miércoles, 19 de noviembre de 2008

La última vulnerabilidad en Adobe PDF

Desde hace varios días se está observando que una vulnerabilidad corregida en la última versión de Adobe (tanto su versión Reader como la que permite editar) está siendo aprovechada de forma activa para infectar sistemas. Se están creando nuevos ataques tan recientes que, en cierta forma, están pasando desapercibidos para muchos antivirus. El pasado día 5 de noviembre Adobe publicó (entre otros boletines de seguridad para otros productos) una actualización para Adobe y Adobe Reader 8 que solucionaba varias vulnerabilidades que permitían la ejecución de código. Uno de los fallos más graves se daba en la función JavaScript "util.printf", provocado por un error al procesar cadenas de formato. Adobe fue advertida del problema en abril de este mismo año. Foxit Reader, otro popular lector de PDF, también sufría una vulnerabilidad muy parecida. Foxit lo solucionó un mes después, en abril, mientras que Adobe publicó a principios de noviembre el parche. Poco después apareció información pública con los datos técnicos de la vulnerabilidad. Como era de esperar, esta vulnerabilidad está siendo aprovechada de forma activa desde hace días para instalar malware en el sistema, si se abre un archivo PDF especialmente manipulado. Se está observando una gran cantidad de correo basura o páginas web que contienen estos ficheros en PDF. En estos momentos, los nuevos archivos PDF usados para el ultimísimo ataque son detectados (a través de firmas) apenas por un 14% de motores antivirus en Virustotal.com F-Secure, versión 8.0.14332.0, fecha 2008.11.12: Exploit:W32/Pidief.AS SecureWeb-Gateway, versión 6.7.6, fecha 2008.11.12: Exploit.PDF.Shellcode.gen (suspicious) Symantec, versión 10, fecha 2008.11.12: Trojan.Pidief.D TrendMicro, versión 8.700.0.1004, fecha 2008.11.12: TROJ_PIDIEF.CW Es importante destacar que esto no significa que otros (e incluso esos mismos) motores antivirus instalados en el escritorio no puedan detectar el fichero PDF como malicioso a través de otros métodos que no sean exclusivamente las firmas. También es probable que detecten, si no el PDF, el malware que suele ser descargado a posteriori, una vez aprovechada la vulnerabilidad. El indicador de VirusTotal sólo nos permite hacernos una idea de cuántos archivos podrían llegar a pasar un primer filtro antivirus situado por ejemplo en el perímetro, integrado en el correo, donde sólo se suelen tener en cuentas las firmas para filtrar muestras y llegar así al escritorio. Además, es seguro que en muy poco tiempo sea detectado por la mayoría de los antivirus en cuanto actualicen sus bases de datos de firmas. Aunque un fallo muy similar fue encontrado en abril, no se anunció públicamente que afectase a Adobe. Sólo Foxit Reader lo solucionó, y no se han detectado ataques contra este lector. No ha sido hasta que se ha hecho público que el problema afecta a Adobe, que, aun existiendo parche, los atacantes se han lanzado a aprovechar la vulnerabilidad. Se aconseja actualizar el lector lo antes posible. En sistemas en los que la actualización no sea posible por cualquier razón, se puede desactivar la interpretación de JavaScript del lector (y eliminar así no solo este, sino otros muchos problemas futuros) con un cambio en el registro de Windows. Algunas funcionalidades del lector podrían dejar de estar operativas. En la rama: HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\8.0\JSPrefs Añadir la clave: Nombre: bEnableJS Tipo: DWORD Valor: 0

miércoles, 5 de noviembre de 2008

Nuevos contenidos en la Red Temática CriptoRed (octubre de 2008)



Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana

Breve resumen de las novedades producidas durante el mes de octubre de
2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED

* Seguridad y Protección de la Información: mucho más que una moda
pasajera (Jorge Ramió, presentación Power Point, 27 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m001q.htm

* 325 documentos para su libre descarga
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS
SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Septiembre de 2008
(España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200809.pdf

* Los Niños y la Inseguridad Informática (Blog de Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012860&random=6883

* Convergencia de la Inseguridad Lógica y Física: Una Visión Sistémica
(Blog de Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450013006&random=8553

* White Paper Application Testing and Development: Data Protection
Possibilities (Peter Carey, PDP - Elsevier)
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qNGY2R8/xXSAUR8

* IBM White Paper: The Dirty Dozen: Preventing Common Application-level
Hack Attacks. (IBM Corporation Software Group, Elsevier)
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qNDS4R8/xDLEVR8

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Noviembre 5 al 7 de 2008: III Congreso de Software Libre de la
Comunidad Valenciana (España)
http://congreso.lliurex.net/index_es.html

* Noviembre 10 al 14 de 2008: Taller de Seguridad Informática en el WALC
2008 (Mérida, Venezuela)
http://ws.ula.ve/walc2008/infor/taller6.php

* Diciembre 1 de 2008: Tercer Día Internacional de la Seguridad de la
Información DISI 2008
http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

* Diciembre 1 al 5 de 2008: V Congreso Internacional de Telemática y
Telecomunicaciones CITTEL 08 (La Habana, Cuba).
http://www.cujae.edu.cu/eventos/convencion/cittel/

* Diciembre 3 al 5 de 2008: 7th International Information and
Telecommunication Technologies Symposium (Foz do Iguaçu, Brasil)
http://www.i2ts.org/

* Diciembre 3 al 5 de 2008: International Conference E-Activity and
Leading Technologies (Madrid, España)
http://www.iask-web.org/e-alt08/e-alt2008.html

* Diciembre 10 al 12 de 2008:Conferencia Ibero Americana IADIS WWW /
Internet 2008 (Lisboa, Portugal)
http://www.ciawi-conf.org/

* Febrero 9 al 13 de 2009: IX Seminario Iberoamericano de Seguridad en
Tecnologías de la Información (La Habana, Cuba)
http://www.informaticahabana.com/?q=listeventos_es&e=16&id=es

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society
2009 (Barcelona, España)
http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on Practical
Applications of Agents and Multiagent Systems (Salamanca, España)
http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference
WWW 2009 (Madrid, España)
http://www2009.org/

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and
Communications ISCC 09 (Sousse, Túnez)
http://www.comsoc.org/iscc/2009/

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE OCTUBRE DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#oct08

* IV Jornada Internacional de ISMS Forum Spain en Barcelona (España)
https://www.ismsforum.es/noticia.php?noticia=121

* Segundo Encuentro Nacional de la Industria de la Seguridad en España
de INTECO (España)
https://2enise.inteco.es/

* II Ciclo de Conferencias ISACA-CV Rafael Bernal 2008 en Valencia
(España)
http://www.isaca-cv.org/

* Libro Derecho de las Telecomunicaciones del GECTI con Orientación a la
Seguridad (Colombia)
http://gecti.uniandes.edu.co/libros.html

* Storage Forum en Centro Congresos Internacional de Barcelona
Asistencia Gratuita (España)
http://www.itieurope.net/barca_visitante_carrefour_sp.php

* Presentación del Posgrado en Seguridad Informática de la Universidad
de Buenos Aires (Argentina)
http://www.criptored.upm.es//descarga/pres_PosgradoUBA_Nov26.pdf

* DISI 2008 trae a la Dra. Radia Perlman como invitada especial (España)
http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 734
(198 universidades y 276 empresas representadas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 27.599 visitas, con 97.575 páginas solicitadas y 42,41
GigaBytes servidos en octubre de 2008.
Las estadísticas AWStats del mes se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3663/comentar

Más información:

octubre de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#oct08

lunes, 3 de noviembre de 2008

Disponibles presentaciones públicas de LaCon 2008


En los días del 19 al 21 del pasado mes de septiembre se celebró en
Torre del Mar, Málaga, una convención sobre seguridad informática
bastante peculiar. Bajo el nombre de LaCon'2008 se reunieron, de forma
privada, más de veinte profesionales venidos de casi todos los puntos de
España, además de algunos participantes foráneos (Italia y Eslovaquia).

La conferencia surgió de una idea de 48bits, con el objetivo de
estrechar vínculos entre los que nos dedicamos a estos temas en un
ambiente informal y distendido. Hispasec colaboró en la logística del
evento. Tras las dos sesiones oficiales de charlas sobre
vulnerabilidades, exploits, ingeniería inversa, tecnologías antivirus,
rootkits e incluso lockpicking, se siguió hablando durante las noches
entre copas y pescaíto frito de más vulnerabilidades, más exploits, y de
todo lo humano y lo divino.

El nivel ténico de las charlas fue excelente, y el objetivo de estrechar
lazos entre los profesionales del sector, más que cumplido. Ya estamos
esperando la próxima edición, LaCon'2009, allí nos vemos.

Dado el carácter privado del evento (podríamos decir casi familiar), se
tuvo la oportunidad de abordar temas a un nivel de profundidad y detalle
que, por su naturaleza, no tienen cabida en los congresos de seguridad.
No obstante, también hay un buen número de contenidos publicables cuyos
autores han decidido compartir con la comunidad y que a continuación
ponemos a vuestra disposición en la siguiente dirección:
http://www.48bits.com/files/lacon.tar.bz2



sábado, 1 de noviembre de 2008

Una-al-día cumple 10 años


Hoy, 28 de octubre, se cumple el décimo aniversario de "una-al-día",
primer diario de información técnica sobre seguridad informática
en español. Una década informando puntualmente sobre virus,
vulnerabilidades, fraudes, alertas, y reflexiones sobre la seguridad
en Internet. 3.657 noticias. Aniversarios anteriores en Hispasec se
han caracterizado por una sobria mención o directamente han pasado
desapercibidos. En esta ocasión, hemos decidido festejar esta cifra
tan redonda con algunas sorpresas.

Diez años en la Red es mucho tiempo. Ha sido necesario sobrevivir al
cambio en el modelo económico sufrido a principios de esta década (que
a tantos servicios web dejó atrás), o a la avalancha y saturación de
información que está proporcionando hoy la web 2.0... se han producido
muchos cambios en Internet en general y en la seguridad en particular,
y los hemos intentado reflejar día a día, informando de la única forma
que sabemos: con independencia y honestidad. Estamos muy orgullosos
de seguir produciendo una-al-día y poder ofrecerlas a nuestros
suscriptores, que entre todos los canales de distribución, suman
muchas decenas de miles.

