http://www.servi-tec.com.ar Informes Tecnicos de Servi - Tec Soluciones es http://www.servi-tec.com.ar Informes Tecnicos de Servi - Tec Soluciones http://www.servi-tec.com.ar/informes_ver_uno.php?ba=251 Se han anunciado dos vulnerabilidades en el cliente Novell iPrint (versiones anteriores a la 5.44), que podrían permitir a un atacante remoto lograr comprometer los sistemas afectados. El primero de los problemas reside en un desbordamiento de búfer en el tratamiento de parámetros "call-back-url" demasiado largos para operaciones "op-client-interface-version" cuando el parámetro "result-type" esté configurado a "url". Un atacante remoto que explote exitosamente este problema podrá lograr la ejecución de código arbitrario. Un segundo problema se debe a un puntero no inicializado cuando se invoca el método "GetDriverFile()" del Control ActiveX "ienipp.ocx". También podría permitir a un atacante remoto ejecutar código arbitrario. Se recomienda actualizar a Novell iPrint Client versión 5.44. Security Vulnerability - Novell iPrint Client "call-back-url" Buffer Overflow http://www.novell.com/support/viewContent.do?externalId=7006679 Novell iPrint Client Browser Plugin GetDriverFile Uninitialized Pointer Remote Code Execution Vulnerability http://dvlabs.tippingpoint.com/advisory/TPTI-10-08 iPrint Client for Windows XP/Vista/Win7 5.44 http://download.novell.com/Download?buildid=H-2-uHNc5-A~ http://www.servi-tec.com.ar/informes_ver_uno.php?ba=252 Se han detectado recientemente dos vulnerabilidades en el kernel Linux, en su rama 2.6.x que podrían permitir a atacantes locales provocar una denegación de servicio u obtener acceso a información en memoria. El primero de los fallos se da a la hora de limpiar la memoria en la función 'drm_ioctl' del fichero 'drivers/gpu/drm/drm_drv.c' del controlador DRM (Direct Rendering Manager). Un atacante local podría aprovechar esto para obtener acceso a direcciones de memoria basadas en pila anteriormente liberadas, mediante el envío de llamadas al sistema especialmente manipuladas y con acceso al servidor X. El segundo problema es un desbordamiento de enteros en la familia de sockets 'AF_CAN', en concreto en los protocolos (Controller Area Network) y BCM (Broadcast Manager). Esto podría ser aprovechado por un atacante local para elevar privilegios a través del envío de paquetes CAN especialmente manipulados. Se recomienda aplicar las contramedidas especificadas en el apartado de más información. can: add limit for nframes and clean up signed/unsigned variables http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=5b75c4973ce779520b9d1e392483207d6f842cde drm: stop information leak of old kernel stack. http://git.kernel.org/?p=linux/kernel/git/airlied/drm-2.6.git;a=commitdiff;h=b9f0aee83335db1f3915f4e42a5e21b351740afd http://git.kernel.org/?p=linux/kernel/git/airlied/drm-2.6.git;a=commitdiff&h=1b2f1489633888d4a06028315dc19d65768a1c05 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=250 SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server y Desktop en la su versión 10 en la que se corrige una vulnerabilidad de denegación de servicio. El problema reside en la función nfs_wait_on_request (defs/nfs/pagelist.c) del kernel de Linux que puede permitir a un atacante provocar una denegación de servicio (Oops) mediante vectores desconocidos relacionados con truncado de archivos y una operación que no pueda interrumpirse. También se han corregido otros bugs no relacionados con problemas de seguridad. Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST. [security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2010:035) http://lists.opensuse.org/opensuse-security-announce/2010-08/msg00004.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=253 Recientemente se ha parcheado una vulnerabilidad en el kernel Linux, rama 2.6, que podría permitir a un atacante elevar privilegios y ejecutar código arbitrario con permisos de root. La vulnerabilidad ha sido descubierta por Rafal Wojtczuk de Invisible Things Labs, la empresa de la conocida investigadora Joanna Rutkowska. Rafal descubrió el bug mientras estaba trabajando en la virtualización de la interfaz de usuario del sistema operativo Qubes. Qubes es el proyecto más ambicioso de Rutkowska, un sistema operativo que permite virtualizar procesos independientemente. Según Rutkowska el bug descubierto podría haber estado ya presente desde la introducción de la rama 2.6 a finales de 2003. Aunque en un primer momento los investigadores reportaron el error a los desarrolladores del servidor X (X.org) finalmente se derivó a los mantenedores del kernel. Esto fue debido a que no se trataba de un fallo inherente al servidor X sino a la forma en la que el kernel maneja la memoria en determinadas circunstancias. La explotación de la vulnerabilidad permitiría a cualquier proceso no privilegiado con acceso al servidor X escalar a root. De facto los procesos de usuario que posean GUI corren con acceso al servidor X y de ahí que, como teoriza Rutkowska, la explotación de una vulnerabilidad no relacionada en una aplicación de usuario podría ser encadenada y aprovechar ésta para elevar privilegios. La puerta a una ejecución remota de código queda abierta. Técnicamente la explotación del bug reside en cargar de forma reiterativa en memoria pixmaps (XPM) de gran tamaño aumentando así el área de memoria mapeada. Gracias a la extensión MIT-SHM del servidor X, se posibilita y se crea un segmento de memoria compartida que será usado por el proceso del servidor X. La idea es aumentar el tamaño de memoria mapeada y seguidamente llamar a una función recursiva que vaya creando marcos de pila llevando el segmento de pila hacia la zona de memoria compartida, ya de por sí en direcciones altas debido a la expansión de la memoria mapeada usada a alojar los pixmaps. Durante ese instante, el puntero de pila ha llegado a la zona de memoria compartida y el atacante obtiene el control de la pila ya que puede escribir en esa área posibilitando de ésta forma la ejecución de código arbitrario. El fallo ha sido corregido en el repositorio de código del kernel y su CVE asignado es CVE-2010-2240. Skeletons Hidden in the Linux Closet: r00ting your Linux Desktop for Fun and Profit http://theinvisiblethings.blogspot.com/2010/08/skeletons-hidden-in-linux-closet.html Exploiting large memory management vulnerabilities in Xorg server running on Linux http://www.invisiblethingslab.com/resources/misc-2010/xorg-large-memory-attacks.pdf http://www.servi-tec.com.ar/informes_ver_uno.php?ba=254 Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC (versiones 0.9.0 a 1.1.2) que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario. VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft. El problema reside en un error de corrupción de memoria en la función "ReadMetaFromId3v2()" (de modules/meta_engine/taglib.cpp) incluida en el plugin TagLib cuando se extrae meta-información de etiquetas ID3v2. Un atacante podría aprovechar este problema para lograr ejecutar código arbitrario convenciendo a un usuario para que abra un archivo multimedia específicamente creado. Insufficient input validation in VLC TagLib plugin http://www.videolan.org/security/sa1004.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=246 Apple ha publicado una nueva versión de QuickTime (la 7.6.7), que solventa un problema de seguridad crítico en sus versiones para Windows. El problema reside en un desbordamiento de búfer (basado en pila) en el sistema de registro de errores de QuickTime. Visualizar un archivo de vídeo específicamente credo podría dar lugar a la ejecución remota de código arbitrario. Como contramedida se puede desactivar el registro de errores. Este problema no afecta a los usuarios de sistemas Mac OS X. La actualización puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde: http://www.apple.com/quicktime/download/ http://www.servi-tec.com.ar/informes_ver_uno.php?ba=247 En su ciclo habitual de boletines de seguridad Adobe ha publicado tres actualizaciones; una corrige seis vulnerabilidades en Flash Player, otra para evitar un fallo en ColdFusion y una última para solucionar cuatro vulnerabilidades en Flash Media Server. El boletín APSB10-16 resuelve seis vulnerabilidades en Adobe Flash Player version 10.1.53.64 y versiones anteriores, en sistemas Windows, Macintosh, Linux y Solaris. También se ve afectado Adobe AIR 2.0.2.12610 y anteriores para Windows, Macintosh y Linux. Cinco de las vulnerabilidades podrían permitir la ejecución remota de código arbitrario. Adobe recomienda a los usuarios de Adobe Flash Player la actualización a Adobe Flash Player 10.1.82.76 y a los usuarios de Adobe AIR actualizar a Adobe AIR 2.0.3. El boletín APSB10-18, de carácter importante, resuelve una vulnerabilidad de escalada de directorios en ColdFusion 8.0, 8.0.1, 9.0 y 9.0.1 para Windows, Macintosh y UNIX. Este problema podría permitir la obtención de información sensible. Se recomienda a los usuarios de ColdFusion actualicen las instalaciones mediante las instrucciones ofrecidas en: http://kb2.adobe.com/cps/857/cpsid_85766.html Por último, el boletín APSB10-19, clasificado como crítico, resuelve cuatro vulnerabilidades en Flash Media Server 3.5.3 y 3.0.5 y versiones anteriores para Windows y Linux. Tres de los problemas permitirían la realización de ataques de denegación de servicio y otro la ejecución remota de código arbitrario. Adobe recomienda a los usuarios de Flash Media Server (FMS) instalar Flash Media Server versión 3.5.4 o Flash Media Server 3.0.6 disponibles desde: http://www.adobe.com/support/flashmediaserver/downloads_updaters.html. También se ha realizado un adelanto, en forma de aviso de seguridad, para informar de diversas vulnerabilidades críticas en Adobe Reader y Acrobat para Windows y Macintosh. Adobe planea publicar las actualizaciones para estos productos la semana que viene. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=249 En los laboratorios de Kaspersky se han topado esta semana con lo que podría ser el primer espécimen que afecta, de manera significativa, al sistema operativo para dispositivos móviles de Google: Android. Era cuestión de tiempo que una plataforma como Android, con una cuota cada vez más amplia en el mercado de los smartphones, dejara de ser ignorada por los creadores de malware. No obstante, sin explosión mediática, ya se tenía conocimiento de spyware en casos puntuales y pruebas de concepto como el rootkit presentado en la última edición de la conferencia BlackHat. El recién bautizado SMS.AndroidOS.FakePlayer.a, con 13Kb de peso, se dedica una vez instalado en el sistema a enviar SMS indiscriminadamente a números con tarificación especial. Cobrados a algo más de 4 euros el mensaje. En principio sólo parece afectar a Rusia aunque no se descarta que aparezcan versiones adaptadas a otros países. Llega con la forma de un reproductor multimedia y cuando se instala pide permiso para efectuar operaciones de acceso a la tarjeta de memoria, envío de SMS y consulta de datos sobre el dispositivo. Autorizaciones sospechosamente poco relacionadas con la prometida funcionalidad de reproducción multimedia. A pesar de las advertencias del sistema, este tipo de solicitudes podrían ser ignoradas por el usuario medio que no suele reparar y pensárselo mucho antes de pulsar el "Aceptar" del cuadro de diálogo. El troyano llegó por primera vez a VirusTotal.com el 4 de agosto, sin ser detectado por ningún antivirus. Poco después fue detectado por este orden, por Dr. Web, Kaspersky y VBA32, todos de factura rusa. Hispasec ha realizado un pequeño análisis de la muestra disponible desde: http://www.hispasec.com/laboratorio/troyano_android.pdf Se da la circunstancia que en el mismo día, la BBC ha publicado un reportaje donde se muestra la creación de una aplicación maliciosa, entre otros smartphones para Android, con funcionalidad de spyware. A pesar de la coincidencia no está relacionado con el descubrimiento de Kaskersky. Se trata de una prueba de concepto para "demostrar lo fácil que es crear aplicaciones maliciosas para un smartphone". Recordemos el reportaje del mismo estilo de marzo de 2009. En aquella ocasión la BBC diseminó un malware creado para la ocasión que llegó a infectar 20.000 usuarios y crear una botnet con ellos. Con tiempo es de esperar que surja más malware para este tipo de dispositivos que día a día van ganando en usuarios. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=248 Se ha descubierto una vulnerabilidad que afecta a múltiples clientes FTP y que podría permitir potencialmente a un atacante remoto ejecutar código arbitrario a través de un servidor FTP malicioso. La vulnerabilidad reside en una falta de validación del nombre de los archivos que el cliente FTP obtiene del servidor cuando descarga un directorio completo. Si el nombre de los archivos procedentes del servidor contiene una ruta especialmente manipulada, el cliente usará ese nombre cuando el archivo se escriba localmente y lo situará en la ruta contenida en el nombre. Por ejemplo "........archivo.exe". Uno de los posibles vectores permitiría a un atacante situar un archivo con contenido arbitrario en el directorio de inicio de una víctima. Lo que provocaría la ejecución automática al inicio de sesión. Los clientes FTP afectados, todos para Microsoft Windows, son: Frigate FTP Client (versión 3.36 y posiblemente en inferiores) FTPRush (versión 1.1.3 y posiblemente en inferiores) SmartFTP (versión 4.0 Build 1124 y posiblemente en inferiores y corregido en la versión 4.0 build 1133) Las vulnerabilidades han sido reportadas por la empresa High-Tech Bridge. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=245 En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan catorce boletines de seguridad. Afectan a toda la gama del sistema operativo Windows, Office y Silverlight. En principio, hablan de 34 vulnerabilidades. Si en julio se publicaron cuatro boletines de seguridad, este mes ya se ha publicado uno fuera del ciclo habitual, además Microsoft prevé publicar catorce el próximo 10 de agosto. Ocho se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación). Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Uno de los boletines críticos está dedicado a Microsoft Silverlight 2 y 3. No se corregía ningún fallo de seguridad en Silverlight desde octubre de 2009. Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora. Microsoft Security Bulletin Advance Notification for August 2010 http://www.microsoft.com/technet/security/bulletin/ms10-aug.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=236 Charlie Miller, un viejo conocido, habló de un nuevo problema de seguridad crítico en Adobe Reader durante la conferencia Black Hat. Después de su charla, Miller escribió en su propio Twitter: "La seguridad de Adobe es tan mala que cuando anuncié un nuevo 0-day en Reader, ni una persona twiteó sobre el asunto. Triste." Charlie Miller encontró ya en 2007 cómo ejecutar código en un iPhone simplemente visitando una web con Safari. También es responsable del fallo que permitía ejecutar código en iPhone a través de SMS, además de destapar muchos otros fallos de seguridad en Mac. A principios de abril de 2010, reveló 20 formas distintas de ejecutar código en un Mac de forma remota, y otras 10 vulnerabilidades en otros programas. Tras su presentación en la Black Hat, Adobe ha confirmado el fallo que afecta a Reader bajo todas las plataformas, y que la vulnerabilidad permite la ejecución de código en su última versión. Los fallos de seguridad en Adobe, protagonista de los peores problemas de seguridad en los últimos tiempos, se han convertido en algo tan común que el propio descubridor se quejaba de que ya no interesaban a nadie, y que no eran noticia. Adobe, a causa de las numerosas vulnerabilidades, desbordada por las críticas y una especial torpeza para garantizar la seguridad, decidió programar las actualizaciones de seguridad cada tres meses, siguiendo el modelo de Microsoft. Desde entonces, ha tenido que romper el ciclo y publicar parches antes de tiempo en tantas ocasiones que se está planteando acortar los ciclos de actualizaciones a un mes. Incluso, coordinar las actualizaciones a través de métodos más populares o accesibles como Microsoft Update. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=237 Zero Day Initiative de TippingPoint ha impuesto una nueva regla destinada a presionar a los fabricantes de software para que solucionen lo antes posible sus errores: si pasados seis meses desde que se les avise de un fallo de seguridad de forma privada, no lo han corregido, lo harán público. Teniendo en cuenta que, según un estudio que Hispasec realizó hace unos meses, la media para corregir vulnerabilidades llega a los seis meses, sin duda la decisión tendrá consecuencias en los laboratorios. iDefense y Zero Day Initiative son dos iniciativas de compañías privadas que compran vulnerabilidades, con la única condición de que se les cedan en exclusiva. La intención de estas dos empresas es apropiarse de vulnerabilidades relevantes en sistemas muy usados. Los investigadores privados que encuentren un fallo, pueden acudir a ellos a vender los detalles. Una vez pagan por la vulnerabilidad, estas dos empresas aplican la política de "revelación responsable" (o "coordinada" como prefiere ahora la industria), es decir, informan al fabricante del problema y anuncian el fallo (siempre que sea posible) sólo cuando existe parche disponible. Ambas compañías esperan (a veces pacientemente) a que el fabricante haya solucionado la vulnerabilidad para hacer público su descubrimiento. Se centran en vulnerabilidades relevantes, que supongan un impacto real y que permitan realmente ser explotadas por un atacante. TippingPoint se ha cansado de esperar, y desde el 4 de agosto impondrá un límite de seis meses para que el fabricante solucione el fallo. Dicen que tienen unas 31 vulnerabilidades que llevan un año esperando. Según ellos esto no es aceptable. Por ejemplo, y según sus propios datos públicos, conocen seis vulnerabilidades críticas de IBM que llevan más de 600 días esperando a ser resueltas. También tienen más de 90 que llevan más de seis meses esperando. Ante este panorama, a los seis meses hará públicos ciertos datos del problema (en ningún caso todos los detalles), si el fabricante no ha creado un parche aún. En cualquier caso, dejan la puerta abierta a posibles excepciones si está justificado que la solución se demore por razones técnicas. Según TippingPoint, una de las consecuencias de estas demoras es que cada vez con mayor frecuencia, los investigadores están descubriendo una vulnerabilidad y, pasado un tiempo, alguien vuelve a reportarla como nueva. Como los detalles no se hacen públicos, mientras se corrige, quien la descubre en segundo lugar no tiene forma de saber si ésta ha sido ya enviada o no a TippingPoint. Esto, evidentemente, indica que cuanto más tiempo tarde la solución, más probable es que alguien con no muy buenas intenciones la descubra y la aproveche en beneficio propio. Esta iniciativa se enmarca en la agitada escena actual del "full disclosure". Hace poco el equipo de seguridad de Google (a raíz de la vulnerabilidad encontrada por Tavis Ormandy) afirmó que dejaría 60 días para que el fabricante creara un parche. Tras esto, Microsoft decidió cambiar la palabra "responsable" por "coordinada" en la expresión "responsible disclosure". El informe de Hispasec En septiembre de 2009, Hispasec publicó un informe de elaboración propia. Se eligieron todas las vulnerabilidades de cada fabricante, reportadas a iDefense y Zero Day Initiative desde 2005 hasta final de agosto de 2009. Se concluyó que el tiempo medio de todos los fabricantes estudiados en general ascendía a una media de 171,8 días, lo que son casi seis meses por vulnerabilidad. De hecho, casi el 84% de las vulnerabilidades se resuelven antes de los seis meses, y apenas un 10% pasa del año. Se clasificaban en tres grandes grupos: Oracle, Microsoft y en menor medida HP como los más "perezosos" a la hora de solucionar vulnerabilidades no hechas públicas, con una media de entre 200 y 300 días (entre siete y diez meses). Por otro lado Apple y Novell se mantuvieron rondando los 100 días (más de tres meses) para solucionar problemas de seguridad reportados de forma privada. El resto de fabricantes se mantenían entre los tres y los siete meses de media. Aunque Sun era uno de los fabricantes que más vulnerabilidades había resuelto entre el año y los 18 meses. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=238 Presentamos una nueva familia de lo que se podría denominar "Ransomware" o "Rogueware". La finalidad de este espécimen, como de tantos otros, es obtener los datos de la tarjeta de crédito de la víctima. Lo que nos ha llamado la atención es la forma tan elaborada de conseguirlo. Hemos realizado un vídeo demostración. El troyano ha sido denominado por algunas casas antivirus como Dot-Torrent, aunque otras lo introducen en la familia "FakeAlert", "PrivacyProtector" y "Antipiracy ". No es técnicamente novedoso, ni siquiera en su planteamiento. Lo llamativo es la forma tan cuidada de engañar al usuario para que termine pagando por descargar contenido "protegido". Juega brillantemente con el potencial sentimiento de "culpa" de un usuario que comparte contenidos multimedia en la Red. Aprovecha el "miedo" que han inculcado en el usuario organizaciones como la RIAA, MPAA, Copyright Alliance... para pedir dinero y evitar así un ficticio proceso judicial. El troyano se apoyaba en una web (icpp-online.com, actualmente offline) que contenía supuestas noticias que avalaban la existencia del software, informando sobre campañas de concienciación y persecución de los infractores. En la sociedad americana, el troyano está obteniendo un "éxito" importante, aunque su difusión no es masiva. Hace ya algo más de un mes que está activo, mejorando con diferentes versiones. Invitamos al lector a visualizar el vídeo alojado en YouTube (menos de 5:18 minutos). Si por alguna razón no se visualiza bien, recomendamos reproducirlo a 480p. Este valor se puede modificar desde la barra de desplazamiento de YouTube: http://www.youtube.com/watch_popup?v=pT-gJn506L0 Curiosidades: * El troyano puede llegar al usuario por cualquier medio: vulnerabilidad, ejecución directa, etc. Simula ser un programa de descarga de archivos torrent. Por tanto, el usuario será más tarde acusado de una acción "real": efectivamente, ha descargado contenido "protegido" por medios "ilegales". * Descarga en tiempo real un componente binario que va modificando sus funcionalidades. * Contiene su propio desinstalador que funciona correctamente cuando se introduce un código válido. * Se ejecuta antes de Explorer.exe (de que aparezca el escritorio) así que para usuarios medios que no sepan cargar la lista de tareas y lanzar el escritorio, no hay forma de "escapar". * Utiliza datos reales que muestra "online" como la dirección IP y una consulta whois a la dirección IP. * En algunas versiones, busca archivos .torrent por todo el disco duro, los muestra en la pantalla principal y pide una cantidad por cada uno de ellos, en concepto de concienciación por descarga. * El trabajo estético y de traducción, es simplemente excelente. * Valida los datos introducidos. De esta forma se controla que, por ejemplo, no se introduzca un número de tarjeta inválido. * Si se decide no pagar y "pasar el caso a los tribunales", finalmente pide los datos y el correo electrónico, que irán a parar al atacante, pero no desbloquea el sistema. * La opción "Enter a previously purchased license code" que se observa en la parte inferior derecha, permite introducir efectivamente un código que desinstala el programa. En algunas versiones es RFHM2 TPX47 YD6RT H4KDM, y esto desinstalará por completo el troyano (aunque aun así habrá que ejecutar a mano Explorer.exe). http://www.servi-tec.com.ar/informes_ver_uno.php?ba=239 Hoy no es el segundo martes del mes pero Microsoft acaba de publicar el boletín de seguridad MS10-046 de carácter crítico, en el que se soluciona la ya conocida vulnerabilidad relacionada con archivos LNK (accesos directos). La publicación con carácter de urgencia se debe a que como ya habíamos anunciado se habían facilitado todos los detalles de la vulnerabilidad y además está siendo aprovechada de forma activa. Como ya anunciamos el pasado 18 de julio, se había publicado un exploit, así como los detalles técnicos, que hacían posible explotar esta vulnerabilidad. En aquel momento ya vaticinamos, que Microsoft posiblemente adelantaría la publicación de la solución a este problema a su ciclo habitual de actualizaciones (programado para el 10 de agosto). El problema afecta a Windows XP, Vista, Windows 7, Windows Server 2008 y Windows Server 2008 R2. Tal y como reconoce Microsoft, en la actualidad hay múltiples familias de malware que se aprovechan de esta vulnerabilidad y esta actualización protege contra cualquier intento de explotación. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible, mediante Windows Update o descargando los parches, según versión, desde las direcciones facilitadas en el propio boletín de seguridad: http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=240 Se ha anunciado una vulnerabilidad en IBM Tivoli Directory Server 6.1, que podría permitir a un atacante conseguir acceso a la información de la base de datos. Otro fallo en la versión 6.0 permitiría a un atacante provocar una denegación de servicio. Tivoli Directory Server es un software de gestión de identidad de IBM,basado en tecnología LDAP (Lightweight Directory Access Protocol) que proporciona servicios de autenticación centralizado. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX... El primer problema reside en que durante el proceso de instalación se almacena en texto claro, en el archivo "ldapinst.log", la password de administración de DB2. Gracias a esto un usuario podría conseguir acceso administrativo a la base de datos. Se recomienda aplicar la actualización acumulativa 6.1.0.4-TIV-ITDS-IF0006 (6.1.0.36 / 4.0022) o el APAR IO12776. Un segundo problema afecta a los métodos vPrintMessage y vPrintMessageFile de Tivoli Directory Server, debiso a que no manejan adecuadamente las peticiones de autenticación DIGEST-MD5 si se usan directamente. Si un atacante envía múltiples peticiones especialmente manipuladas (incompletas), puede llegar a hacer que el servicio deje de responder. El fallo se da en la versión 6.0.0.8 y para solucionarlo, se debe aplicar la solución provisional 6.0.0.8-TIV-ITDS-IF0006 o APAR IO12399. En ellas el método PrintMessage es usado en vez de los dos anteriores mencionados. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=241 Google ha publicado una actualización de su navegador Chrome para Linux, Mac y Windows. Esta nueva versión está destinada a corregir cinco vulnerabilidades. Según la propia clasificación de Google tres son de gravedad alta, una media y una última de nivel bajo. Las vulnerabilidades más graves están relacionadas con un problema en el tratamiento de canvas de gran tamaño, una corrupción de memoria en el código de representación y una corrupción de memoria en el tratamiento de SVG. La vulnerabilidad de gravedad media se refiere a una divulgación de contenidos de la memoria en el código de disposición. Por último también se ha corregido un error relacionado con el tratamiento incorrecto de nombres de hosts. Para evitar estos problemas, Google ha publicado la versión Chrome 5.0.375.125 para sistemas Linux, Mac y Windows. Esta actualización se instalará de forma automática en las últimas versiones del navegador; o de forma manual desde la opción "Acerca de Google Chrome". También está disponible para descarga desde http://www.google.com/chrome http://www.servi-tec.com.ar/informes_ver_uno.php?ba=242 Se ha publicado la versión 2.2.16 del servidor web Apache, con objeto de corregir dos vulnerabilidades de denegación de servicio en los módulos "mod_cache" y "mod_dav" y otra de divulgación de información sensible en "mod_proxy_http". El primer problema reside en la forma en que se procesan las solicitudes por los módulos "mod_cache" y "mod_dav". Un atacante remoto podría causar una denegación de servicio en determinadas condiciones mediante el envío de peticiones HTTP especialmente manipuladas. Hay que señalar que el módulo "mod_cache" se ve afectado solamente si se hace uso de la directiva "CacheIgnoreURLSessionIdentifiers". También se ha corregido un error en la detección de tiempo de espera en "mod_proxy_http.c" que podría permitir que bajo determinadas condiciones, el servidor devuelva una respuesta destinada a otro usuario. Sólo se ven afectados los sistemas operativos Windows, Netware y OS2. Se recomienda actualizar a Apache 2.2.16 desde http://httpd.apache.org/download.cgi http://www.servi-tec.com.ar/informes_ver_uno.php?ba=243 El día 20 de julio Mozilla anunciaba la nueva versión 3.6.7 y 3.5.11 de su navegador, que corregía 15 vulnerabilidades en 14 boletines de seguridad diferentes. Tres días más tarde ya está disponible la versión 3.6.8 para solucionar una vulnerabilidad introducida al corregir las anteriores. La versión 3.6.8 de Firefox se ha tenido que lanzar con cierta urgencia (solo tres días después de publicar la versión 3.6.7) para corregir una vulnerabilidad que permite la ejecución de código arbitrario. La solución introducida en la versión 3.6.7 para corregir un problema de manejo de plugins, introducía un fallo que, bajo ciertas circunstancias, podría producir un desbordamiento de memoria intermedia. Esto podría permitir la ejecución de código arbitrario. Para solucionarlo han publicado la versión 3.6.8 y el boletín MFSA2010-48 describiendo el fallo. La versión 3.6.7 ha sido por tanto bastante efímera, aunque no es la primera vez que ocurre con el navegador. La versión 3.6.4 apareció el 22 de junio, y desde entonces en menos de un mes se han publicado varias subversiones. En la versión 3.6.4 los desarrolladores añadieron cierta protección contra los "cuelgues" de algunos plugins, para que no hicieran que todo el navegador dejase de responder. Para ello añadieron un "timeout": si el plugin no respondía en ese tiempo, Firefox tomaba el control terminando la tarea. Así se evitaba que el cuelgue arrastrase a todo el navegador. Sin embargo se dieron cuenta de que el "timeout" introducido era muy corto. Solo 10 segundos. Algunos plugins, como Flash, pueden no responder durante ese tiempo en algunas máquinas sin que signifique que el complemento haya dejado de responder necesariamente. En muy pocos días, se produjo una "travesía" hasta la versión 3.6.6 para corregir ese fallo, y aumentar el "timeout" hasta unos 45 segundos. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=244 Cisco ha anunciado la existencia de una vulnerabilidad en Cisco Content Delivery System (CDS), y que podría permitir a un atacante conseguir acceso no autorizado a archivos arbitrarios de los sistemas afectados. El problema reside en un error de validación de entradas en el servidor web de la aplicación Internet Streamer, que un atacante podría aprovechar para acceder a los contenidos de cualquier archivo (archivos de contraseñas, logs, configuraciónes, etc.) mediante ataques de escalada de directorios. Se ven afectadas las versiones de Cisco Content Delivery System (CDS) 2.2.x, 2.3.x, 2.4.x y las anteriores a la 2.5.7. Se recomienda actualizar a la versión 2.5.7 o posterior, y como contramedida aplicar reglas de servicio para impedir la escalada de directorios. Se recomieda consultar el aviso de Cisco disponible en: http://www.cisco.com/warp/public/707/cisco-sa-20100721-spcdn.shtml http://www.servi-tec.com.ar/informes_ver_uno.php?ba=224 El pasado 16 de julio publicábamos una noticia sobre una "interesante" vulnerabilidad en Windows que estaba siendo aprovechada por un peligroso troyano. El peor de los escenarios se presenta ahora para Microsoft, puesto que se han hecho públicos todos los detalles para aprovechar el fallo y, por tanto, se espera que aparezcan nuevos troyanos aprovechando una peligrosa vulnerabilidad para la que todavía no hay parche. Informábamos hace algunos días de una forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. El fallo se aprovecha a través de archivos LNK (accesos directos) y supone un duro varapalo para Microsoft, pues los atacantes han conseguido descubrir la manera de eludir todas las medidas que se han tomado contra la ejecución automática en Windows. Escribíamos entonces que "Tarde o temprano los detalles técnicos sobre la vulnerabilidad en accesos directos saldrán a la luz, y todo tipo de malware comenzará a usar este nuevo método para propagarse por llaves USB". Ha sido más temprano que tarde, puesto que ya se han hecho públicos todos los detalles y la posibilidad de aprovechar el fallo está al alcance de cualquiera. La situación es, por tanto, muy grave. Se espera pues un incremento de malware que se propague por dispositivos extraíbles puesto que en estos momentos (y hasta que Microsoft saque un parche), todos los Windows, independientemente de que esté actualizados y bien configurados, podrían llegar a ejecutar un fichero de forma "silenciosa" si se inserta un dispositivo extraíble como una llave USB. Por ahora, la única forma de que la vulnerabilidad no funcione es realizando el siguiente cambio (aunque se perderá funcionalidad, por lo que es conveniente realizar una copia de seguridad para restaurar el valor cuando el problema esté solucionado): * Poner en blanco el valor predeterminado (default) de la rama del registro: HKEY_CLASSES_ROOTlnkfileshellexIconHandler * Detener y deshabilitar el servicio "cliente web" (WebClient). No está de más recordar que no se deben usar dispositivos extraíbles de dudosa procedencia. Aun así, se deben tomar las precauciones oportunas incluso contra los dispositivos en los que se confíe. Lo más probable es que Microsoft publique el parche en cuanto esté disponible, independientemente de su ciclo de actualizaciones. Ahora que el problema es público y puede ser aprovechado por cualquiera, suponemos que muy posiblemente se adelante con respecto a la siguiente tanda de parches (programada para el 10 de agosto) o se retrase levemente con respecto a ésta. Esperamos en cualquier caso que no haya que esperar hasta septiembre para obtener una solución oficial. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=225 Vuelve a ocurrir. Un plugin para el navegador Firefox, alojado en la página oficial de Mozilla, estaba siendo utilizado para robar las contraseñas de los usuarios que lo utilizaran. También se ha hecho público que otro plugin contenía una grave vulnerabilidad que permitía la ejecución de código en el navegador. Es la cuarta vez que Mozilla sufre un incidente de seguridad relacionado con sus extensiones y complementos. Uno de los mayores atractivos de Mozilla Firefox es la capacidad de extender su funcionalidad casi indefinidamente gracias a las extensiones. Existen miles, muy útiles, que han popularizado el navegador y lo han convertido además en una herramienta muy potente. Pero en esta ventaja radica también una de sus debilidades: la facilidad por parte de terceros para crear extensiones y alojarlas en la web oficial de Mozilla se está convirtiendo en un problema para los desarrolladores, que de nuevo han alojado una extensión peligrosa en addons.mozilla.org. Mozilla Sniffer, una extensión disponible desde el 6 de junio en la página oficial, enviaba las contraseñas que el usuario introducía en los formularios a un sitio remoto, con el fin de robarlas. Era publicitada como una modificación del plugin TamperData. El problema ha sido descubierto el 12 de julio, y en ese espacio de tiempo ha sido descargado unas 1.800 veces. Mozilla alega que se encontraba en un estado "experimental", pero el problema va más allá. En mayo de 2008 la Fundación Mozilla distribuyó por error el plugin del idioma vietnamita infectado con adware. Aunque prometió literalmente "analizar más a menudo sus archivos para evitar que esto vuelva a ocurrir", volvió a ocurrir en febrero de 2010. La fundación Mozilla informaba de que dos complementos "experimentales" para el navegador Firefox contenían troyanos para Windows. Entonces escribíamos en una-al-día: "hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero el añadir nuevos métodos antivirus puede mitigar el problema aunque no tiene por qué solucionarlo." Efectivamente, no lo ha solucionado. El problema con Mozilla Sniffer y por lo que ha pasado desapercibido para los antivirus, es que se trataba simplemente de una extensión programada específicamente para robar contraseñas silenciosamente. Solo una revisión pormenorizada del código, sin automatismos, hubiese revelado la funcionalidad oculta. Esto ataca directamente a la raíz del problema "de toda la vida" de la detección vírica: ¿qué es "malware"? Cualquier cosa programada con malas intenciones sin hacer partícipe al usuario. Desde luego, el malware no es exclusivamente "lo que detectan los antivirus", idea que un marketing agresivo y a veces irresponsable de las casas antivirus han incrustado en el usuario medio. Si Mozilla solo analiza sus complementos con antivirus asiduamente, estaba mitigando el problema, pero no lo solucionaba: detectará lo conocido y dejará pasar cualquier funcionalidad oculta específicamente diseñada, como ha ocurrido. En defensa de Mozilla hay que decir que en su repositorio deja claro que ciertas extensiones no han sido verificadas, o que el autor es desconocido... en estos casos se delega en el usuario la responsabilidad de utilizar el código en entornos de producción. Pero todos sabemos que trasladar la responsabilidad al usuario no siempre acarrea buenos resultados. Además, se ha detectado que el add-on CoolPreviews, contenía una vulnerabilidad que permitía la ejecución de código. La versión vulnerable ha sido descargada 177.000 veces. Mozilla ha bloqueado estas extensiones, y anuncia que mejorará su proceso de validación y publicación, reconociendo implícitamente que se están cometiendo errores. A partir de ahora (de nuevo, a posteriori) dice que revisarán exhaustivamente el código antes de poner a disposición de todos una extensión en su web. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=226 Se ha descubierto un nuevo ataque contra Windows, que aprovecha una vulnerabilidad previamente desconocida. Lo interesante (y peligroso) en este caso, es que esta vulnerabilidad ha sido utilizada como nuevo método "revolucionario" para eludir la desactivación de AutoRun y ejecutarse bajo cualquier circunstancia cuando se inserta en el sistema una memoria USB extraíble, por ejemplo. Además, el troyano ha sido firmado digitalmente por una compañía legítima. Cómo ha sido descubierto VirusBlokAda descubrió, ya el 17 de junio (lo que da una idea de la posible cantidad de tiempo que esta amenaza lleva atacando silenciosamente) módulos de un malware nuevo. Pasadas unas semanas, alertaron sobre algo realmente inusual en este troyano: su forma de propagarse a través de memorias USB prescindiendo del tradicional archivo autorun.inf, que permite la ejecución automática cuando se detecta un dispositivo extraíble y funcionalidad contra la que Microsoft lleva tiempo luchando. El troyano usaba en cierta manera, una vulnerabilidad (para la que no existe parche) en archivos .LNK (accesos directos), que permite la ejecución de código aunque el AutoPlay y AutoRun se encuentren desactivados. A efectos prácticos, implica que se ha descubierto una nueva forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. Para qué estaba siendo usado Independientemente de su método de propagación, el investigador Frank_Boldewin comenzó a analizar una de las muestras y descubrió que el objetivo del malware estaba dirigido específicamente contra sistemas SCADA WinCC de Siemens, que se ejecutan en Windows. Dentro de su código contenía la contraseña por defecto "2WSXcder" para la base de datos central del producto de Siemens, y al parecer el fabricante recomienda no modificarla. Por tanto el troyano conseguía acceso de administración de la base de datos. Los sistemas "Supervisory Control and Data Acquisition (SCADA)" son programas críticos de producción industrial: toman datos muy sensibles de sensores de una fábrica, por ejemplo, y los envían a un sistema central para ser controlados. Se usan en grandes plantas de tratamiento de aguas, control eléctrico, de tráfico... Por tanto, se trata de un malware destinado a un perfil muy diferente del usuario "medio". En otras palabras, malware para al espionaje industrial. Se está usando sobre todo en Indonesia, India e Irán. Un malware muy profesional El troyano se esconde con habilidades de rootkit para pasar desapercibido en los sistemas en los que consigue instalarse. Llama la atención, como se ha mencionado, el uso de una vulnerabilidad desconocida hasta ahora en los accesos directos, lo que da una nueva vuelta de tuerca a la pesadilla del AutoRun para Microsoft. Lejos de usar el tradicional autorun.inf (contra el que ya se puso remedio), se propaga en llaves USB en forma de archivos del tipo ~WTR4132.tmp, por ejemplo. Se parecen mucho a los ficheros temporales de Word que usa Office internamente cuando un fichero está en uso. Para colmo, el troyano utiliza para su funcionalidad de rootkit unos drivers firmados digitalmente por la famosa empresa china Realtek. Esto significa que, en principio, solo Realtek puede ser responsable de ese código... excepto que su clave privada haya sido comprometida de alguna forma, cosa que no se ha confirmado todavía. En cualquier caso, Microsoft, muy acertadamente, ha trabajado con Verisign para revocar en sus sistemas los certificados (con el apoyo de Realtek también). Esto quiere decir que los sistemas bien configurados (que no puedan instalar drivers no firmados o firmados con certificados revocados) no sufrirán este problema... eso sí, tendrán que actualizar su lista de certificados a través de windowsupdate.com. El uso de certificados legítimos es de lo más interesante para un malware, y lo hace una pieza casi única. Otros troyanos han sido firmados antes, pero no nos consta que se haya realizado la firma con un certificado válido de una empresa reconocida. Y ahora qué Pues este malware pone de nuevo sobre la mesa las posibilidades de la creación de troyanos específicos, de amenazas personalizadas y "trabajadas" convenientemente para pasar desapercibidas. O sea: usando vulnerabilidades no conocidas, criptografía, rootkits.... Tarde o temprano los detalles técnicos sobre la vulnerabilidad en accesos directos saldrán a la luz, y todo tipo de malware comenzará a usar este nuevo método para propagarse por llaves USB. Recordemos el éxito de Conficker en octubre de 2009, que también encontró una forma de eludir la desactivación de AutoRun en Windows (gracias a una modificación en autorun.inf que no se tuvo en cuenta) y que obligó a Microsoft ha modificar toda su filosofía en este sentido y desactivar (se creía que de forma eficaz hasta ahora) por completo el dichoso AutoRun. Microsoft ha publicado un alerta reconociendo la vulnerabilidad y recomendando estas contramedidas: * Poner en blanco el valor predeterminado (default) de la rama del registro: HKEY_CLASSES_ROOTlnkfileshellexIconHandler * Detener y deshabilitar el servicio "cliente web" (WebClient). Además, lo de siempre: no usar la cuenta de administrador, mantenerse informado, no usar memorias USB no confiables y mantener actualizado el sistema y el antivirus. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=227 Se han anunciado múltiples vulnerabilidades en Novell GroupWise, que podrían permitir a un atacante realizar ataques de denegación de servicio, robar información sensible y comprometer los sistemas afectados. Se ven afectadas las versiones Novell GroupWise version 7.0, 7.01, 7.02, 7.03x, 8.0 y 8.01x. Novell GroupWise es un software de colaboración con funcionalidades para uso de correo electrónico, calendarios, mensajería instantánea, coordinación de tareas, control de documentación, etc. Dos de los problemas se deben a errores de validación de entradas en la interfaz http de los agentes GroupWise (Message Transfer Agent, Post Office Agent, Internet Agent, WebAccess Agent, Monitor Agent), que podría permitir la realización de ataques de cross site scripting o inyectar cabeceras arbitrarias. Otras vulnerabilidades residen en errores de validación de entradas en el componente WebAccess, que podría permitir la realización de ataques de cross site scripting. También se ha detectado un problema debido a que determinados parámetros que se pasan a GroupWise WebAccess exponen información de autenticación en el navegador del usuario. Un último problema reside en un desbordamiento de búfer en el agente Internet cuando procesa peticiones específicamente construidas, que podría permitir a atacantes autenticados ejecutar código arbitrario. Para Novell GroupWise versión 8.0 se recomienda instalar GroupWise 8.0 Support Pack 2 (SP2) o posterior. Para Novell GroupWise versiones 7.x se recomienda instalar GroupWise 7.0 Support Pack 4 (SP4) o posterior. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=228 Oracle ha publicado un conjunto de 59 parches para diversos productos de la casa que solventan una larga lista de vulnerabilidades. Las consecuencias son que atacantes locales y remotos pueden comprometer gravemente la seguridad de los sistemas y servicios afectados. Los fallos se dan en varios componentes de los productos: * Oracle Database 11g Release 2, versión 11.2.0.1 * Oracle Database 11g Release 1, versión 11.1.0.7 * Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4 * Oracle Database 10g, versión 10.1.0.5 * Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV * Oracle TimesTen In-Memory Database, versiones 7.0.6.0, 11.2.1.4.1 * Oracle Secure Backup versión 10.3.0.1 * Oracle Application Server, 10gR2, versión 10.1.2.3.0 * Oracle Identity Management 10g, versión 10.1.4.0.1 * Oracle WebLogic Server 11gR1 (10.3.1, 10.3.2 y 10.3.3) * Oracle WebLogic Server 10gR3 (10.3.0) * Oracle WebLogic Server 10.0 hasta MP2 * Oracle WebLogic Server 9.0, 9.1, 9.2 hasta MP3 * Oracle WebLogic Server 8.1 hasta SP6 * Oracle WebLogic Server 7.0 hasta SP7 * Oracle JRockit R28.0.0 y anteriores (JDK/JRE 5 y 6) * Oracle JRockit R27.6.6 y anteriores (JDK/JRE 1.4.2, 5 y 6) * Oracle Business Process Management, versiones 5.7.3, 6.0.5, 10.3.1, 10.3.2 * Oracle Enterprise Manager Grid Control 10g Release 5, versión 10.2.0.5 * Oracle Enterprise Manager Grid Control 10g Release 1, versión 10.1.0.6 * Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1 y 12.1.2 * Oracle E-Business Suite Release 11i, versiones 11.5.10, 11.5.10.2 * Oracle Transportation Manager, Versiones: 5.5.05.07, 5.5.06.00, 6.0.03 * PeopleSoft Enterprise Campus Solutions, versión 9.0 * PeopleSoft Enterprise CRM, versiones 9.0 y 9.1 * PeopleSoft Enterprise FSCM, versiones 8.9, 9.0 y 9.1 * PeopleSoft Enterprise HCM, versiones 8.9, 9.0 y 9.1 * PeopleSoft Enterprise PeopleTools, versiones 8.49 y 8.50 * Oracle Sun Product Suite Hay que recordar que desde la anterior actualización se incluyen los parches para el sistema operativo Solaris. Tras la compra de Sun por parte de Oracle, las actualizaciones de Sun pasan a integrarse dentro del calendario de publicaciones trimestrales. A continuación ofrecemos una relación de productos y el número de vulnerabilidades corregidas. Trece parches afectan a Oracle Database. Ocho de los problemas corregidos son explotables remotamente. Siente parches afectan a Oracle Fusion Middleware. Cinco de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: JRockit, WebLogicServer, Oracle Business Process Management, Wireless y Application Server Control. Un parche afecta a Oracle Enterprise Manager Grid Control. La vulnerabilidad podría ser explotada por un atacante remoto sin autenticar. El componente afectado es la consola. 