miércoles, 19 de noviembre de 2008

La última vulnerabilidad en Adobe PDF

Desde hace varios días se está observando que una vulnerabilidad corregida en la última versión de Adobe (tanto su versión Reader como la que permite editar) está siendo aprovechada de forma activa para infectar sistemas. Se están creando nuevos ataques tan recientes que, en cierta forma, están pasando desapercibidos para muchos antivirus. El pasado día 5 de noviembre Adobe publicó (entre otros boletines de seguridad para otros productos) una actualización para Adobe y Adobe Reader 8 que solucionaba varias vulnerabilidades que permitían la ejecución de código. Uno de los fallos más graves se daba en la función JavaScript "util.printf", provocado por un error al procesar cadenas de formato. Adobe fue advertida del problema en abril de este mismo año. Foxit Reader, otro popular lector de PDF, también sufría una vulnerabilidad muy parecida. Foxit lo solucionó un mes después, en abril, mientras que Adobe publicó a principios de noviembre el parche. Poco después apareció información pública con los datos técnicos de la vulnerabilidad. Como era de esperar, esta vulnerabilidad está siendo aprovechada de forma activa desde hace días para instalar malware en el sistema, si se abre un archivo PDF especialmente manipulado. Se está observando una gran cantidad de correo basura o páginas web que contienen estos ficheros en PDF. En estos momentos, los nuevos archivos PDF usados para el ultimísimo ataque son detectados (a través de firmas) apenas por un 14% de motores antivirus en Virustotal.com F-Secure, versión 8.0.14332.0, fecha 2008.11.12: Exploit:W32/Pidief.AS SecureWeb-Gateway, versión 6.7.6, fecha 2008.11.12: Exploit.PDF.Shellcode.gen (suspicious) Symantec, versión 10, fecha 2008.11.12: Trojan.Pidief.D TrendMicro, versión 8.700.0.1004, fecha 2008.11.12: TROJ_PIDIEF.CW Es importante destacar que esto no significa que otros (e incluso esos mismos) motores antivirus instalados en el escritorio no puedan detectar el fichero PDF como malicioso a través de otros métodos que no sean exclusivamente las firmas. También es probable que detecten, si no el PDF, el malware que suele ser descargado a posteriori, una vez aprovechada la vulnerabilidad. El indicador de VirusTotal sólo nos permite hacernos una idea de cuántos archivos podrían llegar a pasar un primer filtro antivirus situado por ejemplo en el perímetro, integrado en el correo, donde sólo se suelen tener en cuentas las firmas para filtrar muestras y llegar así al escritorio. Además, es seguro que en muy poco tiempo sea detectado por la mayoría de los antivirus en cuanto actualicen sus bases de datos de firmas. Aunque un fallo muy similar fue encontrado en abril, no se anunció públicamente que afectase a Adobe. Sólo Foxit Reader lo solucionó, y no se han detectado ataques contra este lector. No ha sido hasta que se ha hecho público que el problema afecta a Adobe, que, aun existiendo parche, los atacantes se han lanzado a aprovechar la vulnerabilidad. Se aconseja actualizar el lector lo antes posible. En sistemas en los que la actualización no sea posible por cualquier razón, se puede desactivar la interpretación de JavaScript del lector (y eliminar así no solo este, sino otros muchos problemas futuros) con un cambio en el registro de Windows. Algunas funcionalidades del lector podrían dejar de estar operativas. En la rama: HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\8.0\JSPrefs Añadir la clave: Nombre: bEnableJS Tipo: DWORD Valor: 0

miércoles, 5 de noviembre de 2008

Nuevos contenidos en la Red Temática CriptoRed (octubre de 2008)



Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana

Breve resumen de las novedades producidas durante el mes de octubre de
2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED

* Seguridad y Protección de la Información: mucho más que una moda
pasajera (Jorge Ramió, presentación Power Point, 27 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m001q.htm

* 325 documentos para su libre descarga
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS
SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Septiembre de 2008
(España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200809.pdf

* Los Niños y la Inseguridad Informática (Blog de Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012860&random=6883

* Convergencia de la Inseguridad Lógica y Física: Una Visión Sistémica
(Blog de Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450013006&random=8553

* White Paper Application Testing and Development: Data Protection
Possibilities (Peter Carey, PDP - Elsevier)
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qNGY2R8/xXSAUR8

