Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Problema:

MDAC es un conjunto de componentes de windows que facilitan la conexion a bases de datos.
Debido a una falla en el componente MDAC, un atacante puede causar un buffer overflow y si se consigue explotar con exito esta vulnerabilidad, se puede ejecutar codigo con privilegios de la aplicacion que esta usando mdac.

Versiones vulnerables:

Microsoft Data Access Components 2.5
Microsoft Data Access Components 2.6
Microsoft Data Access Components 2.7

Solución:

La Instalacion de los parches de seguridad suministrados por microsoft a traves de windowsupdate.microsoft.com o usando el siguiente link:

http://microsoft.com/downloads/details.aspx?FamilyId=9107ABC6-8995-4A99-B6A0-478B3A847E9C&displaylang=en

Referencias

http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-033.asp

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CAN-2003-0353

El nuevo gusano Sobig.F, cuya aparición se detectó hace pocas horas, se propaga rápidamente por todo el mundo provocando un gran número de incidencias, según los datos obtenidos por la red internacional de servicio de Soporte Técnico de Panda Software.

Se trata de un gusano que se propaga tanto por correo electrónico como por carpetas compartidas en red. El e-mail en que puede llegar está en inglés y tiene asuntos variables. Además, también escucha en los puertos (udp) 995 a 999, lo que le concede capacidades adicionales de virus de puerta trasera (backdoor), haciendo vulnerables a accesos a los equipos que infecta.

El gusano tiene las siguientes características:

- Se propaga por correo electrónico, enviando los mensajes con su propio motor SMTP
- Se propaga también por recursos compartidos en redes de Microsoft.
- Abre los puertos (udp) 995 a 999, ambos inclusive, y permanece a la espera de recibir órdenes, actuando así como un troyano.
- Ejecuta un bucle cada hora, mediante el cual se conecta a una serie de direcciones web con el fin de realizar actualizaciones de sí mismo.

El gusano lleva datos basura al final de su fichero, por lo que no es posible decir exactamente cuál es tamaño en bytes (puede variar entre los 70 y 74 kilo bytes).

Propagación mediante unidades de red compartidas: Sobig.F crea un bucle que ejecuta cada 30 minutos, y que trata de conectarse a unidades de red compartidas, con el fin de realizar en las mismas una copia del gusano.

Contacto con servidores NTP remotos: El gusano contiene una lista de direcciones IP de servidores NTP remotos (NTP=Network Time Protocol, utilizado para saber cuál es la hora y fecha). A estos servidores les envía paquetes NTP (puerto destino 123).

Direcciones relacionadas:

- Herramienta para eliminar el virus: http://www.pandasoftware.es/descargas/utilidades/

- Ficha en Alerta-Antivirus: http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2905

- Noticia en Ibrujula: http://iblnews.com/news/noticia.php3?id=84766

Dumaru es un gusano destructivo de propagación masiva, a través de mensajes de correo con un archivo anexado de nombre patch.exe, que simula ser enviado por Microsoft con un parche para Internet Explorer.

[ . . . ]

Posee su propio SMTP (Simple Mail Transfer Protocol) y se envía a todos los buzones contenidos en los archivos de las siguientes extensiones:

HTM
WAB
HTML
DBX
TBB
ABD

Las direcciones de correo extraídas de estos archivos serán almacenadas en la ruta %Windir%\winload.log.

Al ejecutar el archivo anexado, el gusano se auto-copia al directorio %Windir% y la carpeta %System% con los siguientes nombres:

%Windir%\dllreg.exe
%System%\load32.exe
%System%\vxdmgr32.exe

Con el objeto de evitar auto-ejecutarse en memoria, en forma repetida, el gusano crea un indicador similar a un Mutex, de nombre program12345.

Al siguiente re-inicio el gusano libera y ejecuta el troyano/backdoor PWS-Narod, el cual es copiado al directorio %Windir% con el nombre de windrv.exe, el cual al ser activado procederá a capturar las Claves de Acceso del sistema, las mismas que serán enviadas vía mensajes de correo a una dirección cifrada del creador.

El proceso de infección de este gusano es el siguiente:

· Almacena el contenido del archivo infectado en el directorio raíz con la extensión STR*.TMP.
· Luego lo sobre-escribe con su código viral.
· Almacena el contenido de los archivos STR*.TMP dentro del ADS del archivo infectado. Por ejemplo, si el nombre del archivo es Notepad.exe la ubicación del archivo original será Notepad.exe:str.
· Para terminar su accionar, el gusano borra los archivos temporales STR*.TMP.