17 parches afectan a Oracle Applications. 7 de ellas son para Oracle E-Business Suite, 2 para Oracle Supply Chain Products Suite y 8 a Oracle PeopleSoft and JDEdwards Suite. En total seis vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. 21 parches afectan a la suite de productos Oracle Sun. Siete de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Solaris, Sun Java System Web Proxy Server, Sun Convergence, Access Manager/OpenSSO, OpenSSO, Solaris Studio, Sun GlassFish Enterprise Server y Sun Java System Application Server. Para comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, es necesario comprobar la notificación oficial: Oracle Critical Patch Update Advisory - July 2010 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=229 Este martes Microsoft ha publicado cuatro boletines de seguridad (del MS10-042 al MS10-045) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que el restante es clasificado como "importantes". Los boletines "críticos" son: * MS10-042: Actualización para corregir una vulnerabilidad en Windows Help y Centro de Soporte de Windows XP y Windows Server 2003, que podría permitir la ejecución remota de código si un usuario visitaba una página web específicamente creada. * MS10-043: Se trata de una actualización de seguridad para evitar una vulnerabilidad en Canonical Display Driver (cdd.dll) que podrían permitir la ejecución remota de código. Afecta a Microsoft Windows Server 2008 y Windows 7. * MS10-044: Actualización para solucionar dos vulnerabilidades en Controles ActiveX de Microsoft Office Access, que podrían permitir la ejecución remota de código si un usuario abre un documento Office específicamente creado o visualiza una página web que tenga instancias a controles ActiveX Access. El boletín clasificado como "importante" es: * MS10-032: Actualización para corregir dos vulnerabilidades de elevación de privilegios a través de los controladores en modo kernel de Windows. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. * MS10-036: Actualización para corregir una vulnerabilidad en Microsoft Office Outlook que podría permitir la ejecución remota de código si un usuario abre con una versión de Outlook afectada un adjunto de un e-mail específicamente creado. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible. Resumen del boletín de seguridad de Microsoft de junio de 2010 http://www.microsoft.com/spain/technet/security/bulletin/ms10-jun.mspx Microsoft Security Bulletin MS10-042 - Critical Vulnerability in Help and Support Center Could Allow Remote Code Execution (2229593) http://www.microsoft.com/technet/security/Bulletin/MS10-042.mspx Microsoft Security Bulletin MS10-043 - Critical Vulnerability in Canonical Display Driver Could Allow Remote Code Execution (2032276) http://www.microsoft.com/technet/security/Bulletin/MS10-043.mspx Microsoft Security Bulletin MS10-044 - Critical Vulnerabilities in Microsoft Office Access ActiveX Controls Could Allow Remote Code Execution (982335) http://www.microsoft.com/technet/security/bulletin/MS10-044.mspx Microsoft Security Bulletin MS10-045 - Important Vulnerability in Microsoft Office Outlook Could Allow Remote Code Execution (978212) http://www.microsoft.com/technet/security/bulletin/ms10-045.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=230 Microsoft quiere deshacerse cuanto antes de ciertos lastres que le vienen persiguiendo desde sus inicios. Para ello, debe dejar de dar soporte a sus sistemas operativos más antiguos y centrarse en Vista, 7 y 2008, únicos desarrollados completamente bajo una perspectiva en la que prima la seguridad. Dados los resultados, sin duda es un acierto. Son sistemas operativos muy seguros y, en concreto con Windows 7, han conseguido incluso que resulten atractivos para el usuario medio. A partir del día 13, Microsoft solo soportará XP Service Pack 3 y todas las versiones de Vista, 2003 y 2008 y Windows 7, abandonando el último reducto de lo que representa una época eficaz para Microsoft, pero muy poco estimulante desde el punto de vista de la seguridad. Comienza una nueva página. Pero el hecho de dejar de publicar parches para 2000 y XP SP2 no hará que automáticamente, todos los usuarios migren a sistemas operativos más modernos de Microsoft. Solo hay que asomarse a las pantallas de los ordenadores de grandes almacenes, supermercados, etc. para comprobar que XP SP2 y Windows 2000 (este último especialmente) siguen más que vigentes. Si sus administradores no están atentos y dado el caso, intentan mitigar de alguna forma las vulnerabilidades que vayan apareciendo, pueden tener un serio problema de seguridad. Incluso, habrá fallos que no podrán ser parcheados ni mitigados de ninguna forma y, por tanto, estarán expuestos sin remedio a la vulnerabilidad de turno. Hoy en día no son pocas las empresas (y la mayoría de cajeros automáticos en España, por poner un ejemplo) que mantienen un NT. En la vida real, parece tener prioridad el hecho de funcionar y cumplir con su misión que permanecer seguro. Los Windows NT en activo, a pesar de carecer de parches desde hace unos seis años, parece que sobreviven sin grandes catástrofes que percibamos… entonces ¿por qué preocuparnos ahora del soporte de XP y 2000? Pensamos que la situación es diferente. Cuando NT dejó de tener soporte, ya era un sistema obsoleto frente a sus hermanos mayores. Había un fuerte aliciente para cambiar. Hoy en día, el cambio se hace más complejo puesto que XP SP2 (e incluso 2000) colma las expectativas para muchos. También hay que pensar en que cuando NT dejó de tener soporte, su cuota de mercado era ya menor que la que hoy mantienen XP y 2000 juntos. Existen "ahí fuera" muchos más de los que podamos pensar. Por ejemplo Softchoice dice que el 77% de las empresas mantiene XP SP2 en un 10% de sus máquinas. Por otro lado, la situación actual del malware, crimen organizado y espionaje, unido a la interdependencia que se ha desarrollado en torno a la información y la Red, hacen muy peligroso para las empresas no mantener sus sistemas perfectamente a punto. Son muchos los secretos que guardar y demasiadas las rendijas que tapar. Si además algunas no pueden ser eliminadas, el esfuerzo para estar seguros debe redoblarse. Todo está "demasiado" interconectado y además dependemos de esa interconexión... esto nos vuelve también más vulnerables. Se abre una nueva etapa de incertidumbre para estas compañías que no podrán parchear, puesto que tarde o temprano la situación se hará insostenible y tendrá que migrar a otro sistema operativo para continuar funcionando o aislarlos a un entorno sin conexión. La situación será crítica sobre todo, cuando aparezca un grave fallo de seguridad en Internet Explorer, por ejemplo, o una vulnerabilidad aprovechable por un gusano… Los usuarios de XP pueden migrar a SP3 sin que suponga un cambio radical, y tendrán soporte hasta 2014... pero el cambio de Windows 2000 a cualquier sucesor dentro de Windows puede resultar en un importante trauma que se traduzca en costes disparatados. Según el entorno, el paso a otros sistemas operativos puede, simplemente, no estar contemplado. En todo caso, incluso con todos los problemas que puede acarrear el abandono de estas versiones, se supone que así Microsoft se centrará en la mejora de sus Windows más recientes de forma mucho más eficaz. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=223 Se ha descubierto una vulnerabilidad en el reproductor de archivos multimedia VLC 1.0.5 que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario. VLC Media Player es un completo reproductor multimedia que soporta un gran número de formatos, como pueden ser: MP3, MPEG, DIVX, VCD o DVD entre otros, así como varios protocolos de streaming. Además está disponible para un amplio número de plataformas distintas como Windows, Mac OS X y para varias distribuciones de Linux. VLC también puede ser utilizado como servidor en unicast o multicast, en IPv4 o IPv6, para una red de banda ancha y tiene disponible un plug-in para Firefox que permite ver algunos archivos Quicktime y Windows Media desde páginas web sin necesidad de utilizar los reproductores de Apple o Microsoft. El problema reside en un desbordamiento de búfer en el tratamiento de URLs ftp:// con archivos M3U específicamente creadas. Esto puede ser explotado por atacantes remotos para lograr la ejecución de código y comprometer los sistemas afectados. Se ve afectada la versión 1.0.5, la versión 1.1.0 no está afectada. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=231 Se ha anunciado la existencia de dos vulnerabilidades en los dispositivos Cisco Content Services Switches 11500, que pueden ser explotadas por un usuario malicioso para provocar una denegación de servicio o evitar restricciones de seguridad. La vulnerabilidad de denegación de servicio (explotable remotamente) reside en el tratamiento de cabeceras HTTP con saltos de línea especialmente manipulados. Otro problema permitiría saltar restricciones de seguridad mediante el uso de cabeceras HTTP especialmente manipuladas con el parámetro "ClientCert". Hasta el momento no se ha publicado ninguna actualización para corregir estos problemas. Para mitigar el riesgo de las cabeceras con "ClientCert" se recomienda el uso del siguiente comando: ssl-server http-header prefix "" http://www.servi-tec.com.ar/informes_ver_uno.php?ba=232 Se ha anunciado una vulnerabilidad en el kernel de Microsoft Windows (Vista y Server 2008), que podría permitir a un atacante local provocar una denegación de servicio o elevar sus prvilegios en el sistema. El problema reside en un fallo al usar un puntero después de ser liberado en el kernel de Windows. El error se produce en llamadas a la función del kernel "LockProcessByClientId()" a través de "NtUserCheckAccessForIntegrityLevel()". Un atacante local podría aprovechar esta vulnerabilidad para provocar una denegación de servicio y, potencialmente, elevar sus privilegios en el sistema. Por el momento, Microsoft no ha publicado ninguna actualización para solucionar este problema. MSRC-001: Windows Vista/Server 2008 NtUserCheckAccessForIntegrityLevel Use-after-free Vulnerability http://seclists.org/fulldisclosure/2010/Jul/3 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=233 A principios de esta década, se solía acusar a los usuarios que quedaban infectados por algún tipo de malware de navegar por páginas "de dudosa reputación". Esto incluía páginas pornográficas, cracks, warez, etc. Pero los tiempos han cambiado, y esta relación malware-pornografía ha pasado a ser un mito más que revisar. El peligro hoy, de hecho, está en cualquier página. Dialers, codecs, vídeos camuflados como ejecutables… todo tipo de trucos eran válidos a principios de esta década para que los usuarios que buscaban sexo en la red quedaran infectados. Hoy se siguen usando, pero los métodos de infección preferidos por el malware de entonces eran sobre todo el correo (tanto en forma de adjuntos como explotando las numerosas vulnerabilidades en Outlook), el acceso directo a puertos (gusanos) y las páginas web "de dudosa reputación". Con estos métodos, cubrían sus necesidades de infección por aquel entonces. Pero apareció en 2004 el Service Pack 2 de Windows XP, que activaba por defecto el cortafuegos y se popularizaron los routers, con lo que los gusanos vieron amenazada su popularidad. Por otro lado, Outlook y Windows mejoraron su seguridad, los administradores comenzaron a filtrar el correo con adjuntos sospechosos… ¿Qué les quedaba? Eludir todos estos mecanismos y colarse a través de otros métodos. Emergía la llamada web 2.0 y "la nube", que no es más que el traslado de todos los servicios desde el escritorio a la red; y por tanto el acceso a ellos a través del navegador… así que atacaron por esta vía. Hoy, el malware se distribuye en gran medida a través del navegador. El retraso de Microsoft con Internet Explorer (cinco años entre su versión 6 y 7) facilitó el proceso: los atacantes querían aprovechar esas vulnerabilidades y ejecutar malware con solo visitar una web. Para ello, necesitan "crear" webs que infecten. Ya no eran suficientes las páginas pornográficas o de warez y se han lanzado a contaminar todo tipo de contenido. Y esto es lo que confirman dos estudios recientes. International Secure System Lab investigó 269.000 sitios pornográficos a principios de junio. El 96% estaba limpio. Evidentemente, muchos usaban técnicas muy "agresivas" para redirigir al usuario a páginas de pago, evitar que abandonase la página, etc. pero apenas un 4% trataba de infectar directa o indirectamente al visitante. Avast Software, por otro lado, acaba de publicar un informe cuya conclusión es clara: "por cada página de adultos infectada que hemos identificado, existen otras 99 con cualquier otro contenido que también están infectadas" e intentan ejecutar código en el visitante. Ambos estudios concluyen que el peligro no está ya tanto en las páginas para adultos, sino en todas. No es que sea seguro visitar páginas con contenido sexual, es que hoy en día resulta tan inseguro visitar el periódico online como una página de contactos. Otro estudio de Websense apoya esta teoría: el 71% de las páginas infectadas con código malicioso son páginas legítimas comprometidas. Además, el 95% de los posts generados en blogs y similares son spam o redirigen a páginas que intentan infectar al visitante. Las razones para este abandono de la pornografía como fuente de malware pueden ser varias. Aunque el sexo siempre resulta un poderoso reclamo en la Red, apostamos una vez más por una simple cuestión económica y de mercado. El rango de víctimas potenciales que se puede conseguir alojando malware en páginas de cualquier tipo (preferiblemente populares) será siempre superior al obtenido si se centran en páginas web para adultos. Por tanto, pensamos que los atacantes no realizan ningún tipo de distinción por contenido, y sí más bien por el esfuerzo necesario para contaminar esas webs legítimas. Y en ese caso, la pornografía es veterana en la Red, donde la competencia es dura y su negocio se basa en una web "sólida", sin fallos de seguridad (lo que significa más esfuerzo para ser infectada por un atacante), y que dé confianza a un potencial suscriptor (por lo que no hay motivo para infectar conscientemente y perder reputación). Por tanto, la inversión en seguridad y conocimiento del medio de la industria pornográfica puede ser incluso mayor que la de otras entidades que mantienen online apenas una réplica "secundaria" del mundo real, y su negocio no depende exclusivamente de Internet. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=234 Adobe ha publicado una actualización para corregir 17 vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante ejecutar código con los permisos con los que se lance la aplicación afectada. Las versiones afectadas son Adobe Reader 9.3.2 (y anteriores) para Windows, Macintosh y UNIX, Adobe Acrobat 9.3.2 (y anteriores) para Windows y Macintosh; y Adobe Reader 8.2.2 (y anteriores) y Adobe Acrobat 8.2.2 (y anteriores) para Windows y Macintosh. Las vulnerabilidades anunciadas residen en 17 problemas diferentes de corrupción de memoria, tratamiento de punteros o indexado de matrices que pueden dar lugar a ejecución de código arbitrario. Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/ Más información: Security updates available for Adobe Reader and Acrobat http://www.servi-tec.com.ar/informes_ver_uno.php?ba=235 Se ha descubierto una vulnerabilidad en MySQL que podría ser utilizada por un atacante para provocar una denegación de servicio. MySQL es un sistema de gestión de base de datos relacional, multihilo y multiusuario que se desarrolla como software libre y cuenta con millones de implantaciones en todo el mundo. El problema reside en el tratamiento de determinados comandos "ALTER DATABASE". Un atacante con permisos "ALTER" podría alterar el nombre del directorio usando caracteres especiales y provocar que el directorio de sistema se usase como directorio de la base de datos. Esto volvería todo el sistema inusable. Se ven afectadas las versiones de MySQL anteriores a la 5.1.48, a la 5.5.5 y a la 6.0.14. Se recomienda actualizar a MySQL versiones 5.1.48, 5.5.5 o 6.0.14, disponible para descarga desde: http://dev.mysql.com/downloads/ http://www.servi-tec.com.ar/informes_ver_uno.php?ba=218 Google ha publicado (por segunda vez en este mes) una actualización de su navegador Chrome para Linux, Mac y Windows. Esta nueva versión está destinada a corregir cinco vulnerabilidades que podrían permitir a un atacante realizar ataques de cross-site scripting, de denegación de servicio y otras implicaciones de las que no se han facilitado detalles. Además, esta es la primera versión que integra Flash y está activo por defecto. El primer problema reside en que se pueden utilizar las respuestas de "application/json" para construir ataques de cross-site scripting. Del resto de problemas no se han facilitado detalles, dos están relacionados con el tratamiento de vídeo, otro con los subrecursos que se muestran en la carga de omnibox y un último con el tratamiento de punteros en respuestas x509-user-cert. Para evitar estos problemas, Google ha publicado la versión Chrome 5.0.375.86 para sistemas Linux, Mac y Windows. Esta actualización se instalará de forma automática en las últimas versiones del navegador. También está disponible para descarga desde http://www.google.com/chrome Stable Channel Update http://googlechromereleases.blogspot.com/2010/06/stable-channel-update_24.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=219 La Fundación Mozilla ha publicado ocho boletines de seguridad (del MFSA2010-26 al MFSA2010-33) para solucionar diversas vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey). Según la propia clasificación de Mozilla cinco de los boletines presentan un nivel de gravedad "crítico", dos son "moderados" y un último considerado bajo. Los boletines publicados son: * MFSA2010-26: En este boletín crítico se cubren múltiples fallos de en el motor del navegador de Firefox, Thunderbird y SeaMonkey que podrían llegar a permitir la ejecución remota de código arbitrario. * MFSA2010-27: Boletín crítico que afecta a Firefox y SeaMonkey, relacionado con el acceso a punteros de determinados tipo de de menús previamente liberados; lo que podría llegar a permitir la ejecución remota de código arbitrario. * MFSA2010-28: Otro problema crítico relacionado con la reutilización de objetos liberados a través de instancias de plugins. * MFSA2010-29: Boletín considerado de impacto crítico en Firefox, Thunderbird y SeaMonkey, en el que se refiere a una vulnerabilidad de desbordamiento de entero en determinados tipos de nodos DOM. * MFSA2010-30: En este se trata un problema crítico en Firefox, Thunderbird y SeaMonkey, relacionado con un desbordamiento de entero en la rutina de clasificación de nodos XSLT. * MFSA2010-31: Boletín considerado moderado que afecta a Firefox y SeaMonkey, en el que se trata un problema en "focus()" que podría emplearse para obtener o inyectar pulsaciones del teclado. * MFSA2010-32: Otro boletín de carácter moderado en el que se soluciona una vulnerabilidad de cross-site scripting en Firefox y SeaMonkey. * MFSA2010-33: El último boletín, considerado de gravedad baja, hace relación a un problema en Math.random(), que podría permitir realizar ingeniería inversa del valor empleado como semilla. Se han publicado las versiones 3.6.4 y 3.5.10 del navegador Firefox, la versión 3.0.5 de Thunderbird y la 2.0.5 de SeaMonkey. que corrige todas estas vulnerabilidades, disponibles desde: http://www.mozilla-europe.org/es/firefox/ http://www.mozillamessaging.com/es-ES/thunderbird/ http://www.seamonkey-project.org/ http://www.servi-tec.com.ar/informes_ver_uno.php?ba=220 En septiembre de 2009 Apple introdujo en su Mac OS X 10.6 un rudimentario antivirus integrado capaz de detectar la descarga de dos troyanos específicos para su sistema operativo. Con la actualización 10.6.4, además de corregir bugs, vulnerabilidades, etc., parece que ha añadido una tercera firma y ahora también reconoce un troyano llamado HellRTS. Snow Leopard incluyó un rudimentario sistema "antivirus" en septiembre de 2009. Tan rudimentario que solo reconoce dos familias de malware que suele atacar al sistema operativo de Apple y solo comprueba las descargas por Safari. No limpia el sistema ni analiza el disco duro, ni nada parecido: solo aconseja de la peligrosidad del archivo. En concreto, detectaba iServices y RSPlug.A. Con la nueva actualización, también HellRTS, añadiendo así una nueva firma diez meses después. HellRTS es un malware que se suele disfrazar bajo la apariencia de iPhoto, y que abre una puerta trasera para la ejecución de código por parte de un atacante. El troyano es conocido desde al menos, abril. La inclusión de este "antivirus" es un movimiento que causó cierta sorna en la industria. Escribíamos entonces: "Realmente es un gesto que debe valorarse positivamente, pero de poca utilidad real. Apple ha realizado por fin un movimiento claro en contra del malware que ataca a su sistema operativo, y aunque resulte un gesto infantil, casi ingenuo, puede marcar una nueva forma de afrontar la seguridad en Mac OS X a largo plazo, al asumir por fin el malware como uno de los potenciales frentes que debe combatir. El gesto tiene poca utilidad real porque resulta trivial eludir esa mínima protección, pero "algo es algo"." Después de este tiempo, parece que sus pasos hacia el control del malware no son precisamente rápidos ni decididos. El hecho de que diez meses después haya incluido una sola firma en su base de datos, y de que mantenga el secretismo, puede tener varias lecturas. Cabe destacar que lo ha hecho sin anuncio oficial. Apple siempre se ha caracterizado por su "ocultismo" a la hora de hablar de seguridad. Con respecto al malware, no se ha preocupado de desmentir la históricamente irresponsable publicidad que habla de su sistema operativo como "libre de virus" o peor aún "invulnerable". Muchos han alimentado esta mentira y Apple, por supuesto, se ha beneficiado de la falsa creencia. Todavía muchos usuarios piensan que Mac "no puede" alojar malware. Reconocer que su base de datos de malware es actualizada... ¿podría influir en su imagen? En cualquier caso, mantener a sus usuarios en una falsa nube de seguridad, un mundo ficticio donde no existe el malware, no nos parece la política adecuada. Mac OS X, lejos de ser objetivo preferente de la industria del malware, puede contener código malicioso como cualquier sistema operativo. Luchar contra él sólo con firmas, es una aproximación muy limitada. La verdadera prevención estaría quizás en la educación del usuario: eliminando la falsa sensación de seguridad y haciéndole entender sin alarmismos que debe seguir unos mínimos hábitos para evitar infecciones, independientemente de fanatismos o preferencias de uso. Es probable que así se consiguieran mejores resultados... pero parece que Apple no quiere renunciar así a la imagen "libre de virus" que