todas las herramientas habituales para la creación de documentos. Permite el trabajo en ordenadores Mac o dispositivos iOS, y el tratamiento e intercambio de documentos Word de Microsoft.

El problema (con CVE-2014-1252) reside en una doble liberación de memoria al tratar determinados archivos Microsoft Word, que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo específicamente creado.

Apple ha publicado las versiones Pages 5.1 y Pages 2.1 para solucionar esta vulnerabilidad.

Más información:

About the security content of Pages 5.1 and Pages 2.1
  


Antonio Ropero

Twitter: @aropero

viernes, 24 de enero de 2014

Chrome puede escuchar lo que dices

Un desarrollador ha anunciado una vulnerabilidad en el navegador Google Chrome que podría permitir a un atacante remoto escuchar todas las conversaciones que se produzcan en el entorno del ordenador. Conversaciones, reuniones, llamadas, etc. podrían quedar al alcance de cualquier atacante remoto.

El desarrollador web Tal Ater (@talater) descubrió el problema mientras trabajaba con annyang (una conocida librería JavaScript de reconocimiento de voz). Una página maliciosa puede activar el micrófono del ordenador sin conocimiento del usuario y escuchar cualquier cosa que se diga en su entorno, incluso después de haber cerrado el sitio.

Cuando un sitio web, necesita acceder al micrófono, Chrome requiere la autorización del usuario. Un cuadro de diálogo aparece sobre el navegador y tras aceptar la petición, se muestra un icono en esa pestaña para mostrar que el micrófono se encuentra activo. Al cerrar la pestaña, visitar otro sitio o incluso cerrar la ventana principal del navegador (no el proceso), se supone que el uso del micrófono queda cortado, pero tal y como ha demostrado Tal Alter esto no es así. Un sitio malicioso podría emplear una ventana pop-under para mantener el micrófono activo incluso después de haber cerrado la ventana principal del navegador.

Las ventanas pop-under, a diferencia de las pestañas normales no muestran el estado del micrófono, y el atacante podrá seguir escuchando todo el tiempo que la ventana pop-under permanezca abierta.

El problema, según explica su descubridor, reside en el uso de los permisos https del sitio. Chrome recuerda cuando se han aplicado permisos de micrófono a un sitio https, por lo que no requiere una nueva aprobación cada vez que se visite dicho sitio. Esto puede permitir a un atacante abrir una ventana pop-under y continuar usando el micrófono sin el permiso del usuario (y sin su conocimiento).

El desarrollador confirma que reportó el problema al equipo de seguridad de Google el 13 de septiembre, el 19 sus ingenieros habían identificado los problemas y sugerido correcciones. El 24 de septiembre, ya tenían disponible un parche para solucionar el fallo y finalmente le reconocen como nominado para el Panel de Recompensas.

Pero cuatro meses después la solución todavía no ha llegado a los escritorios. Según Google, el problema está en que el grupo de estándares no ha decidido cual debe ser el comportamiento correcto del navegador ante este problema. Sin embargo, el W3C, la organización encargada de mantener los estándares web, ya definió el comportamiento adecuado para evitar este problema en su especificación de la "Web Speech API", en octubre de 2012.

Por ello, el descubridor ha publicado sus descubrimientos incluyendo el código del exploit que aprovecha este problema. Como recomendación de seguridad, se puede consultar la configuración de permisos para cada sitio web, desde Chrome accediendo a chrome://settings/contentExceptions#media-stream. También se puede bloquear completamente el acceso al micrófono desde chrome://settings/content, en la sección "Multimedia" seleccionando "No permitir que los sitios accedan a mi cámara ni a mi micrófono".

Más información:

Chrome Bugs Allow Sites to Listen to Your Private Conversations

Código fuente del exploit



Antonio Ropero
Twitter: @aropero

Apple soluciona múltiples vulnerabilidades en iTunes, algunas de más de 2 años

Se ha publicado la nueva versión de iTunes 11.1.4 que corrige un total de 25 vulnerabilidades; solo una de ellas afecta a los clientes para Mac y Windows, mientras que las demás afectan exclusivamente a las versiones para Windows.

