Shell Security - Seguridad informática Noticias diarias de seguridad informática, foros, vulnerabilidades, antivirus, documentación, auditorías, consultorías …

Mucho se habia hablado en las ultimas dos semanas de de que tanto Mydoom como Mydoom.B incluian aparte de su servidor de correo propio una puerta trasera que permitiria a su creador acceder a los miles de ordenadores afectados por este gusano.

MyDoom deja abierto el puerto 3127 - 3190 TCP de los ordenadores infectados a traves del correo electronico. En este mismo puerto monitoriza el trafico de forma que si recibe la secuencia de bytes correcta, a continuacion guarda el resto de la transmision como un fichero en el ordenador y lo ejecuta.
Este parece ser el medio que ha usado el nuevo gusano denominado Doomjuice o Mydoom.C, que se supone ha sido programado por el mismo autor, para infectar los ordenadores de muchos usuarios. su Finalizad, lanzar un ataque de denegacion de servicio distribuido contra el sitio web de Microsoft.

Desde hace algunas semanas he estado recibiendo (al igual que muchisima otra gente), mensajes en mi teléfono móvil mediante SMS, en el cual se me anunciaba que había ganado un premio de 500 euros y que llamara a un número 807, en el cual se ha descubierto que lo único que hacen es retener la llamada unos 10 minutos y que finalmente no hay ningún premio, habiendo estafado ya a bastante gente.

Si alguien recibe este tipo de mensajes, debe ignorarlos y no llamar a dicho número 807. Esperemos que no nos invadan aquí en España de ’spam sms’, al igual que ocurre en otros paises como Japón

Un estudio reciente de una empresa especializada en seguridad de aplicaciones ( WebCohort Inc., http://www.webcohort.com ) ha sacado a la luz un revelador informe, en el cual se examinaron unas 250 aplicaciones basadas en web, incluyendo banca online, comercio electrónico, herramientas de colaboración empresarial, y otras herramientas web.

Los resultados fueron recogidos desde Enero de 2.000 hasta Enero de 2.004, quedando reflejado en la siguiente tabla (ataques y porcentage de vulnerabilidades):

Cross-site scripting -> 80%
SQL injection -> 62%
Parameter tampering -> 60%
Cookie poisoning -> 37%
Database server -> 33%
Web Server -> 23%
Buffer overflow -> 19%

Podeis encontrar el artículo completo en http://www.webcohort.com/web_application_security/company/news/020204.html

SecurityFocus ha publicado una importante vulnerabilidad que afecta a las versiones 2.5.5-pl1 y anteriores de phpMyAdmin. Para aquellos que no estén familiarizados con phpMyAdmin, es una herramiento para el manejo de MySQL mediante una interfaz web, permitiendo así la administración remota.

En concreto, el problema reside en el fichero ‘export.php’, permitiendo a un atacante acceder a otros archivos de forma arbitraria usando un ataque XSS (Cross Site Scripting, podeis ver más información sobre este tipo de ataque en nuestra seccción de vulnerabilidades). ‘export.php’ contiene el siguiente código:

_________________________________________________________________

14:// What type of export are we doing?
15:if ($what == ‘excel’) {
16: $type = ‘csv’;
17:} else {
18: $type = $what;
19:}
20:
21:/**
22: * Defines the url to return to in case of error in a sql statement
23: */
24:require(’./libraries/export/’ . $type . ‘.php’);
_________________________________________________________________

El cual podría ser aprovechado mediante XSS de la siguiente forma:

http: //[target]/[phpMyAdmin_directory]/export.php?what=../../../../../../etc/passwd%00

El ataque puede llevarse a cabo a pesar de que la variable ‘register_globals’ de php.ini contenga el valor ‘off’.

La versión 2.5.6-rc1 de phpMyAdmin corrige esta vulnerabilidad.

Más información:

Aviso de seguridad: http://www.securityfocus.com/archive/1/352378

Versión 2.5.6-rc1: http://www.phpmyadmin.net/home_page/relnotes.php?rel=0

Home de phpMyAdmin: http://www.phpmyadmin.net

Microsoft se ha saltado la regla en cuanto a las fechas de publicacion de actualizaciones de seguridad se refiere y ha publicado un nuevo parche de seguridad del internet explorer que soluciona varios fallos de seguridad considerados criticos hasta el momento y que estaban siendo activamente explotados en la red.

Estos fallos son los siguientes:

- Url Spoofing (CAN-2003-1026) , que permitia a un atacante mostrar una url en la barra del navegador distinta a la que se estaba visitando. De esta vulnerabilidad habiamos hablado ya en shellsec anteriormente.
- ataque de cross Site scripting en la zona de seguridad local (CAN-2003-1026) que permitian intercambio de informacion entre ventanas pertenecientes a distintos dominios haciendo que la ejecucion de codigo sea posible.
- modificacion del funcionamiento del DHTML (CAN-2003-1027) que podia permitir a un atacante grabar ficheros en el disco duro

Las versiones afectadas del Internet explorer son las 5.01, 5.5 y 6.0
Las actualizacion de seguridad mencionadas anteriormente se puede descargar a traves de windowsupdate.com o en el la pagina de descargas http://www.microsoft.com/downloads

Mas informacion:
http://www.microsoft.com/technet/security/bulletin/MS04-004.asp

Se ha encontrado una vulnerabilidad en el PHP-Nuke en las versiones 6.x , la vulnerabilidad se basa en una ataque de inyección de sql, el cual permite a un atacante ver información privada.
El modulo "Web_Links" falla en la validación del parametro "lid".
El modulo "Downloads" falla en la validación del parametro "cid" y "lid".
El modulo "Sections" falla en la validación del parametro "secid" y "artid".
El modulo "Reviews" falla en la validación del parametro "id".