se ha forjado durante años. A finales de 2008 se extendió el rumor de que Apple, por primera vez, animaba abiertamente a sus clientes a usar un antivirus. El contenido era cierto, pero no la fecha: Apple lo hizo por primera vez en 2002, de forma muy "sutil". En 2007 publicó una nota oficial en la que animaba abiertamente al uso de antivirus; en 2008 alguien pensó que el artículo era nuevo y el asunto tomó cierta relevancia mediática. Poco después Apple eliminó el artículo de su web. En cualquier caso, quizás añadir una sola firma en diez meses, podría incluso venderse como una "buena" noticia, síntoma de que los atacantes no se centran en este sistema operativo para crear malware. El problema es que esto no significa que no se haya creado malware para Mac desde hace diez meses. Nunca es comparable con la producción para Windows, pero desde luego, en este tiempo se ha creado más de un nuevo troyano para Mac. Sí es cierto que desde hace meses, no aparece ningún malware "mediático". http://www.computerworlduk.com/management/security/cybercrime/news/index.cfm?newsid=20776 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=221 Se ha reportado una vulnerabilidad en IBM WebSphere Application Server que podría permitir a un atacante remoto leer o visualizar el contenido de archivos arbitrarios en el sistema afectado. IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris. Afecta a IBM WebSphere Application Server versiones 7.0 a 7.0.0.12, Feature Pack para Web Services versiones 6.1.0.9 a 6.1.0.32, y Feature Pack para Web 2.0 versión 1.0.1.0. Un atacante remoto podrá introducir un mensaje XML específicamente creado, para aprovechar un error en Apache Axis2 que permitirá visualizar el contenido de archivos arbitrarios del sistema. Se ven afectados los sistemas con el parámetro disableREST (en axis2.xml) establecido como falso. IBM ha publicado diferentes actualizaciones para corregir esta vulnerabilidad, se recomienda consultar el aviso de seguridad publicado para acceder a los diferentes parches en función de la versión afectada. Potential security exposure with IBM WebSphere Application Server with JAX-WS or JAX-RS (PM14844, PM14847, PM14765) http://www-01.ibm.com/support/docview.wss?uid=swg21433581 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=222 Se ha anunciado una vulnerabilidad en Novell NetWare (versiones 6.5 SP8 y anteriores), que podría permitir a un atacante remoto lograr el compromiso de los sistemas afectados. El problema reside en un desbordamiento de búfer en el controlador "CIFS.NLM" cuando procesa paquetes SMB "Sessions Setup AndX" que contengan un campo "AccountName" con un tamaño excesivamente largo. Un atacante remoto podría aprovechar este problema para ejecutar código arbitrario con privilegios elevados y comprometer los sistemas vulnerables. Se recomienda instalar la actualización: http://download.novell.com/Download?buildid=tMWCI1cdI7s~ Netware SMB Remote Stack Overflow (SS-2010-006) http://www.stratsec.net/Research/Advisories/SS-2010-006-Netware-SMB-Remote-Stack-Overflow http://www.servi-tec.com.ar/informes_ver_uno.php?ba=211 Se han identificado hasta 40 vulnerabilidades en Apple iTunes (versiones anteriores a la 9.2), que pueden permitir a un atacante remoto obtener información sensible, evitar restricciones de seguridad o comprometer los sistemas afectados. El primero de los problemas está provocado por un desbordamiento de búfer basado en heap relacionado con el tratamiento de imágenes con un perfil ColorSync. Un atacante podría explotar ésta vulnerabilidad para ejecutar código arbitrario. Una segunda vulnerabilidad se debe a un desbordamiento de entero en el tratamiento de archivos TIFF. Igualmente, un atacante podría explotar ésta vulnerabilidad para ejecutar código arbitrario. Por último, también se han detectado hasta 38 vulnerabilidades de diversa índole relacionadas con WebKit. Apple recomienda actualizar a Apple iTunes versión 9.2 disponible desde: http://www.apple.com/itunes/download/ About the security content of iTunes 9.2 http://support.apple.com/kb/HT4220 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=212 Microsoft ha vuelto a poner la excusa de la "incompatibilidad" para dejar sin un parche de seguridad a un producto al que todavía da "soporte extendido". En este caso se trata de Office XP. La suite ofimática aparecida en 2001, se ha quedado sin el parche MS10-036, que corrige una vulnerabilidad que permite la ejecución de código. La razón oficial: incompatibilidad. La razón probable: el negocio. No es la primera vez que realiza este movimiento. El soporte extendido Microsoft, dentro de su política de "vida" de sus productos, entiende como soporte extendido a los cinco años siguientes al soporte "mainstream" o principal. Esto quiere decir que en la mayoría de sus productos, el ciclo de vida llega hasta unos 10 años tras su lanzamiento. Después del soporte "mainstream", durante el que Microsoft se compromete a mantener activamente el producto, incluyendo cambios si es necesario, hotfixes, parches, etc, comienza el periodo extendido. En éste, Microsoft se compromete en su política a dar soporte de seguridad sin coste adicional al producto. Office XP Service Pack 3, aparecido el 9 de marzo de 2004 (y única versión de Office XP soportada) está en su periodo de soporte extendido hasta el 12 de julio de 2011, durante el que, según la propia política de Microsoft, debería obtener parches de seguridad. MS10-036 MS10-036 es el parche aparecido el 8 de junio de 2010 que corrige una única vulnerabilidad en el proceso de validación de objetos COM que permite le ejecución de código. Office 2003 y 2007 también son vulnerables y han sido parcheados. Office XP, no. Según Microsoft: "La arquitectura para soportar adecuadamente la solución para corregir la validación no existe en Microsoft Office XP, lo que hace inviable crear soluciones que eliminen la vulnerabilidad. Para hacerlo, habría que reconstruir una buena parte del producto Microsoft Office XP, no solo el componente afectado. El resultado de ese esfuerzo de reconstrucción podría introducir incompatibilidad con otras aplicaciones…[]" Y recomienda al usuario de Office XP que deshabilite el componente afectado. Esto no soluciona realmente el problema, por tanto, el producto quedará vulnerable y virtualmente "muerto" desde el punto de vista de la seguridad. Los usuarios que quieran seguir razonablemente seguros se verán forzados a actualizar, como mínimo, a Office 2003. Esto, en última instancia, es el objetivo de Microsoft. Hoy en día, los requerimientos de hardware no son el motor de las actualizaciones de los sistemas operativos. "Antiguamente", aprovechar las capacidades de los nuevos procesadores era una excusa suficiente para querer actualizarlos. Tampoco la estabilidad o prestaciones son hoy la motivación del cambio: tanto Office XP como Windows XP son productos ya maduros, y muchos usuarios no ven ventajas claras en saltar a Vista, Office 2007, etc. Por tanto, Microsoft parece usar la falta de seguridad para "acelerar" el cambio y deshacerse de productos que considera obsoletos y que le consume muchos recursos mantener. Ya lo hizo con Windows 2000 y NT Esta misma excusa fue puesta ya en al menos dos ocasiones anteriores, cuando no se desarrollaron parches de seguridad para ciertos productos. Todos cerca del final de su vida útil pero dentro de su periodo extendido de soporte. El 9 de septiembre de 2009, Microsoft no parcheó un grave problema de diseño de las pilas TCP en Windows 2000 por la misma razón de "incompatibilidad". Recomendaba usar un cortafuegos. En este caso, el boletín corregía tres vulnerabilidades: dos permitían la denegación de servicio y una ejecución de código (MS09-048). El final de la vida de Windows 2000 será el 13 de julio de 2010. El 27 de marzo de 2003 Microsoft publica un boletín (MS03-010) de seguridad para advertir de una vulnerabilidad en el servicio RCP Endpoint Mapper que podía ser aprovechada para provocar una denegación de servicio en Windows NT 4.0, 2000 y XP. Todos reciben parches menos NT. Windows NT 4.0 Workstation dejó de recibir soporte poco después, el 30 de junio de 2004, y Server el último día de ese mismo año. Por tanto, parece que es un movimiento "reincidente" en Microsoft el no parchear software que está a punto de ser retirado, quizás con la esperanza de acelerar la actualización por parte de sus clientes. Además, no nos convence la versión "oficial" por el simple hecho de que estas vulnerabilidades podrían haber aparecido mucho antes. Se supone que han estado siempre ahí excepto que hayan sido introducidas con nuevas funcionalidades, cosa poco probable puesto que Office XP no contiene nuevas funcionalidades desde hace muchos años. Que aparezcan hoy o hace un año es completamente arbitrario. En el caso de que hubieran sido detectadas, por ejemplo, poco antes de la salida del producto o mucho antes de acercarse su final de ciclo... ¿Hubiesen quedado igualmente sin parchear? ¿Es realmente la supuesta complejidad de creación de los parches, el motivo para no publicarlos? http://www.servi-tec.com.ar/informes_ver_uno.php?ba=213 El propio equipo de respuesta a incidentes de seguridad de Adobe ha advertido de que Apple ha incluido una versión vulnerable de Flash Player en la última actualización para su sistema operativo. Apple cometió el mismo error en septiembre de 2009. Apple ha publicado una actualización de seguridad (2010-004) para Mac OS X v10.6.4 que corrige 28 vulnerabilidades. En ella, se incluye una actualización de Flash Player que en realidad, sigue siendo vulnerable. Apple incluye en su mega-parche la versión de Flash Player 10.0.45.2, que a su vez contiene 32 fallos de seguridad que fueron corregidos en la actual versión 10.1.53.64. Esta última fue hecha pública el día 10 de junio y por tanto, se supone que Apple ha tenido tiempo suficiente de incluirla en sus parches de seguridad. Al menos, parece que en esta ocasión el parche no "desactualiza" al usuario, como ocurrió en septiembre de 2009. En aquella ocasión, se instalaba una versión antigua y vulnerable de Adobe Flash Player incluso si el usuario ya poseía la última. Al actualizar el sistema operativo, quedaba otra vez vulnerable con una versión que contenía fallos de seguridad conocidos. En cualquier caso, Adobe recomienda que, después de actualizar el Mac OS X, se visite http://www.adobe.com/go/getflashplayer para comprobar que efectivamente se mantiene la última versión (si es que se tenía ya instalada) y si no, reemplazar la vulnerable. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=214 Wireshark.org ha publicado las versiones 1.0.14 y 1.2.9 de Wireshark destinadas a corregir diversas vulnerabilidades de desbordamiento de búfer y de denegación de servicio. Wireshark (aún conocido como Ethereal, su nombre anterior) es una aplicación de auditoría orientada al análisis de tráfico en redes. Su popularidad es muy elevada, puesto que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark es software libre (sujeto a licencia GPL) y se ejecuta sobre la mayoría de sistemas operativos Unix y compatibles, así como en Microsoft Windows. Las nuevas versiones corrigen cinco problemas de seguridad, tres de ellos asociados a los disectores SMB, ASN.1 VER y SMB PIPE. Otras dos vulnerabilidades están relacionadas con errores en la maquina virtual del descompresor SigComp. Las nuevas versiones pueden descargarse desde: http://www.wireshark.org/download.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=215 Se ha descubierto que UnrealIRCd, un popular servidor de IRC, estaba troyanizado y disponible desde la página oficial al menos desde noviembre. Los atacantes reemplazaron el código fuente de la versión para sistemas Unix/Linux, y la modificación ha pasado inadvertida durante unos 8 meses. A raíz del incidente, han comenzado a firmar su código. ¿Qué errores han cometido? UnrealIRCd es un popular servidor IRC para Linux y Windows. Los responsables del programa (en una entrada en su web que comienza con la frase "Esto es embarazoso...") han hecho público que la versión disponible para descarga desde noviembre de 2009 contiene una puerta trasera, y permite a un atacante ejecutar código arbitrario (con los mismos privilegios con los que se ejecute el programa) en el servidor donde se instale. La única versión que ha sido reemplazada en los servidores oficiales ha sido el código fuente para Unix/Linux (Unreal3.2.8.1.tar.gz) y no las versiones ya compiladas para Windows. El problema ahora lo tienen los administradores que se hayan visto afectados (que han compilado e instalado la versión con la puerta trasera). Realmente, los servidores que han ejecutado esta versión (aunque sea durante poco tiempo), no pueden ser ya confiables, puesto que el atacante ha podido obtener información de todo tipo. Es de esperar que pocos administradores ejecutasen el servidor IRC como root, lo que limitaría los poderes de los atacantes. Aun así, esto no evita que en este tiempo, no hayan conseguido robar información accesible por el usuario bajo el que corre el servidor IRC, o escalar privilegios aprovechando cualquier vulnerabilidad en el kernel. Se trata de un hecho relevante que, efectivamente, resulta embarazoso para los desarrolladores del programa. Lo tomamos como excusa para repasar lo que pueden ser algunos malos hábitos adquiridos tanto por parte de los programadores como de los usuarios. Hashes para comprobar la integridad UnrealIRCd se había tomado la molestia de publicar los hashes de los archivos para que los usuarios pudieran comprobar que realmente se descargaban el fichero "oficial". Esta medida ha resultado poco efectiva por varias razones. * Según podemos comprobar por la caché de Google, a fecha de 22 de mayo, al parecer los atacantes también habían modificado el hash MD5 de la página oficial de descarga. Esto quiere decir que los usuarios que descargaran la fuente y comprobasen el hash con la página oficial, no notarían nada raro. Este es uno de los puntos débiles de esta medida de seguridad: si un atacante consigue comprometer un servidor como para sustituir un archivo, si es cuidadoso, debería sustituir también el hash en la misma página. Esta medida es útil sin embargo, cuando existen numerosos servidores desde donde descargar el archivo (y los usuarios se toman la molestia de comprobarlo en diferentes servidores). * En los foros oficiales de UnrealIRCd (forums.unrealircd.com), sin embargo, el hash publicado desde hace meses era el correcto. Por tanto, cualquier usuario que efectivamente hubiese comparado los hashes, lo debería haber notado. * Como detalle menor, a fecha de 22 de mayo, UnrealIRCd solo publicaban el hash MD5. No es ningún secreto que MD5 está "roto" y que es mucho más seguro utilizar (como parece que ya hacen) SHA. Auditorías A pesar de ser un programa veterano (desde 1999), un cambio en los archivos fuente de ciertos servidores ha pasado desapercibido durante unos 8 meses. Es uno de los periodos más largos que podemos recordar en los que un programa troyanizado ha pasado inadvertido. Los desarrolladores deberían haber realizado una mínima auditoría del estado de sus servidores y archivos. No se tiene información de cómo han conseguido entrar en los servidores. Creemos que es irrelevante que la puerta trasera fuese "visible" en el código fuente descargado. Esto no ha "acelerado" su detección. Aunque ha sido compilado por (probablemente miles de) administradores, nadie ha detectado el problema (o nadie ha avisado). Esto es lógico en proyectos de cierta envergadura: simplemente, es muy poco probable que un usuario ocasional detecte algo "raro" en un código ajeno de miles de líneas. Mantenerlo a punto es responsabilidad de los desarrolladores principales, no de las personas que lo descargan. Criptografía Como hemos dicho, usar un hash para comprobar la integridad es útil en algunas ocasiones, pero es una medida limitada. Los programadores de UnrealIRCd han necesitado pasar este mal trago para darse cuenta de que deben firmar criptográficamente los ficheros. Acaban de anunciar una clave pública GPG con la que, a partir de ahora, firmarán sus archivos. Solo queda que los usuarios que descarguen su programa, comprueben la firma. Aprendiendo la lección Varios desarrolladores importantes han "sufrido" recientemente el problema de hacer público software troyanizado (aunque ninguno durante tanto tiempo). A Mozilla le ocurrió en febrero de 2010 y a mediados de 2008. En marzo de 2007, la versión de Wordpress fue troyanizada igualmente. Tampoco firmaban digitalmente sus archivos (y siguen sin hacerlo). En 2002, las versiones 3.4 y 3.2 de OpenSSH fueron troyanizadas desde ftp.openssh.com y ftp.openbsd.org. Poco después, el servidor HTTP de Tcpdump, fue comprometido (el 11 de noviembre de 2002), y su descarga no fue deshabilitada hasta el día 13. El código troyanizado ignoraba el tráfico del puerto 1963, desde donde un atacante podría controlar la máquina en la que se ejecutase. Aproximadamente el 28 de septiembre de 2002 comprometieron ftp.sendmail.org (el servidor de correo más usado del mundo). No fue hasta el 6 de octubre de ese año que se deshabilitó la descarga del programa envenenado. Al menos, los responsables de UnrealIRCd parece que han aprendido la lección. Según el aviso oficial "Simplemente no lo notamos, deberíamos haberlo hecho; No comprobamos los ficheros en los servidores de forma regular. Deberíamos haberlo hecho; No firmamos los archivos con PGG/GPG, deberíamos haberlo hecho". El archivo troyanizado es Unreal3.2.8.1.tar.gz, con hash md5 752e46f2d873c1679fa99de3f52a274d. La versión oficial, sin embargo, debería devolver el hash 7b741e94e867c0a7370553fd01506c66. Al parecer solo algunos servidores de descarga fueron comprometidos, y no los repositorios de código fuente. Aparte del hash, para saber si se está corriendo una versión con esta puerta trasera, se puede hacer un: grep DEBUG3_DOLOG_SYSTEM include/struct.h en el directorio del programa. Si devuelve dos líneas, está troyanizado. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=216 El pasado día 10, Adobe publicó una nueva versión de Flash Player que corrige 32 fallos de seguridad. Entre ellos, un problema conocido y público, que permite la ejecución de código arbitrario y que también contiene Adobe Reader 9.x. Sin embargo, para este programa no ha solucionado aún el fallo. La versión corregida por adobe es la 10.0.45.2, y la nueva que los soluciona, la 10.0.45.2. Para comprobar la versión que se tiene instalada, se puede visitar la página http://www.adobe.com/software/flash/about/. Es importante recordar que si se dispone de varios navegadores en el sistema, hay que actualizar Flash para todos ellos por separado desde http://www.adobe.com/go/getflash. Como cabe esperar, entre las 32 vulnerabilidades se encuentran problemas de todo tipo, desde ejecución de código hasta denegaciones de servicio. Adobe no iba a publicar ninguna actualización hasta el 13 de julio, pero, dada la gravedad de uno de los fallos, se ha visto obligada a adelantar esta nueva versión. En concreto, se trata de CVE-2010-1297, que permite la ejecución de código y que ha sido incluido en Metasploit. Adobe Reader es también vulnerable, pero el fabricante ha decidido en este caso que, aunque no esperará al 13 de julio para solucionar el problema, no tendrá listo el parche hasta el 29 de junio. Security update available for Adobe Flash Player http://www.adobe.com/support/security/bulletins/apsb10-14.html Security Advisory for Flash Player, Adobe Reader and Acrobat http://www.adobe.com/support/security/advisories/apsa10-01.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=217 Dentro del conjunto de boletines de seguridad de diciembre publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-035) de una actualización acumulativa para Internet Explorer 5.01, 6, 7 y 8; que además solventa seis nuevas vulnerabilidades. Dos de los problemas pueden permitir a un atacante obtener datos del sistema a través de una pagina web especialmente manipulada. El primero a través de un error de comprobación de permisos en el uso del protocolo "file:" y un segundo problema se presenta en la API "toStaticHTML". Las otras cuatro vulnerabilidades corregidas residen en errores de desbordamiento de memoria al acceder a objetos no inicializados o borrados en Internet Explorer. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada. Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad: http://www.microsoft.com/spain/technet/security/bulletin/ms10-035.mspx Boletín de seguridad de Microsoft MS10-035 - Crítico Actualización de seguridad acumulativa para Internet Explorer (982381) http://www.microsoft.com/spain/technet/security/bulletin/ms10-035.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=207 Tavis Ormandy ha publicado, en la lista de Full Disclosure, los detalles y prueba de concepto de una vulnerabilidad sin parche que permite ejecutar comandos arbitrarios a través de una URL. El fallo descubierto se halla en Microsoft Windows Help Centre, la aplicación para acceder a la documentación de ayuda. Dicha aplicación registra un manejador de protocolo con el esquema "hcp://" para acceder a la documentación a través de URLs. Cuando se accede a través de una URL a la documentación, el manejador del nombrado esquema "hcp", añade el parámetro de línea de comandos "/fromhcp" para indicarle a la aplicación del centro de ayuda que el recurso ha sido solicitado desde una URL; restringiendo el uso de parámetros y permitiendo sólo un conjunto de documentos que se encuentran en una lista blanca. Ormandy ha encontrado un método para evadir esta lista blanca, basado en un error en la implementación de la función que comprueba las URL. El fallo reside en la función "MPC::HTML::UrlUnescapeW", usada para la normalización y filtrado de la URL antes de ser validada. Dicha función usa a su vez la función "MPC::HexToNum" para convertir los caracteres escapados (p.ej %20 al valor de espacio en blanco) a su correspondiente valor numérico. Sin entrar en detalles técnicos, básicamente, la función "MPC::HTML::UrlUnescapeW" omite el chequeo del valor de retorno de "MPC::HexToNum", permitiendo envenenar la cadena final y evadir la restricción de lista blanca. Para proseguir con la explotación Ormandy necesitaba una página de la documentación que cumpliese con varias condiciones, poder ser invocado directamente desde una URL y con un fallo de cross-site scripting que le permitiese incluir una cadena manipulada. Pudo localizar la página de documentación e identificar el XSS, pero curiosamente no pudo explotarlo (Ormandy no es especialista en Web). Así que tuvo que echar mano de su compañero en Google y experto en seguridad web y navegadores Michal Zalewski, muy nombrado últimamente por su escáner de seguridad web Skipfish. Con la ayuda de Zalewski y de una propiedad exclusiva de Internet Explorer el XSS pudo ser explotado. En ese momento se disponía de un método para evadir la lista blanca, una página de documentación de ayuda instalada por defecto y con un XSS explotable. Al ejecutarse la página en una zona privilegiada tan solo bastaba incluir un comando en la cadena para provocar su ejecución. ¿Acabó aquí? Hasta ahora está claro que con una URL con el manejador "hcp://" y apropiadamente manipulada se pueden inyectar comandos, pero cuando se invoca a través del navegador el usuario es advertido y aunque es conocida la incapacidad retentiva de la mayoría para hacer click en aceptar, a Ormandy no le pareció una forma elegante de finalizar con su investigación. Consiguió un método para evitar la atención del usuario mediante el uso de archivos ASX (Advanced Stream Redirector). Windows Media Player 9 usa estos archivos, con estructura XML, para almacenar listas de reproducción. El navegador invoca el reproductor cuando abre un archivo con extensión ".asx". Entre los valores a incluir en dicho archivo uso el elemento "HTMLView" y le dio como valor una URL hacia una página HTML que contiene, ahora si, la URL maliciosa. No deja de resultar curioso, en este caso en particular, el encadenamiento de explotaciones y descubrimientos que llevan al investigador desde un punto de intuición hasta la consecución de sus objetivos. Son vulnerables los sistemas Windows XP y Windows Server 2003. Mike Reavey, director del MSRC de Microsoft ha publicado una respuesta en el blog del MSRC, en la que ofrece una contramedida y explica el poco tiempo que el investigador les ha otorgado, para solucionar el fallo, antes de hacer públicos los detalles. Microsoft Windows Help Centre Handles Malformed Escape Sequences Incorrectly http://seclists.org/fulldisclosure/2010/Jun/205 Windows Help Vulnerability Disclosure http://blogs.technet.com/b/msrc/archive/2010/06/10/windows-help-vulnerability-disclosure.aspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=208 Tal y como adelantamos, este martes Microsoft ha publicado diez boletines de seguridad (del MS10-032 al MS10-041) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que los siete restantes son clasificados como "importantes". En total se han resuelto 34 vulnerabilidades. Los boletines "críticos" son: * MS10-033: Actualización para corregir dos vulnerabilidades en el tratamiento y descompresión de archivos multimedia que podrían permitir la ejecución remota de código. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. * MS10-034: Se trata de una actualización de seguridad acumulativa de bits de interrupción de ActiveX. Además, está destinada a solucionar dos vulnerabilidades que podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada que ejecute un control ActiveX específico mediante Internet Explorer. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. * MS10-035: Actualización acumulativa para Microsoft Internet Explorer que además soluciona seis nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6, 7 y 8. Los boletines clasificados como "importantes" son: * MS10-032: Actualización para corregir dos vulnerabilidades de elevación de privilegios a través de los controladores en modo kernel de Windows. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. * MS10-036: Actualización para corregir una vulnerabilidad en la validación COM en Microsoft Office que podría permitir la ejecución remota de código. Afecta a Office XP, Office 2003 y 2007 Microsoft Office System. * MS10-037: Actualización para corregir una vulnerabilidad de elevación de privilegios a través del controlador de OpenType CFF (Compact Font Format). Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. * MS10-038: Esta actualización de seguridad resuelve catorce vulnerabilidades, las más graves podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente creado. * MS10-039: Se trata de una actualización de seguridad para resolver tres vulnerabilidades en Microsoft SharePoint que podrían permitir la elevación de privilegios. * MS10-040: Boletín destinado a corregir una vulnerabilidad en Internet Information Services (IIS) que podría permitir la ejecución remota de código si se recibe una solicitud HTTP específicamente diseñada. * MS10-041: Actualización destinada a corregir una vulnerabilidad en Microsoft .NET Framework, que podría permitir la alteración de datos en el contenido XML firmado sin que se detecte. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible. Más información: Resumen del boletín de seguridad de Microsoft de junio de 2010 http://www.microsoft.com/spain/technet/security/bulletin/ms10-jun.mspx Boletín de seguridad de Microsoft MS10-032 - Importante Vulnerabilidades en los controladores en modo kernel de Windows podrían permitir la elevación de privilegios (979559) http://www.microsoft.com/spain/technet/security/bulletin/MS10-032.mspx Boletín de seguridad de Microsoft MS10-033 - Crítico Vulnerabilidades en la descompresión de medios podrían permitir la ejecución remota de código (979902) http://www.microsoft.com/spain/technet/security/bulletin/MS10-033.mspx Boletín de seguridad de Microsoft MS10-034 - Crítico Actualización de seguridad acumulativa de bits de interrupción de ActiveX (980195) http://www.microsoft.com/spain/technet/security/bulletin/MS10-034.mspx Boletín de seguridad de Microsoft MS10-035 - Crítico Actualización de seguridad acumulativa para Internet Explorer (982381) http://www.microsoft.com/spain/technet/security/bulletin/MS10-035.mspx Boletín de seguridad de Microsoft MS10-036 - Importante Una vulnerabilidad en la validación COM en Microsoft Office podría permitir la ejecución remota de código (983235) http://www.microsoft.com/spain/technet/security/bulletin/MS10-036.mspx Boletín de seguridad de Microsoft MS10-037 - Importante Una vulnerabilidad en el controlador de OpenType CFF (Compact Font Format) podría permitir la elevación de privilegios (980218) http://www.microsoft.com/spain/technet/security/bulletin/MS10-037.mspx Boletín de seguridad de Microsoft MS10-038 - Importante Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código (2027452) http://www.microsoft.com/spain/technet/security/bulletin/MS10-038.mspx Boletín de seguridad de Microsoft MS10-039 - Importante Vulnerabilidades en Microsoft SharePoint podrían permitir la elevación de privilegios (2028554) http://www.microsoft.com/spain/technet/security/bulletin/MS10-039.mspx Boletín de seguridad de Microsoft MS10-040 - Importante Una vulnerabilidad en Internet Information Services podría permitir la ejecución remota de código (982666) http://www.microsoft.com/spain/technet/security/bulletin/MS10-040.mspx Boletín de seguridad de Microsoft MS10-041 - Importante Una vulnerabilidad en Microsoft .NET Framework podría permitir la alteración (981343) http://www.microsoft.com/spain/technet/security/bulletin/MS10-041.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=209 Apple acaba de publicar un parche para su navegador Safari en sus ramas 4.x y 5.x y para Windows y Mac OS X, que corrige nada menos que 48 fallos de seguridad. Entre ellos como es lógico, se encuentran numerosas vulnerabilidades que pueden permitir la ejecución de código con solo visitar un enlace. El componente más afectado es el motor Webkit, con 44 vulnerabilidades. Sólo dos vulnerabilidades son exclusivas de Windows, mientras que el resto están compartidas entre Mac OS X v10.4.11, Mac OS X Server v10.4.11, Mac OS X v10.5.8, Mac OS X Server v10.5.8, Mac OS X v10.6.2 o posterior, Mac OS X Server v10.6.2 o posterior, Windows 7, Vista y XP. La mayor parte de las vulnerabilidades permiten la ejecución de código y la revelación de información sensible. Solo cuatro han sido encontradas por Apple, mientras el resto se las reparten diferentes especialistas, empresas e investigadores privados. Siguiendo su línea habitual "Para la protección de sus clientes, Apple no revela, discute o confirma problemas de seguridad hasta que se ha llevado a cabo una completa investigación y cualquier parche necesario está disponible", por lo que no hay mucha información sobre los fallos. A juzgar por la lista de vulnerabilidades corregidas, los fallos calificados con los CVE CVE-2010-1940 y CVE-2010-1939 no han sido solucionados en esta tanda. En mayo fueron encontrados tres errores, pero al parecer sólo se ha parcheado el más grave. Para al menos una de las vulnerabilidades (relacionados con la autenticación HTTP básica) existen exploits públicos. La última actualización del navegador tuvo lugar a principios de marzo con 16 vulnerabilidades corregidas. En esta tanda, por ejemplo, se han corregido errores conocidos desde enero. Se recomienda actualizar a las últimas versiones según cada plataforma disponibles desde http://www.apple.com/safari/download/ http://www.servi-tec.com.ar/informes_ver_uno.php?ba=210 Se ha anunciado una vulnerabilidad en Adobe Reader y Acrobat, que podría permitir a un atacante lograr comprometer los sistemas vulnerables. El problema reside en un error de corrupción de memoria en "authplay.dll". Un atacante podría aprovechar esta vulnerabilidad para ejecutar código arbitrario a través de un PDF que contenga un fichero SWF. Como contramedida se recomienda eliminar o renombrar el fichero "authplay.dll" alojado habitualmente en "C:Program FilesAdobeAcrobat 9.0Acrobatauthplay.dll". Security Advisory for Flash Player, Adobe Reader and Acrobat http://www.adobe.com/support/security/advisories/apsa10-01.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=205 En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office. En principio, hablan de 34 vulnerabilidades. Si en mayo se publicaron dos boletines de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar diez el próximo 8 de junio. Tres se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación). Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Parece que Microsoft dará solución en esta tanda al problema de seguridad encontrado en SharePoint Server 2007 y Windows SharePoint Services 3.0. Hace pocas semanas, la empresa "High-Tech Bridge" publicó un fallo que afectaba a estos productos. Se trata de un cross-site scripting no persistente. También corregirá un fallo reconocido en febrero por Microsoft (que previamente se había hecho público en la conferencia Black Hat DC 2010) en Internet Explorer. Existe un error de comprobación de permisos cuando se usa el protocolo "file:" que podría ser aprovechado por un atacante remoto para obtener datos del sistema a través de una pagina web especialmente manipulada. Al parecer se trata de un fallo complejo de resolver, según los propios descubridores, puesto que en años anteriores habían reportado vulnerabilidades parecidas, y Microsoft en ningún momento ha conseguido erradicar el problema por completo con los parches que ha ido publicando. Sin embargo, es necesario apuntar que el "modo protegido" en el que funcionan las versiones 7 y 8 por defecto en Vista, 7 y 2008, previene la explotación de la vulnerabilidad. También se corrigen fallos en Office InfoPath, Excel Viewer. Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches. Microsoft Security Bulletin Advance Notification for June 2010 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=206 Se han anunciado cuatro vulnerabilidades en Novell eDirectory (versiones anteriores a 8.8 SP5 patch4) por la que un atacante remoto puede llegar a comprometer los sistemas afectados. Novell eDirectory es el servicio de directorio LDAP de Novell, compatible con AIX, HP-UX, Linux, NetWare, Solaris y Windows, admite todo un abanico de estándares emergentes y protocolos de servicios Web: DSML, SOAP y XML, entre otros. El primero de los problemas consiste en una denegación de servicio en NDSD al tratar un verbo erróneo. Un segundo problema está provocado por un desbordamiento de búfer en DHOST al tratar peticiones específicamente construidas y que podría permitir a un atacante provocar las caída del proceso o ejecutar código arbitrario. Otro problema reside en que DHOST emplea cookies de sesión predecibles, lo que podría dar lugar a que los atacantes eviten las restricciones de seguridad. Por último, una vulnerabilidad de denegación de servicio provocada por un error en DHOST en el tratamiento de peticiones específicamente construidas enviadas por algunos escáneres. Se recomienda la instalación de Novell eDirectory version 8.8 SP5 patch4, disponible para descarga mediante el uso del módulo de actualización online YaST. History of Issues Resolved in eDirectory 8.8.x http://www.novell.com/support/viewContent.do?externalId=3426981 eDirectory 20100430 http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5076151.html http://support.novell.com/docs/Readmes/InfoDocument/patchbuilder/readme_5076150.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=204 Financial Times publica una noticia en la que se afirma que según "varios empleados" (no se trata por tanto de una nota oficial) están empezando a abandonar Windows en sus escritorios por cuestiones de seguridad, motivadas probablemente por el ataque que sufrió la compañía el pasado enero. La decisión (y el titular) es cuando menos discutible, porque en definitiva, el ataque en el que se basó la operación "Aurora" fue un problema de políticas de seguridad de Google, no de un sistema operativo u otro. Google no se ha pronunciado oficialmente al respecto, por lo que la noticia parece ser una recopilación de declaraciones de empleados no identificados y por tanto habrá que tomarla con cierta precaución. En el caso de que sea cierto, afirman que "muchos se están pasando a Mac OS, tras los ataques de China en enero" y que desde entonces, "a los empleados nuevos se les da la oportunidad de elegir entre Apple o GNU/Linux” y si quieren utilizar Windows, deben pasar por un proceso burocrático. El contexto En enero, Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras, por el que habían robado código de ciertos programas. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail. El objetivo final era la obtención de información sobre activistas chinos para los derechos humanos. En la investigación abierta (que se llamó "Aurora") descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar. El malware utilizaba varias vulnerabilidades 0-day. Una de ellas permitía la ejecución de código en Internet Explorer. Microsoft publicó un parche fuera del ciclo habitual de los segundos martes de cada mes para solucionarlo lo antes posible. Este mediático incidente provocó una crisis diplomática entre Estados Unidos y China, cuando Google amenazó con retirar sus operaciones en el país tras una serie de desencuentros y declaraciones cruzadas. La decisión Según la noticia, los ataques que consiguieron colarse en la red interna de Google a través de un fallo en el navegador, habrían motivado el cambio hacia otros sistemas operativos supuestamente "más seguros". Esto podría hacer pensar que utilizar otros sistemas operativos tendrá un impacto positivo en la protección de la red interna y sus empleados. Pero el problema es otro, más "genérico". Además, es probable los incidentes protagonizados en enero no sean más que una excusa para motivar el uso interno de productos propios de Google, como el inminente sistema operativo Chrome OS. Al menos, no deberían ser el motivo principal para desestimar Windows. Las declaraciones anónimas de los empleados pueden tener también el mismo objetivo. Veamos algunos ejemplos de por qué el ataque bajo el que se basaba la operación "Aurora", puso ser más un problema de política de seguridad de Google que del hecho de usar un sistema operativo u otro: * Uno de los empleados de Google pinchó sobre un enlace que le llegó a través de mensajería instantánea. Éste le redirigió a una web que aprovechó el fallo de seguridad, previamente desconocido. Los empleados de todas las compañías deberían estar concienciados sobre el peligro que supone visitar enlaces no solicitados, o filtrarlos directamente. * Probablemente, una buena política de filtrado de Zonas en Internet Explorer (prohibiendo la ejecución de JavaScript en páginas desconocidas) hubiese contenido el ataque. * Un binario disfrazado de JPEG se descargaba y ejecutaba la puerta trasera. Una buena política de uso de opciones integradas en Windows que previenen la ejecución de programas no aprobados previamente, habría contenido también el ataque. * Una vez dentro de la red, los atacantes aprovecharon unas débiles características de seguridad en Perforce (el programa de gestión y revisión de código que usa Google) para conseguir su objetivo final. Perforce estaba configurado con unas pobres políticas de seguridad, que McAfee ha analizado no hace mucho en un documento. La empresa que lo comercializa ha tenido que reconocer sus errores y seguir las indicaciones de seguridad que apunta McAfee. La responsabilidad de Microsoft en este asunto es que conocía la vulnerabilidad de forma privada desde hacía meses, y no la remedió a tiempo, desestimando su gravedad (también a causa de una deficiente política de gestión de vulnerabilidades, probablemente). El resto, es cosa de la propia Google. Aunque se puede ahondar más en el asunto, queda claro que el problema de una intrusión de estas características no es achacable a un sistema operativo o programa en particular (que puede ser parte del problema, pero no "el" problema en sí), sino a un conjunto de políticas que claramente han fallado. Por tanto, reemplazar un sistema operativo o un programa de revisión de código no es una solución por sí misma si no va acompañada de un refuerzo de otros frentes. En el caso particular del cambio de sistema operativo, el hecho de que los usuarios utilicen Mac OS en Google es posiblemente un cambio desacertado. Apple sufre de problemas de seguridad mucho mayores que Microsoft y los gestiona de forma ciertamente discutible. Probablemente los empleados de Google se libren solo en cierta medida del malware genérico y masivo si usan Mac OS, pero, si los atacantes son profesionales y realizan un ataque "dirigido" específicamente contra ellos, con Apple lo tendrán igual de fácil (o más) que con cualquier otro sistema operativo, sea de código abierto o cerrado. Windows se está librando poco a poco del desastroso bagaje en seguridad que acarrea desde hace años, realizando un buen trabajo de seguridad en sus servidores y sistemas operativos. Apple (y otras compañías como Adobe) parece que no han aprendido esa lección y están tropezando en las mismas piedras en las que cayó Microsoft. En definitiva, el problema de los ataques dirigidos no es que se centren en un software concreto, sino que rara vez yerran su objetivo si están suficientemente motivados para ello. ‘Google’ Hackers Had Ability to Alter Source Code http://www.wired.com/threatlevel/2010/03/source-code-hacks/ Protecting Your Critical Assets - Lessons Learned from “Operation Aurora” http://www.wired.com/images_blogs/threatlevel/2010/03/operationaurora_wp_0310_fnl.pdf Perforce Software Responds to McAfee White Paper on Operation Aurora http://www.perforce.com/perforce/press/pr121_McAfee_statement.pdf Google ditches Windows on security concerns http://www.ft.com/cms/s/2/d2f3f04e-6ccf-11df-91c8-00144feab49a.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=201 Debian ha publicado una actualización del kernel 2.6 que corrige un total de 13 vulnerabilidades de seguridad que podrían causar denegaciones de servicio, elevación de privilegios o pérdidas de información sensible. Entre otros se han corregido problemas de denegación de servicio en el driver r8169, en los sistemas de archivos GFS2 y NFS, en el subsistema Bluetooth, en el subsistema DVB para adaptadores de TV Digital y en los subsistemas tty, SCTP y keyring. Otros problemas con diverso impacto se han encontrado en el subsistema USB, en enlaces simbólicos a automount, en kgdb para arquitectura PowerPC y una última vulnerabilidad en aquitectura SPARC. Se recomienda actualizar a través de las herramientas automáticas apt-get. New Linux 2.6.26 packages fix several issues http://www.servi-tec.com.ar/informes_ver_uno.php?ba=202 Se ha anunciado una vulnerabilidad en Cpio y Tar de Solaris 9, 10 y OpenSolaris. Un atacante podría utilizar este problema para lograr comprometer los sistemas afectados. El error reside en un desbordamiento de memoria basado en heap en la función "rmt_read__" de "lib/rtapelib.c" de la funcionalidad rmt del cliente. Un atacante remoto podría ejecutar código arbitrario a través del envío de un flujo de datos mayor al solicitado. Se han publicado las siguientes actualizaciones: Para Opensolaris: Solucionado en los sistemas basados en snv_137 o posterior. Para Solaris se han publicado actualizaciones disponibles desde: http://sunsolve.sun.com/patchfinder/?bugId=6930214&state=AVAILABLE&max=20&uiForm=N&osRelease=9 Heap-based overflow in rmt client of GNU tar and GNU cpio may lead to DoS or arbitrary code execution http://www.servi-tec.com.ar/informes_ver_uno.php?ba=203 Se han anunciado diversas vulnerabilidades en Adobe Photoshop CS4 (versiones 11.01 y anteriores), el popular software de retoque fotográfico, que podrían permitir a un atacante lograr el compromiso de los sistemas afectados. Los problemas se deben a errores en el tratamiento de archivos ".ASL", ".ABR" o ".GRD" específicamente construidos. Un atacante podría emplear esto para lograr la ejecución de código arbitrario si consigue que el usuario abra un archivo malicioso. Se recomienda actualizar a Adobe Photoshop CS4 versión 11.0.2. Para Windows: http://www.adobe.com/support/downloads/detail.jsp?ftpID=4713 Para Macintosh : http://www.adobe.com/support/downloads/detail.jsp?ftpID=4712 Security update available for Adobe Photoshop CS4 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=200 Google ha publicado una actualización de su navegador Chrome para Linux, Mac y Windows. Esta nueva versión está destinada a corregir seis vulnerabilidades que podrían permitir a un atacante evitar restricciones de seguridad, falsear URLs o comprometer los sistemas afectados. El primer problema reside en la canonización de URLs. Otro problema podría permitir falsificar la dirección URL a través de manejadores de eventos no cargados. Un tercer problema estaría relacionado con la navegación segura mientras que otra vulnerabilidad permitiría evitar el bloqueo a través de lista blanca. Los últimos fallos residen en un error de memoria con la funcionalidad arrastrar y soltar y una ejecución incorrecta de JavaScript. Para evitar estos problemas, Google ha publicado la versión Chrome 5.0.375.55 para sistemas Linux, Mac y Windows. Esta actualización se instalará de forma automática en las últimas versiones del navegador; o de forma manual desde la opción "Acerca de Google Chrome". También está disponible para descarga desde http://www.google.com/chrome Stable Channel Update http://googlechromereleases.blogspot.com/2010/05/stable-channel-update.