Cuando Bernardo Quintero escribió la primera una-al-día: "28/10/1998
Service Pack 4, los problemas de la solución" no podía ni imaginar que
diez años después el servicio continuaría, que lo haría en Hispasec,
proyecto web fundado exactamente dos meses después del primer envío, a
partir del éxito de los boletines iniciales. En aquel momento, otros
proyectos posteriores como Virustotal.com eran solo un vago concepto
todavía. Pero sobre todo, no podíamos imaginar que 10 años después
una-al-día e Hispasec seguiría siendo un respetado referente en
seguridad para muchos hispanohablantes o que Virustotal.com se
convertiría en un estándar de facto para el envío de malware en todo el
mundo, que procesa 60.000 muestras cada día. Es un éxito que agradecemos
y que asumimos con responsabilidad.

Es gratificante pensar que en estos diez años, hemos llegado incluso a
un cambio generacional. Muchos profesionales reconocidos eran apenas
adolescentes cuando comenzó el servicio de publicación diario. Hoy desde
sus puestos de trabajo, todavía confían en la información que a diario
les ofrece una-al-día.

Este décimo aniversario pensamos que merece una mención especial. Desde
agosto, hemos conseguido arañar algo de tiempo de nuestras agendas para
preparar varias sorpresas que esperamos que agraden a todo el mundo. Han
supuesto un importante esfuerzo y se han concebido como regalo especial
para todos los seguidores del boletín diario.

Durante las próximas semanas, pedimos a nuestros lectores que estén
especialmente atentos a los boletines, porque iremos descubriendo las
sorpresas en sucesivas publicaciones.

Gracias a todos. En especial, a nuestros fieles suscriptores: desde la
primera persona que leyó el boletín en octubre de 1998, hasta el usuario
del último correo que se ha suscrito al servicio hace apenas unos
minutos.

lunes, 27 de octubre de 2008

Último parche de Microsoft: ¿Sufriremos otro Blaster?... No.

El día 23 Microsoft publicó un parche fuera de su ciclo habitual, de carácter crítico, en el que se solucionaba un problema de seguridad en el servicio Server de las distintas versiones del sistema operativo Windows. Avisó con un día de antelación. Hoy, el exploit ya es público. Las características de la vulnerabilidad hacen que sea "ideal" para ser aprovechado por un gusano tipo Blaster, que se convirtió en epidemia en 2003. ¿Podría pasar lo mismo con este fallo? En julio de 2003 se descubre el desbordamiento de memoria intermedia en la interfaz RPC de sistemas Windows que, a la postre, permitiría la aparición del fatídico gusano Blaster. Otro fallo parecido un año después propició el nacimiento de Sasser, otro popular gusano. El último parche publicado por Microsoft de forma urgente, el MS08-067, tiene las mismas características: un desbordamiento de memoria intermedia en el procesamiento de peticiones RPC (Remote Procedure Call) que efectúa el servicio Server. ¿Se creará otro gusano parecido? Lo que hace que esta vulnerabilidad sea especialmente peligrosa, es que es explotable de forma remota sin interacción del usuario: un atacante envía una petición especialmente manipulada a un puerto, y ya puede ejecutar código en el sistema con los máximos privilegios. Candidato ideal para un gusano "como los de antes". De ahí que Microsoft, con buen criterio, se haya lanzado a romper su ciclo habitual. Quizás motivado porque el fallo ha sido descubierto cuando ya se estaban produciendo ataques muy concretos. No a gran escala, pero sí que se han detectado incidentes que demostraban que los atacantes conocían el problema y lo estaban aprovechando en secreto. La última vez que Microsoft publicó una actualización de seguridad fuera de su ciclo habitual de actualizaciones fue el 3 de abril de 2007. El último problema de este tipo (explotable enviado peticiones a un servicio) se vio hace más de dos años. Lo trataba el boletín MS06-040 y también afectaba al servicio Server (de hecho este nuevo boletín lo reemplaza). Se hizo público el exploit y hubo malware que lo aprovechaba, pero no fue epidemia. En este caso pensamos que tampoco se convertirá en el problema que antaño suponían estas vulnerabilidades. Por varias razones. ¿Por qué creemos que el potencial gusano no se convertirá en epidemia? Microsoft cometió enormes y numerosos fallos de seguridad de este tipo en el pasado. Los gusanos de infección masiva campaban a sus anchas. Pero intentó solucionarlo a través de varios métodos. Primero con su nueva estrategia de seguridad anunciada hacia 2002. Desde entonces (tarde quizás) la seguridad sería prioridad. El problema es que, sobre una base tan débil, los resultados han tardado en observarse... pero están ahí. Por ejemplo, sobre Vista y Windows 2008 esta última vulnerabilidad no es crítica sino sólo "importante", que no es poco. En las últimas versiones de Windows el atacante debe estar autenticado para poder hacer que el exploit ejecute código. Si no, sólo se provocará una denegación de servicio. Con el Service Pack 2 de Windows XP se activa el cortafuegos entrante por defecto. Esto mitiga enormemente las posibilidades de explotación de este tipo de fallos. De hecho, desde que el Sevice Pack fue lanzado en agosto de 2004, el malware se trasladó al navegador. Al no poder aprovechar fallos en los servicios por culpa del cortafuegos, necesitaban colarse en los sistemas de otra forma, e Internet Explorer sufrió la consecuencias. Todavía hoy es la forma favorita del malware de ejecutar código. Por si fuera poco, hoy en día, los usuarios están más que nunca detrás de un router casero que protege, en principio, los puertos del ordenador. También, con XP, Microsoft introdujo una considerable mejora: muchos de los servicios por fin no se ejecutaban bajo el contexto del usuario más poderoso, SYSTEM. En Windows 2000, por el contrario, todos los servicios corrían con los máximos privilegios. Aunque para el caso esta medida no sirve. Svhost.exe y services.exe corren en XP y 2000 bajo los permisos de SYSTEM. Por otro lado, a partir de Vista el ASLR (Address Space Layout Randomization) impediría en buena medida también la ejecución de código. Otro aspecto que mitiga el potencial problema es que Microsoft ha liberado el parche antes de que se haga público el exploit. En 2003 con Blaster ocurrió también. El parche estaba disponible un mes antes de que apareciera el gusano. Pero los usuarios tenían otra cultura. Hoy en día, aunque no demasiado, la educación sobre seguridad es mayor. Las actualizaciones automáticas también ayudan bastante. El fallo puede ser más grave en empresas. Si un sistema se infecta con un gusano que aproveche esta última vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos. Sobre todo si la red no está convenientemente segmentada. Los administradores de grandes redes corporativas deben estar especialmente atentos a este boletín y parchear lo antes posible. También los que compartan recursos del sistema en una red interna o hacia el exterior. Aunque parece que se han observado reportes de que el fallo se está aprovechando desde hace tres semanas, la actuación de Microsoft ha sido rápida. Detectar y analizar el problema lleva tiempo. Muchos analistas prestigiosos se han aventurado en el pasado a calificar de nuevos fallos problemas ya conocidos que ,simplemente, estaban siendo aprovechados a través de otro vector de ataque. Además hay que añadir el tiempo de comprobación del parche. Es un proceso que Microsoft se toma con cuidado y tres semanas no es un tiempo descabellado. Esperemos en todo caso que la actualización corrija por completo la vulnerabilidad y que no se detecten problemas de estabilidad. Por último, las casas antivirus están trabajando incansablemente para detectar potenciales exploits y el malware que lo acompaña. Estos fallos alcanzan gran repercusión y no pueden permitirse el lujo de no crear firmas específicas para bloquearlos. Aunque el volumen de malware a tratar sea infinitamente mayor, el número de actualizaciones de firmas es mayor que en 2003. En ese año, actualizar cada varios días era normal, mientras hoy casi todos los antivirus actualizan las firmas varias veces al día. En definitiva, el fallo es grave, es necesario actualizar ya. Sin excusas. No se han reportado problemas de estabilidad con el parche. Pensamos que sería muy raro que se produjese una epidemia como la de 2003. Aunque los índices de infección de malware son hoy mayores que nunca, al menos no son gracias a este tipo de errores tan "sencillos" de explotar.

lunes, 20 de octubre de 2008

Activar los killbits y el índice de explotabilidad

Microsoft está siguiendo una nueva política con la que intenta mejorar sus boletines de seguridad. Este mes ha introducido un nuevo valor llamado "índice de explotabilidad" (exploitability index) que indica las posibilidades de que se cree un exploit para cada vulnerabilidad. Además, se está proponiendo (por fin) activar el mayor número de killbits posibles para evitar ataques a través de ActiveX vulnerables. En octubre Microsoft ha incluido por primera vez en sus boletines el "exploitability index", un valor que intenta predecir la posibilidad de que los atacantes creen código capaz de aprovechar la vulnerabilidad. Los valores posibles que asignará Microsoft son: * Consistent exploit code likely: Es probable la creación de un exploit consistente. * Inconsistent exploit code likely: Es probable la existencia de un exploit incosistente. * Functioning exploit code unlikely: Es improbable la existencia de un exploit funcional. Refiriéndose con "consistencia" a las probabilidades que funcione bajo la mayoría de las circunstancias y la mayor parte de las veces. Esta forma de puntuar el riesgo es exclusiva de Microsoft, y evaluada solo por su parte. Por ejemplo, en esta última tanda de boletines, se resuelven 20 vulnerabilidades. Según Microsoft 8 tienen posibilidades de que se cree un exploit consistente para ellas, y cuatro son poco probables de ser aprovechadas. Para otras incluso, como el fallo en Windows Printing Service de Internet Information Services (IIS) Web server, se tiene constancia de que están siendo activamente aprovechadas. Para una de las que predijo la posibilidad de un exploit consistente, efectivamente se ha publicado posteriormente código capaz de aprovechar el fallo. Microsoft sigue resistiéndose sin embargo a añadir a sus boletines el valor CVSS (Common Vulnerability Scoring System) de cada vulnerabilidad. Se trata de un estándar que gradúa la severidad de manera estricta a través de fórmulas establecidas y que ya siguen Oracle y Cisco entre otros. Cuando fue creado en 2005, la compañía apoyó la iniciativa, pero más tarde adujo que su sistema propio de graduación era correcto, y nunca ha terminado de apoyar este estándar. Por último, destacar que Microsoft últimamente está incluyendo boletines oficiales destinados a activar los killbits de componentes ActiveX, tanto propios como de terceros. Esto es muy positivo. Los ActiveX suelen ser librerías de Microsoft o de terceros que, en muchas ocasiones, sirven de puerta para entrar en el sistema a través de Internet Explorer, gracias a los fallos de seguridad de los propios ActiveX. El peligro está en que el navegador es capaz de invocarlos, aunque no sea realmente necesario para cumplir su función. Al activar el killbit, se asegura que Internet Explorer no puede llamarlos y se anula así un importante vector de ataque. Al difundir esta activación de killbits a través de las actualizaciones oficiales de Microsoft, se aseguran mitigar potenciales problemas con una difusión mucho más extensa que si lo hiciera el propio fabricante del ActiveX. Aunque es obligación de los programadores de ActiveX ser precavidos y activar ese killbit, en la mayoría de las ocasiones sólo una vulnerabilidad les hace reaccionar. Usar los parches de Microsoft para anular este vector de ataque, puede impedir muchos problemas de manera mucho más rápida y mayoritaria. En esta última tanda de boletines (como medida extra de precaución) se han activado los killbits incluso de ActiveX propios de Microsoft que ya habían sufrido vulnerabilidades y para los que existían parches.