* IBM White Paper: The Dirty Dozen: Preventing Common Application-level
Hack Attacks. (IBM Corporation Software Group, Elsevier)
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qNDS4R8/xDLEVR8

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Noviembre 5 al 7 de 2008: III Congreso de Software Libre de la
Comunidad Valenciana (España)
http://congreso.lliurex.net/index_es.html

* Noviembre 10 al 14 de 2008: Taller de Seguridad Informática en el WALC
2008 (Mérida, Venezuela)
http://ws.ula.ve/walc2008/infor/taller6.php

* Diciembre 1 de 2008: Tercer Día Internacional de la Seguridad de la
Información DISI 2008
http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

* Diciembre 1 al 5 de 2008: V Congreso Internacional de Telemática y
Telecomunicaciones CITTEL 08 (La Habana, Cuba).
http://www.cujae.edu.cu/eventos/convencion/cittel/

* Diciembre 3 al 5 de 2008: 7th International Information and
Telecommunication Technologies Symposium (Foz do Iguaçu, Brasil)
http://www.i2ts.org/

* Diciembre 3 al 5 de 2008: International Conference E-Activity and
Leading Technologies (Madrid, España)
http://www.iask-web.org/e-alt08/e-alt2008.html

* Diciembre 10 al 12 de 2008:Conferencia Ibero Americana IADIS WWW /
Internet 2008 (Lisboa, Portugal)
http://www.ciawi-conf.org/

* Febrero 9 al 13 de 2009: IX Seminario Iberoamericano de Seguridad en
Tecnologías de la Información (La Habana, Cuba)
http://www.informaticahabana.com/?q=listeventos_es&e=16&id=es

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society
2009 (Barcelona, España)
http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on Practical
Applications of Agents and Multiagent Systems (Salamanca, España)
http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference
WWW 2009 (Madrid, España)
http://www2009.org/

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and
Communications ISCC 09 (Sousse, Túnez)
http://www.comsoc.org/iscc/2009/

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE OCTUBRE DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#oct08

* IV Jornada Internacional de ISMS Forum Spain en Barcelona (España)
https://www.ismsforum.es/noticia.php?noticia=121

* Segundo Encuentro Nacional de la Industria de la Seguridad en España
de INTECO (España)
https://2enise.inteco.es/

* II Ciclo de Conferencias ISACA-CV Rafael Bernal 2008 en Valencia
(España)
http://www.isaca-cv.org/

* Libro Derecho de las Telecomunicaciones del GECTI con Orientación a la
Seguridad (Colombia)
http://gecti.uniandes.edu.co/libros.html

* Storage Forum en Centro Congresos Internacional de Barcelona
Asistencia Gratuita (España)
http://www.itieurope.net/barca_visitante_carrefour_sp.php

* Presentación del Posgrado en Seguridad Informática de la Universidad
de Buenos Aires (Argentina)
http://www.criptored.upm.es//descarga/pres_PosgradoUBA_Nov26.pdf

* DISI 2008 trae a la Dra. Radia Perlman como invitada especial (España)
http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 734
(198 universidades y 276 empresas representadas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 27.599 visitas, con 97.575 páginas solicitadas y 42,41
GigaBytes servidos en octubre de 2008.
Las estadísticas AWStats del mes se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3663/comentar

Más información:

octubre de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#oct08

lunes, 3 de noviembre de 2008

Disponibles presentaciones públicas de LaCon 2008


En los días del 19 al 21 del pasado mes de septiembre se celebró en
Torre del Mar, Málaga, una convención sobre seguridad informática
bastante peculiar. Bajo el nombre de LaCon'2008 se reunieron, de forma
privada, más de veinte profesionales venidos de casi todos los puntos de
España, además de algunos participantes foráneos (Italia y Eslovaquia).

La conferencia surgió de una idea de 48bits, con el objetivo de
estrechar vínculos entre los que nos dedicamos a estos temas en un
ambiente informal y distendido. Hispasec colaboró en la logística del
evento. Tras las dos sesiones oficiales de charlas sobre
vulnerabilidades, exploits, ingeniería inversa, tecnologías antivirus,
rootkits e incluso lockpicking, se siguió hablando durante las noches
entre copas y pescaíto frito de más vulnerabilidades, más exploits, y de
todo lo humano y lo divino.