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=194 Se ha anunciado una vulnerabilidad en IBM WebSphere Application Server (versiones 6.x y 7.0), que podría permitir a un atacante la obtención de información sensible. IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM. WAS puede funcionar con diferentes servidores web y sistemas operativos incluyendo Apache HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris. El problema reside en el Web Container cuando maneja nombres de más de 20 caracteres. Un atacante podría aprovechar esto para provocar que el servidor devuelva un archivo erróneo y conseguir acceder a archivos arbitrarios. Para IBM WebSphere Application Server 7.0.x se recomienda instalar el Fix Pack 7.0.0.11 o APAR PM06111 Para IBM WebSphere Application Server 6.1.x se recomienda instalar el Fix Pack 6.1.0.31 o APAR PM06111 Para IBM WebSphere Application Server 6.0.x se recomienda instalar el Fix Pack 6.0.2.43 o APAR PM06111 Más información: Recommended fixes for WebSphere Application Server http://www-01.ibm.com/support/docview.wss?rs=180&uid=swg27004980 WebSphere Application Server Web Container information disclosure was-webcontainer-info-disclosure (58557) http://xforce.iss.net/xforce/xfdb/58557 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=193 Se han anunciado cuatro vulnerabilidades en 3Com Intelligent Management Center (IMC) versiones anteriores a la 3.3 SP2 (R2606P13), que podrían permitir a unatacante conseguir información sensible o evitar restricciones de seguridad. El primero de los problemas se debe a errores de validación de entrada en el script "imc/report/DownloadReportSource" al procesar los parámetros "fileDir" y "fileName". Un atacante podría emplear esto para descargar cualquier archivo mediante ataques de escalada de directorios. La segunda vulnerabilidad se debe a errores al procesar los parámetros "javax.faces.ViewState" y "callCount", o URLs introducidas por el usuario. Un atacante podría aprovechar este problema para construir ataques de cross-site scripting. Un tercer fallo reside en la validación de accesos en los archivos "/imc/reportscript/sqlserver/deploypara.properties", "/rpt/reportscript/sqlserver/deploypara.properties" y "/imc/reportscript/oracle/deploypara.properties". Un atacante podría llegar a descubrir la contraseña de la cuenta "sa" de SQL a través de esta vulnerabilidad. Por último, errores en la consola Axis2, podrían permitir a un atacante conseguir acceso administrativo no autorizado a la consola o conseguir información sensible. Se recomienda actualizar a 3Com Intelligent Management Center (IMC) version 3.3 SP2 (R2606P13). Más información: Intelligent Management Center v3.3 SP2 (R2606P13) http://support.3com.com/documents/netmgr/imc/3Com_IMC_readme_plat_3.30-SP2.html PR10-01 Unauthenticated File Retrieval (traversal) within 3Com* iMC (Intelligent Management Center) http://www.procheckup.com/vulnerability_manager/vulnerabilities/pr10-01 PR10-02 Various XSS and information disclosure flaws within 3Com* iMC (Intelligent Management Center) http://www.procheckup.com/vulnerability_manager/vulnerabilities/pr10-02 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=195 Microsoft ha advertido sobre una vulnerabilidad que en realidad se hizo pública hace meses, y que afecta a Windows 7 y 2008 R2 en sus versiones de 64 bits. El fallo se puede aprovechar solo si el componente Aero está activo. La vulnerabilidad se ha descubierto a través del popular visor gratuito de imágenes Irfanview. El fallo se encuentra en el renderizado de imágenes con la API GDI, en concreto en el componente Canonical Display Driver (cdd.dll). CDD emula una interfaz de Windows XP para que las aplicaciones accedan al motor de gráficos GDI. El fallo podría ser aprovechado por un atacante para causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de una imagen especialmente manipulada que sea visitada con el navegador o vista con el visor por defecto. Aunque los vectores de ataque siguen siendo discutidos. La ejecución de código es, en principio, teórica. Se trata de un problema de acceso desde la memoria del usuario a la memoria del kernel, lo que garantiza la posibilidad para un atacante de, al menos, provocar una denegación de servicio a través de un BSOD (Blue Screen Of Death o "pantallazo azul"). A partir de ahí, conseguir controlar el flujo de los registros de sistema para ejecutar código en el espacio del kernel (el más privilegiado) puede resultar complejo, en gran medida, por los nuevos sistemas de seguridad ASLR (Address Space Layout Randomisation) que incluyen los Windows desde su versión Vista. Existen fórmulas para eludir esta medida de seguridad (demostradas en el último concurso Pwn2Own), pero su explotación se hace mucho más compleja. Además, el fallo solo funciona en las versiones de 64 bits (e Itanium) y, como hemos mencionado, Aero debe estar activo. Ni siquiera viene instalado por defecto en 2008. En Windows 7, por el contrario, aparece instalado y activo. Por último, según el CVE (CVE-2009-3678) que le ha otorgado Microsoft a la vulnerabilidad, se deduce que fue encontrada en 2009. El popular visor gratuito Irfanview es el que aportó la pista. Sin estar todavía oficialmente programado para funcionar en Windows, se observó que al visualizar muchas miniaturas, el programa provocaba un BSOD en Windows 7 de 64 bits. Se pensó que el fallo era exclusivamente de la aplicación y no del sistema operativo hasta que, varios meses después, parece que Microsoft reconoce el problema como propio. V4.25: bluescreen with Windows 7, cdd.dll / win32k.sys http://en.irfanview-forum.de/vb/showthread.php?5647-V4-25-bluescreen-with-Windows-7-cdd-dll-win32k-sys Vulnerability in Canonical Display Driver Could Allow Remote Code Execution http://www.microsoft.com/technet/security/advisory/2028859.msp. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=190 En su ciclo, ya habitual, de boletines de seguridad Adobe ha publicado dos actualizaciones; una corrige 18 vulnerabilidades en Shockwave Player, y otra para evitar 3 fallos en ColdFusion. El boletín APSB10-12 resuelve 18 vulnerabilidades, muchas de ellas críticas, en Adobe Shockwave Player 11.5.6.606 y versiones anteriores en sistemas Windows y Macintosh. Las vulnerabilidades podrían permitir a un atacante lograr la ejecución de código arbitrario en los sistemas afectados. Adobe recomienda actualizar a la versión 11.5.7.609 de Shockwave Player, disponible desde: http://get.adobe.com/shockwave/. El boletín APSB10-11, resuelve tres problemas de carácter importante, en ColdFusion 8.0, 8.0.1, 9.0 y versiones anteriores para Windows, Macintosh y UNIX. Los problemas podrían permitir la realización de ataques de cross-site scripting y de obtención de información sensible. Se recomienda a los usuarios de ColdFusion actualicen las instalaciones mediante las instrucciones ofrecidas en: http://kb2.adobe.com/cps/841/cpsid_84102.html Más información: Security update available for Shockwave Player http://www.adobe.com/support/security/bulletins/apsb10-12.html Security update: Hotfixes available for ColdFusion http://www.adobe.com/support/security/bulletins/apsb10-11.html ColdFusion : Security Bulletin APSB10-11 http://kb2.adobe.com/cps/841/cpsid_84102.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=191 Tal y como adelantamos, este martes Microsoft ha publicado dos boletines de seguridad (el MS10-030 y el MS10-31) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft los boletines presentan un nivel de gravedad "crítico". El boletín MS10-030 ofrece una actualización para corregir una vulnerabilidad en Outlook Express, Windows Mail y Windows Live Mail, que podría permitir la ejecución remota de código si un usuario accede a un servidor de correo malicioso. Por otra parte, el boletín MS10-031 presenta una actualización para corregir una vulnerabilidad en Microsoft Visual Basic para Aplicaciones. Este problema podría permitir la ejecución remota de código si una aplicación host abre y pasa un archivo especialmente creado al módulo de tiempo de ejecución de VBA. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible. Más información: Resumen del boletín de seguridad de Microsoft de mayo de 2010 http://www.microsoft.com/spain/technet/security/bulletin/ms10-may.mspx Microsoft Security Bulletin MS10-030 - Critical Vulnerability in Outlook Express and Windows Mail Could Allow Remote Code Execution (978542) http://www.microsoft.com/spain/technet/security/Bulletin/MS10-030.mspx Microsoft Security Bulletin MS10-031 - Critical Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code Execution (978213) http://www.microsoft.com/spain/technet/security/Bulletin/MS10-031.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=192 Se ha confirmado la existencia de una vulnerabilidad de denegación de servicio en switches 3Com de las familias 4200 y 4500 y en la serie H3C S3100. El problema reside en el tratamiento de paquetes SSH específicamente construidos mientras actúa como servidor SSH. Un atacante podría emplear este fallo para provocar el reinicio del dispositivo vulnerable, lo que crea la condición de denegación de servicio. Se recomienda actualizar el software de los dispositivos afectados, con las ultimas versiones publicadas: Switch 4500 V3.03.02p09, Switch 4200G V3.02.04 y H3C S3100-52P-CMW310-R1702P13. Switch 4500 V3.03.02p09 Release Notes http://support.3com.com/documents/switches/4500/Switch_4500_V3.03.02p09_Release_Notes.pdf Switch 4200G V3.02.04 Release Notes http://support.3com.com/documents/switches/4200G/Switch_4200G_V3.02.04_Release_Notes.pdf H3C S3100-52P-CMW310-R1702P13 Release Notes http://support.3com.com/documents/H3C/switches/3100/H3C_S3100-52P_CMW3.10.R1702P13_Release_Notes.pdf http://www.servi-tec.com.ar/informes_ver_uno.php?ba=189 Se ha anunciado una vulnerabilidad de denegación de servicio que afecta a decenas de modelos de impresoras Lexmark. El problema reside en el servidor HTTP embebido en las impresoras láser y de inyección y en los dispositivos MarkNet de Lexmark, al procesar cabeceras de autorización HTTP enviadas a los puertos 80, 443, 8000 o 631. Un atacante podría emplear esto para provocar la caída del servidor lo que conlleva la parada del sistema operativo. Esto afecta a todos los servicios TCP de la impresora que usen el protocolo http. Dada la cantidad de dispositivos e impresoras afectadas se recomienda consultar el aviso de Lexmark e instalar la actualización correspondiente: http://support.lexmark.com/index?page=content&id=TE87 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=188 En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan dos boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office además de Microsoft Visual Basic for Applications. Pueden contener un número indeterminado de vulnerabilidades. Si en abril se publicaron 11 boletines de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar sólo dos el próximo 11 de mayo. Se confirma la tendencia que últimamente sigue Microsoft, en la que un mes se publican entre más de diez boletines y al siguiente ciclo suelen hacerse públicos apenas 2 ó 4. Se consideran críticos los dos, (aunque como viene siendo habitual, en Windows Vista, 7 y 2008, el impacto es menor que en el resto de sistemas operativos). Recalcar también que 2008 y 7, no son vulnerables por defecto. Entre las mejoras de seguridad introducidas en estas versiones, la nueva política de "seguridad por defecto" que tan mal aplicó Microsoft desde sus inicios (o que directamente, obvió), está dando resultados. Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Parece que Microsoft no dará solución en esta tanda al problema de seguridad encontrado en SharePoint Server 2007 y Windows SharePoint Services 3.0. Hace pocas semanas, la empresa "High-Tech Bridge" publicó un fallo que afectaba a estos productos. Se trata e un cross-site scripting no persistente. Aunque en un principio no pueda parecer un problema grave, si la víctima visita un enlace enviado por el atacante, éste podría llegar a obtener sus privilegios de acceso al sitio SharePoint. En este tipo de ataques la persona que lo perpetra realmente no consigue la contraseña de su víctima. En la suplantación de identidad que se lleva a cabo a través de los cross site scriptings no permanentes, normalmente la víctima visita un enlace al sitio SharePoint real, pero con unos parámetros en la URL especialmente manipulados con JavaScript. Al visitarlo, la víctima está enviando inadvertidamente la cookie de sesión al atacante. Éste solo debe visitar la página con la cookie de sesión de su víctima (lo que le permitirá entrar como si fuera él mientras no expire) y a continuación podrá cambiar la contraseña y bloquear el acceso al dueño legítimo. Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora. Microsoft Security Bulletin Advance Notification for May 2010 http://www.microsoft.com/technet/security/bulletin/ms10-may.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=184 Esta tarde se ha dado ha conocer un problema en Facebook que permitía a cualquier usuario visualizar el chat de sus amigos en tiempo real. El fallo, fácilmente reproducible por cualquier usuario, con unas pocas pulsaciones de ratón, permitía visualizar las conversaciones que cualquiera de sus amigos estuviera manteniendo en ese momento. Todo ello sin necesidad de ningún conocimiento técnico ni escribir ninguna línea de código. El problema residía en la forma en que Facebook permite previsualizar los ajustes de privacidad propios. Muchos lo han considerado como irónico, una característica de privacidad tenía un fallo que afectaba a la privacidad, al permitir a otros visualizar información personal. De forma similar, también se podía acceder a las invitaciones de amistad pendientes de confirmación de cualquiera de sus amigos y los amigos que compartían en común. En total, información que ha sido considerada por todos los usuarios como de algo grado de confidencialidad. Lo que se desconoce es desde qué momento el fallo estaba presente, si era algo reciente o esa posibilidad llevaba más tiempo activa. Tan pronto como Facebook recibió la alerta desactivó la funcionalidad de chat. Si bien ambos problemas fueron corregidos en poco tiempo, y recuperar el funcionamiento habitual de la red social. Video: Major Facebook security hole lets you view your friends’ live chats http://eu.techcrunch.com/2010/05/05/video-major-facebook-security-hole-lets-you-view-your-friends-live-chats/ Facebook flaw exposes private information http://www.v3.co.uk/v3/news/2262535/facebook-flaw-makes-users http://www.servi-tec.com.ar/informes_ver_uno.php?ba=186 Stefan Esser, conocido investigador de seguridad especializado en vulnerabilidades en el lenguaje de programación PHP, ha descubierto un fallo en la última versión publicada. Se trata de un error de desbordamiento de entero en la función "php_dechunk" de "ext/standard/filters.c" al procesar ciertas peticiones HTTP. Esta función se usa para decodificar fragmentos (chunks) codificados de un flujo HTTP. La función efectúa una comparación del tamaño del fragmento a decodificar y el búfer reservado, empleando para ello un entero con signo, "chunk_size", miembro de la estructura "_php_chunked_filter_data". El uso de un entero positivo interpretado como negativo podría provocar la copia de datos, entre memorias intermedias reservadas en el heap, de tamaño entre 2 y 4 Gb, resultando en una corrupción de memoria y provocando que la aplicación deje de responder. Esto podría permitir a un atacante remoto causar una denegación de servicio a través de peticiones HTTP especialmente manipuladas. Según Esser, son vulnerables las versiones inferiores de la 5.3.2 a la 5.3 incluidas. No existe parche para esta vulnerabilidad. MOPS-2010-003: PHP dechunk Filter Signed Comparison Vulnerability http://www.servi-tec.com.ar/informes_ver_uno.php?ba=187 Debian ha publicado una actualización de squidguard que corrige dos vulnerabilidades que podrían permitir a un atacante evadir restricciones de seguridad y provocar una denegación de servicio. Squidguard es un plugin para el servidor proxy squid que permite efectuar redirecciones, filtros y listas de control de acceso. La primera, con CVE-2009-3826, corrige varios errores de desbordamiento de memoria intermedia que podrían permitir a un atacante evadir las restricciones de bloqueo sobre URLs a través de una URL especialmente manipulada. La segunda, con CVE-2009-3700, corrige un desbordamiento de memoria intermedia en "sgLog.c" que podría permitir a un atacante causar un ataque de denegación de servicio a través de una URL especialmente manipulada. DSA-2040-1 squidguard -- buffer overflow http://www.debian.org/security/2010/dsa-2040 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=183 Se ha anunciado una vulnerabilidad en Apache Tomcat versiones 5 y 6, que podría permitir realización de a ataques de cross-site request forgery. El problema reside en errores de validación de entradas en los componentes Web Application Manager y Host Manager al procesar peticiones http. Un atacante podría emplear esto para manipular datos (como detener o eliminar una aplicación, o añadir un host virtual) al engañar a un administrador para que visite una página web específicamente creada. Se recomienda cerrar el navegador tras una sesión administrativa de Tomcat Web Application Manager o Host Manager y no navegar por sitios desconocidos o seguir enlaces no confiables mientras se esté autenticado en la interfaz administrativa. Apache Tomcat Web Application Manager / Host Manager Vulnerability http://www.servi-tec.com.ar/informes_ver_uno.php?ba=181 A través de la publicación en la lista de correo Bugtraq, la empresa "High-Tech Bridge" ha publicado un fallo que afecta a los productos Office SharePoint Server 2007 y Windows SharePoint Services 3.0. La vulnerabilidad reside en una falta de validación del parámetro "cid0" en el "/_layouts/help.aspx". Un atacante podría emplear este problema para causar ataques de cross-site scripting no persistente, a través de una url especialmente manipulada. Un ataque exitoso permite a un atacante obtener los privilegios y acceso de la víctima al sitio Sharepoint. Microsoft ha comunicado, a través de un boletín oficial, que se encuentra trabajando en una solución. Por el momento y hasta la publicación de la actualización definitiva, como contramedida se recomienda restringir el acceso a Help.aspx de SharePoint; siguiendo las instrucciones del aviso de seguridad: http://www.microsoft.com/technet/security/advisory/983438.mspx Más información: Vulnerability in Microsoft SharePoint Could Allow Elevation of Privilege (983438) http://www.microsoft.com/technet/security/advisory/983438.mspx XSS in Microsoft SharePoint Server 2007 http://www.htbridge.ch/advisory/xss_in_microsoft_sharepoint_server_2007 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=182 Google ha publicado una actualización de su navegador Chrome para Windows, para corregir tres vulnerabilidades que podrían llegar a permitir a un atacante evitar restricciones de seguridad o comprometer los sistemas afectados. Dos de los problemas residen en una corrupción de memoria, el primero en el tratamiento de HTML5 y otro al manejar las fuentes de texto. Por último, un error en Google URL (GURL) puede permitir ataques de "cross-origin bypass". Para evitar estos problemas, Google ha publicado la versión Chrome 4.1.249.1064. Esta actualización se instalará de forma automática en las últimas versiones del navegados, también está disponible para descarga desde http://www.google.com/chrome http://www.servi-tec.com.ar/informes_ver_uno.php?ba=180 Tal y como anunciamos la semana pasada, Microsoft se ha visto obligada a publicar de nuevo el parche del boletín MS10-025, al descubrir que tras su instalación no protegía de la vulnerabilidad que pretendía corregir. La vulnerabilidad, con CVE-2010-0478, afecta al sistema operativo Windows 2000 SP4 y está calificada de crítica al permitir la ejecución de código arbitrario. El problema reside en un proceso corresponde al servicio "Windows Media Unicast Service" del componente opcional "Windows Media Services". El error se trata de un desbordamiento de pila en el proceso "nsum.exe" durante el procesamiento de paquetes con información de transporte especialmente manipulados. Se recomienda la instalación de la nueva actualización distribuida a través de la herramienta Widnows Update o descargándola desde el centro de descargas de Microsoft: http://www.microsoft.com/downloads/details.aspx?familyid=73B3D681-26BB-49C1-849E-1F72484CB978&displaylang=en Más información: Microsoft Security Bulletin MS10-025 - Critical Vulnerability in Microsoft Windows Media Services Could Allow Remote Code Execution (980858) http://www.microsoft.com/technet/security/bulletin/ms10-025.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=179 IBM ha publicado una actualización para corregir dos nuevas vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM) por el cual un atacante podría conseguir provocar denegaciones de servicio o evitar restricciones de seguridad. El primero de los problemas se debe a un desbordamiento de búfer en la función escalar "REPEAT", que podría permitir la caída del servidor vulnerable. El segundo problema está relacionado con un error en el proceso de renegociaciones del protocolo TLS (Transport Layer Security). Se ven afectadas las versiones de IBM DB2 para Linux, UNIX y Windows anteriores a la 9.1 Fix Pack 9. IBM ha publicado el Fix Pack 9 disponible desde: http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053 Más información: Security Vulnerabilities and HIPER APARs fixed in DB2 for Linux, UNIX, and Windows Version 9.1 Fix Pack 9 http://www-01.ibm.com/support/docview.wss?uid=swg21426108 IC65922: SECURITY: BUFFER OVERRUN IN REPEAT UDF. http://www-01.ibm.com/support/docview.wss?uid=swg1IC65922 IC67848: SECURITY: TRANSPORT LAYER SECURITY (TLS) HANDSHAKE RENEGOTIATIONWEAK SECURITY CVE-2009-3555 http://www-01.ibm.com/support/docview.wss?uid=swg1IC67848 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=178 Microsoft se ha visto obligada a revisar el parche del boletín MS10-025, publicado el pasado 13 de abril, tras descubrir que su aplicación no protegía de la vulnerabilidad descrita. La vulnerabilidad, con CVE-2010-0478, afecta al sistema operativo Windows 2000 SP4 y está calificada de crítica. El problema puede permitir a un atacante remoto ejecutar código arbitrario a través del envío de paquetes especialmente manipulados. El error se trata de un desbordamiento de pila en el proceso "nsum.exe" durante el procesamiento de paquetes con información de transporte. Dicho proceso corresponde al servicio "Windows Media Unicast Service" del componente opcional "Windows Media Services". Windows Media Services provee de un servidor de streaming al sistema. Anteriormente conocido como NetShow Server y NetShow Services, el servidor se incluía en los sistemas Windows NT y en adelante hasta Windows Server 2008 en el que solo se distribuye como un complemento independiente y descargable. Microsoft recomienda seguir las indicaciones de contramedidas, incluidas en el boletín, con el objetivo de mitigar la vulnerabilidad hasta la próxima publicación del parche, fecha de la que no se han publicado detalles. Opina sobre esta noticia: http://www.hispasec.com/unaaldia/4199/comentar Más información MS10-025 Security Update to be Re-released Vulnerability in Microsoft Windows Media Services Could Allow Remote Code Execution http://www.servi-tec.com.ar/informes_ver_uno.php?ba=173 Hoy no está siendo un día fácil para muchos administradores. A las 14:00 horas GMT del 21 de abril, McAfee liberó un nuevo fichero DAT de actualización de firmas, el 5958. Dicho fichero contiene información que el motor del antivirus usa para la detección de amenazas, sin embargo su instalación ha provocado que cientos de miles de sistemas se quedaran inutilizados. El DAT 5958 contiene una firma que le indica al antivirus de McAfee que ponga en cuarentena al proceso "svchost.exe" de los sistemas operativos Windows XP SP3, al confundirlo con el virus W32/Wecorl.a. Esta acción provoca que cuando se reinicie el equipo éste entre en un bucle de reinicios consecutivos y vuelva a la máquina inoperable. Esta situación se agrava en entornos empresariales donde las actualizaciones se realizan en masa, a través de la herramienta "ePolicyOrchestrator", dejando redes de máquinas eventualmente fuera de juego. El tráfico de mensajes ha llegado a ser tan elevado, que los administradores del foro de soporte de McAfee se han visto obligado a cerrarlo durante algunas horas. La compañía ha reaccionado rápidamente, retirando la infame actualización y sustituyéndola por la 5959. McAfee ha publicado una herramienta para ayudar en la recuperación de los sistemas afectados denominada "SuperDAT". En el blog oficial, Barry McPherson (vicepresidente ejecutivo de McAfee), se lamenta y disculpa del error cometido por la compañía. Este tipo de errores, relativamente habituales, provocan verdaderos quebraderos de cabeza a los administradores debido a la rapidez e instantaneidad con la