domingo, 19 de octubre de 2008

La doctora Radia Perlman invitada de honor a DISI 2008

Desde el año 2006 la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, CAPSDESI, viene organizando el Día Internacional de la Seguridad de la Información bajo las siglas DISI. Una iniciativa de la Association for Computing Machinery ACM que en 1988 propone celebrar todos los años, con fecha 30 de noviembre o día laboral más próximo, el Computer Security Day CSD, con el objetivo de concienciar a la sociedad sobre la importancia de la seguridad en el uso de las Nuevas Tecnologías de la Información. La tercera edición del DISI se celebrará el lunes 1 de diciembre de 2008 desde las 09:00 hasta las 15:15 horas, en el Salón de Actos del Campus Sur de la Universidad Politécnica de Madrid, España, contando en esta ocasión con la destacada presencia de la Dra. Radia Perlman, Sun Microsystems Fellow Network Protocols and Security Project Principal Investigator en Estados Unidos, connotada investigadora de seguridad en redes, autora de dos libros sobre networking y con más de 50 patentes a su haber en Sun. La Dra. Perlman es además ganadora de varios premios, nominada en dos ocasiones como una de las 20 personas más influyentes en la industria de los Estados Unidos por Data Communications Magazine y en muchos medios de comunicación es reconocida como "la Madre de Internet" gracias a su invento del spanning-tree protocol. DISI 2008 contará también con la participación del Dr. Arturo Ribagorda, Director del Grupo de Seguridad de la Información y de las Comunicaciones de la Universidad Carlos III de Madrid; de D. Juan Salom, Responsable del Grupo de Delitos Telemáticos de la Guardia Civil; de D. Manuel Vázquez, Jefe de la Brigada de Investigación Tecnológica de la Policía Nacional y de D. Andrés Velázquez, Director de Investigaciones Digitales de Mattica en México, todos ellos excelentes profesionales con un reconocido prestigio internacional y que presentarán el estado actual de la investigación en materias relacionadas con la seguridad, el uso de las técnicas forenses y las amenazas del cibercrimen y el ciberdelito que se ciernen sobre nuestra Sociedad de la Información. Tras estas conferencias, se realizará una Mesa Redonda con el título "Forensia Informática y Amenazas del Cibercrimen", momento oportuno para que los asistentes puedan consultar a los expertos sobre, por ejemplo, el alcance de estas amenazas, las tendencias de futuro en el malware, los avances en la guerra digital e information warfare, los peligros inherentes al mal uso de la red, la diversidad de delitos que a través de ella se cometen diariamente o el importante papel que cumple la forensia informática en la investigación y el posterior esclarecimiento de los mismos. Como en años anteriores, algo que además es un sello característico en todas las acciones de la Cátedra UPM Applus+, la asistencia al evento es totalmente gratuita. No obstante, se requiere (y se recomienda encarecidamente por motivos logísticos) hacer la preinscripción en la plataforma Moodle del servidor Web de la cátedra www.capsdesi.upm.es, sitio donde podrá encontrar también toda la información relativa al DISI 2008. Si tuviese cualquier impedimento para realizar la inscripción mediante este medio o prefiere hacerla vía telefónica, por favor contacte con Dña. Beatriz Miguel Gutiérrez al teléfono +34 913367842. El evento se transmitirá por videostreaming para aquellos interesados que no tengan la oportunidad de asistir al congreso. El enlace de conexión se dará a conocer unos días antes de DISI 2008, entre otros, en el sitio Web de la cátedra y en el servidor de la Red Temática Iberoamericana de Criptografía y Seguridad de la Información CriptoRed www.criptored.upm.es. DISI 2008 cuenta con la colaboración de ASIMELEC, Red Seguridad, Hispasec Sistemas, ATI, ISSA España y Linux+. En definitiva, una nueva ocasión para ser partícipes de interesantes conferencias impartidas por destacados ponentes de Estados Unidos, México y España, así como protagonistas del análisis del estado actual del arte en estas materias de máxima actualidad, con el objetivo de hacer nuestro el lema del Computer Security Day para este año 2008: "A Good Defense".

Boletines de seguridad de Microsoft en octubre

Tal y como adelantamos, este martes Microsoft ha publicado once boletines de seguridad (del MS08-056 al MS08-066) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "importante", otros cinco son "críticos" y uno tiene un nivel "moderado". Los boletines "críticos" son: * MS08-057: Actualización para Microsoft Office Excel que corrige tres vulnerabilidades que pueden permitir la ejecución remota de código arbitrario, si un usuario abre un archivo Excel específicamente manipulado. * MS08-058: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6 y 7. * MS08-059: Actualización para solucionar una vulnerabilidad de ejecución remota de código en Microsoft Host Integration Server. * MS08-060: Actualización que resuelve una vulnerabilidad en implementaciones de Active Directory en Microsoft Windows 2000 Server, que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario. Sólo afecta a los servidores de Microsoft Windows 2000 que se han configurado para ser controladores de dominio. Los boletines clasificados como "importantes" son: * MS08-061: En este boletín se ofrece una actualización para resolver tres vulnerabilidades en el kernel de Windows y que podría ser aprovechada por un atacante local para lograr el control completo de un sistema afectado. * MS08-062: Actualización para corregir una vulnerabilidad en el servicio de impresión en Internet de Windows que podría permitir la ejecución remota de código en el contexto del usuario actual. * MS08-063: Actualización para resolver una vulnerabilidad en el protocolo SMB de Microsoft , que podría permitir la ejecución remota de código arbitrario en un servidor que comparta archivos o carpetas. Afecta Windows 2000, XP, Vista y Windows Server 2003 y 2008. * MS08-064: Actualización destinada a corregir una vulnerabilidad de escalada de privilegios en el descriptor de direcciones virtuales. Afecta Windows XP, Vista y Windows Server 2003 y 2008. * MS08-065: Corrige una vulnerabilidad de ejecución remota de código en Message Queue Server (MSMQ) en sistemas Microsoft Windows 2000. * MS08-066: Esta actualización de seguridad resuelve una vulnerabilidad en el controlador de función auxiliar de Microsoft, que podría ser aprovechada por un atacante local para lograr el control completo de un sistema afectado. Por último, la clarificada como "moderada": * MS08-056: Esta actualización de seguridad resuelve una vulnerabilidad de divulgación de información, que reside en la forma en que Office procesa los documentos mediante el protocolo CDO (cdo:) y el encabezado Content-Disposition: Attachment. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

viernes, 17 de octubre de 2008

Adobe Flash 10 y las vulnerabilidades "oportunas"

Flash ya va por su versión 10. En esta nueva actualización, Adobe ha potenciado sobre todo las posibilidades de explotar el sonido por parte de los diseñadores. El problema es que con esta versión, además, aprovecha para dejar sin resolver temporalmente varios problemas de seguridad en su rama 9. Además de los antivirus "rogue" (falsos antivirus que no son más que malware) también está últimamente de moda entre los atacantes intentar que los usuarios de Windows descarguen una supuesta nueva actualización de Flash. Cuando acceden a un enlace donde se promete un apetitoso vídeo de YouTube, se pide la descarga de una nueva versión de Flash que corresponde con el malware en sí. Adobe, oficialmente, acaba de sacar su versión 10 de Flash Player y obviamente, recomienda su descarga. Es posible que esto confunda a usuarios que estén al tanto de la publicación de la nueva versión legítima de Flash, resultando así la ingeniería social más efectiva. Ante este potencial peligro, es necesario insistir en que las actualizaciones en general deben realizarse sólo a través de las páginas oficiales, además de comprobar que el archivo se encuentra firmado digitalmente por la compañía adecuada (algo que realiza Windows de forma automática por defecto). Entre las mejoras, Flash 10 corrige la funcionalidad de versiones anteriores que permite a una web secuestrar el portapapeles. Con la función "setClipboard" de ActionScript (el lenguaje de programación de Adobe Flash) se puede modificar (pero no acceder) el contenido del portapapeles. Esto se está aprovechando actualmente para, a través de un archivo SWF, modificar a gusto del atacante el contenido del clipboard. Curiosamente, Flash 10 introduce una nueva función Clipboard.generalClipboard.getData que sí permite la lectura del portapapeles bajo ciertas circunstancias. Esto sí que podría llegar a suponer un problema grave de seguridad si se saltan las restricciones tenidas en cuenta por Adobe. Adobe admitió el potencial peligro de estas funciones pero aun así no lo ha solucionado en las versiones anteriores a la 10. Como muchas otras compañías hacen, corregir exclusivamente en versiones avanzadas ciertos problemas (que pueden ser incluso de seguridad) sirve como excusa para fomentar una migración a su software más moderno. Por ejemplo, en estos momentos existen cinco potenciales fallos de seguridad en la rama 9 de Flash, que han sido solucionados exclusivamente en la 10. Para su versión 9, muy usada aún, se prolonga "artificialmente" la espera de la actualización hasta principios de noviembre. Esta "técnica" es usada por muchas empresas. Algunas vulnerabilidades le son "oportunas" y aprovechan para actualizar sólo en una rama superior de su producto, forzando así una migración. Se usa la seguridad como moneda de cambio bien para obligar (como es el caso) a la conveniente actualización de un cliente gratuito (pero cuyo contenido se desarrolla con programas de pago), bien para directamente vender nuevos productos. Un caso especialmente llamativo ocurrió con Microsoft y su Windows NT. A finales de marzo de 2003 Microsoft publicaba un boletín de seguridad para advertir de una vulnerabilidad en el servicio RCP Endpoint Mapper que podría ser aprovechada para provocar una denegación de servicio contra NT 4.0, 2000 y XP. En el apartado de actualizaciones, se informaba de que sólo estaban disponibles los parches para las versiones de Windows 2000 y XP, aun encontrándose NT en su ciclo normal de actualizaciones (no terminó oficialmente hasta enero de 2005). La excusa oficial: las propias limitaciones arquitectónicas de Windows NT 4.0, que es poco robusta en comparación con Windows 2000, y que requeriría demasiadas modificaciones para solucionar el problema. La excusa no se sostenía: La vulnerabilidad estaba ahí desde antes de ser descubierta... ¿y si hubiera salido a la luz unos años antes, cuando no existía Windows 2000? ¿Habrían dicho igualmente que es imposible de solucionar? Este incidente significaría el principio del fin para un producto que incluso hoy en día está muy arraigado en las empresas.