El nivel ténico de las charlas fue excelente, y el objetivo de estrechar
lazos entre los profesionales del sector, más que cumplido. Ya estamos
esperando la próxima edición, LaCon'2009, allí nos vemos.

Dado el carácter privado del evento (podríamos decir casi familiar), se
tuvo la oportunidad de abordar temas a un nivel de profundidad y detalle
que, por su naturaleza, no tienen cabida en los congresos de seguridad.
No obstante, también hay un buen número de contenidos publicables cuyos
autores han decidido compartir con la comunidad y que a continuación
ponemos a vuestra disposición en la siguiente dirección:
http://www.48bits.com/files/lacon.tar.bz2



sábado, 1 de noviembre de 2008

Una-al-día cumple 10 años


Hoy, 28 de octubre, se cumple el décimo aniversario de "una-al-día",
primer diario de información técnica sobre seguridad informática
en español. Una década informando puntualmente sobre virus,
vulnerabilidades, fraudes, alertas, y reflexiones sobre la seguridad
en Internet. 3.657 noticias. Aniversarios anteriores en Hispasec se
han caracterizado por una sobria mención o directamente han pasado
desapercibidos. En esta ocasión, hemos decidido festejar esta cifra
tan redonda con algunas sorpresas.

Diez años en la Red es mucho tiempo. Ha sido necesario sobrevivir al
cambio en el modelo económico sufrido a principios de esta década (que
a tantos servicios web dejó atrás), o a la avalancha y saturación de
información que está proporcionando hoy la web 2.0... se han producido
muchos cambios en Internet en general y en la seguridad en particular,
y los hemos intentado reflejar día a día, informando de la única forma
que sabemos: con independencia y honestidad. Estamos muy orgullosos
de seguir produciendo una-al-día y poder ofrecerlas a nuestros
suscriptores, que entre todos los canales de distribución, suman
muchas decenas de miles.

Cuando Bernardo Quintero escribió la primera una-al-día: "28/10/1998
Service Pack 4, los problemas de la solución" no podía ni imaginar que
diez años después el servicio continuaría, que lo haría en Hispasec,
proyecto web fundado exactamente dos meses después del primer envío, a
partir del éxito de los boletines iniciales. En aquel momento, otros
proyectos posteriores como Virustotal.com eran solo un vago concepto
todavía. Pero sobre todo, no podíamos imaginar que 10 años después
una-al-día e Hispasec seguiría siendo un respetado referente en
seguridad para muchos hispanohablantes o que Virustotal.com se
convertiría en un estándar de facto para el envío de malware en todo el
mundo, que procesa 60.000 muestras cada día. Es un éxito que agradecemos
y que asumimos con responsabilidad.

Es gratificante pensar que en estos diez años, hemos llegado incluso a
un cambio generacional. Muchos profesionales reconocidos eran apenas
adolescentes cuando comenzó el servicio de publicación diario. Hoy desde
sus puestos de trabajo, todavía confían en la información que a diario
les ofrece una-al-día.

Este décimo aniversario pensamos que merece una mención especial. Desde
agosto, hemos conseguido arañar algo de tiempo de nuestras agendas para
preparar varias sorpresas que esperamos que agraden a todo el mundo. Han
supuesto un importante esfuerzo y se han concebido como regalo especial
para todos los seguidores del boletín diario.

Durante las próximas semanas, pedimos a nuestros lectores que estén
especialmente atentos a los boletines, porque iremos descubriendo las
sorpresas en sucesivas publicaciones.

Gracias a todos. En especial, a nuestros fieles suscriptores: desde la
primera persona que leyó el boletín en octubre de 1998, hasta el usuario
del último correo que se ha suscrito al servicio hace apenas unos
minutos.

lunes, 27 de octubre de 2008

Último parche de Microsoft: ¿Sufriremos otro Blaster?... No.

