Archive for Noviembre, 2003

Juego sobre SQL Injection

Noviembre 28, 03 by admin

En bugtraq ha aparecido un juego titulado ‘SQL Injection Wargame’. El juego consta de 5 niveles, y requiere registro, aunque sin confirmación por correo. Al conseguir ganar un nivel, se proporciona una contraseña para acceder al siguiente nivel, así hasta completar los 5 niveles. Se aceptan propuestas para añadir más niveles.

El juego lo podeis encontrar en http://warsql.hackingzone.org

Informe trimestral del CERT sobre incidencias en seguridad informática

Noviembre 27, 03 by admin

CERT saca trimestralmente un informe sobre las vulnerabilidades más importantes. Las de este trimestre son las siguientes:

1) Variantes del virus W32/Mimail

2) Desbordamientos de búfer en el servicio de Windows Workstation Service

3) Múltiples vulnerabilidades en Microsoft Windows y Exchange

4) Múltiples vulnerabilidades en implementaciones de SSL/TLS

5) Vulnerabilidades en Internet Explorer

6) Gusano W32/Swen.A

7) Desbordamiento de búfer en Sendmail

8) Vulnerabilidad en el manejo del búfer en OpenSSH

9) RPCSS en sistemas Windows

El informe completo lo podeis encontrar en http://www.cert.org/summaries/CS-2003-04.html

Detenido en España por primera vez el creador de un virus (virus Kelar)

Noviembre 26, 03 by admin

El creador del virus KELAR (o RALEKA o BEMDER) fue detenido por la Guardia Civil en una operación denominada ‘akelarre’. El virus afectaba al conocido bug en RPC (Remote Procedure Call) de los sistemas Windows 2000 y XP, habiendo infectado 120.000 ordenadores en sólo 15 días.

Su forma de operar era la siguiente:

"El virus era del tipo gusano, que se autoreplicaba a través de las máquinas infectadas. Una vez infectados, los ordenadores se conectaban a un sitio web ubicado en el extranjero que les redirigía a otro alojado en un servidor español, Arrakis, desde el que se descargaban una actualización del virus y un troyano, el "NTROOKIT".

Una vez actualizado el virus y descargado el troyano se conectaban a la página de Microsoft para descargarse el parche del RPC, impidiendo que otro "hacker" accediera al ordenador por esa vulnerabilidad y evitando sospechas del usuario de la máquina.

Finalmente, como el virus incluía un cliente de IRC, se conectaba a distintas redes del mismo, a través del canal "atolondra0", donde quedaba a la espera de recibir órdenes del autor del virus, que debería conectarse a esos canales con el nick "mend0za", para realizar ataques de denegación de servicio (DoS)"

El autor del virus responde a las siglas A.C.P, de 23 años, con el apodo de 900K y fue detenido en la comunidad autónoma de Madrid.

Enlaces relacionados:

http://seguridad.internautas.org/article.php?sid=242&mode=thread&order=0

http://www.diariodeleon.com/se_sociedad/noticia.jsp?CAT=248&TEXTO=2192583

http://www.elmundo.es/navegante/2003/11/24/seguridad/1069681521.html

Comprometido el sistema de seguridad de iTunes

Noviembre 26, 03 by admin

El noruego Jon Lech Johansen, más conocido como ‘DVD Jon’, por burlar la protección anticopia de las películas en DVD -lo que le ha enfrentado con los estudios de Hollywood-, ha reincidido en su ataque al sistema de descarga de música en línea iTunes, según el periódico digital IT-avisen.

Este fin de semana, Johansen ofrecía en Internet (http://nanocrew.net/blog) un programa bautizado como ‘QTFairUse’ que permitía eludir las protecciones antipirateo de iTunes, de Apple, la revista de música en línea más popular.

Noticia en http://pa.starmedia.com/noticias/articulos/2301033.html y en http://barrapunto.com/articles/03/11/25/2244222.shtml

Security at Microsoft: documento que publica la propia compañía sobre su propia red

Noviembre 25, 03 by admin

Microsoft ha publicado un documento en el que desvela los métodos usados (de una forma bastante superficial) para proteger su red corporativa. Para ello tienen una división denominada Operations and Technology Group (OTG), encargada de la seguridad de su amplia red.

El documento informa sobre unos 100.000 intentos de intrusión y 125.000 correos infectados con virus al mes, en unos 4200 servidores (más los 600 de www.microsoft.com).

Denegación de servicio en los cable modem Thomson TCM315

Noviembre 23, 03 by admin

Shell Security Group (más concretamente Andrés Tarascó) ha descubierto una vulnerabilidad que afecta a los cable modem de la compañía Thomson, en concreto al modelo TCM315, pero desconocemos si afectará a otros modelos de esta compañía. Este modelo es instalado en España por la compañía Mundo-R, aunque desconocemos si otras compañías lo instalan también.

La vulnerabilidad está provocada por el envío de una petición HTTP a la ip del cable modem, con una cadena larga, provocando así una denegación de servicio. Por ejemplo:

http : / /<cablemodem.IP>/AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA \

AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA

Esto provoca que el cable modem deje de ofrecer el servicio correctamente, dejando sin conexión a la red. Hace algo más de una semana, contactamos con el vendedor,Thomson, el cual fue advertido sobre esta vulnerabilidad, pero no se ha pronunciado al respecto ni ha puesto un parche a disposición de los usuarios aún. Ya hemos contactado con las principales listas de vulnerabilidades (como bugtraq) para informarles sobre la vulnerabilidad.