jueves, 16 de octubre de 2008

Los falsos antivirus y el uso fraudulento del .htaccess de páginas legítimas

La industria antivirus "alternativa" está en pleno auge. Se trata de antivirus falsos (llamados "rogue") que habitualmente se hacen pasar por una milagrosa cura para un sistema completamente infectado. Sus páginas parecen profesionales y engañan a los usuarios a través de una animación falsa donde supuestamente se detecta una gran cantidad de malware en el sistema y se propone la descarga del verdadero virus para desinfectar. Publicitar este tipo de "antivirus" es una tarea que se toman muy en serio. Los antivirus "rogue" no son más que malware camuflado bajo el aspecto de un antivirus. Suelen diseñar una página de aspecto profesional desde donde puede descargarse. Para incitar a la instalación, simulan mediante una animación Flash que el sistema está siendo analizado en vivo y que se ha encontrado mucho malware que el falso antivirus puede eliminar. La animación suele ser la misma independientemente del sistema operativo que se utilice para visitar la web. Los creadores de este malware necesitan que se visite este tipo de páginas para que el usuario descargue y ejecute. Resulta una alternativa a la ejecución automática en la víctima aprovechando vulnerabilidades. Este sistema de ingeniería social cubre por ejemplo, la "cuota de mercado" que resta de usuarios que no pueden ser infectados a través de fallos de seguridad porque su sistema está al día. Los dominios que alojan este tipo de malware se han multiplicado en el último año. Suelen tener el aspecto de: [ATENCIÓN, pueden contener malware, NO se deben visitar a menos que se sepa lo que se está haciendo]. antivirus-scanner-online .com, online-av-scan2008 .com, antivirus-online-08 .com, anti-virus-xp .com, anti-virus-xp .net, i-spyware8 .com, anti-spyware4 .com, smartantivirus2009v2 .com, smartantivirus2009v2-buy .com, anti-spyware11 .com, anti-spyware10 .com, antivirus-cs1 .com antivirus-cs14 .com, anti-virusxp2008 .net, antimalware09 .com, antivirxp .net, av-xp08 .net, av-xp2008 .com, av-xp2008 .net, avx08 .net, axp2008 .com, e-antiviruspro .com, online-security-systems .com, xpprotector .com, pvrantivirus .com, wav2008 .com, wiav2009 .com, win-av .com, windows-av .com, windowsav .com y un largo etcétera. La técnica que se está observando últimamente es la del uso de banners y anuncios (Adsense, principalmente) para invitar al usuario a la descarga del supuesto antivirus a través de una publicidad que parece "normal". Incluso invierten (probablemente usando tarjetas robadas) en anuncios en páginas legítimas. Ahora han ido un paso más allá usando el archivo .htaccess de servidores legítimos, que consiguen controlar bien robando sus credenciales o aprovechando fallos de seguridad del sitio. .htaccess es un archivo de Apache que permite controlar el acceso al directorio web donde esté alojado. Permite bloquear el acceso por direcciones IP o por otras reglas. Una posibilidad es por ejemplo usar el REFERER, o "desde qué página se ha llegado" y poder redirigir al visitante en consecuencia gracias al RewriteEngine del servidor web. Se han observado cambios como estos en los archivos .htaccess modificados en webs legítimas. RewriteEngine On RewriteCond %{HTTP_REFERER} .*google.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*aol.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*msn.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*altavista.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*ask.*$ [NC,OR]
RewriteCond %{HTTP_REFERER} .*yahoo.*$ [NC]
Errordocument 404 http://webdelsupuestoantivirus.com/ Lo que resulta curioso. Si un usuario visita directamente una página web con el .htaccess modificado de esta forma, en principio no pasará nada. Pero si la visita se realiza desde uno de los buscadores que aparecen (la víctima viene de Google, AOL, msn...), como el HTTP_REFERER cumple una de las condiciones de la expresión regular, será redirigido según la regla "RewriteRule" a la web del supuesto antivirus de forma automática. También si se visita una web que no exista (el servidor devuelve un 404). Resulta especialmente rebuscado, pero al parecer eficaz. Los atacantes están aprovechando cada vez más las etiquetas User-Agent y Referer del protocolo HTTP para "personalizar" ataques. Si no son imprescindibles para el usuario, se puede añadir una pequeña capa de protección modificando estos valores través de un proxy. Por supuesto, además, conviene descargar y utilizar antivirus sólo de marcas reconocidas.

martes, 14 de octubre de 2008

Ejecución remota de código a través de WinZip en Windows 2000

Se han encontrado múltiples problemas de seguridad en WinZip 11.x que podrían ser aprovechadas por un atacante remoto para ejecutar código arbitrario en sistemas Windows 2000. A pesar de que existen alternativas gratuitas y de código abierto, WinZip es actualmente unos de los compresores más extendidos debido a su modo sencillo de trabajar con los archivos y a que permite el manejo de numerosos formatos de compresión, siendo el .zip el usado por defecto. Las vulnerabilidades encontradas están causadas porque WinZip 11.x incluía en la carpeta del programa una versión vulnerable de la librería GDI+ de Windows (gdiplus.dll) para procesar archivos de imagen. –La versión 11.0 la incluía siempre aunque las 11.1 y 11.2 sólo si los equipos estaban basados en Windows 2000-. Aprovechándose de esta circunstancia, un atacante remoto podría ejecutar código arbitrario si un usuario hiciera uso del modo de visualización para intentar acceder una imagen especialmente modificada contenida en un archivo zip. El ataque sería efectivo solamente sobre sistemas basados en Windows 2000 ya que son los únicos que harían uso de la librería obsoleta situada en la carpeta de WinZip en vez de usar la versión de la misma librería que viene junto con el sistema operativo, y que fue actualizada en el último ciclo de actualizaciones. En el boletín de seguridad MS08-052 publicado por Microsoft el día 9 de septiembre, se daban a conocer los detalles de las cinco vulnerabilidades críticas en el componente GDI+ de Windows que podrían ser aprovechadas para ejecutar código arbitrario. Son las siguientes: * Un desbordamiento de búfer basado en heap cuando GDI+ procesa de forma incorrecta el tamaño de los gradientes manejados por la librería de enlaces a vectores gráficos. * Un error al manejar la reserva de memoria cuando se procesa un archivo de imagen EMF (Enhanced Metafile) especialmente manipulado que podría causar una corrupción de memoria. * Un problema de seguridad al procesar los archivos GIF (Graphics Interchange Format) especialmente manipulados. * Un desbordamiento de búfer en GDI+ causado por un fallo al reservar memoria cuando se analiza un archivo WMF (Windows Metafile) especialmente manipulado. * Un desbordamiento de enteros al procesar de forma inadecuada ciertas cabeceras mal formadas en archivos BMP especialmente manipulados. El pasado 25 de Septiembre WinZip Computing lanzaba WinZip 11.2 SR-1, una actualización de seguridad para los usuarios de las versiones 11.x de WinZip en la que se reemplaza la versión obsoleta de gdiplus.dll por la versión actualizada, no vulnerable a los citados problemas. La URL de descarga de WinZip 11.2 SR-1 (Build 8261) es: http://download.winzip.com/nrb/winzip112.exe La versión 12 de WinZip, que tampoco sería vulnerable, se puede obtener desde: http://update.winzip.com/downwz.htm

martes, 30 de septiembre de 2008

El formato PDF, de nuevo en el punto de mira



Al parecer se ha detectado un paquete de exploits capaz de aprovechar vulnerabilidades en el lector más usado de este formato, Adobe Reader. El "PDF Xploit Pack" permite explotar vulnerabilidades y gestionar de forma centralizada a las víctimas en las que se ha conseguido ejecutar código arbitrario. Muy al estilo del Mpack o cualquier otro producto engendrado por la industria del malware, pero específico para este producto. "PDF Xploit Pack" parece ser el primer paquete de exploits que se encarga exclusivamente de aprovechar y gestionar vulnerabilidades en el lector PDF de Adobe. Es importante tener en cuenta que los fallos pueden aprovecharse no sólo abriendo un fichero PDF que llegue por correo, sino también a través del navegador porque permiten visualizar archivos PDF incrustados en él gracias a un plugin. Los atacantes están consiguiendo (como viene siendo habitual) violar la seguridad de páginas legítimas y esconder ciertos IFRAMEs dentro. Al ser visitadas, se carga un enlace especialmente manipulado que aprovecha las vulnerabilidades. Lo que no se aclara desde la fuente original es si el paquete aprovecha vulnerabilidades conocidas (para las que se pueda estar protegido con las últimas versiones del lector) o desconocidas hasta el momento. El archivo PDF, cuando se abre con el lector vulnerable, descarga otro malware que realmente contiene el payload. Hay que recordar que el formato PDF ya fue usado como "downloader" en febrero de este mismo año, y el ataque resultó bastante "popular". Instalaba el troyano Zonebac. Hace justo un año, se aprovechó también de forma masiva una vulnerabilidad compartida entre Adobe Reader y Windows con Internet Explorer 7. En esta ocasión se usaba el fallo para, a través de una línea de comandos incrustada en el PDF, descargar por FTP y ejecutar código automáticamente al abrir el fichero. También ese mismo año, en junio, se popularizó de forma fulgurante pero efímera el correo basura en formato PDF, inundando los buzones de todo el mundo y eludiendo unos filtros antispam que no estaban preparados. ¿Qué hacer? Aunque el US CERT haya lanzado una alerta, no es necesario modificar los hábitos saludables de navegación. Los lectores de una al día ya saben que no sólo los ejecutables, sino que ningún formato de archivo es confiable hoy en día. El problema está en los lectores que interpretan ese archivo, no en el formato, y todos los lectores (como cualquier programa) pueden contener fallos. También hay que tener en cuenta que la noticia original (de donde se basa la alerta de US CERT) está lanzada desde una empresa que vende productos para precisamente protegerse de estos problemas, con lo que quizás el paquete no se esté difundiendo especialmente "in the wild" en estos momentos. En cualquier caso esto no le resta importancia ni los desacredita en absoluto. Hace tiempo que los atacantes buscan nuevas formas de engañar a los filtros automáticos y a los usuarios. Con formatos históricamente confiables es más sencillo ejecutar código en sus sistemas. Por tanto, la existencia de un pack que permite de forma cómoda explotar y crear una botnet a través de fallos en el lector PDF, resulta atractiva para la industria del malware. Los usuarios, que no suelen parchear su versión de Windows y mucho menos el resto de programas (como Adobe Reader) hacen el resto poniéndoselo muy fácil. Por último, recalcar que los exploits están enfocados hacia Adobe PDF Reader porque es el más popular. Actualizar a la última versión del producto o usar programas menos conocidos como Foxit PDF Reader, puede proteger también en cierta medida a los usuarios.