que surgen y se propagan. Casi todas las casas han tenido y temido este tipo de errores y el impacto que producen sobre su reputación. Recordemos algunos incidentes que afectaron masivamente a sus usuarios. Marzo de 2010, BitDefender marca falsos positivos sobre varios archivos del sistema en Windows Vista. Julio de 2009, CA detecta archivos del sistema (Windows XP) como "Win32/AMalum.ZZQIA". Diciembre de 2009, Avast confundía archivos legítimos con "Win32:Delf-MZG". Noviembre de 2008, AVG detectaba la dll "user32" como un troyano y recomendaba su eliminación. Octubre de 2008, McAfee marca como troyano al ejecutable de la consola IME en Windows Vista. Diciembre de 2007, Kaspersky emite un falso positivo sobre el explorador de Windows. Mayo de 2007, Symantec provoca falsos positivos en los archivos "netapi32.dll" y "lsasrv.dll" confundiéndolos con el troyano "Backdoor.Haxdoo" en Windows XP SP2 con el idioma Chino simplificado. False positive detection of w32/wecorl.a in 5958 DAT https://kc.mcafee.com/corporate/index?page=content&id=KB68780 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=174 Los investigadores Eduardo Vela y David Lindsay han presentado, en el marco de la conferencia Black Hat Europa de este año, un nuevo método para ejecutar ataques de cross-site scripting a través de los filtros XSS de Internet Explorer 8. Microsoft introdujo un mecanismo para filtrar ataques de cross-site scripting, concretamente los de "tipo 1" o no persistentes. Un cross-site scripting no persistente es la clase de ataque más común y extendida de este tipo de ataques. El atacante manipula una URL insertando código malicioso que, de manera errónea, aprovechando una vulnerabilidad, el sitio web usará para generar una página que contendrá el código legítimo más el código introducido por el atacante. La víctima que "inadvertidamente" use la URL proporcionada por el atacante, enviará una petición hacia el servidor web y este "reflejará" el código de vuelta hacia el cliente donde es usado por el navegador como si fuese código legítimo. Es denominado no persistente ya que el servidor no almacena el código malicioso y es reflejado porqué en realidad es el mismo navegador el que va a enviar el ataque a través de la petición HTTP hacia el servidor web y éste de vuelta al navegador de la víctima. La idea general del filtro XSS de Internet Explorer, es observar la secuencia solicitud-respuesta entre navegador y sitio web. A grandes rasgos, modifica el código que se recibe del servidor antes de que sea interpretado por el navegador, si detecta que la página recibida contiene código sospechoso enviado en una de las solicitudes del navegador. Básicamente, evita "reflejar" el código malicioso. La base del mecanismo de neutralización de ataques del filtro es alterar el código malicioso. En caso de observar código sospechoso de vuelta al navegador, el filtro actúa antes de que se interprete la página, insertando o reemplazando caracteres en partes de ese código para impedir su ejecución transformándolo en código no válido. Ya en su momento se hizo público una vulnerabilidad que aprovechaba el filtro XSS para producir este tipo de ataques. Microsoft liberó un boletín (MS10-002) en el que se corregía la vulnerabilidad. Aun así, se encontraron nuevas formas para revertir el uso del filtro y Microsoft volvió a reforzarlo en un nuevo boletín (MS10-018). Lo que han mostrado los investigadores es que es no solo es posible evadir el filtro sino que sigue siendo posible efectuar ataques de cross-site scripting, incluso en sitios webs que no son vulnerables. Adicionalmente, el filtro también podría ser usado por el atacante para impedir la ejecución de scripts legítimos, posibilitando la evasión de mecanismos de seguridad propios del sitio web visitado. David Ross de Microsoft, ha confirmado que publicarán un parche hacia el mes de junio para prevenir este tipo de ataque. Abusing IE8s XSS Filters [PDF] Guidance on Internet Explorer XSS Filter http://www.servi-tec.com.ar/informes_ver_uno.php?ba=175 La OWASP (Open Web Application Security Project) ha publicado una actualización del ranking de los riesgos más importantes que afectan a las aplicaciones web. Su misión es concienciar a la industria sobre los riesgos de seguridad, en el ámbito de las aplicaciones web, identificando y remarcando las diez amenazas más serias a las que se expone. Dicho ranking nace del consenso y debate entre expertos en la materia de la seguridad en aplicaciones web. El proyecto Top Ten comenzó a gestarse en 2003, cuando se publicó el primer ranking. En 2004, se efectuaron cambios menores de aquella primera edición y en 2007 se liberó la segunda. Tal y como refleja la organización, y se hace cada vez más evidente, no se han de limitar los esfuerzos en la erradicación o el tratamiento de las amenazas señaladas (El número de riesgos o vulnerabilidades identificadas es de varios ordenes mayor), sino de un plan de seguridad que comience y se alargue durante todo el ciclo de desarrollo de una aplicación, desde su diseño inicial hasta la fase de mantenimiento. En esta edición de 2010 han efectuado un cambio significativo en la metodología usada para la elaboración del top. En vez de estimar una amenaza por su frecuencia (las más comunes) se han tenido en cuenta múltiples factores para el cálculo de cada una de ellas, dando lugar a un ranking de riesgos evaluados por su vector, predominio, detectabilidad e impacto. La edición del 2010 presenta las siguientes categorías: A1 – Inyecciones. Vulnerabilidades de inyección de código, desde SQL hasta comandos del sistema. A2 – Cross-site Scripting. El anterior número uno. Una de las vulnerabilidades más extendidas y a la par subestimada. A3 – Gestión defectuosa de sesiones y autenticación. Comprende los errores y fallos en las funciones de gestión de sesiones y autenticación. A4 – Referencias directas a objetos inseguras. Errores al exponer partes privadas o internas de una aplicación sin control y accesibles públicamente. A5 – Cross-site Request Forgery. Se mantiene en el mismo puesto anterior. Vulnerabilidad consistente en el desencadenamiento de acciones legitimas por parte un usuario autenticado, de manera inadvertida por este último y bajo el control de un atacante. A6 – Ausencia de, o mala, configuración de seguridad. Más que un error en el código se trata de la falta o mala configuración de seguridad de todo el conjunto de elementos que comprende el despliegue de una aplicación web, desde la misma aplicación hasta la configuración del sistema operativo o el servidor web. A7 – Almacenamiento con cifrado inseguro. Referida a la ausencia o mal uso de los sistemas de cifrado en relación a los datos almacenados o manejados por la aplicación. A8 – Falta de restricciones en accesos por URL. Falta de validación en el procesamiento de URLs que podrían ser usadas para invocar recursos sin los derechos apropiados o páginas ocultas. A9 – Protección insuficiente de la capa de transporte. Relacionada con A7 pero orientada a la protección del tráfico de red. Elección de un cifrado débil o mala gestión de certificados. A10 – Datos de redirecciones y destinos no validados. Errores en el tratamiento de redirecciones y uso de datos no confiables como destino. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=172 Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-020) de una actualización crítica destinada a corregir cinco errores en el cliente SMB de los sistemas Windows. La primera de las vulnerabilidades, con CVE-2010-0269, afecta a toda la familia Windows permitiendo a un atacante remoto ejecutar código arbitrario. Esta última vulnerabilidad fue descubierta por Mark Rabinovich, recien nombrado jefe de investigación y desarrollo de la empresa "Visuality System", especializada en productos que usan CIFS (denominación que introdujo Microsoft a la tecnología SMB en 1998). El resto de vulnerabilidades se le debe a Laurent Gaffié de "stratsec", un investigador bastante conocido en las listas de seguridad y al que no se le da nada mal la búsqueda de agujeros en SMB a juzgar por sus resultados. * CVE-2009-3676 - SMB Client Incomplete Response Vulnerability: Esta vulnerabilidad afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante causar una denegación de servicio. El error se produce al enviar una cabecera NetBIOS con un valor en la que especifica un tamaño cuatro bytes menor que el tamaño real del paquete SMB. Si observamos el CVE vemos que fue asignado en 2009, y es debido a que Gaffié, hizo publico un exploit y los detalles de la explotación en la lista de "Full Disclosure" el día 11 de noviembre de 2009. En el mismo aviso, Gaffié criticaba con cierta dureza al MSRC y el SDL de Microsoft (el equipo de respuesta y el programa de desarrollo seguro respectivamente), al responderle, según Gaffié, que la vulnerabilidad no debería aparecer en un boletín de seguridad. * CVE-2010-0269 - SMB Client Memory Allocation Vulnerability: Como habíamos comentado, afecta a toda la gama de sistemas Windows y su explotación podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario. Está vulnerabilidad se debe a la forma en la que el cliente SMB de Windows reserva memoria cuando procesa las respuestas que son enviadas por un servidor SMB. Un atacante remoto podría aprovechar está vulnerabilidad para ejecutar código arbitrario a través del envío de respuestas SMB especialmente manipuladas. La explotación puede efectuarse inyectando las respuestas en un ataque de hombre en el medio o mediante una página web que contenga una URI hacia un servidor SMB controlado por el atacante. * CVE-2010-0270 - SMB Client Transaction Vulnerability: Esta vulnerabilidad, descubierta por Gauffié en diciembre de 2009, afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante ejecutar código arbitrario. El error está en una falta de validación de ciertos campos en las respuestas generadas durante transacciones SMB. Según Gauffié, un desbordamiento de pila clásico y no protegido por un "canary value" (un valor controlado y monitorizado por el sistema para comprobar la corrupción de la pila). Lo vectores de ataque son similares a los del CVE-2010-0269. El día 17 de abril, a través de su blog, Gauffié publicaba detalles y una prueba de concepto. * CVE-2010-0476 - SMB Client Response Parsing Vulnerability: Ejecución de código arbitrario en sistemas anteriores a Windows 7 y Windows Server 2008 R2, calificada de "baja" en estos últimos y no explotable en Windows 2000 y XP. El error reside en la forma en que se procesan las respuestas en transacciones SMB. Un atacante remoto podría causar una denegación de servicio y potencialmente ejecutar código arbitrario a través de peticiones SMB especialmente manipuladas. Los vectores de ataque son similares a los comentados en las dos vulnerabilidades anteriores. * CVE-2010-0477 - SMB Client Message Size Vulnerability: Afecta a sistemas Windows 7 y Windows Server 2008 R2 y podría permitir a un atacante remoto sin autenticar ejecutar código arbitrario. El fallo se encuentra en el cliente SMB. Al procesar ciertas peticiones SMB especialmente manipuladas, éstas podrían provocar que el cliente consuma completamente la petición recibida e indique un valor incorrecto al kernel Winsock (un interfaz similar a la librería Winsock2 orientada al modo kernel). Los vectores de ataque son igualmente similares a los comentados en las vulnerabilidades anteriores. Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde la página del boletín de seguridad. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=176 Debian ha publicado actualizaciones de seguridad para paquetes de sus distribuciones estable “lenny” e inestable “sid”. A continuación detallamos los paquetes afectados y errores corregidos en cada uno de ellos. * phpMyAdmin: Corrige tres fallos correspondientes a los CVE-2008-7251, CVE-2008-7252 y CVE-2009-4605. El primero es un fallo en "libraries/File.class.php" al efectuar una asignación incorrecta de permisos. Cuando crea un directorio temporal permite que pueda ser manipulado por cualquier usuario. Esto podría ser usado por un atacante local para efectuar una escalada de privilegios. El segundo fallo y relacionado con el primero es debido a la predecibilidad de los nombres de archivos temporales creados por "libraries/File.class.php". El tercero y último se encuentra en el script de configuración "scripts/setup.php". Dicho script permite un uso inseguro de la función "unserialize" sobre los parámetros "configuration" y "v[0]". Esto podría ser aprovechado por un atacante remoto para causar ataques de cross-site request forgery. * apache2: Corrige dos fallos correspondientes a los CVE-2010-0408 y CVE-2010-0434. El primero es un fallo al procesar una peticiones mal formadas en el módulo "mod_proxy_ajp", concretamente en la función "ap_proxy_ajp_request" del archivo "modules/proxy/mod_proxy_ajp.c". Un atacante remoto podría aprovechar este problema para causar un ataque de denegación de servicio a través de peticiones HTTP especialmente manipuladas. El segundo y último reside en la función "ap_read_request" del archivo "server/protocol.c" y podría permitir a un atacante remoto obtener información sensible o causar una denegación de servicio debido a un error en el tratamiento de las cabeceras HTTP en ciertos módulos. * jasper: Corrige un fallo correspondiente al CVE-2007-2721 y un error de regresión introducido anteriormente al parchear una vulnerabilidad correspondiente al CVE-2008-3521. El error se encuentra en la función "jpc_qcx_getcompparms" del archivo "jpc/jpc_cs.c". Dicho error podría permitir a un atacante remoto causar una denegación de servicio o corromper el heap a través de un archivo de imagen especialmente manipulado. * kdm: Corrige un fallo correspondiente al CVE-2010-0436. Existe un error de condición de carrera en KDM durante la creación de un socket de control en el inicio de sesión de usuario. Esto podría permitir a un atacante local autenticado elevar privilegios a través de la creación de archivos especialmente manipulados. Se recomienda actualizar a través de las herramientas automáticas apt-get. DSA-2034-1 phpmyadmin -- several vulnerabilities http://www.debian.org/security/2010/dsa-2034 DSA-2035-1 apache2 -- multiple issues http://www.debian.org/security/2010/dsa-2035 DSA-2036-1 jasper -- programming error http://www.debian.org/security/2010/dsa-2036 DSA-2037-1 kdm (kdebase) -- race condition http://www.debian.org/security/2010/dsa-2037 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=171 En sólo unos segundos el terremoto que sacudió parte de Chile dejó instalada, con sus muertos y su destrucción, la sensación del desamparo. Pasaron varias semanas ya y el lento trabajo de reconstrucción para poner a Chile de pie y algo de perspectiva nos permite en ITSitio lanzar este informe sobre las lecciones que deja la catástrofe de Chile al mercado tecnológico. Mucho se habla de la protección de los procesos tecnológicos para salvaguardar el negocio ante una catástrofe. Sin embargo, casi todos los entrevistados para este artículo aseguran que la infraestructura IT chilena no estaba preparada. Peor: las empresas – la mayoría de ellas – tampoco tenía previsto un plan de contingencia para, una vez ocurrido el daño, saber de qué manera operar y reestablecer las operaciones. Este documento, en el que hablan testigos y víctimas de los efectos de la naturaleza sobre el negocio IT, es un documento indispensable para conocer el daño de la falta de preparación sobre los negocios y para que el canal haga tomar conciencia a sus clientes sobre por qué la protección de los procesos es clave para mantener con vida a una empresa. ¿Qué mejor fuente de información que la que vivió el hecho de primera mano? A menudo hablamos en ITSitio de la necesidad de reforzar - con tecnología, con procesos - la infraestructura IT de las empresas de manera de asegurar la continuidad de los negocios ante cualquier contingencia. Cuando pensamos en contingencias imaginamos, somos suaves, un corte de energía. Chile vivió a fines de febrero, de primera mano, la peor de las catástrofes. No nos centraremos en este informe sobre la dimensión humana del terremoto. Las imágenes de aquellas primeras horas nos quedarán grabadas por siempre como muestra de aquello que no queremos para nadie, en ningún país del mundo. La reconstrucción de Chile tendrá un efecto fuerte pero, según los analistas, superable, en términos económicos. Según IHS Global Insight, “se puede esperar una contracción de la actividad económica de entre 5 y 7% en el segundo trimestre”, pero a partir del tercer trimestre de 2010 la actividad comenzará a mostrar mejoras. De hecho, dicen los especialistas, antes de la tragedia en el país “no había muchas oportunidades de inversión, pero ahora hay inversionistas que miran a Chile”. Una oportunidad que, apostamos, Chile de todos modos hubiese preferido nunca tener: el costo del terremoto está en un rango de entre u$s 15.000 y 30.000 millones de dólares. Hablaremos sí de tecnología. ¿Soportó la infraestructura IT de las empresas chilenas la fuerza del terremoto? ¿Cuáles fueron los principales daños? ¿Cómo reaccionaron los sistemas? ¿Estaban preparadas las empresas, tanto en tecnología como en manuales de contingencia? ¿Qué enseñanzas les ha dejado - y nos deja a todos - la imprevisión y la falta de inversión en seguridad IT? Sobre estos y otros temas contestan María Celeste Garros, Channel Regional Manager Citrix Systems; Álvaro Lillo, Senior Security Advisor de NeoSecure; Helton Capella, Gerente de Marketing de APC by Schneider Electric; Joel Bendersky, gerente General de Netline; Alfredo Díaz, gerente de IT de Anida; José Luis Varas, gerente de Apple de Tallard; Hans Erpel, gerente Comercial de NovaRed; Alfredo García Lund, gerente General de Gallyas; y Fabián Garrido, Channels Director Latin America de Powersel and Delta Electronics Representative UPS. Este informe no es definitivo. La idea es que funcione como disparador de un debate profundo sobre el verdadero estado de las infraestructuras IT de nuestras empresas. Para que pensemos ¿Estamos preparados? ¿Estaba preparada la infraestructura IT de las empresas chilenas para asegurar la continuidad de los procesos ante una catástrofe? María Celeste Garros, Citrix Systems: "Si consideramos la magnitud de la catástrofe, la verdad es que pudo haber sido mucho peor. Salvo algunos problemas puntuales, la mayor parte de los Data Centers del país resistieron bien. Afortunadamente en términos de infraestructura propiamente tal de las empresas, edificios, sucursales, entre otros, no hubo una gran cantidad de sedes corporativas que no se pudieran habitar, con lo que una buena parte de las compañías ya estaban operativas el lunes siguiente". Joel Bendersky, Netline: "La infraestructura de las empresas IT no estaba preparada, hubo empresas que sí estaban preparadas y que tomaron decisiones acertadas respecto a proveedores, equipos y servicios y también hubo otras que tuvieron suerte, pero por distintos motivos las empresas chilenas no están preparadas, ya sea porque el costo de esto dista mucho con el riesgo o bien porque no hay competencia suficiente para aumentar el riesgo de la pérdida por migración de clientes. No existen incentivos suficientes ni entidades que regulen o certifiquen la preparación de la industria IT en Chile para este tipo de catástrofe". Alfredo Díaz, Anida: "Estaba preparada con sitios de contingencias seguros en un 80%. El resto sufrió importantes degradaciones de sus servicios a clientes basados en TI, debido a daños físicos en infraestructura TI y a errores de arquitectura". José Luis Varas, Tallard: " El terremoto fue justo al sur de Santiago. Esta regiones son mas industriales que de servicios y las oficinas centrales de casi todas ellas se encuentran en Santiago, por lo que no se aprecia, no se “siente” el real daño que tienen pues hubo comunicación inter empresarial con casi todas". Fabián Garrido, Powersel: "La mayoría de las empresas están cubiertas para emergencias cortas y sólo de equipos mas críticos. Es un proceso de educación al canal y clientes usuarios y aprender más en invertir en soluciones de respaldo pero con continuidad operacional, es decir, UPS con baterías extendidas y comunicación remota al instante, alarmas y sistemas de aviso automático. Delta Electronics y Powersel más su centro de servicios Selecom Energía no han perdido información ya que están cubiertos al 100%". Hans Erpel, NovaRed: "La mayoría de las empresas no estaba preparada para una catástrofe como la sucedida el pasado 27 de febrero. Esto, debido a que la mayor parte de las inversiones TI en materia de contingencia han abordado los escenarios más comunes como lo es por ejemplo un incidente local o la falla de un hardware. Somos un país sísmico, por lo que sabemos que un terremoto puede afectar extensas zonas geográficas y los riesgos llegarán a pesar de grandes distancias. Sin embargo, las empresas no estaban preparadas para enfrentar un tema así, y en varios casos los centros de información de estas mismas se encontraban a distancias menores, lo cual aumentó el riesgo y creó problemas". Álvaro Lillo Cargo, NeoSecure: "Pese a los problemas suscitados producto del terremoto, la infraestructura IT de la mayoría de las empresas no sufrió grandes problemas en cuanto a la continuidad de sus operaciones, pero deberíamos elaborar un plan de contingencia que permita el normal funcionamiento de la “infraestructura crítica” de algunos sectores". Alfredo García Lund, Gallays: "Claramente, el sector de las telecomunicaciones comerciales ni el de emergencias estaba preparado para una catastrofe como la ocurrida. Se deben definir procedimientos de emergencia y regulaciones a los servicios". ¿Cómo debería ser la preparación tecnológica y de manuales de contingencia para superar una situación como esta? Hans Erpel, NovaRed: "Ante un escenario como este (terremotos) la alternativa natural sería mantener centros de procesamiento de datos en Chile y en el extranjero, como por ejemplo en Argentina o Brasil. Con la evolución de la web 2.0 y las redes sociales, el tema de la ubicación física de los servidores ya no es un tema relevante, de hecho en la mayoría de estos servicios masivos ni siquiera nos importa. Dado esto, ¿Por qué no invertir en mantener un respaldo de la información en otro país? Hoy en día existe tecnología que facilita a las empresas el mantener dos sitios operando simultáneamente, mediante la distribución de la carga transaccional, a modo de maximizar el uso de recursos entre varios centros de procesamiento. Asimismo, también se han desarrollado las tecnologías que maximizan el uso del ancho de banda comprimiendo la información trasmitida entre grandes distancias, lo que acelera las comunicaciones sin necesidad de cambiar la infraestructura de estas". María Celeste Garros, Citrix Systems: "La compañía debe asegurarse de que puedan trabajar desde cualquier lugar. Así aseguran la continuidad del negocio. Con una solución de virtualización de escritorio, como Citrix XenDesktop 4, en nuestro caso, es posible que desde un Data Center ubicado en cualquier parte del mundo se le entregue a un ejecutivo todas las herramientas para poder ser productivo. Puede ser el PC de la casa, un Notebook, o un smartphone, ya sea un Blackberry o un iPhone. Éstos últimos pueden ser incluso de mucha utilidad cuando la energía eléctrica es escasa". Helton Capella, APC by Schneider Electric: "Una unidad UPS asegurará no sólo la protección del hardware de los servidores, almacenes, redes, dispositivos, etc, también asegura la integridad de los datos y la