Informe semanal de seguridad
Malware para Microsoft MS06-040
Esta
madrugada del sábado a domingo, previamente a que acabe esta 2da semana
de mes (la oficial de Microsoft para editar parches de modernización)
ya se han encontrado ejemplares de código maligno que explotan una de
las fallas solventadas por estos.
El martes pasado, y dentro
del marco de su popular política de edición del mes de parches,
Microsoft presentó una larga lista de boletines que solventaban una
lista aún mayor de fallas, muchas de ellas clasificadas como severas.
Entre estos boletines nos encontrábamos con uno que, con solo echar un
vistazo al contenido, clamaba a gritos ser transformado en vector de
embate para Virus: Microsoft MS06-040.
Este boletín describe
una fragilidad en la prestación Server usado en los sistemas 2000, XP y
2003. Afectaba a todos ellos, además en el caso de XP con su Service
Pack dos instalado, o 2003 con el SP1. Microsoft clasificó la gravedad
del impacto sobre todas estas plataformas como crítica, por lo que
tiene la oportunidad de dar a priori una idea de la peligrosidad del
asunto.
El servicio Server oferta un interface RPC (Remote
Procedure Call: llamadas a procesos remotos) para soporte de impresión
de archivos y compartición de pipes con nombre en contextos de red. El
inconveniente en sí se debe a un desbordamiento de buffer en este
servicio, que en principio podía ser explotado para motivar
denegaciones de servicio o además para motivar la carga remota de
código arbitrario.
El propio boletín de Microsoft ya avisaba
sobre la distinto propensión a padecer este embate de plataformas
Microsoft MS Windows 2000, por la naturaleza en sí de la fragilidad. No
han pasado más que unos días para ver hecho realidad lo que todos
temíamos: ya hay confirmación de la presencia de código maligno en la
red que hace uso de la fragilidad descrita para infectar sistemas
afectados.
Fue Swa Frantzen, handler del la red de redes Storm
Center de SANS, el encargado de avisar de la presencia de este código
maligno que, en esta ocasión, viene en forma de bot que de momento se
ha contemplado con la denominación ‘wgareg.exe’ y con un valor hash md5
de 9928a1e6601cf00d0b7826d13fb556f0.
Frantzen utilizó nuestro
servicio VirusTotal para verificar que tal se estaban portando las
recursos anti-virus para detectar esta amenaza. Luego de mandarlo al
servicio, comprobó que solamente nueve de los veintisiete motores
incluidos en la prestación eran capaces de detectarlo, y todos ellos
mediante heurísticas.
No hay que confiarse de todas formas
sobre este perfil, ya que la gente de LURHQ ha comentado que han
encontrado la presencia de una variante distinto, con nombre
‘wgavm.exe’ y valor hash md5 de 2bf2a4f0bdac42f4d6f8a062a7206797 que
además se encuentra haciendo de las suyas. Como usa los mismos
servidores de control que el antes nombrado, se sospecha que esta otra
variante es una versión precursora de la encontrada con nombre
‘wgareg.exe’.
Este código maligno se encuentra diseñado para
integrar una red de bots de los usados para, por modelo, realizar
embates de denegación de servicio distribuidas (DDoS). Se piensa que es
una evolución de Mocbot, ejemplar que apareció a fines del 2005 y que
explotaba la fragilidad de la prestación PNP descrita en el boletín
Microsoft MS05-039. Esta nueva versión es controlada además desde
servidores IRC localizados en China. Como los expertos del Phishing,
los desarrolladores de este ejemplar de código maligno aprovechan la
falta de cooperación de las entidades del mencionado país en el turno
de actuar contra sitios que hospedan contenido dañino.
No
podemos dejar de remarcar la trascendencia de sostener los sistemas
parcheados de manera adecuada, no solamente como seguridad puntual
contra este tipo de alertas, sino como una cosa que debe formar parte
de las buenas prácticas de seguridad en cualquier contexto corporativo
o casero. Los creadores de código maligno aprovechan la desidia de los
administradores y consumidores en el turno de portar adelante esta
regla para infectar decenas de gran cantidad de computadores con sus
creaciones.
Es bastante trascendental además portar adelante
una política de defensa en profundidad en el turno de usar tecnologías
anti-virus en contextos empresariales. La planificación y aplicación de
políticas y procesos sólidos y ralugarbles con cada contexto particular
es uno de los puntos trascendentales que destacamos durante nuestras
actividades de auditoría y consultoría en este campo. Es recomendable,
por modelo, el uso de al menos dos recursos anti-virus de casas
distintas para complementar las características de las dos y así
minimizar en lo probable el peligro de una infección en las redes.
