Archive for Junio, 2003

Chantajeando a Microsoft por su XBox

Junio 30, 03 by admin

Desde hace un tiempo, se ofrecía una recompensa a quien consiguiera hacer funcionar el sistema operativo Linux en XBox sin necesidad de usar un modchip.

Ahora, un grupo de hackers ha descubierto un bug en XBox que permite ejecutar código no firmado por Microsoft en dicha consola, tras lo cual han hecho una amenaza a Microsoft: si no autorizan el lanzamiento de una versión de XBox que ejecute Linux sin tener que usar un modchip, harán público el bug que han descubierto, con lo cual la consola saldría muy perjudicada.

Veremos a ver en qué termina esta disputa.

Falso sitio de Microsoft usado para difundir un troyano

Junio 30, 03 by admin

A mediados de esta semana, se ha reportado la circulación de un correo electrónico simulando ser una supuesta actualización de Windows.

El mensaje, que está en formato HTML, incita al usuario a descargar un parche crítico de Internet, y para ello se brinda un enlace a lo que parece ser el propio sitio de Microsoft: http:/ /www.[xxx]windows-update·com. (Aunque el sitio había sido bloqueado por el proveedor ante el aumento excesivo de tráfico, en este informe se ha falseado la dirección con las [xxx] para evitar que un usuario accidentalmente haga doble clic sobre ese enlace. La página contiene un script que descarga y ejecuta un troyano).

El engaño está en que la dirección “windows-update·com” no pertenece a Microsoft (la verdadera es “windowsupdate·com”.

[…]

El mensaje (originalmente en inglés) presenta estas características:
Dear Windows User!
New Windows 9x/2000/NT/XP critical patch has been
released. Due to security problems, your system
needs to be updated as earlier as possible.

You can download an update patch on Windows Update
site: http:/ /[xxx]www·windows-update·com

Best regards, Windows Update Group

Cuando el usuario pincha en ese enlace, accede a un sitio, que como dijimos, es falso.

La página contiene en su código una etiqueta iFrame, que normalmente permite la inclusión de páginas o documentos dentro de otras páginas, ya sean del mismo dominio o no.

Valiéndose de una vulnerabilidad del Internet Explorer, se obliga a que el navegador intente abrir 3354 veces la supuesta página dentro del iFrame. Esto provoca la descarga y ejecución (después de todos esos intentos), del archivo “update0932.exe”, superando las restricciones de seguridad que Windows impone a cualquier código cuando se usa dentro de un iFrame.

[…]

El archivo “update0932.exe” está comprimido con la utilidad UPX, y contiene un troyano del tipo Trojan.Downloader, que a su vez descarga el archivo “svghost.exe” desde la dirección IP 38.115.134.3 (actualmente no responde).

Este último es un troyano de 15.904 bytes, también comprimido con UPX, detectado como una variante del Troj/SdBot, un gusano de redes multi-componentes, que se propaga a través de recursos compartidos y que puede ser controlado vía IRC.

Este troyano libera y ejecuta otro archivo para controlar la máquina de la víctima, “wsock32p.exe”.

Para evitar la ejecución de código a través de las etiquetas iFrame, se recomienda actualizar el Internet Explorer a la brevedad, con el parche indicado en el siguiente enlace: http://www.vsantivirus.com/vulms03-020.htm

Los administradores, pueden bloquear la dirección IP mencionada.

Pueden leer este artículo completo en: http://www.vsantivirus.com/29-06-03.htm

Vulnerabilidad local en el GV

Junio 29, 03 by admin

El gv es un programa para ver documentos PDF y PS, las versiones vulnerables son:

ggv ggv 0.82
ggv ggv 1.0.2
ggv ggv 1.1.96
ggv ggv 1.99.90
GhostView GhostView 1.3
GhostView GhostView 1.4
GhostView GhostView 1.4.1
GhostView GhostView 1.5
gv gv 2.7 b5
gv gv 2.7 b4
gv gv 2.7 b3
gv gv 2.7 b2
gv gv 2.7 b1
gv gv 2.7.6
gv gv 2.9.4
gv gv 3.0 .0
gv gv 3.0.4
gv gv 3.1.4
gv gv 3.1.6
gv gv 3.2.4
gv gv 3.4.2
gv gv 3.4.3
gv gv 3.4.12
gv gv 3.5.2
gv gv 3.5.3
gv gv 3.5.8

El problema existe en sscanf() del gv que es inseguro el cual permite a un atacante agregar codigo para que se ejecute en la maquina cuando se abra el documento con el gv, el cual pone en riesgo la seguridad del sistema.

