Vulnerabilidades en el Servidor Web Personal de Microsoft FrontPage,
en servidores de nombres, en NetBSD, en Ultimate Bulletin Board, e
incluso en el nuevo Microsoft Windows 2000.
1. Vulnerabilidad de recursividad inversa de directorios en
Microsoft FrontPage PWS
2. Vulnerabilidad de amplificación de trafico y NS Route
Discovery en servidores de nombres
3. Vulnerabilidad de SNMP Community con acceso de escritura de
múltiples vendedores
4. Vulnerabilidad en NetBSD procfs
5. Vulnerabilidad de symlink en /tmp en SCO Unixware ARCserver
6. Vulnerabilidad de falta de protección del compartido ADMIN$
durante la instalación de Microsoft Windows 2000
7. Vulnerabilidad de ejecución de comandos arbitrarios en
Ultimate Bulletin Board
8. Vulnerabilidad en autorun.inf de Microsoft Windows

Resumen de Bugtraq del 13-02-2000 al 21-02-2000
———————————————–

1. Vulnerabilidad de recursividad inversa de directorios en
Microsoft FrontPage PWS
BugTraq ID: 989
Remoto: Sí
Fecha de publicación: 16-02-2000
URL relevante: http://www.securityfocus.com/bid/989
Resumen:

El Front Page Personal Web Server de Microsoft seguirá las
cadenas ‘/…./’ en las URLs pedidas, lo que permite a usuarios
remotos obtener acceso no autenticado de lectura a archivos y
directorios en la misma unidad lógica donde se encuentra el
contenido de la página web. Este método también permite ver los
archivos ocultos, aunque no así el directorio mismo de Front
Page. El nombre y ruta del archivo deseado debe ser conocido por
el atacante.

2. Vulnerabilidad de amplificación de trafico y NS Route
Discovery en servidores de nombres
BugTraq ID: 983
Remoto: Sí
Fecha de publicación: 14-02-2000
URL relevante: http://www.securityfocus.com/bid/983
Resumen:

Existe un potencial ataque de denegación de servicio (de aquí en
adelante DoS) en la configuración por defecto de muchos
servidores DNS populares. Si un servidor permite que hosts
remotos le pregunten por máquina que no son servidas por él mismo
causará un problema de recursividad, con lo que seria posible
causar una amplificación de trafico. Mientras que el numero de
paquetes amplificados por un solo servidor no basta normalmente
para causar una negación de servicio, al explotar la naturaleza
jerárquica del DNS se hace posible causar que gran cantidad de
tráfico se dirija a un solo sitio.

La vulnerabilidad existe en la manera en que los servidores de
nombres se comportan cuando no pueden recibir respuestas por un
dominio de un servidor de nombres que ellos consideran
autoritario. Cuando un servidor recibe una consulta, típicamente
este es redireccionado hacia arriba en la cadena de servidores de
DNS. Si la consulta no puede ser resuelta porque no existe un
servidor a la escucha en el host remoto, cada reenvío tratará de
resolver el servidor de nombres. Esto se intenta típicamente 3
veces, a los 0, 12 y 24 segundos. En este caso, el tráfico se ve
significativamente multiplicado. Al abusar de múltiples
servidores de nombres es posible enviar gran cantidad de datos a
una red dada, con paquetes de hasta 500 bytes.

3. Vulnerabilidad de SNMP Community con acceso de escritura de
múltiples vendedores
BugTraq ID: 986
Remoto: Sí
Fecha de publicación: 15-02-2000
URL relevante: http://www.securityfocus.com/bid/986
Resumen:

En varios sistemas operativos y dispositivos de red existen
comunidades por defecto con acceso de escritura para todos. Al
ser posible su escritura por parte de todos, permiten a usuarios
remotos configurar propiedades del sistema operativo o dispositivo
sin ninguna autorización más que el conocimiento del nombre de
comunidad.

Algunas de las comunidades/vendedores por defectos son:

public (ascend,cisco,bay networks (nortel),microsoft,sun,3com, aix)
private (cisco,bay networks (nortel),microsoft,3com, brocade, aix)
write (ascend, muy comun)
«all private» (sun)
monitor (3com)
manager (3com)
security (3com)
OrigEquipMfr (brocade)
«Secret C0de» (brocade)
admin
default
password
tivoli
openview
community
snmp
snmpd
system (aix, otros)
el nombre del router (ej. ‘gate’)

Los ataques pueden resultar en actos como la manipulación de las
tablas de rutado, corrupción de la cache de arp, que luego pueden
llevar a más compromisos. Este tipo de vulnerabilidad es conocida
desde hace ya tiempo y en la sección de créditos de la url
relevante se encuentra disponible más información al respecto.

Pueden existir más productos con comunidades que por defecto
permitan el acceso de lectura/escritura. Si tiene más información
sobre productos que puedan ser vulnerables (información más
especifica sobre versiones de firmware o correcciones) envíe un email
a y a .

4. Vulnerabilidad en NetBSD procfs
BugTraq ID: 987
Remoto: No
Fecha de publicación: 16-02-2000
URL relevante: http://www.securityfocus.com/bid/987
Resumen:

Existe una vulnerabilidad en la implementaron del procfs en
NetBSD, en versiones hasta la 1.4.1 (incluida). Un atacante
podría manipular archivos en la jerarquía /proc//,
específicamente el archivo ‘mem’, para hacer que un programa
setuid ejecute un shell como root.