jueves, 25 de septiembre de 2008

Múltiples vulnerabilidades en Firefox, Thunderbird y Seamonkey


La Fundación Mozilla ha informado sobre múltiples vulnerabilidades en
varios de sus productos que podrían ser aprovechadas por un atacante
remoto para revelar información sensible, perpetrar ataques de
cross-site scripting, provocar una denegación de servicio, saltarse
restricciones de seguridad o ejecutar código arbitrario en un sistema
vulnerable.

A continuación se detallan las vulnerabilidades publicadas:

1- Desbordamiento de búfer causado por URLs codificadas con UTF-8
especialmente manipuladas. Esto podría ser aprovechado por un atacante
remoto para ejecutar código arbitrario. Afecta a Firefox 2.x y
SeaMonkey.

2- Salto de restricciones de seguridad al no comprobar de forma adecuada
la política de mismo origen en nsXMLDocument::OnChannelRedirect(), lo
que podría ser aprovechado para ejecutar código JavaScript en el
contexto de un sitio web diferente al original. Afecta a Firefox 2.x,
Thunderbird y SeaMonkey.

3- Escalada de privilegios y cross-site scripting causado por múltiples
errores de validación de entrada en feedWriter. Esto podría permitir que
un atacante ejecutase código script arbitrario con los privilegios de
chrome (componente principal de Firefox, no confundir con el navegador
de Google). Afecta sólo a Firefox 2.x.

4- Un error durante el manejo de las pulsaciones del ratón podría
permitir que un atacante moviera el contenido de la ventana mientras el
ratón está siendo pulsado, pudiendo causar que un item fuera arrastrado
en vez de "clickeado". Esto podría ser aprovechado para forzar el
arrastre de ciertos componentes, lo que permitiría, entre otros efectos,
realizar una descarga no solicitada. Afecta a Firefox 2.x, 3.x y
SeaMonkey.

5- Múltiples fallos relacionados con XPCnativeWrapper podrían permitir a
un atacante remoto ejecutar código script arbitrario con los privilegios
de chrome. Afecta a Firefox 2.x, 3.x y SeaMonkey. Podría afectar a
Thunderbird si se habilita la ejecución de JavaScript.

6- Múltiples problemas de estabilidad en los motores de diseño, gráficos
y JavaScript de los productos Mozilla, que podrían ser explotados para
causar una denegación de servicio o incluso ejecutar código arbitrario
aprovechando una posible corrupción de memoria. Afecta a Firefox 2.x,
3.x, SeaMonkey y Thunderbird.

7- Cross-site scripting provocado por la interpretación de forma errónea
de caracteres BOM (Byte-Order Mark, tres caracteres que se encuentran al
principio de un archivo para indicar que está codificado como UTF-8,
UTF-16 o UTF-32. Ejemplo:  ). Afecta a Firefox 2.x, 3.x, SeaMonkey y
Thunderbird.

8- Errores en el protocolo "resource:" que podrían ser aprovechados para
conducir ataques de directorio trasversal y revelar información
sensible. Afecta a Firefox 2.x, 3.x, SeaMonkey y Thunderbird.

9- Un error en el decodificador XBM podría permitir la lectura de
pequeñas porciones aleatorias de memoria, lo que daría lugar a la
revelación de información sensible. Afecta a Firefox 2.x y SeaMonkey.

Se recomienda la actualización de los productos Mozilla a las siguientes
versiones no vulnerables: Firefox 2.0.0.17 ó 3.0.2, Thunderbird 2.0.0.17
y SeaMonkey 1.1.12 tan pronto como estén disponibles desde:
http://www.mozilla.com/

Recordamos que también se pueden descargar de forma automática una vez
que el propio programa nos avise de que hay una actualización pendiente.
Notificación que normalmente llegará entre 24 y 48 horas después de que
la nueva versión esté disponible.

martes, 23 de septiembre de 2008

Nueva macroactualización de seguridad para Mac OS X


Apple ha lanzado un nuevo paquete de actualizaciones para su sistema
operativo Mac OS X que solventa un mínimo de 35 problemas de seguridad
que podrían ser aprovechados por un atacante local o remoto para
conducir ataques de falsificación, revelar información sensible,
saltarse restricciones de seguridad, causar denegaciones de servicio o
ejecutar código arbitrario en un sistema vulnerable.

Dentro del paquete Security Update 2008-006, que actualiza a la versión
10.5.5 de Mac OS X se incluyen parches para los siguientes componentes:
ATS, BIND, ClamAV (actualización a la v.0.93.3), Directory Services,
Finder, ImageIO, Kernel, libresolv, Login Window, mDNSResponder,
OpenSSH, QuickDraw Manager, Ruby, SearchKit, System Configuration,
System Preferences, Time Machine, VideoConference y Wiki Server.

A continuación se analizan las distintas vulnerabilidades solventadas en
la última actualización de Mac OS X:

* Desbordamiento de búfer basado en heap en ATS (Apple Type Services)
que podría ser aprovechado para causar una denegación de servicio o
ejecutar código arbitrario.

* Actualización de seguridad de BIND.

* Actualización a ClamAV 0.93.3 que resuelve múltiples vulnerabilidades
encontradas desde el lanzamiento de la versión 0.92.1, última presente
en Mac OS X.

* Revelación de información sensible en Directory Services.

* Posible escalada de privilegios a través de Directory Services si un
administrador usa la herramienta slapconfig para configurar OpenLDAP.

* Fallo en la ventana Get Info de Finder al mostrar los permisos sobre
los archivos.

* Un atacante de la red local podría aprovechar una referencia a puntero
nulo en Finder para causar una denegación de servicio.

* Múltiples problemas de seguridad provocados por fallos en la librería
libTIFF de ImageIO al manejar imágenes especialmente manipuladas, lo que
podría causar una denegación de servicio y permitir la ejecución remota
de código.

* Actualización de seguridad a la versión 1.2.29 de libpng en ImageIO.

* Debido a un fallo en el kernel, un atacante local podría saltarse
restricciones de seguridad y acceder a ciertos archivos sin disponer de
los permisos necesarios.

* mDNSResponder y la librería libresolv son susceptibles de sufrir el
envenenamiento de la caché de DNS.

* Salto de restricciones y escalada de privilegios a través de Login
Window.

* Múltiples vulnerabilidades en OpenSSH.

* Ejecución de código arbitrario o denegación de servicio a través de
QuickDraw Manager.

* Posible denegación de servicio y ejecución de código arbitrario a
través de scripts maliciosos en Ruby.

* Falta de comprobación de límites en SearchKit que podría permitir la
ejecución remota de código arbitrario.

* Un fallo en System Configuration podría permitir que un atacante local
se hiciera con la contraseña PPP.

* Fallo en System Preferences al mostrar el nivel de fortaleza de
ciertas contraseñas.

* Solventado un fallo en System Preferences que podría permitir a
ciertos usuario acceder a archivos remotos a los que no deberían tener
acceso.

* Posible revelación de información sensible al realizar copias de
seguridad con Time Machine.

* Un fallo de corrupción de memoria en VideoConference podría permitir
que un atacante remoto causase una denegación de servicio o ejecutase
código arbitrario.

* Inyección persistente de código JavaScript a través de las listas de
correo en Wiki Server.

Las actualizaciones pueden ser instaladas a través de la funcionalidad
de actualización (Software Update) de Mac OS X o, según versión y
plataforma, descargándolas directamente desde:

Security Update 2008-006 Server (PPC):
http://www.apple.com/support/downloads/securityupdate2008006serverppc.html

Security Update 2008-006 Server (Universal):
http://www.apple.com/support/downloads/securityupdate2008006serveruniversal.html

Security Update 2008-006 (PPC):
http://www.apple.com/support/downloads/securityupdate2008006clientppc.html

Security Update 2008-006 (Intel):
http://www.apple.com/support/downloads/securityupdate2008006clientintel.html

Mac OS X 10.5.5 Combo Update
http://www.apple.com/support/downloads/macosx1055comboupdate.html

Mac OS X 10.5.5 Update
http://www.apple.com/support/downloads/macosx1055update.html

Mac OS X Server 10.5.5
http://www.apple.com/support/downloads/macosxserver1055.html

Mac OS X Server Combo 10.5.5
http://www.apple.com/support/downloads/macosxservercombo1055.html

viernes, 19 de septiembre de 2008

Mitos y Leyendas: Cifrado EFS en Windows


Además de Bitlocker para Vista, Windows XP y 2000 ofrecen una seguridad
integrada, aceptable y sencilla con respecto al cifrado de la
información. Se llama EFS (Encrypted File System), y es una forma nativa
de Microsoft que hace el trabajo del usuario mucho más cómodo. De hecho,
resulta absolutamente transparente para él. Aunque existen herramientas
públicas que, aparentemente, afirman poder romper el cifrado EFS, puede
suponer una importante barrera para atacantes no expertos.

