‘ Vulnerabilidades ’ category archive

Un "0 day" en Mozilla Firefox, explotable y aún no resuelto

Octubre 03, 06 by admin

Malas noticias para los que usamos a diario Mozilla Firefox. En varios medios (Barrapunto, La Flecha) publican la reciente aparición de una vulnerabilidad de tipo “0 day”, aún no parcheada y explotable (ha sido publicado código que lo demuestra), por lo que coge de imprevisto a los desarrolladores de Mozilla. El gran problema de este asunto, radica en la cierta “maldad” por parte de los descubridores del bug, ya que en lugar de informar previamente a los responsables del navegador, lo han difundido en una conferencia, probablemente con la intención de ganar cierta publicidad ante los medios o incluso de vender información crítica.

El problema de seguridad se encuentra en la creación de nuevos objetos Javascript dentro de la aplicación, que parecen no ser validados correctamente, siendo explotable de forma remota. Javascript es un lenguaje muy utilizado e importante dentro de la programación de Firefox. Habrá que esperar a que Mozilla pueda resolver este incidente lo antes posible. Más información en inglés en Securiteam

Zcodec: malware que modifica la configuración DNS del ordenador

Agosto 31, 06 by admin

Zcodec es un malware que utiliza un rootkit para ocultarse e iniciar un ataque pero no es lo único que puede hacer ya que puede variar la configuración DNS del ordenador y modificar las búsquedas en Internet además de instalar otros códigos maliciosos en nuestro ordenador.

Zcodec se oculta en un programa que supuestamente instala en el ordenador los codecs necesarios para reproducir una aplicación multimedia. El programa  en realidad no instala ningún codecs sino que al hacer click en el archivo el malware Zcodec se instala en nuestro sistema.

El código malicioso instala un rootkit para que el usuario no pueda ver los archivos que se están ejecutando.  De esta forma instala dos archivos ejecutables. Uno de ellos modifica la DNS del ordenador y de esta forma modifica los resultados obtenidos cuando se realiza una búsqueda en algún motor de búsqueda. El beneficio perseguido con esta acción es evidente, al modificar las búsquedas las dirige hacia sitios de pago por click o páginas que intentan robos de identidad.

Sin embargo la peligrosidad de este código maligno es mayor por el hecho de que instala un segundo archivo que instala un troyano diseñado para descargar otros códigos malignos. Este troyano llamado Ruins.MB es especialmente maligno por cuanto permite la instalación de programas de apuestas en linea.

Este tipo de ataques no son ninguna novedad pero en los últimos tiempos se están reproduciendo cada vez con mayor frecuencia.

Fuente: DiaroTi

Nueva variante del troyano IRCBot aprovecha vulnerabilidad reciente de Microsoft

Agosto 14, 06 by admin

Este troyano fue detectado automáticamente a través del motor heurístico ThreatSense, de Eset NOD32, como una variante de Win32/IRCBot.OO, lo cual protegió proactivamente a los usuarios del producto en todo momento contra este código malicioso, al no precisar de una actualización para reconocer el nuevo malware.

Esta variante en particular intenta aprovecharse de una vulnerabilidad en el servicio Servidor de los sistemas operativos Windows 2000, XP y 2003, que fue reportada el 8 de Agosto por Microsoft. Ese mismo día el parche para corregir el agujero de seguridad fue publicado, pero de acuerdo a como se ha estado detectando este troyano, se nota una gran cantidad de usuarios que aún no ha instalado la actualización de seguridad disponible en el boletín MS06-040.

Al igual que la mayoría de las variantes de la familia IRCBot, el objetivo de este nuevo ejemplar es la construcción de botnets, también conocidas como redes de equipos zombis. Una botnet es una red de ordenadores infectados por un malware y que puede ser administrada remotamente por el creador del código malicioso para realizar acciones colectivas como envío de correo no solicitado y/o ataques de denegación de servicio (DoS).

