Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Sans ( http://www.sans.org ) ha publicado su lista anual de las 20 aplicaciones con mayor incidencias de inseguridad durante este año, 10 de sistemas Windows, y 10 de sistemas Unix o basados en Unix.

La lista es la siguiente:

Vulnerabilidades de sistemas Windows

W1 Internet Information Services (IIS)
W2 Microsoft SQL Server (MSSQL)
W3 Windows Authentication
W4 Internet Explorer (IE)
W5 Windows Remote Access Services
W6 Microsoft Data Access Components (MDAC)
W7 Windows Scripting Host (WSH)
W8 Microsoft Outlook Outlook Express
W9 Windows Peer to Peer File Sharing (P2P)
W10 Simple Network Management Protocol (SNMP)

ToVulnerabilidades de sistemas Unix

U1 BIND Domain Name System
U2 Remote Procedure Calls (RPC)
U3 Apache Web Server
U4 General UNIX Authentication Accounts with No Passwords or Weak Passwords
U5 Clear Text Services
U6 Sendmail
U7 Simple Network Management Protocol (SNMP)
U8 Secure Shell (SSH)
U9 Misconfiguration of Enterprise Services NIS/NFS
U10 Open Secure Sockets Layer (SSL)

Podeis encontrar el artículo completo en la siguiente dirección: http://www.sans.org/top20/index.php

También se han hecho eco de la noticia en Barrapunto: http://barrapunto.com/articles/03/10/14/1129211.shtml

Ha aparecido un método para eliminar ficheros de forma remota en sistemas Windows XP, de una forma bastante simple. Sin duda esto representa un nivel de riesgo muy elevado para XP, ya que este ataque no es detectado en principio por firewalls o antivirus.

El error se basa en la manera por la que Microsoft propone la ayuda y soporte técnico del nombrado sistema, utilizando una especie de navegador (Browser) adaptado especificamente al desempeño de su tarea.

"Existe la posibilidad de borrar casi cualquier archivo al buscar en la barra de exploracion del Microsoft Internet Explorer de Windows Xp con una variante de las URLs que usa el servicio de asistencia tecnica de la archiconocida empresa."

Este agujero puede ser aprovechado simplemente mediante el uso de la siguiente dirección url en un navegador:

hcp://system/DFS/uplddrvinfo.htm?file://Direccion del archivo

Aún no se conoce una solución oficial por parte de Microsoft, pero una buena opción sería la de filtrar en nuestro firewall todas las cadenas ‘hcp://*’ o ‘*uplddrvinfo.htm*’ para curarnos en salud (no lo he comprobado, pero puede ser una idea para sellar este agujero.

La información completa sobre esta vulnerabilidad la podeis encontrar en http://www.geocities.com/bbbbunker/

Hace unos días aparecían nuevas vulnerabilidades que afectaban a las versiones 6.x del cliente de irc MIRC (incluida la versión 6.1)

Después de un par de semanas, se ha lanzado una nueva versión (la 6.11) que corrige estos bugs (desconocemos si los corrige todos). Una gran cantidad de comandos han sido actualizados y solucionados sus bugs, son los siguientes:

/fwrite, /hdec, /mkdir, /qmsg, /qme, /color, /hload, /hsave y /server cuando no se especifica el puerto.

También han sido actualizados los siguientes identificadores:

$duration(N,3), $base(), $os, $comcall(), $dllcall(), $md5() y $mask()

Con estos cambios se ha conseguido solucionar también el problema de seguridad de /userhost. En algunas redes de irc se recomienda usar los siguientes comandos para evitar ser victimas del reciente exploit para versiones 6.x de MIRC:

/ignore -dw *

Y mediante el siguiente comando, se puede permitir a determinados nicks establecer o no conexiones DCC: /ignore -u90x <nick>

Enlaces relacionados:

Anterior noticia sobre vulnerabilidades en MIRC: http://www.shellsec.net/noticias.php?num=257

Cambios en la reciente versión de MIRC: http://www.mirc.co.uk/versions.txt

Hace unos días, apareció en diversos medios la siguiente noticia:

– El presidente de la Asociación para la Información de Hackers (AIH), Javier Garaloces, explicó "la sociedad tiene una mala imagen del hacker" debido a que "se han formado varias comunidades de hackers y crackers y no se ha establecido una diferenciación entre ellas" […] –

Unas horas después, un asaltante consiguió cambiar la página principal de la web de esta ‘asociación’, con un sugerente mensaje.