Cómo funciona

EFS es un sistema de cifrado transparente (que sólo puede usarse bajo
NTFS y no en XP Home) para Windows. Desde las propiedades de archivos o
carpetas, opciones avanzadas, es posible acceder a un menú donde se le
puede indicar al sistema que el directorio o unidad será empleado para
almacenar archivos cifrados (con lo que todo lo que se almacene en él se
cifrará) o se puede indicar también el cifrado de un archivo, cosa poco
recomendable. También es posible utilizar la herramienta de línea de
comando cipher.exe con el mismo efecto.

Una vez marcada una unidad o directorio como cifrado, todo lo que se
almacene en él quedará cifrado (incluso para el administrador del
sistema), pero no lo que ya hubiese dentro. El usuario no tendrá que
preocuparse de nada más. Cada vez que inicie sesión, los datos estarán
ahí para poder ser manipulados, pero una vez cerrada la sesión o si otro
usuario diferente se presenta en el sistema (incluso con otro sistema
operativo leyendo el disco duro) los datos aparecerán inaccesibles. En
el explorer los archivos y carpetas cifrados se colorearán de verde.

Es posible añadir la opción de "cifrar" y "descifrar" en el menú
contextual añadiendo en el registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced

una clave DWORD con valor 1 y nombre EncryptionContextMenu

EFS se basa en una mezcla de criptografía simétrica y asimétrica. Crea
certificados digitales para el usuario, que sirven para cifrar y
descifrar en base a claves públicas y privadas. Estos se almacenan
físicamente en tres sitios distintos del sistema.

C:\documents and settings\\application
data\microsoft\crypto\
C:\documents and settings\\application
data\microsoft\protect\
C:\documents and settings\\application
data\microsoft\systemcertificates\

Con esta clave privada, y para agilizar el proceso, cifra a su vez una
contraseña simétrica. En realidad EFS utiliza una contraseña única
generada automáticamente para cada fichero cifrado, pero el usuario no
lo percibe porque su par de claves pública y privada están trabajando
por él. Las contraseñas simétricas automáticas generadas se llaman FEK
(File Encryption key), se genera una cuando se cifra un fichero y se
almacena físicamente con él. Esta FEK es a su vez cifrada con la clave
pública del usuario. Las claves públicas y privadas del usuario se
generan de forma transparente para él la primera vez que cifra un
archivo. Los certificados son accesibles desde certmgr.msc.

Precauciones

En cualquier caso, antes de utilizar EFS, conviene tener claro que por
defecto Windows 2000 utiliza el algoritmo DESx de clave de 56 bits para
cifrar la información. Este algoritmo resulta, a estas alturas,
inseguro, por lo que no se recomienda. En Windows XP a partir del
Service Pack 1, 2003, 2008 y Vista, se utiliza AES de 256 bits por
defecto, estándar bastante seguro. Ya no es necesario activar la
directiva "Codificación de sistema: use algoritmos compatibles FIPS para
codificación, algoritmos hash y firma" en las opciones de seguridad.

Resulta muy conveniente exportar y realizar una copia de seguridad de
estos certificados si se utilizan para cifrar archivos. Estos
certificados están unidos al SID del usuario, de forma que si este
usuario se borra o el sistema se corrompe, los datos se perderán. No
importa si se crea un nuevo usuario con igual nombre... si el
certificado (que va con su SID) no es el mismo, estos no podrán
descifrar la FEK de cada archivo y los datos no podrán ser recuperados.
Además a partir de Windows XP, no existe la figura del "agente de
recuperación de datos" a menos que se le indique. Si se crea, este
usuario podría recuperar la información de otros usuarios con su
certificado.

En cualquier caso, la mejor opción, es exportar y realizar una copia de
seguridad de los certificados (clave privada incluida) y guardarlos en
un lugar seguro. Con estos certificados, aunque el sistema o el usuario
se corrompa, siempre se podrán importar como "agentes de recuperación de
datos" en otro Windows y desde ahí se podrán descifrar los archivos
perdidos..

Hay que tener en cuenta que las carpetas o archivos de sistema no podrán
ser cifradas bajo ninguna circunstancia.

Puntos débiles

EFS es un sistema al que no se le conocen grandes vulnerabilidades. En
entornos no profesionales que requieran de una seguridad media-alta, es
un sistema cómodo y útil. El claro punto débil es que depende totalmente
de la clave del usuario. El usuario se presenta en Windows de forma
normal, y con esto tiene acceso a sus certificados (las claves públicas
y privadas) para hacer uso de EFS, o sea, descifrar la FEK con la que se
almacena el archivo. Por tanto el eslabón más débil es precisamente esa
contraseña habitual de Windows con la que iniciamos la sesión. De nada
sirve cifrar archivos si la contraseña queda accesible por defecto en el
sistema por culpa del LM. Como dijimos, la SAM (Security Account
Manager) almacena dos cifrados por contraseña, LM y NTLM. LM es débil e
inseguro por diseño, y la protección que ofrece es virtualmente inútil.
LM no aprovecha bien los caracteres de las contraseñas y además comete
otra serie de fallos importantes. En Vista y 2008 viene desactivado por
defecto.

EFS se ha calificado en ocasiones de inseguro, cuando en realidad no lo
es. Usa estándares y no se le han encontrado vulnerabilidades graves en
su implementación. Su leyenda viene por depender de la contraseña del
usuario que puede llegar a estar almacenada de forma débil. Si el
usuario lo tiene en cuenta y usa EFS de forma responsable, esto es,
utilizando una contraseña de usuario de más de 15 caracteres o
deshabilitando el hash LM en el sistema, la confidencialidad de sus
datos puede llegar a ser bastante alta.

Para los más expertos o entornos profesionales, el programa libre y
gratuito TrueCrypt es la solución.

miércoles, 17 de septiembre de 2008

Intento de "revival" de los virus de macro



Se está detectando en Europa un tímido intento de revivir los virus de
macro, a través de un documento en Microsoft Word que está siendo
enviado a través de spam. El virus no representa ninguna evolución del
concepto y no se le espera repercusión alguna, pero supone un renovado y
discreto interés por este tipo de malware, prácticamente extinto desde
finales de los 90.

El espécimen se trata de un virus de macro "de toda la vida". Las macros
en Microsoft Office permiten ejecutar código VBA (Visual Basic for
Applications) incrustado dentro de documentos cuando son abiertos con
esta aplicación. Hasta la versión Office 2000, esto se hacía de forma
automática con todas las macros contenidas en los documentos, lo que
ayudó a popularizar lo que se llamarían los "virus de macro". Virus como
Melissa y sucesivas variantes dotaron a esta forma de ejecución
automática gran popularidad.

El archivo en concreto se ha difundido por algunos países europeos con
el nombre de Rechnung.doc. Lleva dentro incrustado un ejecutable, y la
macro se encarga de copiarlo al disco duro y ejecutarlo. Las casas
antivirus han tenido que rescatar del olvido el prefijo W97M y OF97para
denominar a Fordo, como se ha dado en llamar. La detección general por
parte de los antivirus ha aumentado en los últimos días, aunque desde un
principio ha sido muy efectiva.

http://www.virustotal.com/analisis/d67fcf69c3b2218dba79f4b154e6b930

La única novedad de Fordo es que en vez de ejecutar su payload
directamente desde la macro, como habitualmente se venía haciendo,
contiene en su interior un ejecutable. La macro lo copia al disco duro y
lo ejecuta. Se trata entonces de un dropper tradicional que en principio
no recurre a un servidor para descargar su componente principal.

La detección de la muestra del ejecutable contenido que hemos analizado
es aceptable. Se trata de un spyware tradicional, que intentará
conectarse a diferentes páginas.

http://www.virustotal.com/es/analisis/def454a819753c1549253844a6249708

Desde Word 2000 las macros no se ejecutan de forma automática por
defecto, a no ser que estén firmadas por alguien de confianza para el
equipo. Fordo ni siquiera usa vulnerabilidades conocidas o no para
saltarse esta restricción, simplemente confía en que el usuario o bien
use Word 97 o tenga las macros activadas en modo de seguridad "bajo" y
se ejecuten automáticamente. En caso contrario simplemente la macro será
ignorada. De ahí a que su difusión se espere muy discreta. En cualquier
caso el virus, una vez ejecutado, modifica esta opción y marca como
"bajo" el nivel de seguridad de las macros. Con esto puede llegar a
conseguir que otros virus de macro se ejecuten en el futuro.

martes, 16 de septiembre de 2008

Reflexiones sobre Google Chrome y la seguridad



A principios de septiembre Google lanza (después de muchos rumores) casi
por sorpresa (como suele hacer con todo) su nuevo navegador, conocido
como Chrome. Una semana después, Internet se inunda de comentarios sobre
todos los aspectos de esta nueva aplicación y en particular sobre su
seguridad. Muchos comentarios, exploits, actualizaciones y aclaraciones
después, nos enteramos de que el gobierno alemán ha desaconsejado
explícitamente el uso de este navegador. ¿Por qué?

Se lanza un nuevo navegador, concebido para la Internet de hoy. No es un
programa cualquiera. Genera gran expectación y curiosidad porque es
Google, y todo lo que hace parece hacerlo bien, elegante, sencillo,
robusto y bajo esa filosofía “don't be evil” con la que proyectan una
imagen de cercanía y respeto por el usuario. Si hay que sacrificar la
privacidad, el usuario medio parece sentirse más a gusto si los
servidores son de Google y no de otras compañías. Al fin y al cabo,
somos mayoría los que le confiamos a su buscador todas nuestras
inquietudes varias veces al día.

Además de la sencillez y otras muchas mejoras, de forma breve, las
principales avances técnicos sobre seguridad son:

* Cada pestaña se ejecuta en su propio proceso. Si alguna se cuelga, no
(debería) arrastra(r) a todo el navegador.

* Se ejecuta en una sandbox, de forma que en principio no se podría
acceder al sistema de ficheros real del ordenador a menos que sea
explícitamente ordenado. No está claro qué ocurre con los plugins en
este sentido.

* El modo Incognito (algo que también incorpora Internet Explorer 8 como
InPrivate) en el que el usuario puede navegar sin dejar rastro en su
sistema (básicamente histórico y cookies). Sin embargo sí que se envían
las cookies ya almacenadas si las hubiese por defecto.