El nuevo código malicioso es muy similar al reportado en la primer semana de Julio, propagándose a través del AOL Instant Messenger, con la particularidad de que además explota la vulnerabilidad antes mencionada.

Esta variante de IRCBot.OO se ubica actualmente en la posición número 33 de los códigos maliciosos más de detectados en las últimas 24 horas, de acuerdo al  sistema de alerta temprana ThreatSense, que ha contabilizado detecciones de más de 6000 malware distintos en ese lapso de tiempo.

Al instalarse en un equipo infectado, el troyano se almacena en un archivo de nombre wgareg.exe, el cual se inicia como un servicio del sistema llamado “Windows Genuine Advantage Registration Service”, que busca hacer creer al usuario que se trata de la herramienta anti-piratería real de Microsoft.

Tras esto, el troyano puede ser utilizado para obtener información del equipo infectado, además de lanzar ataques distribuidos de denegación de servicios, entre otras cosas.

Otro fallo de seguridad en Microsoft Internet Explorer

Julio 06, 06 by admin

La vulnerabilidad consiste en un error de corrupción de memoria en el control de ayuda HTML a la hora de procesar “image” Este fallo puede ser aprovechado por un usuario malintencionado para generar una denegación de servicio en el navegador si se envía a esa propiedad una cadena muy larga varias veces.

No están definidas con certeza las versiones a que afecta esta vulnerabilidad, sin embargo, es seguro que la versión Windows XP Service Pack 2 presenta este fallo.

Hasta la fecha Microsoft no ha solucionado el problema y se recomienda desactivar la opción “Ejecutar controles y complementos ActiveX”. Una muesca más en la seguridad de IE.

Tres vulnerabilidades en OpenOffice.org 1.1.x y 2.0.x

Julio 03, 06 by admin

Han sido descubiertas tres vulnerabilidades en las versiones 1.1.x y 2.0.x de productos ofimáticos de OpenOffice a través de una auditoria interna de código.

OpenOffice.org ha publicado un boletín de seguridad que pone solución a este problema y en el cual comenta las tres vulnerabilidades:

•    Java Applets, CVE-2006-2199
•    Macro, CVE-2006-2198
•    File Format, CVE-2006-3117

La primera afecta a Java Applets, CVE-2006-2199  que puede extraerse fuera de la “sandbox” y permitir el acceso al sistema con los privilegios que el usuario posee. Para solucionar el problema se puede aplicar el parche o deshabilitar el soporte para los applets de Java.

La segunda vulnerabilidad (Macro, CVE-2006-2198) se corresponde con un fallo de seguridad de los ficheros XML que podría permitir a un atacante desbordar la memoria intermedia. Para ello previamente debería haber sido manipulado para no funcionar y ejecutar un código arbitrario.

La tercera vulnerabilidad (File Format, CVE-2006-3117) se produce por un fallo en las macros que permitiera a un atacante instalar macros que se ejecutarán arbitrariamente. Al ejecutarse tendrían acceso al sistema y a los privilegios del usuario ejecutante.

Para corregir éstos problemas de seguridad, se recomienda actualizar a las últimas versiones de ambas ramas (OpenOffice.org 1.1.5 Patch, y OpenOffice.org 2.0.3)

El navegador gratuito Browsezilla instala malware en el PC

Junio 30, 06 by admin

Concretamente el malware que introduce es el conocido como PicsPlace y lo realiza de forma totalmente oculta para sus usuarios. El objetivo de este código es realizar visitas “ocultas” a determinadas páginas de adultos para incrementar el tráfico de estas y obtener un beneficio por este aumento. El beneficio no solo es para estas páginas sino que se traduce también al propio navegador vía publicidad.

Esté código se activa cada vez que se arranca del PC y periódicamente se conecta con las webs mencionadas sin conocimiento del usuario. Este hecho provoca una disminución del ancho de banda disponible de los usuarios y el riesgo de estar relacionado con determinadas IP legales o no, pero que en todo caso visitas no solicitadas.

