Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Microsoft ha anunciado algunos de los cambios en su próxima actualización de XP, Service Pack 2. Entre los cambios en la seguridad, se encuentra la desactivación del servicio Windows Messenger ( ya lo comentamos hace un par de días, http://www.shellsec.net/noticias.php?num=290 ).

Por otro lado, tienen previsto activar de forma predeterminada el cortafuegos ‘Internet Connection Firewall’, en especial para cerrar los puertos relacionados con RPC y puertos de NetBios, qué tantos problemas de seguridad ha reportado a los sistemas Windows en los últimos tiempos.

En el día de ayer aparecieron algunas vulnerabilidades en los módulos de Apache, afectando a sus dos ramas de desarrollo actuales, la 1.3.x y la 2.0.x. A la vez que fue anunciado por la propia Apache Software Foundation, fueron lanzadas dos nuevas versiones de ambas ramas que solucionan los problemas surgidos. Las vulnerabilidades y módulos afectados son los siguientes:

- Apache 1.3.28 y anteriores:

Posibilidad de causar un desbordamiento del búfer en los módulos "mod_alias" y "mod_rewrite" si están configurados con una expresión regular de más de 9 capturas. Para ello es necesario un fichero ".htaccess" con determinadas características.

- Apache 2.0.47 y anteriores:

El socket AF_UNIX usado por "mod_cgid" para comunicarse con el demonio "cgid" o con scripts CGI no es manejado de forma correcta.

Estos fallos podrías producir una escalación de privilegios o una denegación de servicio.

Como solución, se recomienda actualizar a las última versión en cada rama (1.3.29 y 2.0.48).

Direcciones relacionadas:

Nueva versión: http://httpd.apache.org/download.cgi

Anuncio de la vulnerabilidad: http://www.apache.org/dist/httpd/Announcement2.html

La empresa de Bill Gates está decidiendo si desactiva su servicio de Messenger, integrado en sus sistemas operativos desde Windows NT (2000, XP, 2003). Windows Messenger es un servicio que proporciona la posibilidad de enviar mensajes entre distintos equipos dentro de una red (con confundamos con la red de chat MSN Messenger). El envío se realiza mediante las sentencias ‘NET SEND’:

NET SEND *
NET SEND /DOMAIN:NAME
NET SEND NAME
NET SEND /USERS
SERVER MANAGER - SEND MESSAGE

El problema radica en que diversas compañías han utilizado este servicio para enviar mensajes publicitarios a los usuarios sin el previo consentimiento expreso de éstos. Esta técnica les ha reportado beneficios a las empresas (de forma no lícita), pero ha perjudicado a los usuarios. Además, este servicio puede usar tanto el protocolo Netbeui como TCP/IP, posibilitando este último su uso a través de Internet.

A esto añadimos una reciente vulnerabilidad en este servicio, provocada por un desbordamiento de búfer, así que además de la privacidad de los usuarios, pone en peligro la seguridad del sistema.

Por estas razones, Microsoft está planteandose eliminar este servicio de sus sistemas operativos. Se recomienda que desactiven dicho servicio de sus equipos si no es necesario.

Direcciones relacionadas:

Windows Messenger: http://support.microsoft.com/default.aspx?scid=kb;en-us;168893

Desbordamiento de búfer en Windows Messenger (y parche): http://www.microsoft.com/technet/treeview/?url=/technet/security/bulletin/MS03-043.asp

Noticia en Navegante: http://www.elmundo.es/navegante/2003/10/29/seguridad/1067428224.html

Descubierta una vulnerabilidad en la transferencia de ficheros que permitiria a un atacante remoto cerrar el cliente.

Yahoo messenger filtra una seria de caracteres en el parametro YahooID , cuando un atacante envia una peticion a ‘USUARIO%x%x%x%x%x’ (mas de 73 caracteres), se filtraran los caracteres y el fichero sera enviado al USUARIO. Si el usuario acepta la transaferencia del fichero, se producicira un error de violacion de acceso en el modulo ft.dll

Ejemplo de la peticion:

YMSGR:sendfile?[victim_yahooID]+%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%&c%c:\[fichero]

versiones afectadas: Yahoo! Messenger version 5.6.0.X

Fuente: Bugtraq (http://www.securityfocus.com/archive/1/342472)

Según internautas.org, ha aparecido una nueva vulnerabilidad que afecta a las versiones 6 de Internet Explorer (y posiblemente a las versiones anteriores) y a todas las versiones del navegador Opera.