La solución ha esta vulnerabilidad es hacer un upgrade a la version 7.0.
La cual la pueden conseguir en:

http://www.phpnuke.org/modules.php?name=Downloads&d_op=viewdownload&cid=1

Hoy el usuario ‘Vegeta’ nos ha enviado una primera noticia. Desafortunadamente no es una noticia originalmente editada por él, ya que ha sido copiada de una noticia en http://barrapunto.com . Os animamos a enviarnos las noticias que creeis vosotros mismos sobre seguridad informática ( http://www.shellsec.net/enviar_noticia.php ). Os pongo la noticia que envió este usuario ( aunque os pedimos que las noticias que envieis sean redactadas por vosotros mismos ):

"Según publica Chicago SunTimes, Bodacion Technologies ha creado un nuevo servidor web. Lo cuenta en "He’s confident system can stop any virus", y es supuestamente invulnerable a todo tipo de ataques, virus y gusanos habidos y por haber, así como totalmente libre de cualquier bug y con prestaciones y sencillez de configuración sin precedentes. Para demostrarlo, los fabricantes revelan parte de la tecnología (algoritmos matemáticos biomórficos, nano-kernel basado en el utilizado por los Boeing de la serie 700…) e incluso proponen un premio de 100.000 dólares para quien consiga crackear el servidor; según afirman, decenas de miles de personas lo han intentado hasta el momento sin éxito."

La noticia original la podeis encontrar en http://barrapunto.com/ciencia/04/02/02/1638209.shtml

Durante este pasado fin de semana, el virus Sober.C consiguió infiltrarse en la lista de correo del CAT ( http://www.alerta-antivirus.es ). El centro ha hecho público un aviso en el cual informan a sus usuarios:

"Sobre las 12:20h de ayer, sábado 30/01/04, se detectó el envío de correos que suplantan la identidad del Centro de Alerta Temprana Antivirus "cat@alertaantivirus.es" a suscriptores de nuestro informe intermedio en el que se incluye un fichero adjunto que contiene el virus Sober.C
Si recibe un mail desde la dirección mencionada incluyendo un adjunto, no abra el correo y proceda a su eliminacion.

El Centro informa a todos sus suscriptores, que sus listas de distribución de informes se encuentran suficientemente protegidas y a salvo de posibles atacantes que pudieran utilizarlas para el envío de correos infectados o con virus en ficheros adjuntos.

En este sentido el CATA recuerda a sus suscriptores que nunca envía ficheros adjuntos en sus informes, y siempre en Español, nunca en otros idiomas. Esta es la segunda ocasión, desde el pasado mes de septiembre, en la que se intentan suplantaciones de las direcciones de correo del Centro"

Recordamos que Sober.C apareció durante el mes de Diciembre de 2.003. Es un gusano que se propaga a través del correo electrónico (usa su propio motor SMTP). El asunto del correo varía (aunque siempre escrito en inglés o alemán). El nombre del adjunto también varía, pero es un único archivo de extensión .bat, .com, .cmd, .exe, .pif o .scr.
La primera vez que se ejecuta el gusano lanza un falso mensaje de error, con el asunto "Microsoft" y el texto "<nombre fichero> has caused an unknown error. Stop: 00000010×18". No tiene efectos destructivos. El gusano está escrito en MS Visual C++ y empaquetado con UPX.

Enlaces de interés:

CATA: http://www.alerta-antivirus.es

Información sobre Sober.C: http://www.alerta-antivirus.es/virus/detalle_virus.html?cod=3390

A primera hora del domingo, el gusano de correo electronico mydoom, que infecto a miles de usuarios en los pasados dias, empezo un ataque programado contra el servidor de la compañia SCO.
Este ataque distribuido, realizado por miles de ordenadores domesticos consiguio “tumbar” la red de esta empresa. Ante la magnitud de este ataque, la resolucion de los dominios de sco.com dejaron de responder como medida desesperada de ultima hora para evitar una mayor degradacion de la red.
El director global de esta compañia dijo en una rueda de prensa que estos ataques esperan continuen durante los proximos dias aunque tienen una serie de planes para luchar contra este problema que comunicaran el lunes.

Recordar que este virus hizo su aparicion a principios de semana disfradazo como un correo electronico con un mensaje de error y un fichero adjunto que al ser abierto por los usuarios, se reenviaba a todas las direcciones de la libreta de correo.

Ya esta disponible una nueva versión (la 0.61) de este software que permite la detección de rootkits en los sistemas windows 2k/XP/2k3.

Para los que no esten familizarizados con este termino, un rootkit es un programa que modifica algunas API’s de windows con el fin de ocultarse en el sistema, haciendola indetectable para un antivirus y dando acceso a un atacante de forma remota.

Esta aplicación, creada por nuestro compañero Andrés Tarascó, la podeis encontrar en nuestra sección de descargas