En cuanto estuvo disponible para descarga, aparecieron las primeras
vulnerabilidades (y se descubrirán más... lo más grave vendrá cuando de
alguna forma se averigüe cómo saltarse esa sandbox). En principio
denegaciones de servicio básicamente. Una denegación de servicio no es
una vulnerabilidad grave en un navegador. Sí se puede considerar un
fallo de diseño en este caso concreto, puesto que hacer que el navegador
deje de responder por completo en principio contradice la filosofía de
crear cada pestaña en su propio proceso independiente. Por ejemplo,
existen literalmente decenas de formas de hacer que Internet Explorer
deje de responder. Firefox sufrió lo suyo (y aún hoy en día) con los
torpedos de Zalewski, que hacían que el navegador dejase de responder
una y otra vez incluso después de varias actualizaciones intentado
solucionar el problema.

"Es una beta, es normal" se puede argumentar, pero esto depende mucho de
los gustos, y de comulgar con la filosofía de negocio de Google. Hay
quien no es tan condescendiente con fallos en otros navegadores recién
salidos del horno. Google parece abusar de la etiqueta "beta",
manteniéndola más que cualquier otro fabricante en servicios y programas
de uso masivo pero eso nunca ha significado que descuide el producto.
Hay quien por muchos intereses parece retirarla demasiado pronto. Es su
decisión, depende de qué se exija para considerarlo "maduro". Todo
software seguirá teniendo errores y vulnerabilidades en cada ciclo de
producción, independientemente de que se etiquete en un estado u otro.
¿Está listo realmente el navegador? ¿Ser "beta" es una excusa? No hay
respuestas válidas.

La vulnerabilidad "real" vino después. Chrome está basado en Webkit, el
motor de Safari. Esta sí era un problema por dos razones. Primero por
estar heredada de un fallo ya conocido, admitido y corregido en junio
por Apple en Safari. Segundo por lo que permitía: la descarga de
archivos en el escritorio de forma automática (sin preguntar al usuario)
al visitar una web especialmente manipulada. Un atacante podría
descargar muchos archivos automáticamente en el escritorio hasta
"bombardearlo" (carpet bomging). ¿Por qué heredar un fallo ya corregido?
Se descubrieron otras de cierta gravedad. Rishi Narang publicó una
prueba de concepto pública que permitía una denegación de servicio, pero
se intuía la ejecución de código.

Todo se confirma cuando el día 8 se actualiza el navegador y se desvela
que soluciona al menos dos vulnerabilidades que permitían la ejecución
de código. Una a través de nombres largos en el cuadro de diálogo
"Guardar como" y otra relacionada con el manejo de enlaces en la barra
de estado. Sobre el "carpet bombing", se modifica el escritorio como
destino por defecto de archivos descargados. Se dejan sin parchear un
buen número de problemas que atacan directamente a la estabilidad del
programa.

En cuanto a problemas de privacidad, también se ha discutido bastante.
Desde un problema en el diseño de página 404 (en la que sugiere
búsquedas) que permitiría pasar por GET quizás sesiones o contraseñas a
los servidores de Google, hasta el hecho de que, en su política de
privacidad, se hablara claramente de enviar a Google información
tecleada por el usuario. El buscador siempre ha sido el gran recolector
de información en Internet, y nunca lo ha ocultado. En este aspecto
precisamente radica su poder. Gmail ya se curtió en cuestión de
polémicas, cuando pretendieron analizar el contenido de los correos para
ofrecer publicidad más ajustada al perfil del que lo escribía. Google
Toolbar era una extensión para IE sobre la que ya se polemizó en su
momento. Existe Google Calendar, Google Docs, Google Desktop Google
Adsense, las cookies de Google, su lector de RSS, etc... todos son
verdaderos almacenes de hábitos, gustos y datos personales o perfiles
únicos alojados en los servidores de Google. No nos deberíamos
escandalizar ahora por Chrome.

Pero hay quien no opina así. La Oficina Federal para la Seguridad de la
Información alemana advirtió el día 9 que resultaba arriesgado que los
datos de un usuario resultaran acaparados por un único fabricante y
desaconsejó abiertamente el uso del navegador Chrome en un importante
informativo televisado.

Chrome es mucho más que una navegador, y se ajustará perfectamente a
(los antiguos y a) los nuevos servicios que muy posiblemente lance
Google, con lo que ganará cuota en tanto en cuanto existan personas que
quieran disfrutar de todo lo que les ofrece la compañía sin pensar en
que sus datos están alojados en un sistema ajeno. Google pretende llevar
el escritorio cada vez más hacia la web y alejarlo del disco duro local,
y Chrome será la herramienta adecuada para conseguirlo. Quizás vivamos
una guerra de navegadores mucho más entretenida que la de finales de los
90, en la que Microsoft aplastó con malas artes a Netscape en apenas
unos meses.

domingo, 14 de septiembre de 2008

Se celebra el nuevo Asegúr@IT III en Bilbao

El próximo 25 de septiembre se celebra en Bilbao el evento gratuito
Asegúr@IT III, en la sede de la Universidad de Deusto. Cuenta con la
partición de ponentes de empresas como Panda Security, Microsoft, S21Sec
e Informatica64.

Los ponentes serán Mikel Gastesi, Iñaki Etxeberría, Pablo Garaizar, Juan
Luís Rambla y David Carmona. Tendrá lugar en Bilbao, Universidad de
Deusto. El 25 de septiembre de 2008.

La agenda:

09:00 - 09:15 Registro

09:15 - 10:00 Cracking & protección de software

La disciplina de cracking software tiene mucho que ver con la protección
de software. En esta sesión Mike Gastesi, de S21Sec, contará cuales son
algunas de las técnicas utilizadas para la decompilación y crackeo de
software y al final dará algunas recomendaciones para proteger el
software contra este tipo de técnicas.

10:00 - 10:45 Rootkits in Action

La técnología rootkit llegó ya hace unos años para quedarse con
nosotros. En esta sesión Iñaki Etxeberría, de Panda Security, contará
cómo funcionan hoy en día los rootkits, cuáles son sus objetivos y cómo
podemos protegernos de ellos.

10:45 - 11:15 Café

11:15 - 12:00 Tempest, mitos y realidades

La tecnología Tempest ha dado mucho que hablar. La posibilidad de
interceptar la información generada en un equipo mediante la
intercepción de las ondas radiadas por los dispositivos electrónicos ha
sido utilizada en múltiples novelas y películas de ciencia ficción. No
obstante, las técnicas tempest existen y funcionan con unas
características. En esta sesión Pablo Garaizar, Txipi, de la Universidad
de Deusto mostrará que es mito, que es realidad y hará algún ejemplo de
estas técnicas.

12:00 - 12:45 Network Access Protecction

La protección de las redes en entornos en los que los trabajadores
utilizan dispositivos móviles para conectarse (portátiles, PDA,
teléfonos móviles) necesitan comprobar la salud de los equipos que se
conectan a la red. Windows Server 2008 y Windows Vista incorporan NAP,
una tecnología que permite controlar la salud de los equipos que se
desean conectar a la red. Juan Luís Rambla, MVP de Microsoft en Windows
Security de Informática 64 realizará una demostración de cómo implantar
esta tecnología.

12:45 - 13:30 Protección contra Botnets desplegadas por Web

Las técnicas de expansión de las redes botnets van cambiando día a día
buscando nuevos métodos de infectar máquinas. Actualmente una de las
disciplinas utilizadas consiste en atacar máquinas través de sitios web
legítimos vulnerados mediante fallos de programación. David Carmona,
Evangelista de Microsoft desgranará cómo funcionan estas nuevas formas
de despliegue y dará pautas para protegernos contra ellas.

13:30 - 14:00 Preguntas a los ponentes

El evento es gratuito. Es necesario registrarse desde:
http://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032382985&Culture=es-ES

lunes, 1 de septiembre de 2008

Actualización del kernel para Red Hat Enterprise MRG 1.0


Red Hat ha publicado una actualización de el kernel de que corrige
múltiples vulnerabilidades que podrían permitir a un atacante remoto o
local efectuar una denegación de servicio o revelar información sensible
en Red Hat Enterprise MRG 1.0.

* Se ha corregido una vulnerabilidad basada en un desbordamiento de
enteros en SCTP (Stream Control Transmission Protocol). Un atacante
local podría aprovechar esta vulnerabilidad para efectuar un ataque de
denegación de servicio.

* Se ha corregido una vulnerabilidad en Ipsec que podría permitir a un
atacante remoto provocar una denegación de servicio al enviar un paquete
ESP (Encapsulating Security Payload) especialmente manipulado.

* Se ha corregido un error de desbordamiento en el valor "timeout" de la
funcionalidad "hrtimer" del kernel. Esto podría permitir a un atacante
local sin privilegios causar una denegación de servicio.

* Se ha corregido un error de desbordamiento en el valor
"timer-expiration" de la funcionalidad "hrtimer" del kernel en sistemas
de 64 bits. Esto podría permitir a un atacante local sin privilegios
causar una denegación de servicio.

* Se ha corregido un error en la funcionalidad "process-trace" del
kernel para arquitecturas AMD-64. Esto podría permitir a un atacante
local sin privilegios causar una denegación de servicio.

* Se ha corregido una fuga de memoria en la implementación SIT (Simple
Internet Transition) del kernel. Esto podría permitir a un atacante
local sin privilegios causar una denegación de servicio.

* Se ha corregido un error en la llamada al sistema "utimensat" del
kernel que impedía chequear los permisos de archivo cuando "UTIME_NOW" y
"UTIME_OMIT" se usan en ciertas combinaciones. Esto podría permitir a un
atacante local sin privilegios modificar los datos de tiempo en
cualquier fichero y posiblemente causar una denegación de servicio.

* Se ha corregido un fallo en las rutinas de copia de memoria del kernel
para sistemas AMD-64 que al efectuar una copia fallida del espacio de
memoria del kernel hacia otro espacio no pone a cero el espacio destino
permitiendo a un atacante local obtener información sensible.

* Se ha corregido un fallo en la implementación de memoria virtual del
kernel que podría permitir a un atacante local sin privilegios causar
una denegación de servicio a través de múltiples llamadas a la función
"get_user_pages".

Se recomienda actualizar a través de las herramientas automáticas
up2date.

jueves, 28 de agosto de 2008

Ejecución de código arbitrario a través de streams mms en VLC


Se ha descubierto una vulnerabilidad en VLC 0.8.6i que podría permitir a
un atacante remoto ejecutar código arbitrario al reproducir un "stream"
MMS creado a tal efecto.