El primero de los problemas corregidos, con CVE-2014-1242, que afecta a las versiones de iTunes para Mac OS y Windows podría permitir la realización de ataques de hombre en el medio; debido a que los contenidos de las ventanas de los tutoriales de iTunes se recibían mediante una conexión http.

Las otras 24 vulnerabilidades afectan solo a Windows. Una de ellas, con CVE-2013-1024, podría permitir la ejecución de código de forma remota al visualizar una película específicamente manipulada. Otras 16 vulnerabilidades se refieren a problemas de manejo de memoria en WebKit, que podrían permitir la denegación de servicio o ejecución de código al consultar iTunes Store a través de iTunes.

Las restantes siete vulnerabilidades, se refieren al uso de versiones antiguas de las librerías libxml y libxslt. Seis de los problemas en estas librerías fueron reportados en 2012 y uno data de 2011. Apple ha actualizado las librerías a libxml 2.9.0 (ya anticuada, con fecha de 11 de septiembre de 2012) y libxslt 1.1.28.

Más información:

About the security content of iTunes 11.1.4

libxml Releases




Antonio Ropero

Twitter: @aropero

jueves, 23 de enero de 2014

Google anuncia nueva versión de Chrome y corrige 11 vulnerabilidades

Google ha anunciado la nueva versión de su navegador Chrome 32. Se publican las versiones 32.0.1700.76 para las plataformas Windows y Chrome Frame y 32.0.1700.77 para Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 11 nuevas vulnerabilidades.

Según el aviso de Google se ha incluido indicadores para mostrar que páginas hacen uso de sonido, webcam y casting; una imagen diferente para el modo Metro de Windows 8; bloqueo automático de archivos con malware; muchas nuevas aplicaciones y extensiones API así como numerosos cambios en la estabilidad y rendimiento.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado 11 vulnerabilidades, se facilita información de cinco de ellas (cuatro de carácter alto).

Las vulnerabilidades de gravedad alta están relacionadas con el uso de punteros después de liberar en web workers (CVE-2013-6646), en formularios (CVE-2013-6641) y en elementos de entrada de voz (CVE-2013-6645). Una vulnerabilidad de sincronización sin consultar con una cuenta Google de un atacante (CVE-2013-6643) y una falsificación de la barra de direcciones en Chrome for Android (CVE-2013-6642).

Como es habitual, del trabajo de seguridad interno se incluyen varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2013-6644)

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 8.000 dólares en recompensas a los descubridores de los problemas.

Más información:

Stable Channel Update




Antonio Ropero

Twitter: @aropero

martes, 21 de enero de 2014

Diversas vulnerabilidades en Moodle

Moodle ha publicado tres boletines de seguridad en los que corrigen otras tantas vulnerabilidades. Se ven afectadas las versiones 2.6, 2.5 a 2.5.4, 2.4 a 2.4.7, 2.3 a 2.3.10 y anteriores.

Moodle, es conocida y ampliamente utilizada como plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.

La primera vulnerabilidad (con CVE-2014-0008) podría permitir a un usuario con permisos administrativos visualizar otras contraseñas administrativas, debido a que los cambios de contraseñas se graban en el 'Config Changes Report' en texto plano.

Un segundo problema (con CVE-2014-0009) podría permitir a usuarios con privilegios 'login as' pero sin permisos para acceder a todos los grupos podría acceder a otros grupos mediante el uso de URL específicamente creadas.

Por último, (con CVE-2014-0010) una vulnerabilidad en el script '/user/profile/index.php' debido a que no valida adecuadamente las entradas facilitadas por los usuarios, lo que podría permitir la construcción de ataques cross-site request forgery.

Se han publicado las versiones 2.3.11, 2.4.8, 2.5.4 y 2.6.1 para solucionar estos problemas y pueden ser descargadas desde su página oficial:
  
Más información:

MSA-14-0003: Cross-site request forgery vulnerability in profile fields

MSA-14-0002: Group constraints lacking in "login as"

MSA-14-0001: Config passwords visibility issue


Antonio Ropero

Twitter: @aropero

lunes, 20 de enero de 2014

Múltiples vulnerabilidades en Drupal

El equipo de seguridad de Drupal ha solucionado varias vulnerabilidades en Drupal Core 6 y 7 que podrían ser aprovechadas por atacantes para saltar restricciones de seguridad, revelar información sensible e incluso suplantar la identidad de cuentas de usuario.

Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.

Aunque ninguna de estas vulnerabilidades tiene aún CVE asignado, podemos clasificarlas según su nivel de criticidad: 
  • Nivel alto 

Un error en el módulo 'OpenID' podría ser aprovechado por un atacante remoto para causar una suplantación de identidad de otras cuentas de usuario. 
  • Nivel moderado

Un error en el módulo 'Taxonomy' podría mostrar contenido aún sin publicar a usuarios no autorizados. Lo cual podría ser aprovechado por un atacante remoto para revelar información sensible. 
  • Nivel bajo 

Un error en la función 'drupal_form_submit()' de la API para formularios, permitiría el envío programado de formularios sin verificar sus elementos. Un atacante remoto podría aprovechar este error para saltar restricciones de seguridad con la ayuda de formularios
especialmente manipulados.


Afecta a las versiones 6.x anteriores a 6.30 y 7.x anteriores a 7.26, se recomienda su inmediata actualización.

Más información:

SA-CORE-2014-001 - Drupal core - Multiple vulnerabilities

  
Juan Sánchez

domingo, 19 de enero de 2014

Obtención de contraseña administrativa en Cisco WebEx Meetings Server

Se ha anunciado una vulnerabilidad en Cisco WebEx Meetings Server EnterpriseLicense Manager que podría permitir a atacantes remotos autenticados obtener la contraseña de administrador (en texto plano) de Cisco WebEx Meetings Server.

El problema se debe a que la página web del Enterprise License Manager incluye la contraseña administrativa (en texto plano, sin cifrar) en el código fuente de la página. Esto puede permitir a cualquier usuario remoto autenticado obtener la contraseña de forma sencilla, con tan sólo visualizar el código de la página.

Los usuarios afectados deberán contactar con su canal de soporte para obtener versiones actualizadas, ya que Cisco no ofrece actualizaciones gratuitas para los problemas considerados de gravedad baja a media.

Más información:

Cisco WebEx Meetings Server Enterprise License Manager Administrative Password Disclosure Vulnerability



Antonio Ropero
Twitter: @aropero

sábado, 18 de enero de 2014

Múltiples vulnerabilidades en productos VMware

Alex Chapman, Recurity Labs GmbH y Mattia Folador han descubierto varias vulnerabilidades en VMware Workstation, Player, Fusion, ESXi, ESX y Cloud Director que podrían ser aprovechadas por un atacante para causar una denegación de servicios o ataques de tipo 'cross-site request forgery' (CSRF).

VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. Por ejemplo, se suele utilizar de forma habitual en la investigación del malware, ya que permite ejecutar y analizar los especímenes en entornos virtuales controlados.

La primera de las vulnerabilidades, con CVE-2014-1207, podría causar una dereferencia a puntero nulo al producirse un error al manejar tráfico Network File Copy (NFC). Un atacante remoto podría causar una denegación de servicio a través de tráfico NFC especialmente manipulado. Afecta a VMWARE ESX Versiones 4.0 a 4.1 y VMWARE ESXi versiones 4.0 a 4.1 y 5.0 a 5.5

La siguiente vulnerabilidad, con CVE-2014-1208, se debe a un error al manejar incorrectamente puertos no válidos que podría ser aprovechado por un atacante remoto para causar una denegación de servicio. Afecta a versiones VMWARE Workstation 9.0, VMWARE Player 5.0, VMWARE Fusion 5.0, VMWARE ESX Versiones 4.0 a 4.1 y VMWARE ESXi versiones 4.0 a 4.1 y 5.0 a 5.5

La tercera vulnerabilidad, con CVE-2014-1211, reside en un error en el protocolo HTTP que provocaría que un atacante pudiese engañar a un usuario autentificado mediante un enlace malicioso, lo que causaría la pérdida automática de sesión del usuario. Afecta a VMWARE vCloud Director v 5.1.x

Se han publicado actualizaciones para corregir los problemas en todas las versiones afectadas, disponibles desde la página del aviso de VMWare:

Más información:

VMware Workstation, Player, Fusion, ESXi, ESX and vCloud Director address several security issues


Juan Sánchez

viernes, 17 de enero de 2014

Denegación de servicio en BIND 9

Jared Mauch ha reportado una vulnerabilidad en BIND 9 por la que un usuario remoto podría causar una denegación de servicio. Servidores autoritativos con al menos una zona firmada con "NSEC3", son vulnerables a este error.

BIND, o Berkeley Internet Name Domain, es prácticamente el servidor DNS estándar en sistemas UNIX y se encuentra muy extendido en sistemas Linux. Está patrocinado por el "Internet Systems Consortium" y su versión actual es la BIND 9.9.4-P2.

El error se encuentra en la forma que se manejan peticiones para zonas firmadas con "NSEC3", que podría generar un desbordamiento de memoria. Un atacante remoto podría provocar una denegación de servicio a través del envío de un conjunto de peticiones de zona firmada "NSEC3" especialmente manipuladas.

La vulnerabilidad, con identificador CVE-2014-0591, afectaría, como hemos dicho anteriormente, solo a servidores de nombres autoritativos que ejecuten las siguientes versiones de BIND: 
  • 9.6 -> 9.6-ESV-R10-P1
  • 9.7 (todas las versiones)
  • 9.8 -> 9.8.6-P1
  • 9.9.0 -> 9.9.4-P1
  • Versiones en desarrollo tales como 9.6-ESV-R11b1, 9.8.7b1 y 9.9.5b1 están también afectadas.


Se recomienda actualizar a la versión mas reciente en http://www.isc.org/downloads.

      BIND 9 versión 9.6-ESV-R10-P2
      BIND 9 versión 9.8.6-P2
      BIND 9 versión 9.9.4-P2

Hay que recordar que la rama 9.7 ha terminado su ciclo de vida y se recomienda actualizar a una versión más reciente.

Más información:

CVE-2014-0591: A Crafted Query Against an NSEC3-signed Zone Can Crash BIND



Juan Sánchez

jueves, 16 de enero de 2014

Actualizaciones de seguridad para Adobe Reader y Flash

Adobe ha publicado los dos primeros boletines de seguridad del año para anunciar actualizaciones de seguridad para Adobe Reader, Acrobat y Flash Player. En total se han solucionado seis problemas que podrían permitir a un atacante provocar denegaciones de servicio y tomar el control de los sistemas afectados.

Para Adobe Reader y Acrobat (boletín APSB14-01) que corrige tres vulnerabilidades que permitirían la ejecución de código remoto debido a corrupciones de memoria (CVE-2014-0493, CVE-2014-0495) y uso después de liberar (CVE-2014-0496). Afecta a Adobe Reader y Acrobat X y XI para Windows y Macintosh.

Adobe ha publicado las versiones 11.0.6 y 10.1.9 de ambos productos, las cuales solucionan las vulnerabilidades anteriores. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.

Por otra parte, para Adobe Flash Player y Adobe AIR (boletín APSB14-02) que soluciona una vulnerabilidad que podría permitir evitar las restricciones de seguridad  del reproductor (CVE-2014-0491) y un segundo problema de fuga de direcciones que podría permitir evitar la aletoriedad de las direcciones de memoria. Estos problemas podrían permitir a un atacante remoto ejecutar código arbitrario a través de un fichero flash especialmente diseñado (CVE-2014-0492).

Adobe ha publicado las versiones actualizadas de Adobe Flash Player 12.0.0.38 para Windows y Macintosh y Flash Player 11.2.202.335 para Linux. También hay actualizaciones para Flash Player instalado con los navegadores Google Chrome e Internet Explorer 10 y 11.

Mas información:

Security Updates available for Adobe Reader and Acrobat

Security updates available for Adobe Flash Player


Antonio Ropero

Twitter: @aropero

miércoles, 15 de enero de 2014

Boletines de seguridad de Microsoft en enero

Este martes Microsoft ha publicado cuatro boletines de seguridad (del MS14-001 al MS14-004) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft todos los boletines presentan un nivel de gravedad "importante". En total se han resuelto seis vulnerabilidades, entre las que se incluye el 0-day anunciado el pasado noviembre que quedaba pendiente de solucionar.

  • MS14-001: Destinado a corregir tres vulnerabilidades "importantes" en Microsoft Office que podrían permitir la ejecución remota de código si se abre un documento específicamente diseñado con alguna aplicación Office. Afecta a Microsoft Office 2003, 2007, 2010 y 2013. Los CVE afectados son CVE-2014-0258, CVE-2014-0259 y CVE-2014-0260).
         
