Archive for Febrero, 2005

El Banco de América ha perdido backups con datos de 1.2 millones de personas

Febrero 27, 05 by admin

Según leemos en el New York Times ( http://www.nytimes.com/2005/02/26/national/26data.html ) el Bank of America ha perdido unas cintas con copias de seguridad que contienen los datos de 1.2 millones de trabajadores federales. Esto supone un importante suceso por la inseguridad que genera el hecho de contener datos tan importantes como números de tarjeta bancaria.

Nuevo bug y xploit para Internet Explorer

Febrero 21, 05 by admin

Un usuario (apodado xXx.wormz) de nuestro foro nos ha dejado un post sobre uno de los nuevos bugs que han aparecido para IE, para el cual ha descubierto una forma de explotarlo, y pide colaboración para solucionar y corregir este bug:

"A raiz de un bug salido en 15/02/2005 del internet explorer se me ocurrió crear un pequeño y simple xploit que puede ser peligroso, ya que el código eh html, produce un error en los usuarios que lo visualicen con el IE (última actualización hasta la fecha), El problema de dicho exploit es la inserción el firmas de foros o post que permitan html, y javascript, así como en páginas de envio de noticias basadas en php, ya que produce que se cierren automáticamente al visualizar la página con el código maligno.

Esta comprobado que el código se puede introducir en páginas php como noticias. Escribo para advertir de este xploit que podría ser peligroso, y anunciar que el uso de un codigo similar podría hacer ciertas webs inaccesibles para usuarios de IE.

A continuación les remito la dirección en la que les explico el xploit con el código:

http://usuarios.lycos.es/wormzweb/modules.php?name=Forums&file=viewtopic&p=21#21

Busco testers que puedan comprobar en que otro tipo de lugares podría usarse este xploit, ya que este código embebido en un html produciria efectos indeseados.

También he creado una imagen con este código, que debido a una vulnerabilidad XSS de hotmail, produce también el cierre del navegador, esta la publicaré en breve.

Pueden ver el xploit funcionando en http://www.wormzweb.tk no pongo exactamente el link a la noticia para que los usuarios de IE no tengan el error. La noticia esta fechada a dia 20/02/2005 Y tiene por título Xploit para Internet Explorer.

Doy mi permiso a los administradores de este site, a publicar sobre este xploit, pidiendo un poco de colaboración en darlo a conocer y buscar soluciones.

Un saludo By xXx"

El post se encuentra en: http://foro.shellsec.net/viewtopic.php?t=556

Vulnerabilidades en Nombres de Dominio Internacionales

Febrero 21, 05 by admin

UNAM-CERT nos ha remitido un artículo sobre vulnerabilidades en los nombres de dominio, principalmente ocasionadas por spoofing:

Desde que se reporto un problema de engaño (spoofing) en los nombres de dominio internacionales (IDN por sus siglas en ingles), se ha generado un intenso debate de quien es el culpable y por que esto actualmente constituye una vulnerabilidad.

El asunto parece ser simple. Actualmente, es posible registrar nombres de dominio bajo los dominios de alto nivel (TLD) como .com, los cuales utilizan un conjunto de caracteres nacionales como chinos, escandinavos, japoneses y otros. Esta gran variedad de caracteres puede ser utilizada para desplegar nombres de dominio, los cuales son muy similares a los dominios basados en los caracteres tradicionales ASCII.

Obviamente, esto puede ser explotado para engañar a la gente y hacerle creer que estan actualmente en un sitio web confiable en una forma mas convincente que los dominios basados usualmente en caracteres ASCII con omision de puntos, ligeros cambios en las letras, uso de "1" (uno) en lugar de la "l" (ele) , etcetera.

Por ejemplo, suponga que desea entrar a un banco como Banamex (en Mexico) y en lugar de entrar al sitio http://banamex.com.mx/eng/personal/login.html, es llevado a http://banarnex.com/ o http://boveda.banammex.com
Aquellos que estan en favor de usar dominios IDN, argumentan que ya sea que los vendedores de navegadores deberian proporcionar informacion al usuario cada vez que es visitado un dominio internacional con una indicacion clara de que se deberian utilizar listas negras de nombres de dominios y caracteres que podrian ser explotados para engañar a los usuarios.

Existen muchas razones por las que ICANN, los vendedores de navegadores y otras partes deberian regresar al tema y reconsiderar la implementacion del estandar IDN antes que Microsoft libere Internet Explorer con soporte para IDN, ya que esto se expandira de forma masiva entre negocios legitimos, quienes intentaran proteger sus marcas y evitar fraudes tipo scam, de quienes desean obtener detalles de tarjetas de credito y otra informacion valiosa de los usuarios.

El problema

El problema es causado cuando un resultado involuntario de la implementacion de IDN (International Domain Name), la cual permite usar caracteres internacionales en nombres de dominio.

Esto puede ser explotado al registrar nombres de dominio con ciertos caracteres internacionales que reensamblan otros caracteres usados comunmente, de tal forma que causa que el usuario crea que esta en un sitio confiable.