Para solucionar este problema usted puede hacer lo siguiente:

rpm -e gv-3.5.8-13

Esta seria la solución mas rapida, pero si usted quiere parchear el gv puede ver los parches de cada sistema operativo en:

http://www.securityfocus.org/bid/5808/solution/

Denial of service en el Xterm

Junio 29, 03 by admin

Ha salido una nueva vulnerabilidad local en el xterm , las versiones vulnerables son red hat 8.0, 7.2 , 7.1, 7.0, y tambien suse 8.0.
Un atacante puede aprovecharse de esta vulnerabilidad y lograr cerrar las xterm que estan abiertas.

La solución para este problema la puede encontrar en:

http://www.securityfocus.org/bid/6950/solution/

Rootkit Detector V0.3 y aviso de seguridad en w-agora

Junio 29, 03 by admin

Hemos creado la sección descargas en shellsec, donde iremos poniendo software propio y de conocidos, como es el caso de Rootkit Detector V0.3, creado por aT4r, aún en desarrollo, cuya descripción es:

“Rootkit Detector V0.3 proporciona informacion acerca de procesos y servicios ocultos por rootkits de NT como Hacker Defender (rootkit.host.sk) no detectadas por software antivirus una vez se han instalado en el sistema puesto que una vez que un hacker ha conseguido penetrar en su maquina nada le impide matar los procesos antivirus e instalar una rootkit haciendo sus pasos y sus programas sean practicamente indetectables.
Despues de identificar handles ocultos, rootkit Detector intentara matar dichas tareas y reescanear el sistema para identificar servicios, claves ocultas en el registro (Run, runOnce,…) que hayan podido ser instaladas por hackers.”

Lo podeis encontrar en la sección de descargas

También durantes estos días, hemos subido nuestro primer advisory, el cual afecta a w-agora, y fue descubierto hace un tiempo por Diego Krahenbuhl, pero sigue siendo efectivo ya que la empresa responsable de w-agora aún no ha sacado una nueva versión. Podeis encontrarlo en la sección de advisories

Si deseais colaborar enviando algún software propio o algún advisory, podeis hacerlo enviando un e-mail a admin@shellsec.net

Sobre el troyano Randex.D

Junio 29, 03 by admin

Randex.D es un gusano/troyano/backdoor reportado el 28 de Junio del 2003, que ingresa y se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles, con un archivo de nombre msmsgri3.exe.
El gusano ingresa a través de los puertos 3330, 3331, 3332, 3361, se conecta a servidores remotos e infecta archivos en unidades de red con recursos compartidos, usando el protocolo SMB (Server Message Block), para propagarse por el puerto 445.

Es un PE (Portable Ejecutable) e infecta Windows NT/2000/XP, incluyendo los servidores NT/2000/Server 2003, está desarrollado en Visual C++ con una extensión de 13.5 KB y comprimido con el utilitario ASPack:

http://www.aspack.com

Cuando el gusano es ejecutado, se copia a los sistemas con Claves de Acceso débiles de la siguiente forma:

\\[dirección_IP_autenticada]\Admin$\system32\msmsgri32.exe
\\[dirección_IP_autenticada]\c$\winnt\system32\msmsgri32.exe
Luego intenta autenticarse como Administrador en las direcciones IP de los equipos remotos, haciendo uso de la breve siguiente lista de Claves de Acceso, contenidas en su código viral:

[ninguno + la tecla Enter]
admin
root
1
111
123
1234
123456
654321
!@#$
asdf
asdfgh
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
server
Asimismo programa una tarea para poder ejecutar el gusano la próxima vez que se inicie el sistema, generando la siguiente llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“mssyslanhelper”=”msmsgri32.exe”

Al siguiente re-inicio del equipo el gusano libera y ejecuta el troyano/backdoor de nombre Payload.dat, el mismo que para activarse en el siguiente reinicio, crea esta llave de registro:

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
“System Initialization” = “payload.dat”

Si el accionar de esta especie viral tiene éxito, enviará notificaciones al hacker poseedor del software Cliente, a través del puerto 545 (Kerberos encrypted remote shell -kfall) a la dirección IP 217.21.117.104, ubicada en Amsterdam, abriendo los siguientes puertos para recibir las instrucciones del atacante:

3330 (MCS Calypso ICF, empleada para el servicio de Chat)
3331 (MCS Messaging, servicio de Mensajería)
3332 (MCS Mail Server, servidor de Correo)
3361 (KV Agent, agente de KiloVoltio)
MCS (Messaging & Collaboration System) es un Sistema de Mensajería Colaborativa.

Los payloads de este troyano/backdoor son los siguientes:

- Intenta ingresar a los sistemas remotos con recursos compartidos como Administrador.
- Emplea una breve lista de Claves de Acceso.
- Si logra ingresar hace uso de todos los privilegios del Administrador de Red.
- Envía la información al hacker a través del puerto 445.
- Captura información de la configuración del servidor y de las estaciones de trabajo.
- Captura teclas digitadas por el usuario.
- Roba claves de acceso y números de tarjetas de crédito.
- Control de Acceso Remoto de los archivos y programas de los sistemas atacados
- Activa y desactiva el equipo, lo suspende o apaga.
- Puede enviar comandos a través del Chat.
- Asimismo puede enviar mensajes de correo en forma masiva.
- Borra archivos y formatea el disco duro.