Luego intentará infectar todos los archivos con extensión .EXE de las unidades de disco, pero a causa de un error de programación sólo afectará a los ejecutables del directorio raíz.

Aleatoriamente los archivos ADS (Alternate Data Stream) infectados serán irrecuperables. los ejecutables de otras plataformas serán irrecuperables, pero debido a que únicamente Windows 2000 y XP soportan el ADS, todos los archivos .EXE de las otras plataformas serán definitivamente irrecuperables.

Sus payloads son los siguientes:

- Se propaga masivamente en mensajes de correo, simulando ser enviado por Microsoft con un parche para Internet Explorer.
- Hace uso de su propio servidor SMTP para enviarse a las direcciones de correo capturadas en archivos de diversas extensiones.
- Libera un troyano que captura Claves de Acceso y las envía vía mensaje de correo a la dirección del hacker autor del gusano.
- Infecta archivos haciendo uso del almacenamiento denominado ADS Alternate Data Stream en las plataformas Windows 200 y XP.
- Intenta infectar los archivos con extensión .EXE de todas las unidades de disco pero por un error de programación tan solo afecta a los ejecutables del directorio raíz.
- Los archivos con extensión .EXE serán infectados en el directorio raíz.
- Los ejecutables infectados de todas las plataformas, excepto Windows 2000 y XP serán irrecuperables.
- El sistema operativo podrá quedar inoperativo.
- Será necesario re-instalar Windows.

Artículo completo en: http://www.perantivirus.com/sosvirus/virufamo/dumaru.htm

Problema:

Esta vulnerabilidad permite a un atacante remoto obtener acceso no autorizado de admin.

Ejemplo de como explotar esta vulnerabilidad:

http://www.target.com/php/gaestebuch/admin/index.php?do=options&action=optionsok&new_username=regularuser
&new_password=regularpass&new_rights=admin
&user=regularuser&pass=regularpass

Versiones vulnerables:

Thomas Hempel MatrikzGB 2.0

Solución:

Todavia no se encuentra disponible ninguna solución a esta
vulnerabilidad.

Referencias:

http://www.securityfocus.com/archive/1/333762/2003-08-15/2003-08-21/0

Problemas:

Se han encontrados las siguiente vulnerabilidad en AttilaPHP:

1) Cross Site Scripting :

Ejemplos:

http://[target]/index.php3?Rubrique=[hostile_code]

http://[target]/index.php3?article=[id_number]&Rubrique=[hostile_code]

El "hostile code" tiene que contener lo siguiente:

[script]alert("Cookie="+document.cookie)[/script]

(reemplaza [] por <>)

2) Script Injection :

Ejemplo:

http://[target]/www/user_action.php3?op=enter_text&rubrique=[rubrique_id]

3) Path Disclosure :

Esta vulnerabilidad permite que un atacante remoto determine la path en donde se aloja la web y posiblemente obtener otra información sensible.

Ejemplos:

http://[target]/www/print.php3?id=’
http://[target]/www/index.php3?nrub=’

http://[target]/www/index.php3?article=’

Versiones vulnerables:

AttilaPHP AttilaPHP 3.0

Solución:

Todavia no se encuentra disponible ninguna solución a esta
vulnerabilidad.

Referencias:

http://www.security-corporation.com/advisories-020.html

Problema:

Se ha encontrado una vulnerabilidad en OpenSLP Initscript, la cual
permite a un atacante local mediante un ataque "symlink" modificar
el contenido de archivos del sistema.

Versiones vulnerables:

SourceForge.net OpenSLP 1.0.11

Solución:

La forma de solucionar esta vulnerabilidad es bajar los fixes de:

http://www.openslp.org/download.html

o para las versiones de conectiva desde:

ftp://atualizacoes.conectiva.com.br/

Referencias:

http://www.securityfocus.com/archive/1/333823/2003-08-15/2003-08-21/0

http://distro.conectiva.com/atualizacoes/index.php?id=a&anuncio=000723

http://sourceforge.net/project/showfiles.php?group_id=1730

El virus Blaster continua expandiendose. En España, las cifras son de un 5,5% del total de los pc’s infectadados, aproximadamente. Volvemos a recomendar que todos sus equipos sean actualizados frente a la vulnerabilidad de RPC/DCOM ( http://www.shellsec.net/noticias.php?num=151 ) y tomar esta alerta de forma serena y coherente, sin excesivos alarmismos.