La solucion es no seguir ligas de fuentes no confiables, y por el contrario, escribir manualmente el URL en la barra de direcciones del navegador.

Sin embargo, ya existen medidas que estan tomando los fabricantes de navegadores, como es el caso de Firefox, que deshabilito el soporte para IDN como una defensa ante el phising. Otro caso es la barra de Netcraft, que al momento de ingresar a un sitio verifica si este no puede ser de procedencia dudosa, advirtiendo al usuario.

¿Como saber si es vulnerable?

Secunia ha diseñado una pagina de prueba (http://secunia.com/multiple_browsers_idn_spoofing_test/), y en caso de ser vulnerable abre una pagina de Secunia con el URL: http://www.paypal.com/.

Conclusiones

Es claro que la Internet tiene un cierto grado de discrimincion de la parte del mundo que no habla ingles, solo un sub conjunto limitado de caracteres del estandar ASCII son permitidos en los nombres de dominio, el estandar IDN actualmente permite para cualquier persona una solucion muy facil que no descrimina a nadie y al mismo tiempo deja los dominios tan confiables como lo son actualmente:

Permite a los japoneses utilizar caracteres de su idioma bajo .jp, los chinos bajo .cn, los alemanes bajo .de, etc. Esto efectivamente limitara el uso de caractere nacionales a dominios nacionales y los usuarios, quienes utilizan dichos caracters - esos usuarios tambien son los usuarios que confiaran en los beneficios del uso de caracteres nacionales.

Despues de todo, el dominio de alto nivel (TLD por sus siglas en ingles) .com fue pensado para ser un dominio destinado al comercio que podria ser utilizado y accedido por los negocios de todo el mundo. Accediendo al dominio .com con letras chinas podria ser casi imposible utilizando un teclado ingles.

No podemos negar la importancia del uso de caracteres internacionales en la definicion de dominios, mas que ser un mal es provechoso para los usuarios que no son de habla inglesa. Sin embargo, las implementaciones de dicho estandar, exceptuando IE de Microsoft que aun no la ha realizado, sufren problemas de engaño (spoofing) que pueden derivar en los muy conocidos ataques de phishing scam, estafas repercutiendo en la economia de muchas personas y organizaciones.

Sistemas afectados actualmente

CVE: CAN-2005-0233 Mozilla Firefox
CVE: CAN-2005-0234 Safari
CVE: CAN-2005-0235 Opera
i-Nav de VefiSign
CVE: CAN-2005-0236 OmniWeb 5x
CVE: CAN-2005-0237 Konqueror
Netscape

Referencias

Secunia (www.secunia.org)
NetCraft (news.netcraft.com)

Fuente

UNAM-CERT

Problema de seguridad en Messenger y Windows Media Player: ejecucion remota de codigo

Febrero 11, 05 by admin

El 8 de Febrero, Microsoft ha hecho pública una advertencia de seguridad de algunos de sus productos, en concreto Microsoft Windows Media Player, Windows Messenger y MSN Messenger, que podría permitir la ejecución remota de código a un atacante.

"Problema de seguridad en MSN Messenger: Microsoft requiere que los usuarios de ciertas versiones de MSN Messenger actualicen su software MSN Messenger. Esta actualización obligatoria resulta fundamental para proteger a los clientes de un fallo de seguridad descubierto recientemente. Para obtener más información sobre este problema, haga clic aquí. Ya está disponible una versión actualizada de MSN Messenger que soluciona este problema. Haz clic aquí para descargarlo."

El problema está en el manejo de ficheros PNG que tienen unos valores excesivamente altos en su tamaño. Un atacante podría construir una fichero .PNG con este exceso y colocarlo en una web.

Como solución, Microsoft ha hecho públicas unas actualizaciones:

Software afectado:

• Microsoft Windows Media Player 9 Series (when running on Windows 2000, Windows XP Service Pack 1 and Windows Server 2003)
)
• Microsoft Windows Messenger version 5.0 (standalone version that can be installed on all supported operating systems)

• Microsoft MSN Messenger 6.1

• Microsoft MSN Messenger 6.2

Las actualizaciones y más información pueden ser encontradas en: http://www.microsoft.com/technet/security/bulletin/ms05-009.mspx

Graves problemas de seguridad en Eudora 6

Febrero 07, 05 by admin

NGSSoftware ha publicado un aviso de seguridad para Eudora 6.2.0 y versiones anteriores. No se ha especificado la naturaleza de los ataques que se pueden producir, pero se sabe que son varios tipos de ataques graves los que le afectan, y que podrían permitir la ejecución de código arbitrario y el acceso como usuario de forma remota. Estas vulnerabilidades parece ser que afectan en principio sólo a sistemas Windows.

Eudora ha lanzado una nueva versión que corrige estos problemas, por lo cual se recomienda a todos los usuarios de este cliente de correo que se actualicen urgentemente a la vesión 6.2.1, la cual se puede encontrar ya disponible en la página oficial de Eudora:

- Página oficial de Eudora: http://www.eudora.com/download

- Aviso de seguridad: http://www.securitytracker.com/alerts/2005/Feb/1013070.html