Como posible solución antes esta vulnerabilidad se plantea filtrar las peticiones que se puedan realizar al cable modem si fuera posible.

Si conoceis más compañías que instalen este cable modem o soluciones alternativas, no dudeis en comentarlo.

El aviso de seguridad lo hemos puesto a vuestra disposición en http://www.shellsec.net/leer_advisory.php?id=2

Varias máquinas de la red del proyecto Debian han sido comprometidas

Noviembre 22, 03 by admin

Durante las últimas horas varias de las máquinas de la red del proyecto de Debian han sido atacadas con éxito, consiguiendo los atacantes acceso al sistema. Las máquinas afectadas han sido:

. master (Bug Tracking System)
. murphy (mailing lists)
. gluck (web, cvs)
. klecker (security, non-us, web search, www-master)

El servicio de Debian parece estar reestableciendose, aunque security.debian.org no estará disponible hasta haber comprobado los paquetes. Así mismo, se puede acceder al servidor de la distribución.

Algunas fuentes indican que sólo hubo un robo de contraseñas, otras comentan que fue crackeada. Algunas de las medidas preventivas ha sido bloquear las cuentas que no sean imprescindibles. Seguro que la gente de Debian trabajará lo más rápido posible para que todo esté en perfecto orden.

Enlaces relacionados

- Noticia 1: http://luonnotar.infodrom.org/~joey/debian-announce.txt

- Noticia 2: http://www.wiggy.net/debian.xhtml

- Noticia en Barrapunto: http://barrapunto.com/articles/03/11/21/1527220.shtml

Vulnerabilidades en PostgreSQL

Noviembre 22, 03 by admin

El equipo de PostgreSQL ha encontrado varias vulnerabilidad en
las versiones vulnerables son:

-PostgreSQL 7.3
-PostgreSQL 7.3.1
+ OpenPKG 1.2
-PostgreSQL 7.3.2
+ Conectiva Linux 9.0
-PostgreSQL 7.3.3
+ OpenPKG Current
-PostgreSQL 7.3.4
+ OpenPKG Current

La version "PostgreSQL 7.4" es la que posee los parches para las vulnerabilidades como "denegación de servicio" y otras.

Los updates los puede conseguir en:

PostgreSQL PostgreSQL 7.3:

PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html

PostgreSQL PostgreSQL 7.3.1:

PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html

PostgreSQL PostgreSQL 7.3.2:

PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html

PostgreSQL PostgreSQL 7.3.3:

PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html

PostgreSQL PostgreSQL 7.3.4:

PostgreSQL Upgrade PostgreSQL 7.4
http://www.postgresql.org/mirrors-ftp.html

Para leer mas sobre esta noticia usted puede consultar:

http://www.securityfocus.com/bid/9066/

El DNI electrónico empezará sus pruebas piloto el próximo año en España

Noviembre 21, 03 by admin

"El nuevo director general para el Desarrollo de la Sociedad de la Información, Jorge Pérez, expresó su confianza en que el DNI electrónico incremente "mucho" la seguridad de los internautas en la utilización de las redes informáticas"

Noticia en http://iblnews.com/noticias/11/92727.html

El CAT advierte que las 4 variantes del virus ‘Mimail’ están entre los 10 más extendidos

Noviembre 21, 03 by admin

El Centro de Alerta Temprana ( CAT, http://www.alerta-antivirus.es ) contiene en su lista de virus más extendido en España a 4 variantes del virus ‘Mimail’, el cual está ya ampliamente extendido actualmente. Os mostramos un resumen de estas 4 variantes en los últimos 7 días:

- Mimail (04/08/2003), 20,3%: Gusano sin efectos dañinos con gran capacidad de propagación que se difunde mediante el envío masivo de correos electrónicos de un mensaje con el anexo "message.zip".
Aprovecha una vulnerabilidad de Internet Explorer para descargar y ejecutar una rutina javascript en el sistema infectado.

- Mimail.C (31/10/2003), 13,6%: Gusano que se propaga a través del envío masivo de correo electrónico a direcciones recopiladas de ficheros del sistema infectado.
El mensaje tiene las siguientes características:
Asunto: Re[2]: our private photos
Fichero Anexo: PHOTOS.ZIP, que contiene al archivo PHOTOS.JPG.EXE, que contiene al gusano.
Tiene capacidad para realizar ataques de tipo DoS (Denegación de Servicios) contra determinados servidores web.

- Mimail.F (03/11/2003), 1,7%: Nueva versión del gusano Mimail, con mínimas diferencias respecto a la versión .E, que al igual que sus precedentes, se propaga mediante el envío de correo electrónico a direcciones recopiladas en el sistema infectado. Utiliza su propio motor SMTP.
Además, realiza ataques de Denegación de Servicio contra ciertos sitios web.

- Mimail.J (18/11/2003), 1,4%: sano que se propaga por correo electrónico e intenta robar la información de la tarjeta de crédito de usuarios de Paypal (conocido sitio de transacciones de pagos en línea).
El mensaje junto al que llega, anuncia la expiración de la cuenta del usuario en Paypal, con el asunto "IMPORTANT".

Recordamos para los usuarios de plataformas Windows la importancia de tener nuestros antivirus actualizados con frecuencia.

Enlaces relacionados:

- Lista del CAT: http://www.alerta-antivirus.es/virus/estad_espa.html

- "MIMAIL: gusano no destructivo de alta propagación masiva": http://www.shellsec.net/noticias.php?num=189

- "Gusano Paypal o Mimail.I, obtiene información de tarjetas de crédito": http://www.shellsec.net/noticias.php?num=308