También han aparecido nuevas variantes de Blaster:

- Blaster.B
———————–

Es un gusano muy similar al famoso Blaster. Se diferencia de él en que únicamente intenta replicarse y afectar a sistemas Windows 2000 y Windows XP. Otra diferencia es que se copia a sí mismo en C:\Windows\System32\ como en vez de MSBlast.exe (como hace el Blaster original). Todo lo demás es muy similar.

Cuando se ejecuta este gusano hace lo siguiente:

Si existe un mutex llamado "BILLY" el gusano finaliza su ejecución. Si no existe, lo crea y continúa ejecutándose.

Añade el valor

"windows auto update"="penis32.exe"

a la clave del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

de esta forma el gusano se ejecutará cada vez que se arranca windows.

Genera una dirección IP aleatoria (aunque con ciertas restricciones y reglas).

Envía datos al puerto TCP 135 de la dirección IP generada. Si ahí se encuentra un sistema Windows 2000 o XP y no está parcheado, se infectará. El gusano envía el 80% del tiempo datos para infectar Windows XP y el 20% Windows 2000.

Usa Cmd.exe para crear una proceso shell remoto en el sistema atacado (puerto de escucha TCP 4444). De esta forma la máquina atacante puede pasar cualquier instrucción a la máquina atacada.

Desde el día 16 de agosto de 2003 en adelante, todos los sitemas infectados, forzados por el gusano, lanzarán un ataque de denegación de servicio contra Windows Update de Microsoft.

- Blaster.C
———————–

Otra viarante más de la familia Blaster. Se propaga en sistemas Windows 2000 y XP que no están parchados contra la vulnerabilidad DCOM RPC. Se diferencia de los otros gusanos en que ahora en lugar de utilizar "msblast.exe" (como nombre de fichero donde reside el gusano), utiliza "teekids.exe". El resto permanece igual.

Cuando se ejecuta este gusano hace lo siguiente:

Si existe un mutex llamado "BILLY" el gusano finaliza su ejecución. Si no existe, lo crea y continúa ejecutándose.

Añade el valor

"windows auto update"="penis32.exe"

a la clave del registro
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

de esta forma el gusano se ejecutará cada vez que se arranca windows.

Genera una dirección IP aleatoria (aunque con ciertas restricciones y reglas).

Envía datos al puerto TCP 135 de la dirección IP generada. Si ahí se encuentra un sistema Windows 2000 o XP y no está parcheado, se infectará. El gusano envía el 80% del tiempo datos para infectar Windows XP y el 20% Windows 2000.

Usa Cmd.exe para crear una proceso shell remoto en el sistema atacado (puerto de escucha TCP 4444). De esta forma la máquina atacante puede pasar cualquier instrucción a la máquina atacada.

Desde el día 16 de agosto de 2003 en adelante, todos los sitemas infectados, forzados por el gusano, lanzarán un ataque de denegación de servicio contra Windows Update de Microsoft.

- Blaster.D
———————–

Se trata de un gusano idéntico al famoso Blaster. En lo único que se diferencia es que el nombre del fichero asociado es MSPATCH.EXE. Además, en esta ocasión el gusano está empaquetado con Aspack.

El gusano se copia en %Windir%\System32 con el nombre de MSPATCH.EXE (%Windir% vale por defecto C:\Winnt o C:\Windows).
Además añade la clave del registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\
Runon "Nonton Antivirus " = mspatch.exe This is a patch to fixedRPC Problem! Y

Por lo demás este virus es idéntico al gusano Blaster

Direcciones relacionadas:

- Aparición de Blaster: http://www.shellsec.net/noticias.php?num=203

- Blaster.B: http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2886

- Blaster.C: http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2887

- Blaster.D: http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=2900

Randex.G es un troyano/backdoor que ingresa y se propaga en Redes con recursos compartidos y estaciones de trabajo configurados con contraseñas débiles, con un archivo de nombre ph32.exe.
El gusano se conecta a servidores remotos, infecta servidores y unidades de red, envía o recibe instrucciones vía un pre-determinado canal IRC (Internet Chat Relay).

Actuando como backdoor de control remoto captura información de los sistemas, crea una Negación de Servicio por saturación logrando colapsarlos por saturación de envío de archivos.

Cuando el gusano es ejecutado, se copia a la carpeta %System% con el nombre de ph32.exe y crea un mutex (Exclusión Mutua), denominado "piebot-fe" para evitar la generación de sus múltiples auto-copias en la memoria de Windows.