El día 23 Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelación. Hoy, el exploit ya es público. Las características de la vulnerabilidad hacen que sea "ideal" para ser aprovechado por un gusano tipo Blaster, que se convirtió en epidemia en 2003. ¿Podría pasar lo mismo con este fallo? En julio de 2003 se descubre el desbordamiento de memoria intermedia en la interfaz RPC de sistemas Windows que, a la postre, permitiría la aparición del fatídico gusano Blaster. Otro fallo parecido un año después propició el nacimiento de Sasser, otro popular gusano. El último parche publicado por Microsoft de forma urgente, el MS08-067, tiene las mismas características: un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. ¿Se creará otro gusano parecido? Lo que hace que esta vulnerabilidad sea especialmente peligrosa, es que es explotable de forma remota sin interacción del usuario: un atacante envía una petición especialmente manipulada a un puerto, y ya puede ejecutar código en el sistema con los máximos privilegios. Candidato ideal para un gusano "como los de antes". De ahí que Microsoft, con buen criterio, se haya lanzado a romper su ciclo habitual. Quizás motivado porque el fallo ha sido descubierto cuando ya se estaban produciendo ataques muy concretos. No a gran escala, pero sí que se han detectado incidentes que demostraban que los atacantes conocían el problema y lo estaban aprovechando en secreto. La última vez que Microsoft publicó una actualización de seguridad fuera de su ciclo habitual de actualizaciones fue el 3 de abril de 2007. El último problema de este tipo (explotable enviado peticiones a un servicio) se vio hace más de dos años. Lo trataba el boletín MS06-040 y también afectaba al servicio Server (de hecho este nuevo boletín lo reemplaza). Se hizo público el exploit y hubo malware que lo aprovechaba, pero no fue epidemia. En este caso pensamos que tampoco se convertirá en el problema que antaño suponían estas vulnerabilidades. Por varias razones. ¿Por qué creemos que el potencial gusano no se convertirá en epidemia? Microsoft cometió enormes y numerosos fallos de seguridad de este tipo en el pasado. Los gusanos de infección masiva campaban a sus anchas. Pero intentó solucionarlo a través de varios métodos. Primero con su nueva estrategia de seguridad anunciada hacia 2002. Desde entonces (tarde quizás) la seguridad sería prioridad. El problema es que, sobre una base tan débil, los resultados han tardado en observarse... pero están ahí. Por ejemplo, sobre Vista y Windows 2008 esta última vulnerabilidad no es crítica sino sólo "importante", que no es poco. En las últimas versiones de Windows el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Si no, sólo se provocará una denegación de servicio. Con el Service Pack 2 de Windows XP se activa el cortafuegos entrante por defecto. Esto mitiga enormemente las posibilidades de explotación de este tipo de fallos. De hecho, desde que el Sevice Pack fue lanzado en agosto de 2004, el malware se trasladó al navegador. Al no poder aprovechar fallos en los servicios por culpa del cortafuegos, necesitaban colarse en los sistemas de otra forma, e Internet Explorer sufrió la consecuencias. Todavía hoy es la forma favorita del malware de ejecutar código. Por si fuera poco, hoy en día, los usuarios están más que nunca detrás de un router casero que protege, en principio, los puertos del ordenador. También, con XP, Microsoft introdujo una considerable mejora: muchos de los servicios por fin no se ejecutaban bajo el contexto del usuario más poderoso, SYSTEM. En Windows 2000, por el contrario, todos los servicios corrían con los máximos privilegios. Aunque para el caso esta medida no sirve. Svhost.exe y services.exe corren en XP y 2000 bajo los permisos de SYSTEM. Por otro lado, a partir de Vista el ASLR (Address Space Layout Randomization) impediría en buena medida también la ejecución de código. Otro aspecto que mitiga el potencial problema es que Microsoft ha liberado el parche antes de que se haga público el exploit. En 2003 con Blaster ocurrió también. El parche estaba disponible un mes antes de que apareciera el gusano. Pero los usuarios tenían otra cultura. Hoy en día, aunque no demasiado, la educación sobre seguridad es mayor. Las actualizaciones automáticas también ayudan bastante. El fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada. Los administradores de grandes redes corporativas deben estar especialmente atentos a este boletín y parchear lo antes posible. También los que compartan recursos del sistema en una red interna o hacia el exterior. Aunque parece que se han observado reportes de que el fallo se está aprovechando desde hace tres semanas, la actuación de Microsoft ha sido rápida. Detectar y analizar el problema lleva tiempo. Muchos analistas prestigiosos se han aventurado en el pasado a calificar de nuevos fallos problemas ya conocidos que ,simplemente, estaban siendo aprovechados a través de otro vector de ataque. Además hay que añadir el tiempo de comprobación del parche. Es un proceso que Microsoft se toma con cuidado y tres semanas no es un tiempo descabellado. Esperemos en todo caso que la actualización corrija por completo la vulnerabilidad y que no se detecten problemas de estabilidad. Por último, las casas antivirus están trabajando incansablemente para detectar potenciales exploits y el malware que lo acompaña. Estos fallos alcanzan gran repercusión y no pueden permitirse el lujo de no crear firmas específicas para bloquearlos. Aunque el volumen de malware a tratar sea infinitamente mayor, el número de actualizaciones de firmas es mayor que en 2003. En ese año, actualizar cada varios días era normal, mientras hoy casi todos los antivirus actualizan las firmas varias veces al día. En definitiva, el fallo es grave, es necesario actualizar ya. Sin excusas. No se han reportado problemas de estabilidad con el parche. Pensamos que sería muy raro que se produjese una epidemia como la de 2003. Aunque los índices de infección de malware son hoy mayores que nunca, al menos no son gracias a este tipo de errores tan "sencillos" de explotar.