  • MS14-002: Este boletín soluciona la vulnerabilidad 0-day anunciada a finales de noviembre, reside en el componente NDProxy del kernel de Windows por una validación incorrecta de los datos que se pasan del modo de usuario al kernel. La vulnerabilidad (con CVE-2013-5065) podría permitir la elevación de privilegios en sistemas Windows Vista, Windows Server 2008, Windows 7, Windows 8, Windows 8.1, Windows Server 2012  y Windows RT.
         
  • MS14-003: Corrige una vulnerabilidad (con CVE-2014-0262) de elevación de privilegios en el controlador modo kernel de Windows. Afecta a sistemas Windows Server 2008 y Windows 7.
        
  • MS14-004: Boletín que resuelve una vulnerabilidad (con CVE-2014-0261) de denegación de servicio en Microsoft Dynamics AX.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible. 

Más información:

Resumen del boletín de seguridad de Microsoft de noviembre 2013

Boletín de seguridad de Microsoft MS14-001 – Importante
Vulnerabilidades en Microsoft Word y Office Web Apps podrían permitir la ejecución remota de código

una-al-dia (27/11/2013) Microsoft publica una alerta por una vulnerabilidad 0-day en el Kernel de Windows

Boletín de seguridad de Microsoft MS14-002 - Importante
Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (2914368)

Boletín de seguridad de Microsoft MS14-003 – Importante
Una vulnerabilidad en los controladores en modo kernel de Windows podría permitir la elevación de privilegios (2913602)

Boletín de seguridad de Microsoft MS14-004 – Importante
Una vulnerabilidad en Microsoft Dynamics AX podría permitir la denegación de servicio (2880826)



Antonio Ropero
Twitter: @aropero

martes, 14 de enero de 2014

Avance de parches de Oracle, hasta 144 vulnerabilidades corregidas

Oracle publicará hoy martes 14 un grupo de parches de seguridad para sus productos. En total hasta 144 vulnerabilidades serán corregidas, algunas de ellas consideradas críticas, fallos explotables remotamente sin necesidad de autenticación.

Destacamos algunos de los productos afectados:

Oracle Database Server

El servidor de bases de datos de Oracle por excelencia recibirá 5 parches. Uno de ellos corrige una vulnerabilidad de explotación remota sin necesidad de autenticación. La gravedad de estas vulnerabilidades en su conjunto, sin embargo, no llegaría a un 5.0 en la puntuación en el estándar CVSS según Oracle. Dentro del producto, los componentes afectados serían: Core RDBMS y Spatial. Los parches no afectarían a las instalaciones del cliente, tan solo al servidor.

Oracle MySQL

La popular y extendida base de datos MySQL tiene pendientes hasta 18 parches, 3 de ellos corrigen vulnerabilidades de explotación remota sin necesidad de credenciales. Es especialmente recomendable la aplicación de este grupo de parches debido a que la puntuación CVSS marcada llega a 10.0.

Esta puntuación, la máxima del estándar, significa que posiblemente una de las vulnerabilidades permita la ejecución remota de código arbitrario. Los componentes afectados son: MySQL Enterprise Monitor y MySQL Server.

Oracle Virtualization

El sistema de virtualización de Oracle, VirtualBox, recibirá 9 parches, 4 de ellos corregirán vulnerabilidades de explotación remota sin autenticación. La puntuación CVSS máxima es de 6.8. Los componentes afectados son: Oracle VM VirtualBox y Oracle Secure Global Desktop.

Oracle Java SE

La mala fama que arrastra Java respecto a la seguridad, con numerosos exploits circulando y usados de manera activa, ha hecho que Oracle redoble esfuerzos en su programa de seguridad. Esto puede verse reflejado en la cantidad de parches que serán publicados, hasta 36. De ellos, 34 permiten la explotación remota.

En el avance, Oracle destaca que la puntuación CVSS máxima alcanzada por este grupo de parches es de 10.0. Esto significa que al menos una (posiblemente más) permitiría la ejecución de código remoto.