Imagen de la web: http://www.mentes.org/images/aih.gif

Noticia sobre el anuncio por parte de la AIH: http://www.noticias.com/noticias/2003/0310/n0310079_1.htm

Este gusano de reciente aparición, deja puertras traseras en los equipos a los cuales consigue infectar, usando las vulnerabilidades de RPC DCOM y WebDAV, por lo cual son supsceptibles a ser atacados por este gusano sólo los sistemas operativos Windows XP, 2000 y NT.

El centro de Alerta Antivirus, ha publicado una revisión sobre este gusano:

"Gaobot.S es un gusano con características de puerta trasera que afecta a ordenadores con sistemas operativos Windows XP/2000/NT. Gaobot.S aprovecha las vulnerabilidades RPC DCOM y WebDAV para propagarse al mayor número de ordenadores posible.

Gaobot.S también se propaga realizando copias de sí mismo en recursos compartidos de red, a los que logra acceso empleando contraseñas que son típicas o fáciles de adivinar.

Una vez ejecutado, Gaobot.S se conecta a un servidor IRC determinado por el puerto 6667 y espera órdenes de control. Por su características de puerta trasera, permite obtener información del ordenador afectado, ejecutar ficheros, realizar ataques de tipo de denegación de servicio distribuida (DDoS), subir ficheros por FTP, etc.

Gaobot.S finaliza procesos pertenecientes a programas antivirus, cortafuegos y herramientas de monitorización del sistema. Esto deja al ordenador afectado vulnerable frente al ataque de otros virus y gusanos. Además, finaliza los procesos correspondientes a los virus Nachi.A, Autorooter.A, Sobig.F y varias variantes de Blaster.

Si su ordenador tiene como sistema operativo Windows XP/2000/NT, es recomendable descargar el parche de seguridad para las vulnerabilidades RPC DCOM y WebDAV desde la página de Microsoft."

Más información en http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3117&PHPSESSID=73d9e1321845cbbedf38afb002a60f0e

Desde hacía tiempo, Internet Explorer contenía fallos en tags del tipo Object. Simplemente con visitar una página con determinado código, se puede hacer que el cliente descargue y ejecute código e incluso una aplicación.

Este grave fallo podría permitir que se introdujeran virus, troyanos o cualquier código malicioso con sólo acceder a alguna página preparada para ello.

Recomendamos encarecidamente la instalación de este parche, podeis encontrarlo en http://www.microsoft.com/technet/treeview/default.asp?url=/technet/security/bulletin/MS03-040.asp

Nueva vulnerabilidad para este gestor de contenidos, la cual permite a un atacante poder subir ficheros al servidor y su posterior ejecución, presentando un elevado riesgo. Esta vulnerabilidad sólo afecta a servidores con sistema operativo Windows que alberguen PHP-Nuke 6.x

El responsable es los scripts "mailattach.php" y "modules.php" del módulo de Webmail, en los cuales no se hace una correcta comprobación de los parámetros "userfile_name" y "file".

Como solución se propone modificar el script "mailattach.php" para que un atacante no pueda modificar la ubicación de subida del fichero, al menos hasta que aparezca una nueva versión en la que se arregle este problema.

Más información en http://www.secunia.com/advisories/9954/

La última vulnerabilidad del navegador Internet Explorer de Microsoft está siendo masivamente explotada por hackers maliciosos y páginas ilegales. En las últimas horas el CERT ha advertido de la creciente popularidad del exploit necesario, que está siendo usado para descargar código malicioso en las víctimas, y a partir de ahí, usarlos como clientes de un ataque masivo DOS o hacer que se conecten silenciosamente a teléfonos de tarificación especial.