lunes, 20 de octubre de 2008

Activar los killbits y el índice de explotabilidad

Microsoft está siguiendo una nueva política con la que intenta mejorar sus boletines de seguridad. Este mes ha introducido un nuevo valor llamado "índice de explotabilidad" (exploitability index) que indica las posibilidades de que se cree un exploit para cada vulnerabilidad. Además, se está proponiendo (por fin) activar el mayor número de killbits posibles para evitar ataques a través de ActiveX vulnerables. En octubre Microsoft ha incluido por primera vez en sus boletines el "exploitability index", un valor que intenta predecir la posibilidad de que los atacantes creen código capaz de aprovechar la vulnerabilidad. Los valores posibles que asignará Microsoft son: * Consistent exploit code likely: Es probable la creación de un exploit consistente. * Inconsistent exploit code likely: Es probable la existencia de un exploit incosistente. * Functioning exploit code unlikely: Es improbable la existencia de un exploit funcional. Refiriéndose con "consistencia" a las probabilidades que funcione bajo la mayoría de las circunstancias y la mayor parte de las veces. Esta forma de puntuar el riesgo es exclusiva de Microsoft, y evaluada solo por su parte. Por ejemplo, en esta última tanda de boletines, se resuelven 20 vulnerabilidades. Según Microsoft 8 tienen posibilidades de que se cree un exploit consistente para ellas, y cuatro son poco probables de ser aprovechadas. Para otras incluso, como el fallo en Windows Printing Service de Internet Information Services (IIS) Web server, se tiene constancia de que están siendo activamente aprovechadas. Para una de las que predijo la posibilidad de un exploit consistente, efectivamente se ha publicado posteriormente código capaz de aprovechar el fallo. Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad. Se trata de un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas y que ya siguen Oracle y Cisco entre otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero más tarde adujo que su sistema propio de graduación era correcto, y nunca ha terminado de apoyar este estándar. Por último, destacar que Microsoft últimamente está incluyendo boletines oficiales destinados a activar los killbits de componentes ActiveX, tanto propios como de terceros. Esto es muy positivo. Los ActiveX suelen ser librerías de Microsoft o de terceros que, en muchas ocasiones, sirven de puerta para entrar en el sistema a través de Internet Explorer, gracias a los fallos de seguridad de los propios ActiveX. El peligro está en que el navegador es capaz de invocarlos, aunque no sea realmente necesario para cumplir su función. Al activar el killbit, se asegura que Internet Explorer no puede llamarlos y se anula así un importante vector de ataque. Al difundir esta activación de killbits a través de las actualizaciones oficiales de Microsoft, se aseguran mitigar potenciales problemas con una difusión mucho más extensa que si lo hiciera el propio fabricante del ActiveX. Aunque es obligación de los programadores de ActiveX ser precavidos y activar ese killbit, en la mayoría de las ocasiones sólo una vulnerabilidad les hace reaccionar. Usar los parches de Microsoft para anular este vector de ataque, puede impedir muchos problemas de manera mucho más rápida y mayoritaria. En esta última tanda de boletines (como medida extra de precaución) se han activado los killbits incluso de ActiveX propios de Microsoft que ya habían sufrido vulnerabilidades y para los que existían parches.