Para
pelear contra esta amenaza concretamente, además hay instituciones de
SNORT que detectarían la presencia de la amenaza en contextos
infectados. Hay ya unas escritas y a disposición para su uso, y que
pueden ser encontradas en el enlace que incluimos al pie de este
una-al-día, concretamente en el aviso de LURHQ.
–
12/08/2006 - Vulnerabilidades en SAP la red de redes Graphics Service
De
acuerdo a la información suministrada por el experto Mariano Nuñez Di
Croce, el equipo de CYBSEC ha descubierto dos trascendentales fallas en
SAP IGS (la red de redes Graphiscs Service) que fueron confirmadas por
el fabricante.
SAP la red de redes Graphics Service (IGS) es un
componente del servidor de aplicaciones SAP Web Application Server,
frecuentemente usado para tener la habilidad para producir salida
gráfica a los parámetros de operación del ERP. Usos de costumbre de IGS
comprenden desde la elaboración de diagramas mediante Chart Engine o
Chart Designer hasta casuísticas más enfocadas, como los sistemas de
datos georgráfica, mediante Business Information Warehouse. IGS es
además el motor básico para la transformación de formatos de imágenes y
gráficos.
Dentro del primer caso, un error de desarrollo
posibilitaría a los agresores la conducción de un embate de denegación
de servicio. Por eso bastaría con suministrar al servidor de imágenes
una solicitud HTTP sobre todo conformada, lo que sería capaz de
desembocar en el colapso total del servidor, con los consiguientes
perjuicios relativos con la perpetuidad.
Las versiones dañadas
son SAP IGS 6.40 con Patchlevel quince e inferiores, como además SAP
IGS 7.00 con Patchlevel tres e inferiores. Habida cuenta de que IGS es
un componente multiplataforma, se ratifica el estado de fragilidad en
las principales plataformas derivadas de UNIX empleadas con
habitualidad para servir vía SAP: AIX 64, HP-UX IA64 64bit, HP-UX
PA-RISC 64bit, GNU+Linux IA64 64bit, GNU+Linux Power 64bit, GNU+Linux
x86_64 64bit, GNU+Linux zSeries 64bit, OS/400 V5R2M0, Solaris SPARC
64bit y TRU64 64bit
Desde la versión 6.30 de SAP Web
Application Server, IGS se encuentra habilitado por inconveniente en
todas las configuraciones base. La oportunidad de ejecutar este embate
remotamente produce a la fragilidad un estatus de trascendencia elevada.
El
segundo inconveniente descubierto posibilitaría, bajo ciertas
condiciones, aprovechar un error de desarrollo para forzar un
desbordamiento de búfer. Las versiones dañadas son las mismas que en el
caso anterior, añadiéndose a las plataformas penetrables las
variaciones Microsoft: * Microsoft MS Windows Server IA32 32bit,
Microsoft MS Windows Server IA64 64bit y Microsoft MS Windows Server
x64 64bit.
El impacto de esta fragilidad depende de la
plataforma, si bien en ambos sucesos es extraordinariamente crítico. En
derivados UNIX, es probable la carga remota de código arbitrario con
los privilegios que competen a la cuenta (adm) de gestión, lo que
casi pone a los pies de los agresores la infraestructura completa de
SAP. Dentro del caso de Microsoft MS Windows los privilegios alcanzados
corresponden a una cuenta de sistema LocalSystem, que posibilita así
mismo tomar control ilegítimo de la infraestructura.
Los
detalles concretos de las dos fallas van a ser revelados por completo
en el período de tres meses, siguiendo así la política de revelación
acordada con el fabricante, para tratar de evitar al máximo que los
agresores posean datos suficientes e inmediatos para tener la habilidad
para explotar los inconvenientes documentados.
Los
administradores SAP deben acceder, para conseguir más información, al
boletín difundido por la compañía. La referencia asignada es SAP Note
968423. Es recomendable, dada la trascendencia habitual de estos
despliegues, efectuar las renovaciones de la mano de la prestación de
soporte de la empresa.