La vulnerabilidad fue descubierta a finales de Agosto por eEye y consiste en un problema del navegador a la hora de procesar las cabeceras Content-type y las aplicaciones HTML Application (HTA) embebidas en la etiqueta OBJECT. Haciendo que la víctima visite una determinada página manipulada por el atacante, o mandando un correo HTML y procesado por Outlook o Outlook Express, se puede llegar a descargar y ejecutar cualquier tipo de código en el sistema con los mismos privilegios que el usuario.

La página manipulada puede ser creada de tres formas distintas: Con HTML estático, a través de un script o enlazando con XML. El parche acumulativo con el que Microsoft pretendía solucionar el fallo, ha demostrado ser ineficaz, pues sólo remedia el error en el caso en que la página esté creada con HTML estático, y deja el campo abierto para que pueda ser explotado de otras maneras igual de sencillas. Para esto Microsoft todavía no ha sacado a la luz un parche eficaz.

El resto de la noticia se encuentra en http://seguridad.internautas.org/article.php?sid=204&mode=thread&order=0

Estos días apareció en distintos foros y portales la posibilidad de que hubieran robado el código fuente de uno de los próximos lanzamientos de la compañía Vale Software, concretamente el robo del código de Half Life 2.

En principio parecía una broma o burla. Pero tras diversas pruebas, como imágenes del código fuente, han aparecido unas declaraciones de Gabe Newell, empleado de Valve Software, donde afirma que el robo de este código fue gracias a un agujero de seguridad en su cliente de correo, Outlook.

Uno de los comentarios más acertados que he podido ver, es uno que hace referencia a la seguridad que debemos mantener en nuestro software cliente, como puede ser Outlook o el software de correo que usemos, así como nuestro navegador web, cliente ftp, irc, news etc. Por mucha seguridad externa, perimetral, y politicas del sistema, sin una buena política de actualizaciones y soluciones ante vulnerabilidades en nuestro software cliente, corremos un peligro enorme, haciendo que nuestros sistemas anti-intrusos no sirvan para nada, saltandose firewalls, IDS, y hasta redes privadas virtuales (VPN).

Podeis encontrar el post de Gabe Newell en http://www.halflife2.net/forums/showthread.php?s=&threadid=10692

Aparece un nuevo estudio sobre ataques informáticos a empresas españolas, en el cual fijan la media de estos ataques entorno a 2 o 3 ataques al año. Imaginamos que estos datos se refieren a ataques de una magnitud considerable, o con cierto porcentaje de éxito, ya que realmente se producen intentos de ataque prácticamente todos los días, en su mayoría protagonizados por herramientas automatizadas o dirigidas sobre rangos de IPs.

La noticia proporcionada por Europa Press es la siguiente:

|– Las pequeñas y medianas empresas españolas sufren una media de entre dos y tres ataques anuales en sus equipos informáticos por parte de ‘hackers’ que les producen importantes pérdidas económicas, según una encuesta elaborada por la Asociación Multisectorial de Empresas Españolas de Electrónica y Comunicaciones (Asimelec) en colaboración con el Ministerio de Ciencia y Tecnología (MCYT).

El informe, basado en la consulta a 250 compañías españolas del sector industrial, no cifra las pérdidas económicas que suponen los virus y otros ataques. No obstante, un portavoz de Asimelec, Adrián Moure, explicó que "las pérdida de 20 megas de información, que es muy poco, representa ya un coste de entre 17.000 y 25.000 euros" en función del departamento al que afecte.

Moure señaló que "la mayor parte de la compañías españolas no están bien protegidas, porque lo único que hacen es comprar algún antivirus". La seguridad, explicó, "no es un productos, sino un concepto, y es necesaria una toma de cociencia" –|