[ . . . ]

Al re-activarse el sistema el gusano genera una dirección IP aleatoria para infectarla e intenta autenticarse en como Administrador en esa IP, haciendo uso de la breve siguiente lista de Claves de Acceso, contenidas en su código viral:

12345
pass
password

Si logra validarse se auto-copia a los sistemas infectados de la siguiente forma:

\\[dirección_IP_autenticada]\Admin$\system32\netfd32.exe
\\[dirección_IP_autenticada]\c$\winnt\system32\netfd32.exe

Y al re-activarse programa una tarea para poder ejecutar e infectar otras redes con recursos compartidos.

Luego se conecta a un canal de un servidor IRC (Internet Chat Relay) para recibir comandos del hacker poseedor del software Cliente.

ntscan: ejecuta la búsqueda masiva de equipos remotos con con contraseñas débiles para propagarse.
syn: ejecuta un ataque de saturación con archivos de nombres aleatorios de 54.5 KB logrando una Negación de Servicio.
sysinfo: Captura información de la configuración del servidor y de las estaciones de trabajo.

Los payloads de este troyano/backdoor son los siguientes:

- Intenta ingresar a los sistemas remotos con recursos compartidos como Administrador.
- Emplea una breve lista de Claves de Acceso.
- Si logra ingresar hace uso de todos los privilegios del Administrador de Red.
- Envía la información al hacker a través de un canal de Chat de un servidor IRC pre-determinado.
- Captura información de la configuración del servidor y de las estaciones de trabajo.
- Puede enviar/recibir comandos a través del Chat.
- Captura teclas digitadas por el usuario.
- Roba claves de acceso.
- Controla remotamente programas de los sistemas infectados.
- Borra archivos y formatea el disco duro.

Direcciones relacionadas:

Un antecesor, Randex.D: http://www.shellsec.net/noticias.php?num=94

Artículo completo sobre Randex.G: http://www.perantivirus.com/sosvirus/virufamo/randexg.htm

Problema:

Multiples vulnerabilidades han sido encontradas en el Ecartis 1.0:

1) Los archivos smtp.c, unhttp.c, y unmime.c contienen "buffer overflows". Estos permite a un atacante remoto ejecutar codigo arbitrariamente.

2) Ejemplo: mandar un mail a "ecartis@host.com":

subscribe secret-list
subscribe <$post-password>

El primer comandos va a fallar, pero la lista secret-list a sido seleccionada como una lista activa. El segundo comando por supuesto falla tambien, pero con un mail de reply expandiendo el "post-password" al password real.

Versiones vulnerables:

Ecartis 1.0

Solución:

Este es uno de los parches:

diff -ru ecartis-1.0.0-old/src/smtp.c ecartis-1.0.0/src/smtp.c
— ecartis-1.0.0-old/src/smtp.c Fri Apr 18 09:45:04 2003
+++ ecartis-1.0.0/src/smtp.c Thu Aug 14 17:30:24 2003
@@ -330,18 +330,19 @@
return 1;
}

-void smtp_body_822bis(const char *src, char *dest)
+void smtp_body_822bis(const char *src, char *dest, size_t size)
{
const char *ptr1;
- char *ptr2;
+ char *ptr2, *end;
int lastcr;

lastcr = 0;

ptr1 = src;
ptr2 = dest;
+ end = dest + size - 2;

- while(*ptr1) {
+ while(*ptr1 && ptr2 < end) {
if ((*ptr1 == ‘\n’) && (!lastcr)) {
*ptr2++ = ‘\r’;
} else if (*ptr1 == ‘\r’) {
@@ -367,7 +368,7 @@
{
char buffer[HUGE_BUF];

- smtp_body_822bis(line,&buffer[0]);
+ smtp_body_822bis(line,&buffer[0], sizeof(buffer));

clean_var("smtp-last-error", VAR_TEMP);
if (!sock_printf(my_socket,"%s",buffer)) {
@@ -385,7 +386,7 @@

buffer_printf(buffer2, sizeof(buffer2) - 1, "%s\r\n", line);