–
11/08/2006 - Actualización acumulativa para Microsoft IE
Dentro
del conjunto de boletines de agosto publicado esta semana por
Microsoft, se cuenta el anuncio (en el boletín Microsoft MS06-042) de
una modernización acumulativa para Internet Explorer, que además
solventa un total de ocho nuevas fallas encontradas en las ediciones
5.01 y seis del explorador.
Las fallas corregidas son las que siguen:
=*= Revelación de datos por inconvenientes con redirección de dominios:
se ha descubierto una fragilidad de revelación de datos debida a la
forma dentro de la que trata los redireccionamientos. Un atacante puede
explotar esta fragilidad construyendo una página web, que si es
visitada por la víctima, posibilitaría al cliente dañino leer datos
de documentos de una página web en otro dominio del explorador. Esta
otra página debe usar codificación gzip u otro tipo de compresión
soportada por Explorer con el objetivo de que la explotación se realice
con triunfo. Esta otra página debe estar además cacheada en el cliente
de la víctima.
=*=
Corrupción de memoria por error en posicionamiento de HTML: se ha
descubierto una fragilidad de ejecución remota de código debido a la
forma dentro de la que Internet Explorer interpretade hypertexto con
ciertas combinaciones de posicionamiento de disposición. Un atacante
puede explotar la fragilidad construyendo una página maliciosa que
motivaría la carga remota de código si es visualizada por la víctima.
=*=
Corrupción de memoria en tratamiento de CSS: se ha descubierto una
fragilidad de ejecución de código remoto por la forma en la que
Internet Explorer trata los CSS (Cascading Style Sheets) encadenados.
Un atacante tiene la oportunidad de explotar la fragilidad construyendo
una página web maliciosa que si es visitada por la víctima, motivaría
en el sistema de la víctima la carga de código arbitrario.
=*=
Corrupción de memoria en interpretación de HTML: se ha descubierto una
fragilidad de ejecución remota de código arbitrario debida a la forma
dentro de la que Internet Explorer interpreta elde hypertexto con
ciertas combinaciones de composición. Un atacante tiene la oportunidad
de explotar la fragilidad construyendo una página web maliciosa que, si
es visitada por la víctima, motivaría la carga remota de código en
el sistema de esta.
=*=
Corrupción de memoria por instanciación de objetos COM: se ha
descubierto una fragilidad de ejecución remota de código debido a la
forma dentro de la que Internet Explorer instancia objetos COM que no
fueron elaborados para ser instanciados por el mismo. Un atacante puede
explotar la fragilidad construyendo una página web maliciosa que
motivaría la carga de código arbitrario si es visualizada por la
víctima.
=*= Vulnerabilidad cross-domain en elemento fuente: se
ha descubierto una fragilidad en Internet Explorer por la forma dentro
de la que trata las redirecciones que tiene la oportunidad de ser
explotada para acceder a información o para realizar ejecución remota
de código. Un atacante puede explotar la fragilidad construyendo una
página maliciosa que si es visitada por la víctima, le posibilitaría
leer documentos de una página web en un dominio distinto de Internet
Explorer. Dentro del caso de Microsoft MS Windows 2000 SP4 y Microsoft
MS Windows XP SP1, el atacante tiene la oportunidad de explotar la
fragilidad para motivar la carga remota de código si la víctima
visualiza la página maliciosa.
=*= Revelación de datos de
posición de ventana: se ha descubierto una fragilidad de revelación de
datos porque un script puede persistir entre distintas navegaciones en
Internet Explorer para conseguir así acceso a la localización de una
ventana en otro dominio o lugar de Internet Explorer. Un atacante tiene
la oportunidad de explotar la fragilidad construyendo una página web
maliciosa que revelaría dicha información si la víctima la visita.
=*=
Inyección de comandos a servidores FTP: fue descubierto una fragilidad
de escalada de privilegios debida a la forma dentro de la que Internet
Explorer trata ciertos vínculos a FTP que contiene caracteres de salto
de línea. Un atacante tiene la oportunidad de explotar esta fragilidad
construyendo una página que posibilitaría al atacante mandar comandos a
un servidor FTP si el cliente pulsa sobre el enlace FTP. Si el atacante
realiza el embate con triunfo, podrá enviar comandos al servidor como
si fuera el cliente víctima.
Actualice los sistemas afectados mediante Microsoft MS Windows Update o descargando
los parches desde las siguientes direcciones:
=*= Internet Explorer 5.01 Service Pack cuatro sobre Microsoft MS Windows 2000
Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0DE3F143-19A6-4F22-B53B-B6A7DA33DAF4
=*= Internet Explorer seis Service Pack 1 sobre Microsoft MS Windows 2000
Service Pack cuatro o sobre Microsoft MS Windows XP Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=B5F17679-3AA5-4D66-A81E-F990FD0B48D2
=*= Internet Explorer seis para Microsoft MS Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=CDB85BCA-0C17-44AA-B74E-F01B5392BB31
=*= Internet Explorer seis para Microsoft MS Windows Server 2003 y Microsoft
Microsoft MS Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=20288DA2-A308-45C6-BD80-C68C997529BD
=*= Internet Explorer seis para Microsoft MS Windows Server 2003 para sistemas
Itanium y Microsoft MS Windows Server 2003 con SP1 para sistemas Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=663F1E83-BDC0-4EC6-A263-398E7222C9B5
=*= Internet Explorer seis para Microsoft MS Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=5C2A23AC-3F2E-4BEC-BE16-4B45B44C6346
=*= Internet Explorer seis para Microsoft MS Windows XP Professional x64
Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=0CE7F66D-4D83-4090-A034-9BBE286D96FA
–
10/08/2006 - Desbordamiento de búffer en ClamAV por error en tratamiento de archivos UPX
Se
ha descubierto una fragilidad en Clam Antivirus que tiene la
oportunidad de ser explotada por agresores remotos para motivar
denegaciones de servicio o además el unión de sistemas afectados.
La
fragilidad, descubierta por el experto Damian Put, se debe a un
inconveniente en el tratamiento de archivos ejecutables PE empaquetados
con UPX.
Clam AntiVirus es un motor anti-virus gratis y de
software libre. Mayormente utilizada en contextos UNIX, fue diseñada
para su uso integrado con servidores de correo, analizando los mensajes
que éstos procesan, además los adjuntos que éstos sean capaces de
portar consigo.
El formato PE (Portable Executable) es el
nativo de las plataformas Microsoft MS Windows para ejecutables y DLLs.
Básicamente, se trata de una infraestructura de datos que encapsula la
información requerida con el objetivo de que las distintas versiones de
Microsoft MS Windows sean capaces de ejecutar el código hecho y derecho.
UPX
(Ultimate Packer for eXecutables) es un empaquetador de ejecutables
Open Source que soporta una buena cantidad de formatos de archivo.
Aunque su funcionalidad es neutra, suele ser bastante frecuente hallar
código maligno empaquetado con varias versiones de esta potente
utilidad.
La fragilidad en sí se debe a un error en la función
‘pefromupx()’, localizado en el archivo fuente ‘libclamav/upx.c’. Esta
función es la encargada de extraer el archivo Win32 PE del original
empaquetado con UPX. Un error de comprobación de tamaños de variable
utilizadas durante este proceso tiene la oportunidad de ser explotado -
por medio de la construcción de un archivo UPX sobre todo constituido a
tal efecto - para motivar un desbordamiento de búffer basado en heap.
Este desbordamiento tiene la oportunidad de portar a una condición de
denegación de servicio (cese de la carga de la prestación en sí) o
además a la carga de código arbitrario en el sistema afectado.
La
fragilidad, que fué encontrada en las ediciones 0.88.2 y 0.88.3, fue
solventada en la 0.88.4, disponible para bajar en la siguiente
dirección:
http://www.clamav.net/stable.php#pagestart
–
09/08/2006 - Doce boletines de seguridad de Microsoft en agosto
Como cada segundo martes de mes, Microsoft ha publicado sus ya
habituales boletines de seguridad. Y nuevamente se demuestra que para
la seguridad no hay vacaciones de la estación del calor, en este mes de agosto se
han informado doce nuevos boletines (Microsoft MS06-040 al Microsoft MS06-051). De acuerdo a la
propia clasificación de Microsoft nueve de los nuevos boletines
presentan un nivel de gravedad “crítico” y los otros tres reciben
la calificación de “importante”.
Es por tanto, trascendental conocer la presencia de estas
renovaciones, evaluar el impacto de los inconvenientes y aplicar
las renovaciones en la más trascendental brevedad posible. Este es un boletín
de urgencia en el que describimos superficialmente cada uno de los
nuevos boletines de seguridad de Microsoft. En los más cercanos días
editaremos otros boletines donde analizaremos más detalladamente
las renovaciones más importantes.
* Microsoft MS06-040: Evita una fragilidad en la prestación Server que tiene la oportunidad de ser
explotada por consumidores dañinos para comprometer sistemas afectados.