La funcion procfs_checkioperm() protege los acceso a
proc//mem. Sin embargo, las aplicaciones que corren bajo uid
0 pueden escribir al archivo mem. Si un proceso setuid puede ser
engañado para escribir en este archivo, se hace posible
manipularlo para ejecutar un shell con privilegios de root.
Un posible método que se explica en el aviso de NetBSD logra esto
al abrir /proc//mem, y hacer un dup2() a stdout. Tras hacer
un seek (lseek() o fseek(), o cualquier otro método para cambiar
el offset en el archivo), el proceso padre ejecutará un binario
setuid. Este programa va a heredar el archivo mem como stdout.
Este archivo setuid tiene que ser engañado al escribir, por
ejemplo, un error o mensaje conteniendo el shell code. Mientras
tanto, el padre ejecutará otro programa setuid, cuya pila será
sobrescrita por el proceso setuid. Esto a su vez causara que un
shell con uid 0 sea ejecutado.

5. Vulnerabilidad de symlink en /tmp en SCO Unixware ARCserver
BugTraq ID: 988
Remoto: desconocido
Fecha de publicación: 15-02-2000
URL relevante: http://www.securityfocus.com/bid/988
Resumen:

Existe una vulnerabilidad de seguimiento de symlink en el agente
ARCserver, que viene con SCO Unixware 7. Al inicializarse, el
programa asagent crea varios archivos en /tmp. Estos se crean con
mode 777, y puede ser borrados y reemplazados por cualquier
usuario del sistema. Si son reemplazados por symlinks, es posible
crear archivos en cualquier parte del sistema de archivos con
root como propietario. Esto no se puede usar para cambiar los
permisos de archivos existentes. Sin embargo, el contenido del
nuevo archivo es /usr/CYEagent/agent.cfg. Este archivo es
escribible por todos.

6. Vulnerabilidad de falta de protección del compartido ADMIN$
durante la instalación de Microsoft Windows 2000
BugTraq ID: 990
Remoto: Sí
Fecha de publicación: 15-02-2000
URL relevante: http://www.securityfocus.com/bid/990
Resumen:

Durante el procedimiento de instalación de Windows 2000 se crea
el recurso compartido ADMIN$. Sin embargo, el password de
Administrator (Administrador) aunque sea modificado no se activa
hasta el siguiente reinicio. Por lo tanto, durante este periodo
de tiempo es posible para cualquier con acceso de red a la
maquina el conectarse al compartido como Administrator sin
password.

7. Vulnerabilidad de ejecución de comandos arbitrarios en
Ultimate Bulletin Board
BugTraq ID: 991
Remoto: Sí
Fecha de publicación: 13-02-2000
URL relevante: http://www.securityfocus.com/bid/991
Resumen:

El software Ultimate Bulletin Board de Infopop (llamado
habitualmente UBB) es un paquete escrito en perl para ofrecer
mensajería vía web. Debido a errores en expresiones regulares que
chequean los valores ingresados en formularios, es posible
ejecutar comandos arbitrarios en un servidor con UBB.
Para escribir datos al sistema de archivos del servidor web donde
corre UBB se agrega en ubb_library.pl la variable $ThreadFile al
final de un string pasado a open() (como un filepath). Se usan
expresiones regulares para asegurarse que los datos variables
están en el formato apropiado:

if ($ThreadFile =~ /\d\d\d\d\d\d\.ubb/)

y en la versión comercial:

if ($ThreadFile =~ /\d\d\.[m|n|ubb|cgi]/) {

Desafortunadamente, las expresiones regulares no requieren que
«.ubb» sea el final de los strings, lo que significa que se
pueden incluir datos extra después del «.ubb» y el valor aun
coincidirá con las expresiones (if $ThreadFile esta correcto) y
se pasará a open(). El valor de $ThreadFile se obtiene
directamente de una variable (llamada ‘topic’) «escondida» en un
formulario html. Lo que hace de esto una vulnerabilidad posible
de ser explotada remotamente.

8. Vulnerabilidad en autorun.inf de Microsoft Windows
BugTraq ID: 993
Remoto: No
Fecha de publicación: 18-02-2000
URL relevante: http://www.securityfocus.com/bid/993
Resumen:

La opción Autorun de Windows fue diseñada para permitir que un
ejecutable y un icono sean especificados para un medio removible.
Al insertarlo, se mostrará el icono para esa unidad y se llamará
al ejecutable de forma automática. Sin embargo, esta opción
también se aplica a unidades fijas, haciendo su abuso mucho más
fácil.

Cualquier usuario con acceso de escritura al directorio raíz de
una unidad lógica puede instalar un ejecutable y especificarlo en
un archivo autorun.inf. Luego, cada vez que se acceda a la
unidad, el código será ejecutado con los privilegios del usuario
actualmente logueado. Esto se puede usar en ataques de escalada
de privilegios.

Nótese que esto también afecta a las unidades removibles. Pero el
que sea posible especificar un código que se ejecute de forma
automática en cualquier unidad local lo hace mucho mas sencillo
de explotar.

Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo – CoreLabs – Core SDI
http://www.core-sdi.com

Compártelo: