Archive for Enero, 2004

Vulnerabilidad en Internet Explorer que “engaña” con la extensión a descargar

Enero 29, 04 by admin

Ayer se hizo pública una vulnerabilidad que afecta a las versiones 5, 5.5 y 6 del navegador Internet Explorer. Esta vulnerabilidad consiste en un engaño al usuario en el tipo de extensión que va a descargar, pudiendo hacerle creer que va a descargar un fichero que normalmente no puede contener información maliciosa (como un txt) y en su lugar colocar uno que sí puede ser perjudicial (como un .exe).

Esto se produce al incrustar en el fichero un CLSID (Class ID, identificador de clase) distinto al propio del tipo de fichero. Si el fichero se descarga se verá la extensión real, pero si se abre directamente sin descargar no podrá ser advertido este hecho por el usuario (aunque se descargue en un fichero temporal). Por tanto el único consejo mientras sale un parche oficial, es descargar siempre los ficheros y no ejecutarlos directamente.

Enlaces relacionados:

Aviso de seguridad: http://www.secunia.com/advisories/10736/

Test: http://secunia.com/Internet_Explorer_File_Download_Extension_Spoofing_Test/

1,5 millones de correos infectados con el virus “Mydoom” en sus primeras horas de vida

Enero 27, 04 by admin

En excasas horas, el virus Mydoom (también conocido como ‘Novarg’ o Mimail.R’) ha conseguido propagarse en aproximadamente millón y medio de correos en unos 168 países, habiendo infectado ya a aproximadamente a 150.000 equipos informáticos. Éstos son los números reportados por este nuevo virus-gusano denominado ‘Mydoom’

‘Mydoom’ es un virus de tipo gusano que se propaga a través del correo electrónico y de redes punto a punto (P2P) como Kazaa provechando técnicas de ingeniería social –engaña al usuario haciéndole creer que el archivo adjunto, que contiene el código maligno, es un texto mal descrifrado o una prueba–, que se autoenvía a todos los contactos del sistema infectado y con capacidad de puerta trasera, lo que permitiría tomar control del equipo atacado.

El objetivo fundamental de Mydoom es colapsar los parques informáticos de las compañías, impidiendo a los usuarios trabajar con el ordenador. Está preparado para lanzar entre el 1 y el 12 de febrero ataques de DoS (denegación de servicio) al sitio web de SCO ( http://www.sco.com )

Muy probablemente se deba a que SCO está demandando a distribuciones de Linux por su código basaso en UniX.

Enlaces de interés

El gusano ‘MyDoom’ se extiende rápido a través del ‘e-mail’ y de redes P2P: http://www.elmundo.es/navegante/2004/01/27/seguridad/1075195857.html

Fallo de Seguridad en el servidor de ftp Serv-U

Enero 25, 04 by admin

Ha sido reportada una vulnerabilidad en el servidor de ftp Serv-U que permite la ejecucion de codigo. Dicho fallo se encuentra en el comando site chmod con el cual un usuario autentificado y con permisos de escritura en un directorio podria llegar a ejecutar codigo en la maquina remota con los privilegios con los que esta siendo ejecutado el Serv-U que suele correr normalmente con privilegios de SYSTEM (cuando esta instalado como servicio) o como Administrador.

Segun el Advisory publicado por kkqq <kkqq@0×557.org> , la causa de este fallo es que ante la ejecucion del comando chmod sobre un fichero que no existe, hace que se ejecute la siguiente esentencia en el serv-u:
sprintf(dst, "%s: No such file or directory.", filename); siendo dst de 256bytes.
de esta forma una peticion de un fichero largo (" site chmod AAAA…AAA" ), provocara que el serv-u se cuelgue y/o ejecucion de codigo remotamente.

Vendedor: RhinoSoft ( www.serv-u.com )
Versiones Afectadas: hasta la version 4.2
Solucion: Actualizarse al Serv-U 5.0
Mas Informacion: http://www.0×557.org/release/servu.txt

Problemas de seguridad en los módulos de Perl y Python en Apache

Enero 24, 04 by admin

Han aparecido dos nuevas vulnerabilidades que afectan a los módulos de Perl (mod_perl) y Python (mod_python) en el software de Apache.

La vulnerabilidad en el módulo de Perl podría permitir a un atacante la ejecución de código arbitrario y también conseguir el control del demonio de Apache. Para ello, se debe tener acceso local al sistema. Aún no se ha ofrecido una solución para este problema.

La segunda vulnerabilidad, que afecta al módulo de Python, podría permitir a un atacante la denegación de servicio (DoS), dejando fuera de servicio a Apache, de forma remota. Como solución, Apache ha lanzado la versión 2.7.10 de mod_python que corrige este problema.

Más información:

- Página web de Apache: http://www.apache.org

- Apache mod_perl File Descriptor Leak May Let Local Users Hijack the http and https Services: http://www.securitytracker.com/alerts/2004/Jan/1008822.html

- Apache mod_python String Processing Bug Still Lets Remote Users Crash the Web Server: http://www.securitytracker.com/alerts/2004/Jan/1008828.html

Microsoft contínua sin dar solución a agujeros de seguridad en su software

Enero 23, 04 by admin

Microsoft adoptó hace pocos meses la política de publicar parches acumulativos de seguridad el primer martes de cada mes. Se homogeneizaba así una caótica situación, que llevaba a Microsoft día sí, día también, a crear arreglos y parches para la mayor parte de su software. La última publicación mensual, no incluye solución para un problema calificado como crítico y que está siendo explotando de forma masiva.

Bill Gates ha cerrado los ojos ante una nueva vulnerabilidad del omnipresente Internet Explorer, obviando la inclusión de una solución en el último parche acumulativo. Un tal Zap The Dingbat, descubría en Diciembre de 2003 cómo, añadiendo un simple carácter a una URL se podía cambiar su apariencia por completo. La diferencia es que no se modificaba sólo es aspecto, sino también la barra de estado que, aunque la dirección se muestre camuflada, siempre refleja el lugar exacto donde se va a dar el salto. Muchos usuarios confían en lo que indica esta barra como seguro o indicativo de hacia donde van a dirigirse. Con un simple carácter, la barra de estado mostrará lo que el hacker malicioso quiera que muestre.

Otros navegadores que cometían el mismo error, fueron modificados convenientemente a los pocos días de conocerse la vulnerabilidad.

El primer martes de Enero, Microsoft ha publicado un trio de parches para MDAC, Exchange Server 2003 y el filtro H323 que se corresponden con los avisos MS04-01, 02 y 03. En esta publicación no se hace referencia al problema descrito más arriba, obviándolo por completo y abandonando a los indefensos usuarios del navegador.

Las reacciones no se han hecho esperar, y ya han aparecido las primeras técnicas de phishing que se aprovechan del error. En la madrugada del sábado al domingo 11 de Enero, se detectó un envío masivo de e-mails que simulaban ser un mensaje del Banco Popular solicitando a los clientes dirigirse a una dirección de su sitio web para mejorar la seguridad de sus cuentas. El enlace, que en apariencia conectaba con el dominio bancopopular.es, en realidad utilizaba la vulnerabilidad de IE para engañar a los usuarios y hacer que éstos introduzcan sus datos en la página web de los estafadores.

Fuera de nuestras fronteras, los clientes de Bank of America y Citibank ya se han visto afectados por el envío de correos basados en la misma técnica y aprovechando la misma vulnerabilidad.

Microsoft no se ha pronunciado oficialmente sobre cuándo pretende solucionar el problema.

Fuente de esta noticia: "Delitos Informáticos" ( http://www.delitosinformaticos.com/seguridad/noticias/107460384147989.shtml )

El Gobierno español accede al código fuente de Windows por un acuerdo de seguridad

Enero 21, 04 by admin

Microsoft ha firmado un acuerdo con el Gobierno español, para participar en el Programa de Seguridad para Gobiernos (Government Security Program, GSP), al igual que otros paises como Reino Unido, Rusia, Noruega, China o Taiwan, y también la O.T.A.N. Los expertos en seguridad del Centro Nacional de Inteligencia (CNI), dependiente del Ministerio de Defensa, podrán acceder al código fuente de Windows, así como a toda la información técnica que precisen para auditar las características de seguridad mejoradas de la plataforma Windows.

Mediante este acceso al código fuente, los gobiernos podrán auditar el código y poder asegurar mejor sus sistemas, con herramientas facilitadas por la propia empresa. También existirá una constante comunicación entre Microsoft y dichos gobiernos con el fin de ayudarles en todo lo posible. Responsables de Microsoft han hecho algunas declaraciones:

"La evaluación de los mecanismos de seguridad de un producto de las Tecnologías de la Información, y la posterior verificación de su integridad, es el único medio para determinar su capacidad de protección. Tanto la evaluación como la certificación de la integridad son tareas complejas y no pueden iniciarse sin conocer completamente cómo está constituido el hardware y el software del producto", ha declarado D. Jorge Dezcallar, Secretario de Estado y Director del CNI, quien añade que "en este sentido, el Centro Criptológico Nacional del Centro Nacional de Inteligencia valora muy positivamente el ofrecimiento de Microsoft para proporcionar acceso a módulos sensibles de su código fuente. Microsoft, de esta manera, proporciona una muestra de confianza al poner a nuestra disposición su activo más valioso. El acceso al código fuente permitirá al Centro Criptológico Nacional evaluar los mecanismos de los productos de Microsoft que sean considerados necesarios para incrementar la seguridad a determinados sistemas de Tecnologías de la Información de la Administración".

"Estamos muy satisfechos de que el Gobierno español haya decidido participar en nuestro Programas de Seguridad para Gobiernos y materialice su decisión en la firma de este acuerdo, como ya han hecho otros países", ha manifestado Steve Ballmer, presidente ejecutivo de Microsoft Corporation, quien añade que "el acuerdo proporciona al Centro Nacional de Inteligencia la oportunidad de evaluar la seguridad y la integridad de nuestra plataforma Windows, de manera que podrá incrementar la seguridad de las infraestructuras de Tecnologías de la Información de la Administración española".

"La seguridad de los sistemas de información es un objetivo prioritario de la industria y Microsoft ha asumido su papel dentro de esta misión, de manera que estamos colaborando con gobiernos, instituciones y empresas para que puedan obtener el máximo nivel de seguridad e integridad utilizando nuestras soluciones", ha declarado Rosa María García, consejera delegada de Microsoft Ibérica, quien añade que "dado que entendemos que los gobiernos que utilizan nuestro software son socios de confianza, nos satisface especialmente que el Gobierno español, a través del CNI, haya accedido a colaborar con nosotros en una labor que es clave para el desarrollo de la sociedad de la información".

Beagle, un virus con peligrosidad media

Enero 19, 04 by admin

Beagle (Worm.W32/Beagle@MM) es un gusano que tiene efectividad hasta el día 28 de Enero, siendo inefectivo después de ese día. Porta un componente de acceso remoto que le permite recibir comandos del autor a través del puerto TCP 6777 e intenta conectarse a varias direcciones URL.

Permanece residente en memoria, y se propaga a través del correo electrónico mediante un mensaje con asunto "Hi" al que añade un adjunto de nombre aleatorio y con extensión .EXE que está escrito en MS Visual C++ con 15.5 KB de extensión y comprimido con el utilitario UPX (Ultimate Packer for eXecutables).
Se enviará a todas las direcciones de correo obtenidas de diferentes archivos de la máquina infectada.

Desde el CAT (centro de alerta temprana) dan una solución concreta y distendida en caso de ser infectados por este virus:

_ *
1. Si utiliza Windows Me o XP, y sabe cuándo se produjo la infección, puede usar la característica de Restauración del Sistema para eliminar el virus volviendo a un punto de restauración anterior a la infección. (Tenga en cuenta que se desharán los cambios de configuración de Windows y se eliminarán todos los archivos ejecutables que haya creado o descargado desde la fecha del punto de restauración)
Si esto no es posible o no funciona es recomendable desactivar temporalmente la Restauración del Sistema antes de eliminar el virus por otros medios, ya que podría haberse creado una copia de seguridad del virus. Si necesita ayuda vea desactivar la Restauración del Sistema en Windows Me y desactivar la Restauración del Sistema en Windows XP.

2. Con un antivirus actualizado, localice todas las copias del virus en el disco duro de su PC. Si no dispone de antivirus, visite nuestra página de Antivirus gratuitos. Repare o borre el fichero infectado.
Si el antivirus no puede reparar la infección o borrar los ficheros, puede ser debido a que el fichero está en uso por estar el virus en ejecución (residente en memoria).
Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.

3. En el caso de que no se pueda eliminar el fichero del virus, debe terminar manualmente el proceso en ejecución del virus. Abra el Administrador de tareas (presione Control+Mayúsculas+Esc). En Windows 98/Me seleccione el nombre del proceso y deténgalo. En Windows 2000/XP, en la pestaña ‘Procesos’ haga clic derecho en el proceso y seleccione ‘Terminar Proceso’. A continuación vuelva a intentar el borrado o reparación del fichero.

4. A continuación hay que editar el registro para deshacer los cambios realizados por el virus. Si necesita información sobre cómo editar el registro puede ver esta guía de edición del registro o este vídeo de ayuda que ilustra el proceso. Sea extremadamente cuidadoso al manipular el registro. Si modifica ciertas claves de manera incorrecta puede dejar el sistema inutilizable.
Elimine las siguientes entradas del registro:

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"

HKEY_USERS\%SystemInfo%\Software\Microsoft\Windows\CurrentVersion\Run
d3dupdate.exe = "%System%\bbeagle.exe"

HKEY_USERS\%SystemInfo%\Software\Windows98
Uid =

HKEY_USERS\%SystemInfo%\Software\Windows98
Frun = %SystemInfo%

5. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus. Si desactivó la restauración del sistema, recuerde volver a activarla.
*_

Podeis encontrar una mayor información sobre este virus en http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3517

Seminario gratuito en Madrid y Barcelona sobre seguridad informática en sistemas Windows

Enero 18, 04 by admin

Microsoft va a impartir dos seminarios sobre seguridad informática orientada a sus productos. El primero de ellos se celebrará en Barcelona el 5 de Febrero y el segundo en Madrid el 12 de Febrero, siendo gratuita la asistencia. Resumen del seminario:

__ * Fallar en la implementación de una completa estrategia de gestión de parches puede tener severas consecuencias para las empresas –algunos sistemas críticos de producción de negocio pueden fallar o sistemas de seguridad delicados pueden ser malversados– pero, sobre todo, puede producirse una potencial pérdida de la productividad, tiempo, acceso a aplicaciones de negocio y las subsiguientes pérdidas en los ingresos.

Este seminario ahondará en las Operaciones de Gestión de Parches de Seguridad y presentará los detalles de manera lógica y concisa. Se harán extensas demostraciones aplicables a la plataforma Windows, que ilustrarán en el uso de las herramientas de gestión de parches de seguridad para mantener seguros los entornos.

El seminario explora los pasos necesarios para estar un paso por delante de las vulnerabilidades e incluye herramientas para conocer los últimos parches de Microsoft en la configuración de sistemas, para valorar el nivel de vulnerabilidad y para utilizar, gestionar y mantener el entorno resultante. MBSA (Microsoft Baseline Security Analyzer), SMS, SUS y Windows Update se presentarán, junto con otras herramientas, como parte de las mejores prácticas y referentes para la Gestión de Parches de Seguridad. * __

Podeis encontrar más información en http://www.microsoft.com/spain/technet/comunidad/eventos/seguridad/security_day.asp

Tres nuevas actualizaciones de seguridad para productos de Microsoft.

Enero 16, 04 by admin

La empresa de Bill Gates ha lanzado nuevas actualizaciones para diversas vulnerabilidades en Exchange Server 2003, en Microsoft Data Access Components (MDAC) y en ISA Server 2000.

PandaSoftware explica las vulnerabilidades de la siguiente forma:

_ *

El más grave de los citados problemas de seguridad reside en Microsoft Internet Security and Acceleration Server 2000 (ISA Server 2000).
Debido a un desbordamiento de buffer en el filtro H.323, un atacante remoto puede lograr la ejecución de código en los servidores ISA que tengan dicho filtro activo (que es una opción incluida en la configuración por defecto).

La vulnerabilidad en Microsoft Data Access Components (MDAC) posibilita la ejecución de código en sistemas clientes, cuando lanzan una petición para consultar la lista de servidores SQL Server de la red.

Por su parte, la vulnerabilidad en Exchange Server 2003 puede permitir que, bajo determinadas condiciones, un usuario de Outlook Web Access (OWA) acceda, de forma aleatoria, al buzón de correo de cualquier otra persona

* _

Podeis encontrar más información en:

Vulnerability in Microsoft Internet Security and Acceleration Server 2000 H.323 Filter Could Allow Remote Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-001.asp

Vulnerability in Exchange Server 2003 Could Lead to Privilege Escalation
http://www.microsoft.com/technet/security/bulletin/MS04-002.asp

Buffer Overrun in MDAC Function Could Allow Code Execution
http://www.microsoft.com/technet/security/bulletin/MS04-003.asp

La web de PandaSoftware: http://www.pandasoftware.es/

IbleNews: http://iblnews.com/noticias/01/97791.html

Unas 374 deficiencias de seguridad en plataformas Windows y Linux

Enero 14, 04 by admin

Según Domingo Cardona, uno de los investigadores de ‘El Equipo de Seguridad para la Coordinación de Emergencias en Redes Telemáticas de la Universitat Politècnica de Catalunya’ (esCERT-UPC), se podrían encontrar más de 2000 deficiencias de seguridad entre todas las plataformas existentes hoy en día provocadas principalmente por errores de programación y de configuración.

Actualmente tienen localizados unos 374 fallos en cientos de plataformas, especialmente Windows, Linux, sendmail, bind y otros.

Más información en la web de Europa Press