Afecta a Microsoft MS Windows 2000, Microsoft MS Windows XP y Microsoft MS Windows Server 2003. Está calificado
como “crítico”.
* Microsoft MS06-041: Estamos hablando de una modernización para evitar dos fallas
en Winsock y la prestación cliente DNS que pueden ser explotadas por
clientes dañinos para comprometer los sistemas afectados. Afecta
a Microsoft MS Windows 2000, Microsoft MS Windows XP y Microsoft MS Windows Server 2003. Está calificado como
“crítico”.
* Microsoft MS06-42: Actualización acumulativa para Microsoft la red de redes Explorer
que además soluciona ocho nuevas fallas que serían capaces de permitir
la carga remota de código arbitrario. De acuerdo a la calificación de
Microsoft se encuentra calificado como “crítico”. Afecta a la red de redes Explorer
5.01 e la red de redes Explorer 6.
* Microsoft MS06-043: Evita una fragilidad de ejecución remota de código en
Outlook Express seis para Microsoft MS Windows XP y Microsoft MS Windows Server 2003. Incluso
obtiene una calificación de “crítico”.
* Microsoft MS06-044: Estamos hablando de una modernización para Microsoft MS Windows 2000 debido
a que fue descubierto una fragilidad de cross-site scripting con
redirección que tiene la oportunidad de ser explotada por consumidores remotos para conseguir
la carga de código. Recibe el nivel de “Crítico”.
* Microsoft MS06-045: En este boletín se anuncian los parches de modernización
necesarios para solucionar una fragilidad con los GUID de carpetas
que posibilitaría que serían capaces de permitir la carga remota de código
arbitrario. Afecta a Microsoft MS Windows 2000, Microsoft MS Windows XP y Microsoft MS Windows Server 2003.
Está calificado como “importante”.
* Microsoft MS06-046: Destinado a solucionar un error de desbordamiento de búfer
en el control ActiveXde hypertexto Help. Afecta a Microsoft MS Windows 2000, Microsoft MS Windows XP y
Microsoft MS Windows Server 2003. Está calificado como “crítico”.
* Microsoft MS06-047: Soluciona una fragilidad en distintos versiones de
Office y Works Suite en Visual Basic for Applications que tiene la oportunidad de ser
explotada para conseguir la carga remota de código arbitrario. Está
calificado como “crítico”. Office 2000, Project 2000, Access 2000,
Office XP, Project 2002, Visio 2002, Microsoft Works Suites (2004,
2005 y 2006), Visual Basic for Applications SDK 6.x.
* Microsoft MS06-048: Corrige dos fallas en Power Point que serían capaces de
permitir la carga remota de código. Afecta a Office 2000, 2003 y XP;
y a Microsoft MS Powerpoint 2000, 2002 y 2003. Microsoft lo califica como “crítico”.
* Microsoft MS06-049: Informa acerca de una modernización para Microsoft MS Windows 2000 debido a
una fragilidad en su kernel que tiene la oportunidad de ser explotada por clientes
locales para realizar escaladas de privilegios. De acuerdo a la calificación
de Microsoft obtiene un nivel de “crítico”.
* Microsoft MS06-050: En este boletín se presenta una modernización de seguridad
para varias versiones de Microsoft MS Windows (2000, XP y 2003) destinados a
solucionar dos fallas encontradas en la Hyperlink Object Library.
Microsoft califica esta modernización como “importante”.
* Microsoft MS06-051: En este boletín se presentan dos fallas en el
núcleo de Microsoft MS Windows serían capaces de permitir la elevación de privilegios y la
ejecución de código. De acuerdo a la calificación de Microsoft obtiene el
nivel de “importante”. Afecta a Microsoft MS Windows 2000, Microsoft MS Windows XP y Microsoft MS Windows
Server 2003.
Las renovaciones editadas pueden bajarse mediante Microsoft MS Windows
Update y Office Update o consultando los boletines de Microsoft donde
se traen consigo las direcciones de descarga directa de cada parche.
-->
<!--
google_ad_client = "pub-8659477775021795";
google_ad_width = 336;
google_ad_height = 280;
google_ad_format = "336x280_as";
google_ad_type = "text_image";
google_ad_channel ="2554702657";
google_color_border = "FFFBFF";
google_color_bg = "FFFBFF";
google_color_link = "00306B";
google_color_text = "00306B";
google_color_url = "000000";
//-->