VLC Media Player es un completo reproductor multimedia que soporta un
gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD
entre otros, así como varios protocolos de streaming. Además está
disponible para un amplio número de plataformas distintas como Windows,
Mac OS X y para varias distribuciones de Linux.

El error se debe a un desbordamiento de memoria basado en heap en la
función "mms_ReceiveCommand" al procesar un stream MMS (Microsoft Media
Server) mediante una URL del tipo "mmst://". La función pertenece a la
librería "modules\access\mms\mmstu.c". Un atacante remoto podría
ejecutar código arbitrario a través de un stream MMS especialmente
manipulado.

La vulnerabilidad afecta a la versión 0.8.6i, pero es posible que otras
versiones puedan verse afectadas. Junto con el aviso original se ha
publicado una prueba de concepto. Hispasec

El problema criptográfico de Debian parece estar siendo aprovechado activamente por atacantes


US-CERT está advirtiendo a los administradores de que, posiblemente, el
famoso problema en la generación de números aleatorios que sufrió
OpenSSL para Debian el pasado mes de mayo, está siendo aprovechado
(probablemente de forma automática) para instalar rootkits en servidores
Linux vulnerables.

En mayo la criptografía sufrió un grave revés. Se descubrió que el
generador de números aleatorios del paquete OpenSSL de Debian era
predecible. Las claves generadas con él en los últimos dos años ya no
eran fiables o verdaderamente seguras. A efectos prácticos, se podría
deducir la clave privada a partir de la pública de los usuarios, con lo
que la criptografía asimétrica dejaba de ser fiable para la
autenticación y para la confidencialidad. Pronto se generó todo el
espacio posible de claves vulnerables (públicas y privadas) y se
desarrollaron exploits específicos para poder acceder a sistemas SSH
protegidos con criptografía pública.

Los administradores que controlan sus sistemas a través de SSH se suelen
autenticar a través de su clave privada (el servidor de SSH almacena la
pública correspondiente). Esta es una alternativa a la autenticación a
través de la clásica contraseña simétrica. Si la pareja de claves ha
sido generada con el OpenSSL vulnerable, se puede hacer un ataque de
fuerza bruta sobre un espacio de claves muy pequeño, algo que tarda unos
20 minutos con un ordenador de hoy día. Los que hayan protegido el uso
de las claves con contraseña, están en principio a salvo.

Aunque el US-CERT no habla de este problema en concreto, probablemente
es el que está siendo aprovechado para llevar a cabo estos ataques
durante estos días. Los atacantes están intentando acceder a servidores
con SSH activo, protegido por criptografía pública y claves privadas
vulnerables. Con esto consiguen acceso de forma fácil al sistema. Si el
kernel no está actualizado, utilizan algún exploit para conseguir acceso
local como root (existen decenas) y una vez dentro, instalan el rootkit
Phalanx2 que les permite (entre otras cosas) obtener otras claves SSH
para acceder a otros sistemas.

En el apartado de más información se ofrece información sobre cómo
detectar el rootkit.

Como advertíamos en mayo, el problema criptográfico del paquete OpenSSL
de Debian traerá de cabeza a los administradores durante mucho tiempo.
Fueron casi dos años de generación de claves vulnerables en cientos de
miles de máquinas, y pasará mucho tiempo hasta que todos los
administradores parcheen sus sistemas y sobre todo, vuelvan a generar
sus claves públicas y privadas con un sistema actualizado.

Noticia ofrecida por Hispasec

miércoles, 27 de agosto de 2008

Vulnerabilidades a través de Solaris


 Vulnerabilidades a través de rdesktop en OpenSolaris


Sun ha publicado una actualización de rdesktop que corrige tres
vulnerabilidades que podrían permitir a un atacante remoto causar una
denegación de servicio o ejecutar código arbitrario.

* La primera vulnerabilidad está causada por un desbordamiento de
enteros en la función iso_recv_msg (en iso.c). Un atacante remoto podría
causar una denegación de servicio o ejecutar código arbitrario mediante
una petición RDP (Remote Desktop Protocol) especialmente manipulada.

* La segunda vulnerabilidad está causada por un desbordamiento de búfer
en la función process_redirect_pdu (en rdp.c). Un atacante remoto podría
provocar ejecutar código arbitrario mediante una petición de redirección
RDP (Remote Desktop Protocol) especialmente manipulada.

* La tercera vulnerabilidad está causada por de entero sin signo en la
función xrealloc (en rdesktop.c). Un atacante remoto podría ejecutar
código arbitrario ser explotada por medio de parámetros desconocidos
para causar un desbordamiento de búfer basado en heap.

Las vulnerabilidades afectan a sistemas X86 y SPARC hasta la compilación
85. En la actualidad Sun no ha publicado ninguna actualización para
estos problemas.


Denegación de servicio por problema de regresión en sshd de Solaris 9 y 10


Sun ha publicado una alerta de seguridad para Solaris 9 y 10 que
solventa un problema de regresión en sshd que podría causar una
denegación de servicio.

El fallo está causado porque los siguientes parches introducen un
problema de regresión que podría causar que la característica de reenvío
de Secure Shell X11 deje de funcionar en los sistemas que estén
configurados sólo con interfaces IPv4.

Los parches que causan el problema son:

Para la plataforma SPARC:
Solaris 9 con parche 114356-14 o superior.
Solaris 10 con parche 126133-03 o superior.

Para la plataforma x86:
Solaris 9 con parche 114357-13 o superior.
Solaris 10 con parche 126134-03 o superior.

Como contramedida para el problema, es posible ejecutar el siguiente
comando como usuario root:
# ifconfig lo0 inet6 plumb up

Noticia ofrecida por Hispasec

domingo, 24 de agosto de 2008

Denegación de servicio en Adobe Flash Player




Se ha encontrado una vulnerabilidad en Adobe Flash Player que podría ser
aprovechada por un atacante remoto para causar una denegación de
servicio.

Un usuario remoto podría crear un archivo SWF especialmente manipulado,
que una vez visto por el usuario hiciera uso de la función
'setClipboard' para pegar repetidamente texto arbitrario desde el
portapapeles, causando así un mal funcionamiento. Además esto podría
causar que un usuario visitase por error un sitio web potencialmente
peligroso si se intenta copiar y pegar una URL en la barra de
direcciones.

Para que el portapapeles vuelva a funcionar de forma correcta es
necesario cerrar el navegador. En la actualidad se ha detectado que esta
vulnerabilidad se está explotando de forma activa.

Noticia ofrecida por Hispasec

La versión 9.52 de Opera corrige hasta siete vulnerabilidades




Se ha lanzado la versión 9.52 del navegador Opera, que corrige un total
de siete vulnerabilidades, una de ellas de nivel crítico, que podrían
ser aprovechadas por un atacante remoto para perpetrar ataques de
falsificación y cross-site scripting, saltarse restricciones de
seguridad, revelar información sensible, causar una denegación de
servicio o ejecutar código arbitrario en un sistema vulnerable.

Opera, además de ser un navegador web, contiene cliente de correo
electrónico con gestor de contactos, cliente de IRC, lector de noticias
RSS y gestor para la descarga de archivos torrent.

La versión 9.5, con aspecto y características renovadas, fue lanzada a
mitad de junio y recientemente se ha publicado su segunda revisión de
seguridad (a la versión 9.52), después de que la v.9.51, publicada a
principios de julio, solventara tan sólo dos fallos de seguridad.

De las siete vulnerabilidades corregidas recientemente, la primera está
catalogada como extremadamente severa por el equipo de Opera, puesto que
permitiría la ejecución remota de código. A continuación se explican con
detalle todos los problemas solventados:

* Se ha subsanado un fallo de seguridad provocado por un error no
especificado en Opera al funcionar como un manejador para ciertos
protocolos. En este modo, el navegador puede ser llamado por una
aplicación externa, lo que podría ser aprovechado por un atacante
remoto para ejecutar código arbitrario. Esta vulnerabilidad solo
afecta a la versión de Opera para Windows.

* Se ha corregido una vulnerabilidad que consiste en un error en la
manera en que Opera comprueba qué marcos pueden ser modificados en una
página web. Mediante un sitio web malicioso, un atacante remoto podría
cargar contenido modificado en el marco de una página emergente
confiable.

* Se ha corregido un fallo no especificado que podría permitir que un
atacante remoto perpetrase ataques de tipo cross-site scripting,
pudiendo ser explotado para ejecutar código JavaScript o HTML en el
contexto de de la sesión del navegador de un usuario que visita un sitio
web afectado.

* Se ha solventado una vulnerabilidad que consiste en un error al
procesar atajos de teclado personalizados y comandos de menú utilizados
para llamar a aplicaciones externas. En determinados casos, los
parámetros pasados a las aplicaciones no son formateados correctamente
y podrían ser creados desde una zona de memoria no inicializada. Los
valores de dicha zona de memoria podrían ser interpretados de forma
errónea como si fueran parámetros adicionales, lo que, dependiendo de la
aplicación, podría ser aprovechado por un atacante remoto para ejecutar
código arbitrario. Esta vulnerabilidad afecta a las versiones de Opera
para Windows, Linux, FreeBSD y Solaris.

* Se ha corregido otro problema causado por un error al indicar en Opera
información sobre la seguridad de una pagina web. Una página no segura
podría mostrarse como segura si cargase contenido de un sitio seguro
en un frame. Un atacante remoto podría modificar así el estado de no
confiable a confiable del icono que indica la seguridad de una pagina
web, aunque sin mostrar ningún certificado de seguridad.

* Se ha solventado un posible salto de restricciones de seguridad que
podría permitir que un atacante, a través de un script, comprobase la
existencia de determinados archivos en un sistema local, por medio de
intentos de suscripción a los mismos a través de una página web.

* El último fallo está causado por un error al procesar nuevas
peticiones de suscripciones a fuentes (feeds) a través del botón de
suscripción. Un atacante remoto podría aprovecharse de la vulnerabilidad
para modificar el campo de dirección de la barra del navegador, pudiendo
mostrar una URL falsificada.

Las vulnerabilidades están confirmadas para todas las versiones de
Opera, desde la 5.x hasta la 9.x.

Se recomienda actualizar a la versión 9.52 del navegador Opera,
disponible para su descarga desde:
http://www.opera.com/download/

Noticia ofrecida por Hispasec