Este navegador es gratuito para los internautas y utiliza un logo de un dinosaurio. Sus autores han manifestado que se trata de un navegador que aumenta la seguridad con respecto a otros navegadores debido a que elimina el historial de páginas visitadas y el listado de favoritos. Lógicamente para evitar reconocer las visitas no deseadas que realiza.

Fuente: DiarioTI

Vulnerabilidad procesando SMTP en Symantec Antivirus Client

Junio 19, 06 by admin

Jordi Corrales nos ha remitido una vulnerabilidad encontrada en Symantec Antivirus que aún no ha sido solucionada por parte del propio Symantec, a pesar de haber sido reportada. Hemos hecho público un advisory, en el cual no se especifica cómo explotar la vulnerabilidad al no haber sido resuelta.

Symantec AntiVirus Corporate Edition combina soluciones galardonadas y escalables de protección antivirus para la empresa con una consola de administración central para ofrecer la protección líder del mercado y una reducción del costo total de propiedad.

Cuando se intenta enviar un email desde la maquina que tiene el Symantec Antivirus Client, si en los campos TO, FROM y SUBJECT de las cabeceras se indica un texto excesivamente largo, provoca un error que mata el servicio “Symantec Antivirus”. Esto puede realizarlo cualquier usuario, por lo que cualquier usuario sin privilegios podría detener el servicio antivirus sin tener permiso para hacerlo.

Las pruebas se han realizado en diversas maquinas, todas con Windows XP SP2 en Ingles con Language Pack en Español, con el programa Symantec Antivirus Client 9.0.4.1000 (corporate edition)

Si las pruebas se realizan bajo vmware el error se produce pero no mata el servicio.

Grave fallo de seguridad en el antivirus de Symantec.

Mayo 30, 06 by admin

La empresa de seguridad informática eEye Digital Security ha anunciado la existencia de un grave fallo de seguridad en el antivirus de Symantec que puede permitir que un cracker infecte y controle a distancia los ordenadores que tengan instalado esté software.

El fallo de seguridad ha sido localizado en el antivirus de Symantec v 10.x y en el Symantec Client Security 3.x aunque la empresa no descarta la existencia de este fallo en otros productos y versiones.

Symantec ya ha lanzado un parche de seguridad para subsanar este fallo.

En las últimas semanas estamos sufriendo multitud de fallos de seguridad en los principales antivirus del mercado.

El software libre es menos vulnerable que el software propietario

Marzo 30, 06 by admin

Ésta es la conclusión a la que ha llegado un estudio llevado a cabo por Coverity y Symantec, y finanaciado por EEUU. El estudio se denomina “The Nacional Strategy to Secure Cyberspace” en el cual se sometieron a examen 32 proyectos de Software Libre más empleados y 32 Software propietarios alternativos de los primeros.

Las diferencias de seguridad fueron concluyentes y determinaron que el Software Libre presentaba 0.4 errores por cada mil líneas de código frente a las 20-30 errores por cada mil líneas de código propietario.

Visto en La Flecha.

(Enésima) Vulnerabilidad muy crítica en Internet Explorer

Marzo 24, 06 by admin

Microsoft ha reconocido una vulnerabilidad muy crítica en Internet Explorer que fue reportada recientemente por el equipo de seguridad de Secunia. El problema está producido en la llamada al método “createTextRange()”. Como es habitual en este tipo de vulnerabilidades, para aprovecharla un atacante podría generar una página web especialmente modificada que conseguiría la ejecución arbitraria de código en el equipo de la víctima. Afecta a todas las versiones actuales del navegador, incluyendo la beta de Internet Explorer 7 y todas las versiones estables de IE 6 (incluso en SP2).

El instituto SANS ha lanzado un código “proof of concept”, a partir del cual se puede obtener un exploit. Además, aún no ha sido corregido de forma oficial por Microsoft, por lo que todos los usuarios de IE están peligrosamente expuestos a nuevos ataques. Como solución provisional, se recomienda desactivar la opción de “Active Scripting” en la configuración del navegador, o usar otro navegador.