Esta nueva vulnerabilidad está basada en una mala gestión de los ‘IFRAME’. Un atacante podría generar una página HTML con determinadas características que permitiría ejecutar ficheros sin el permiso del usuario. Recordemos que hace poco tiempo se corrigieron vulnerabilidades con efectos similares, pero basadas en las etiquetas OBJECT.

Según internautas.org, pueden comprobar si esta vulnerabilidad les afecta de la siguiente forma:

- En Opera, cree un fichero HTML con el siguiente contenido:

<iframe name="abc" src="file:///C:/"></iframe&gt;

Este iframe no es una vulnerabilidad, es simplemente un iframe que nos muestra el contenido de nuestro disco duro a nosotros mismos, algo utilizado en muchas páginas ‘negras’ para sorprender al usuario, pero no tiene nada de especial, ya que ningún fichero ni dato salen de nuestro equipo.

- En Internet Explorer, pueden hacer un test en la siguiente dirección:

http://www.mlsecurity.com/ie/ie.htm

Yo hice el test en un IE 6 (con los últimos parches de seguridad) y no le afectaba esta vulnerabilidad). Sería interesante que quienes probaran esta vulnerabilidad pusieran un comentario diciendo si les afecta o no. Probablemente sea un bug de hace tiempo o simplemente una errata, pero no está de más comprobarlo por si acaso.

La noticia que publicó internautas.org (ayer) es: http://seguridad.internautas.org/article.php?sid=216&mode=thread&order=0

Ha salido una nueva vulnerabilidad en el mirc, la cual se encuentra en el DCC SEND, y puede ser aprovechada por un atacante remoto, al este provocar un "buffer overflow".
Hasta el momento se sabe que la vulnerabilidad permite un denial of service, pero no se descarta la posibilidad de que se pueda ejecutar codigo remotamente.
La version afectada es la "Khaled Mardam-Bey mIRC 6.12".

Esta es la forma de explotar la vulnerabilidad:

/quote PRIVMSG #mirc :^ADCC SEND "a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a a" 1363975063 3500 4^A

La forma de solucionar esta vulnerabilidad seria de las siguientes maneras:

Poniendo en el mirc "/ignore -d *" o "/ignore -wd *" con esto estariamos ignorando todas las request de DCC.

Otra forma es poner un script en la opción "mIRC remotes section":

ctcp *:dcc send:*: if ($len($nopath($filename)) >= 225) { echo 4 -s $nick tried to crash you with an illegal dcc send of $nopath($filename) | halt }

o

ctcp *:dcc send:*: if ($len($nopath($filename)) >= 225) halt

Apple ( http://www.apple.com/ ) acaba de lanzar una nueva versión de su sistema operativo MacOS X, denominada en esta ocasión ‘Panther’.

En esta nueva versión hay multitud de cambios (unos 150), entre los que destacamos algunos avances referentes a la seguridad del sistema. El que más nos llama la atención es la opción denominada ‘FileVault’ que permite la encriptación del directorio ‘home’ de los usuarios, para preservar así su privacidad ante posibles accesos no autorizados al sistema. De esta forma, se consigue preservar toda la información del usuario (ficheros, correos, bookmarks…), encriptado con el método AES-128.

Apple también ha incorporado otros elementos de seguridad, como el cierre de la sesión del usuario después de un tiempo de inactividad, mayor protección anti-spam, destrucción de los datos eliminados de la papelera mediante el sobreescritura de esa porción de disco duro y otros avances que desmuestran que Apple se interesa por incrementar la seguridad en su sistema operativo estrella. A esto unimos que MacOS X es un sistema libre de virus.

Podeis encontrar una descripción de los avances de la nueva versión en: http://www.apple.com/macosx/newfeatures/

El Centro Común de Investigación de la Comisión Europea ha creado un sistema para tratar las informaciones electrónicas que garantiza los derechos de los usuarios del ciberespacio y les protege contra el fraude cuando compran en internet

El proyecto CTOSE (Cyber Tools On-Line Search for Evidence: Instrumentos de investigación de pruebas electrónicas) de la UE permitirá identificar, garantizar, integrar y presentar pruebas electrónicas sobre ‘ciberdelitos’.
Su objetivo consiste en establecer con precisión lo que pasa durante los delitos informáticos, o incluso durante una simple operación en la web.