- smtp_body_822bis(buffer2,&buffer[0]);
+ smtp_body_822bis(buffer2,&buffer[0], sizeof(buffer));

clean_var("smtp-last-error", VAR_TEMP);
if (!sock_printf(my_socket,"%s",buffer)) {
diff -ru ecartis-1.0.0-old/src/unhtml.c ecartis-1.0.0/src/unhtml.c
— ecartis-1.0.0-old/src/unhtml.c Fri Apr 18 09:45:04 2003
+++ ecartis-1.0.0/src/unhtml.c Thu Aug 14 17:43:03 2003
@@ -161,6 +161,25 @@
case HTMLPARSE_NORMAL:
case HTMLPARSE_EATTAG:
{
+ /* Wordwrap */
+ if (linechars > 76) {
+ char tempbuf[1024];
+ *tptr = 0;
+
+ tptr = strrchr(linebuffer,’ ‘);
+ if (!tptr) tptr = strrchr(linebuffer,’-');
+ if (!tptr) tptr = &tempbuf[76];
+
+ buffer_printf(tempbuf,1023,"%s",
+ (*tptr == ‘ ‘) ? tptr + 1 : tptr);
+ *tptr = 0;
+
+ newline(outfile,&linebuffer[0],indent,linemode);
+ buffer_printf(linebuffer,79,"%s",tempbuf);
+ tptr = &linebuffer[strlen(linebuffer)];
+ linechars = strlen(linebuffer);
+ lastspace = 1;
+ }
if (tempchar == ‘&’) {
memset(buffer, 0, sizeof(buffer));
tagptr = &buffer[0];
@@ -182,25 +201,6 @@
lastspace = (tempchar == ‘ ‘);
}

- /* Wordwrap */
- if (linechars > 76) {
- char tempbuf[1024];
- *tptr = 0;
-
- tptr = strrchr(linebuffer,’ ‘);
- if (!tptr) tptr = strrchr(linebuffer,’-');
- if (!tptr) tptr = &tempbuf[76];
-
- buffer_printf(tempbuf,1023,"%s",
- (*tptr == ‘ ‘) ? tptr + 1 : tptr);
- *tptr = 0;
-
- newline(outfile,&linebuffer[0],indent,linemode);
- buffer_printf(linebuffer,79,"%s",tempbuf);
- tptr = &linebuffer[strlen(linebuffer)];
- linechars = strlen(linebuffer);
- lastspace = 1;
- }
}
}
break;
@@ -338,7 +338,8 @@
}
parsemode = HTMLPARSE_NORMAL;
} else {
- *tagptr++ = tempchar;
+ if (tagptr < buffer + sizeof(buffer) - 1)
+ *tagptr++ = tempchar;
}
}
break;
diff -ru ecartis-1.0.0-old/src/unmime.c ecartis-1.0.0/src/unmime.c
— ecartis-1.0.0-old/src/unmime.c Fri Apr 18 09:45:04 2003
+++ ecartis-1.0.0/src/unmime.c Thu Aug 14 17:22:36 2003
@@ -98,7 +98,7 @@

tptr2 = &temp2[0];

- while (*tptr && (*tptr != ‘=’)) {
+ while (*tptr && (*tptr != ‘=’) && tptr2 < temp2 + sizeof(temp2) - 1) {
if (!isspace((int)*tptr)) *tptr2++ = *tptr;
tptr++;
}
@@ -116,7 +116,7 @@

tptr2 = &temp2[0];

- while (*tptr && (*tptr != ‘;’)) {
+ while (*tptr && (*tptr != ‘;’) && tptr2 < temp2 + sizeof(temp2) - 1) {
if ( (!escape) && isspace((int)*tptr) ) {
if (!eattrail) {
/* We store the position to remove end spaces */

Referencia

http://www.securityfocus.com/archive/1/333209

Problema:

Multiples vulnerabilidad han sido reportadas en SkunkWeb

1) Directorio Transversal:

La vulnerabilidad se encuentra en el siguiente script "Cache.py" y permite a un atacante remoto ver archivos con los privilegios del web server.

2) Cross-site Scripting:

Esta vulnerabilidad se encuentra en "HTTP 404 error page" esta no filtra codigo HTML, un atacante remoto puede insertar un script malicioso.

Sistemas afectados:
SourceForge.net SkunkWeb 3.3
SourceForge.net SkunkWeb 3.4 b1
SourceForge.net SkunkWeb 3.4 b2
SourceForge.net SkunkWeb 3.4 b3

Solución:

Para solucionar esta vulnerabilidad hacer un upgrade a la ultima version del SkunkWeb.

Que la puede conseguir en:

http://prdownloads.sourceforge.net/skunkweb/skunkweb-3.4b4.tar.gz

Referencia

http://sourceforge.net/project/shownotes.php?release_id=177513