Hemos de recordar que la versión 6 de Java no tendrá parches. Esta versión se encuentra fuera de soporte y no verá actualizaciones liberadas. Esto supone un verdadero peligro si tenemos en cuenta que posiblemente algunas de las vulnerabilidades corregidas para la versión 7 podrían afectar a la versión 6.

Los componentes afectados son: Java SE, Java SE Embedded, JavaFX y JRockit.

Para más información y el resto de productos afectados podemos leer la notificación de avance de publicación de parches de Oracle:

Más información:

Oracle Critical Patch Update Pre-Release Announcement - January 2014


David García

Twitter: @dgn1729

lunes, 13 de enero de 2014

Vulnerabilidades de ejecución de código en Google Picasa

Hossein Lotfi(Secunia Researcher) ha descubierto varias vulnerabilidades en Google Picasa por la que un atacante remoto podría lograr la ejecución de código en el sistema de los usuarios.

Picasa es un software de tratamiento y gestión de fotografías de Google, con el que se puede organizar, editar e imprimir imágenes en sistemas de escritorio.

Los dos primeros problemas se deben a errores de desbordamientos de enteros en el módulo 'Picasa3.exe'. Un atacante remoto podría crear etiquetas 'JPEG' (CVE-2013-5349) o 'TIFF'(CVE-2013-5357) especialmente modificadas para provocar un desbordamiento de memoria basada en heap.

El problema con CVE-2013-5358 se debe a un error de limites en el modulo 'Picasa3.exe', un atacante remoto podría provocar una corrupción de memoria a través de etiquetas 'TIFF' especialmente modificadas.

Finalmente, la vulnerabilidad con CVE-2013-5359 reside en un error de desbordamiento de memoria intermedia basada en pila en el módulo 'Picasa3.exe', un atacante remoto podŕia llegar a ejecutar código arbitrario a través de ficheros de imagenes sin comprimir especialmente modificados.

Se recomienda actualizar a la versión 3.9.0 Build 137.69.

Más información:

Google Picasa File Parsing Bugs Let Remote Users Execute Arbitrary Code



Juan Sánchez

domingo, 12 de enero de 2014

Microsoft publicará cuatro boletines de seguridad el próximo martes

Como cada mes, Microsoft ha revelado un adelanto de los boletines de seguridad que serán publicados dentro de su ciclo de actualizaciones, el próximo martes 14 de enero. En esta ocasión, Microsoft inicia el año con cuatro boletines (del MS14-001 al MS14-004) que corregirán múltiples vulnerabilidades en diversos sistemas.

Todos estos boletines han sido calificados como importantes, y corrigen variadas vulnerabilidades relacionadas con ejecución remota de código, elevación de privilegios, y denegación de servicio. Afectan a Microsoft Office, Microsoft Server Software, Microsoft Dynamics AX y a los propios sistemas operativos Windows.

El primero de los boletines está destinado a corregir errores de seguridad que permitirían la ejecución remota de código en la suite Microsoft Office en sus versiones 2003, 2007, 2010, y 2013, Microsoft SharePoint Server 2010 y 2013, y Web Apps 2010 y 2013.

Los boletines segundo y tercero recogen vulnerabilidades de elevación de privilegios en los sistemas operativos Microsoft Windows XP, 7, y en las versiones para servidores Windows Server 2003 y 2008.

Se espera que el segundo boletín incluya la solución para la vulnerabilidad 0-day descubierta a finales del mes de noviembre en el componente NDProxy.sys del kernel de Windows XP y Windows Server 2003 (CVE-2013-5065), y que quedó pospuesta tras el último boletín del pasado año. Se trataría de una vulnerabilidad explotada activamente 'in the wild' para conseguir una elevación de privilegios.

Por su parte, el último de los boletines solventará problemas de seguridad relacionados con denegaciones de servicio en Microsoft Dynamics AX 4,0, 2009 y 2012.

Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Desde Hispasec se informará puntualmente sobre los nuevos parches a través de este servicio de noticias, dando una información más detallada sobre los boletines de actualización de Microsoft.

Más información:

Microsoft Security Bulletin Advance Notification for January 2014

Vulnerability in Microsoft Windows Kernel Could Allow Elevation of Privilege

Microsoft publica una alerta por una vulnerabilidad 0-day en el Kernel de Windows



Juan José Ruiz