Texto extraído de: http://www.perantivirus.com/sosvirus/virufamo/randexd.htm

Asegurando PHP y Apache

Junio 28, 03 by admin

SecurityFocus ha sacado una guía sobre cómo asegurar paso a paso nuestro servidor frente a ataques sobre páginas hechas en PHP. La guía abarca sólo determinados aspectos, pero puede ser un buen comienzo para una correcta configuración de Apache con PHP

Entre las cuestiones interesantes que plantea, se encuentra cómo chrootear el servidor de páginas web apache, una correcta selección de parámetros para la configuración de PHP, y la implementación de el módulo mod_security.c para Apache, el cual incrementa la seguridad de nuestro servidor, teniendo entre otras funcionalidades:

- Análisis de los parámetros insertados en la web
- Técnicas anti-evasión
- Filtros especificos para HTTP
- Análisis de caracteres insertados en POSTs
- Log detallado de todas las incidencias
- Filtrado en HTTPS

La guía de SecurityFocus la podeis encontrar en: http://www.securityfocus.com/infocus/1706

Página web de modsecurity: http://www.modsecurity.org/

Vulnerabilidad en Sun Application Server 7.x

Junio 27, 03 by admin

Sun ha anunciado una vulnerabilidad existente en las versiones 7.x de Application Server, en la cual se hace una mala autentificación de la información de los usuarios con LDAP. Sun no ha aportado más datos.

El problema ha sido subsanado en posteriores versiones, disponibles en: http://wwws.sun.com/software/download/products/3e3af96b.html

Aviso de Sun: http://sunsolve.sun.com/pub-cgi/retrieve.pl?doc=fsalert%2F55460

Detectado tráfico sospechoso en la red estos últimos días

Junio 27, 03 by admin

Durante los últimos días, muchos expertos en seguridad informática están advirtiendo de la existencia de paquetes sospechosos que circulan por Internet.

Lo que hace que estos paquetes llamen la atención es su elevado tamaño de datos, teniendo en todos los casos una ventana TCP de 55.808 bytes exactamente.

ISS ( http://www.iss.net ) ha asegurado que estos paquetes son producidos por una herramienta de escaneo de puertos denominada ‘Stumbler’, sobre la cual hay quien apunta que usa unos métodos muy rudimentarios, mientras otros opinan que esconde sofisticados métodos de funcionamiento. Otra de las posibilidades es que se trate de un troyano denominado ‘55808 Trojan’, el cual intenta hacer conexiones al puerto 22 (puerto utilizado por el servicio de SSH en máquinas unix o basadas en unix).

Más información:

http://www.iss.net/issEn/delivery/xforce/alertdetail.jsp?oid=22441
http://www.intrusec.com/55808.html

Microsoft desaconseja la descarga de Messenger 6 beta

Junio 25, 03 by admin

Microsoft ha advertido a los usuarios de su producto MSN Messenger, a no descargar ni ejecutar las versiones betas de su próxima nueva versión 6, debido a que este software no está preparado para el consumidor final.

Versiones previas del MSN Messenger 6 han aparecido en docenas de sitios Web. Microsoft ha aclarado que estas versiones son para uso interno solamente, e ignora como han sido distribuidas.

MSN Messenger 6 promete importantes mejoras a su interface, nuevas características de personalización, juegos online integrados, y características propias de video y chat. La versión final del MSN Messenger 6 estará pronta recién en agosto o setiembre de 2003 como muy tarde, después que una versión previa esté disponible para el público en las próximas semanas.

La versión beta estaba pensada solo para uso interno. Microsoft desalienta a los usuarios su descarga de sitios que no tienen la autorización para ofrecerla, ya que su código está incompleto y falta información, explicó la división MSN de Microsoft en una advertencia distribuida la semana pasada.

Microsoft se ha puesto en contacto con cada sitio que ofrece la descarga de la versión beta, para que la retiren, explicó Larry Grothaus, jefe de producto de MSN. Los usuarios deberán tener paciencia y esperar la versión previa pública (conocida como “Public Preview”), dijo.

Microsoft también ha mencionado que aunque no existen problemas de estabilidad con la versión beta, no quiere que los usuarios descarguen ésta de sitios no autorizados. La compañía prefiere controlar la distribución, para cerciorarse que sus clientes utilicen las versiones completas del software.

Fuente (texto extraído): http://www.vsantivirus.com/21-06-03b.htm