Gracias a este nuevo desarrollo, los investigadores podrán utilizar "instrumentos de identificación criminal informática" para recoger pruebas que puedan ser producidas a lo largo de procedimientos judiciales en toda Europa.

Para ello, los investigadores europeos han desarrollado, en cooperación con especialistas europeos de seguridad e informática, nuevos procedimientos normalizados. Permitirá garantizar que todas las pruebas electrónicas son recogidas y preservadas legal y correctamente, y que constituyen pruebas "sanas e indiscutibles" de delito o fraude para la dirección de una empresa, un tribunal laboral o una jurisdicción civil o penal.

Así, desde los administradores del sistema, el personal responsable de la seguridad de los sistemas de información y los investigadores encargados de incidentes informáticos hasta autoridades de policía y representantes de la ley, seguirán procedimientos coherentes y normalizados en las investigaciones sobre incidentes informáticos con la ayuda de "instrumentos de identificación criminal".

El proyecto CTOSE, que concluyó el 30 de septiembre 2003, ha combinado la experiencia del especialista francés de telecomunicaciones, Alcatel, la sociedad de seguridad británica QinetiQ y tres institutos de investigación, el CRID de la Universidad de Namur (Bélgica), la universidad de St. Andrews (Reino Unido) y el Fraunhofer Institut (IAO) de la Universidad de Stuttgart (Alemania), así como del Instituto para la Protección de la Seguridad del Ciudadano de la UE.

Esta noticia ha sido tomada de: http://iblnews.com/news/noticia.php3?id=90397

Ha aparecido una denegación de servicio en ‘coreutils - /bin/ls’ que afecta a aplicaciones como Wu-FTPd. Esta denegación de servicio está provocada por el envío de un número entero largo en la opción ‘-w’, provocando además un integer overflow el cual no parece ser explotable.

Debido al elevado uso de memoria, el kernel finaliza el proceso. El riesgo de esta falla en principio es de bajo nivel. La falla se provocaría enviando una sentencia como la siguiente a Wu-FTPd:

ls "-w 1000000 -C"

Esta vulnerabilidad ha sido corregida en la versión 1.343 del CVS.

Más información en: http://mail.gnu.org/archive/html/bug-coreutils/2003-10/msg00070.html

"PandaLabs ha detectado la aparición de un nuevo gusano denominado Lohack.C (W32/Lohack.C), del cual están registrándose incidencias en España. Con el objetivo de engañar a los usuarios, Lohack.C se envía en un mensaje que simula proceder de Panda Software o del Ministerio de Ciencia y Tecnología español y alude a la Ley de Servicios de la Información y del Comercio Electrónico (LSSI), o al antídoto contra un virus"

– NOTA: Esta información ha aparecido en iblnews y en el portal de Panda Software, pero tenemos constancia de este virus desde Julio, aunque según parece ahora es cuando está incrementando su número de infecciones –

Haciendo uso de las funciones de las librerías MAPI (Messaging Application Programming Interface) se auto-envía a todos los buzones de correo de la Libreta de Direcciones de MS Outlook, así como las extraídas de archivos de diversas extensiones dentro del sistema infectado. Lohack.C se envía a todos los contactos que encuentra en la libreta de direcciones de Windows del equipo al que afecta, intentando obtener también los contactos de Messenger para mandarse y está programado para lanzar búsquedas de dominios en Google para hallar direcciones a las que enviarse.

Entre sus efectos están:

- Mueve el ratón dificultando su desplazamiento.

- Copia en el sistema varios archivos y muestra un texto relativo a la LSSI.

- Crea varias claves en el Registro de Windows, para así ejecutarse cada vez que se inicia el equipo.

- Intenta buscar servidores web en la red para modificar la página de inicio.

Enlaces relacionados:

Descripción de Panda Software: http://www.pandasoftware.es/virus_info/enciclopedia/verficha.aspx?idvirus=41414&sind=0

Noticia en Iblnews: http://iblnews.com/noticias/10/90301.html

Noticia en perantivirus (Julio de 2003): http://www.perantivirus.com/sosvirus/virufamo/lohackc.htm