disponibilidad del sistema. Incluso 10 segundos de blackouts sin una unidad UPS podría significar perder datos de la memoria del servidor, archivos completos o el disco duro en su totalidad”. Fabián Garrido, Powersel: "Las empresas medianas y sobre todo grandes y corporativas están casi obligados a estar cubiertos en respaldo y con UPS en puntos de enlace dedicados, plantas telefónicas IP, servidores de aplicación y sistemas de medición sensible electrónica". Álvaro Lillo, NeoSecure: "Lo más relevante es que las empresas cuenten con un plan de continuidad de negocio desarrollado exclusivamente para ellos y, además deben poseer tecnología adecuada que les permita operatividad en todo momento. Una vez definidos los planes, se debe identificar que tecnología permitirá soportar éstos, garantizando la disponibilidad de la información y reduciendo los tiempos de restauración de los procesos críticos. Estos planes deben ser revisados de forma continua de manera de validar su efectividad y certificar que realmente estén cubriendo la totalidad de los procesos críticos para el negocio". Joel Bendersky, Netline: "Creo que no es un tema de tecnología si no de preparación, no hay tecnología infalible pero si uno se prepara para las contingencias es muy probable que no se afecte gravemente la empresa". Alfredo Díaz, Anida: "Es necesario que las empresas cuenten con tecnologías de respaldo tanto de datos como energético y replicados con las plataformas del core de la compañía involucrada". ¿Qué parte de la infraestructura hay que proteger en primer lugar y de qué manera debe hacerse? Joel Bendersky, Netline: "Principalmente la energética y de comunicaciones, en un primer momento, esto no solo se refiere a la electricidad sino también a la distribución de combustible en el caso energético y para las comunicaciones se debe tener un protocolo de catástrofe en donde se unifiquen las comunicaciones y se establezca una suerte de roaming inter redes, móvil, fija, ip, radial, etc. con prioridad para comunicaciones de emergencia. María Celeste Garros, Citrix Systems: "Lo más importante en momentos de catástrofe es proteger los datos y el acceso a ellos. Tomar las medidas necesarias para prevenir cualquier pérdida de información. Es por eso que el modelo de infraestructura de los Data Centers debe estar completo. Efectivamente quien no mantuvo sitios de contingencia, su sistema colapsó pues no pudo acceder a sus datos y si no tenía respaldos adecuados no pudo volver al punto de inicio. A mi juicio esto es como la seguridad perimetral, la cual un alto porcentaje de las compañías lo tienen cubierto. Para mantener seguros tus datos debes tener una réplica exacta de tu Data Center en una ubicación alejada. La sala donde están ubicados debe contar con generadores propios y una estructura especial antisísmica. Álvaro Lillo, NeoSecure: "No debiésemos hablar de la protección de la infraestructura como una parte, sino como un todo. La forma de proteger tanto la infraestructura como los datos, depende de una plataforma tecnológica que posee diversos mecanismos de prevención y, además, está diseñada para generar continuidad en sus operaciones independiente de cualquier tipo de vulnerabilidad. Lo óptimo es tratar de minimizar el error humano, automatizando procesos y generando controles complementarios, de esta forma logramos reducir los riesgos de pérdida de continuidad operacional y minimizar los tiempos de recuperación". Alfredo Díaz, Anida: La infraestructura que resguarda lo el cliente determine como servicios críticos, asegurando al máximo lo que representa la contingencia del negocio. Alfredo García Lund, Gallyas: Es prioritario proteger y respaldar la continuidad de servicio de aquellos elementos de la infraestructura que permiten la conectividad, tales como estaciones repetidoras y antenas de transmisión. ¿Qué enseñanzas le ha dejado a la industria TI esta situación extrema? María Celeste Garros, Citrix Systems. "En Chile la industria TI deberá comenzar por la disponibilidad de acceso a la información, ya que aún no está cubierta y eso es lo más importante para la continuidad al negocio. De nada me sirve tener a salvo la data si quienes deben usarla no pueden acceder a ella. El próximo paso será tener un manual de contingencia que permita asegurarse de que todos los empleados de una compañía están a salvo. No hay planes o manuales escritos para saber si están todos bien. Por eso es importante construir redes internas de comunicación. Hay aún muchas cosas que potenciar y que tienen que ver con la velocidad con que una empresa puede volver a ser operativa luego de una tragedia y cómo implementa medidas de teletrabajo y movilidad de sus ejecutivos". Álvaro Lillo, NeoSecure: "Más allá que la industria IT debiésemos hablar como país, en primer lugar tenemos un desafío importante en materia de prevención. Las empresas deben ser conscientes que tienen que invertir en seguridad, ya que de lo contrario se arriesgan a que desaparezca el negocio. En segundo lugar, si tenemos un servicio de data center debemos exigir que esté en las condiciones adecuadas y que me aseguren que en caso de inundación, terremoto o en cualquier otra circunstancia de desastre uno pueda tener acceso a los datos. En tercer lugar, tenemos que contar con los mecanismos de respuesta adecuados, sean estos planes de evacuación, planes de contingencia, planes de recuperación ante desastres y planes de continuidad de negocio. Finalmente, contar con los procedimientos adecuados que permitan probar de manera permanente la efectividad de dichos controles y planes: auditorías a los data center, actualización de los planes, pruebas y ensayos de los planes, entre otras medidas. No hay que olvidar jamás que todo diseño debe estar estructurado para soportar grandes amenazas, tanto naturales como humanas, que pueden golpear a un país en cualquier momento. Es por esto y por el alto impacto que pueden generar estas circunstancias complejas, que se deben considerar implementaciones especiales y específicas para cada tipo de negocio y/o diseño". Joel Bendersky, Netline: "¿Enseñanza? Que no estamos preparados y que debemos prepararnos tanto en infraestructura, como el protocolos, procedimientos y experiencia, debiera haber una especia de operación Deise como en los colegios, pero para las industrias de servicios básicos. Alfredo Díaz, Anida: "Que un porcentaje que no es menor aún no toma las medidas necesarias para asegurar la continuidad operacional y la pérdida de datos. Así también, que la información es un activo vital que, ante cualquier tipo de degradación, no sólo genera pérdidas monetarias si no también puede llegar a salvar vidas si se provee de manera oportuna y no se altera su disponibilidad". Alfredo García Lund, Gallyas: "Que es necesario contar con procedimientos de emergencia, que sean probados periódicamente y que permitan una conctividad minima razonable para operar en esas situaciones". Hans Erpel, NovaRed: "La lección aprendida es que los centros de procesamiento son tan importantes como la tecnología misma. Si una empresa no dispone de instalaciones y condiciones adecuadas, toda la inversión en TI queda obsoleta, y genera cuantiosas pérdidas. Felizmente, en Chile, y en el mundo en general, las empresas se han dado cuenta de que la inversión en seguridad informática es un tema crucial para proteger y potenciar sus negocios, dado que actualmente garantizar la información que circula por los sistemas ya no es un lujo, sino más bien una necesidad". http://www.servi-tec.com.ar/informes_ver_uno.php?ba=177 Fuera de ciclo y en poco más de 15 días tras liberar una actualización múltiple de seguridad para Java, Oracle se ha visto obligada a lanzar una nueva actualización de seguridad para corregir dos vulnerabilidades que podrían permitir a un atacante remoto ejecutar código arbitrario. El 10 de abril contábamos en "una-al-día" el fallo descubierto, de manera independiente, por los investigadores Tavis Ormandy y Ruben Santamarta en la herramienta de despliegue "Java Deployment Toolkit"; además de la vulnerabilidad que permite inyectar una dll a través de Java Web Start, descubierta por Santamarta. La respuesta de Oracle no se ha hecho esperar y la actualización 20 ya está disponible para su descarga. En total corrige las dos vulnerabilidades, con CVE-2010-0886 y CVE-2010-0887, e incluye además tres correcciones de bugs, dos de ellas, en los mismos componentes afectados. Java SE 6 Update Release Notes http://www.servi-tec.com.ar/informes_ver_uno.php?ba=166 Tal y como anunciamos anteriormente Adobe ha publicado una actualización para corregir 15 vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados. Las versiones afectadas son Adobe Reader 9.3.1 (y anteriores) para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.1 (y anteriores) para Windows y Macintosh; y Adobe Reader 8.2.1 (y anteriores) y Adobe Acrobat 8.2.1 (y anteriores) para Windows y Macintosh. Las vulnerabilidades anunciadas son de diversa índole, desde cross-site scripting, varios problemas de denegación de servicio, de corrupción de memoria y de desbordamiento de búfer. Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/ Security update available for Adobe Reader and Acrobat http://www.servi-tec.com.ar/informes_ver_uno.php?ba=164 El pasado día 13 de abril, a través de un post en el blog oficial del equipo de infraestructuras de Apache, se publicaron los detalles acerca de un ataque dirigido sobre los servidores de la fundación Apache. En esta ocasión emplearon una vulnerabilidad desconocida en JIRA (un software de gestión de errores e incidencias en proyectos) que permitía efectuar ataques de cross-site scripting. Los atacantes, a través de un servidor virtual comprometido (alojado en SliceHost), abrieron una incidencia en JIRA en la cual incluyeron una URL corta redireccionada por el servicio TinyURL que desencadenaba el cross-site scripting; consiguieron comprometer varias sesiones de usuario, incluyendo algunas con derechos de administrador. A la vez, emplearon un ataque por fuerza bruta sobre la página de login de JIRA ("login.jsp") en la que se llegaron a contabilizar, según Apache, cientos de miles de combinaciones de passwords. Sin llegar a especificar que método fue exitoso, los atacantes lograron obtener una cuenta de administrador de JIRA que usaron para desactivar las notificaciones de cierto proyecto y cambiar la ruta, sobre la que se depositan los adjuntos, a una con permisos de escritura y ejecución de páginas JSP. Mediante los cambios efectuados consiguen abrir incidencias para subir archivos en los adjuntos. Dichos archivos eran scripts JSP que integraban una especie de shell con la que copiaron los directorios "home" y archivos de varios usuarios de la máquina local. Con la idea de obtener una cuenta con privilegios en la maquina, instalaron un JAR (una aplicación Java empaquetada) que servía de recolector de credenciales y enviaron correos al personal del equipo de infraestructuras pidiéndoles que resetearan sus cuentas en JIRA. El personal del equipo, en vez de sospechar del correo, pensaron que se trataba de un error en JIRA y usaron el password temporal del correo para loguearse en la cuenta y resetearlo, volviendo a usar el mismo. Uno de esos password, ya interceptado por la aplicación de los atacantes, resultaba ser el mismo que una de las cuentas de la máquina local con el agravante de que la cuenta permitía hacer sudo. La máquina comprometida alojaba, además de JIRA, las aplicaciones Confluence (una suerte de wiki), un Bugzilla y varias credenciales cacheadas de Subversion. Con estás credenciales accedieron a otra máquina, la que aloja el servidor people.apache.org e intentaron sin éxito escalar privilegios. En este punto, después de seis horas transcurridas desde el reseteo de los passwords, el equipo de Apache comenzó a contrarrestar el ataque. Apache notificó a Atlassian, el fabricante de JIRA, acerca de la vulnerabilidad usada por los atacantes y en respuesta se han publicado dos boletines de servicio que corrigen el error. Se lamenta Apache que aun después de dos días tras avisar a SliceHost, la empresa de hosting propietaria del servidor virtual comprometido, aun continuaba bajo el dominio de los atacantes e incluso fue empleado para efectuar un ataque adicional sobre Atlassian. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=165 Tal y como adelantamos, este martes Microsoft ha publicado once boletines de seguridad (del MS10-019 al MS10-029) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico", cinco son clasificados como "importantes" y el restante se considera "moderado". En total se han resuelto 25 vulnerabilidades, cinco de ellas reportadas por Hispasec. Los boletines "críticos" son: * MS10-019: Actualización para corregir dos vulnerabilidades en la comprobación de código de autenticación de Windows que podría permitir la ejecución remota de código. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. * MS10-020: Actualización para corregir cinco vulnerabilidades que podrían permitir la ejecución remota de código si un atacante envía una respuesta SMB especialmente creada a una petición de cliente SMB. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. * MS10-025: Actualización para corregir una vulnerabilidad que podría permitir la ejecución remota de código en Servicios de Windows Media en Microsoft Windows 2000 Server. * MS10-026: Actualización para corregir una vulnerabilidad en los códecs de audio MPEG Layer-3 de Microsoft. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo AVI especialmente diseñado que contenga una secuencia de audio MPEG Layer-3. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. * MS10-027: Actualización para corregir una vulnerabilidad de ejecución remota de código en el control ActiveX de Reproductor de Windows Media. Afecta a Microsoft Windows 2000 y Windows XP. Los boletines clasificados como "importantes" son: * MS10-021: Esta actualización de seguridad resuelve ocho vulnerabilidades en el kernel de Windows que podrían permitir la elevación de privilegios local. Cinco de las vulnerabilidades corregidas fueron reportadas por Matthew "j00ru" Jurczyk y Gynvael Coldwind, de Hispasec. Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. * MS10-022: Se trata de una actualización de seguridad para resolver una vulnerabilidad en VBScript de Windows que podría permitir la ejecución remota de código. Afecta a Windows 2000, Windows XP y Windows Server 2003. * MS10-023: Boletín destinado a corregir una vulnerabilidad en Microsoft Office Publisher que podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo de Publisher especialmente diseñado. * MS10-024: Actualización destinada a corregir dos vulnerabilidades en en Microsoft Exchange y en el servicio SMTP de Windows. * MS10-028: Actualización que soluciona dos vulnerabilidades en Microsoft Office Visio que podrían permitir la ejecución remota de código si un usuario abre un archivo de Visio especialmente diseñado. Por último, la vulnerabilidad considerada como "moderada": * MS10-029: Actualización publicada para evitar una vulnerabilidad en el componente ISATAP de Windows que podría permitir que un atacante suplantara una dirección IPv4. Esto podría ser empleado por un atacante para pasar por alto dispositivos de filtrado que se basen en la dirección IPv4 de origen. Afecta a Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=167 Este martes 13 puede ser un día de mucho trabajo para un gran número de administradores, se espera la publicación de actualizaciones críticas para los productos de Microsoft, Oracle (incluyendo Solaris) y Adobe. Estamos acostumbrados a que los segundos martes de cada mes se publiquen las actualizaciones de Microsoft. Pero este mes además de los boletines de Microsoft coinciden las actualizaciones de Adobe y de los productos de Oracle, que tras su compra de Sun ahora también incluye actualizaciones de Solaris dentro de sus actualizaciones trimestrales. Microsoft ha anunciado que en esta ocasión se esperan 11 boletines de seguridad (cinco de ellos críticos). Afectan a toda la gama del operativo Windows, Office y Exchange y está programado corregir 25 vulnerabilidades (cinco de ellas reportadas por Hispasec) entre todos los boletines. Oracle por su parte publicará un grupo de parches destinados a corregir un total de 47 vulnerabilidades. Entre ellos, 7 parches afectan a Oracle Database, 8 parches afectan a Oracle E-Bussines Suite y Aplicaciones y 16 parches afectan a la suite de productos Oracle Solaris (antes Sun Solaris). Por último, Adobe planea publicar actualizaciones para Adobe Reader 9.3.1 para Windows, Macintosh y UNIX; Adobe Acrobat 9.3.1 para Windows y Macintosh; y Adobe Reader 8.2.1 y Acrobat 8.2.1 para Windows y Macintosh para solucionar un número no determinado de problemas críticos. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=168 Se ha confirmado la existencia de una vulnerabilidad en IBM Systems Director 6.1.2 que podría permitir a un usuario local elevar sus privilegios en los sistemas afectados. IBM Systems Director es una herramienta que permite administrar y controlar servidores físicos y virtuales. El problema reside en la incorrecta asignación de permisos de archivo para determinados ficheros. Un usuario local puede llegar a modificar archivos en el sistema para lograr la ejecución de código arbitrario con privilegios elevados. IBM ha publicado la actualización APAR PM08236 para corregir este problema, que también quedará solucionado en la versión 6.1.2.3 del agente. PM08236: UNPRED-HLIC APAR FOR IBM SYSTEMS DIRECTOR DEVELOPMENT DEFECT FIX. 145717 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=163 Tavis Ormandy, reputado investigador y empleado de Google, ha publicado un aviso de seguridad en la lista de Full Disclosure donde describe un método para inyectar parámetros arbitrarios a través de Java Deployment Toolkit. Se trata de un 0-day que podría permitir a un atacante remoto ejecutar una aplicación java arbitraria, desde una ubicación controlada por el atacante y sin más restricciones que las aplicadas a una aplicación java lanzada por el propio usuario. Java Deployment Toolkit provee de un objeto Javascript que facilita a los desarrolladores Java el despliegue de aplicaciones abstrayendo las particularidades de cada navegador y versión del JRE instalado por el usuario. El Java Deployment Toolkit viene incorporado y se instala por defecto en el JRE a partir de la actualización 10 de la versión 6. Para Internet Explorer es un objeto ActiveX a invocar y para los navegadores que lo soporten es un plugin de arquitectura NPAPI asociado a un tipo MIME (en realidad hay dos versiones del tipo MIME asociado, ya que se actualizó la denominación haciéndolo más descriptivo). Una vez cargado, el objeto Javascript "deployJava" ofrece una serie de métodos que, como ya se ha comentado, facilitan al desarrollador el despliegue de aplicaciones en el cliente. Entre estos, Ormandy descubrió que el método "launch" no valida correctamente la URL pasada como parámetro. Dicho parámetro debería contener una cadena con una URL hacia un archivo .jnlp, que contiene información para el despliegue de una aplicación Java Web Start. Sin embargo, al no ser validada correctamente, se pasa tal cual a "javaws" (básicamente el ejecutable que carga la aplicación Java Web Start). javaws admite entre sus parámetros una opción '-J' para pasar argumentos a la máquina virtual, Ormandy en su prueba de concepto usó el parámetro de la máquina virtual "-jar", que insta a la misma a ejecutar una aplicación Java empaquetada en un jar. Ormandy usó una ruta UNC hacia un jar que lanza la calculadora de Windows (el HelloWorld en la explotación de vulnerabilidades). Se da la circunstancia de que el investigador español Ruben Santamarta tenía conocimiento del 0-day semanas antes de la publicación por parte de Ormandy. Santamarta incluso llegó más lejos descubriendo adicionalmente dos parámetros de línea de comandos no documentados que soportan los ejecutables "java.exe" y "javaws.exe", máquina virtual y Java Web Start respectivamente, y que permiten la inyección de una dll remota. En este momento Oracle, la ahora propietaria de toda la tecnología de Sun tras su compra, no se ha pronunciado de manera oficial y no existen recomendaciones del fabricante. Ambos investigadores ofrecen indicaciones para mitigar las vulnerabilidades en sus respectivos avisos. Más información Java Deployment Toolkit Performs Insufficient Validation of Parameters [0DAY] JAVA Web Start Arbitrary command-line injection - "-XXaltjvm" arbitrary dll loading Java™ Rich Internet Applications Deployment Advice http://www.servi-tec.com.ar/informes_ver_uno.php?ba=162 Siguiendo con el calendario trimestral de publicación de actualizaciones de seguridad, Oracle publicará el próximo martes 13 de abril un grupo de parches que corrigen un total de 47 vulnerabilidades. Se trata así de un día crítico para muchos administradores ya que coincide con la publicación de 11 boletines de seguridad de Microsoft. En esta ocasión cabe reseñar la inclusión del sistema operativo Solaris, el cual, tras la compra de Sun por parte de Oracle pasa a integrarse dentro del calendario de publicaciones trimestrales. A continuación ofrecemos una relación de productos y número de vulnerabilidades corregidas. Siete parches afectan a Oracle Database. Ninguna de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Change Data Capture, Core RDBMS, JavaVM, Oracle XDB, RDBMS Security y XML DB. Cinco parches afectan a Oracle Fusion Middleware. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle Internet Directory y Portal. Un parche afecta a Oracle Collaboration Suite. La vulnerabilidad podría ser explotada por un atacante remoto sin autenticar. El componente afectado es el interfaz de usuario. Ocho parches afectan a Oracle E-Bussines Suite y Aplicaciones. Seis de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: E-Bussines Intelligence, Agile Engineering Data Management, Application Object Library, HRMS, iStore, Transportation Management, Workflow Cartridge. Cuatro parches afectan a Oracle PeopleSoft Enterprise y JD Edwards EnterpriseOne. Dos de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Todas afectan al componente PeopleTools. Seis parches afectan a Oracle Industry Suite. Todas las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Communications Unified Inventory Management, Clinical Remote Data Capture Option, Thesaurus Management System, Retail Markdown Optimization, Retail Place In-Season y Retail Plan In-Season. 16 parches afectan a la suite de productos Oracle Solaris. Ocho de las vulnerabilidades podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Solaris, Sun Cluster, Sun Convergence, Sun Java System Access Manager, Sun Java System Communications Express, Sun Java System Directory Server, Sun Management Center y Sun Ray Server Software. Oracle Critical Patch Update Pre-Release Announcement - April 2010 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2010.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=160 En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 11 boletines de seguridad. Afectan a toda la gama del operativo Windows, Office y Exchange. Pueden contener un número indeterminado de vulnerabilidades, aunque está programado corregir 25 vulnerabilidades (cinco de ellas reportadas por Hispasec) entre todos los boletines. Hace más de un año que no se publicaban actualizaciones para Exchange. Si en marzo se publicaron solo dos boletines de seguridad dentro del ciclo habitual, más un tercerdo de emergencia dedicado a Internet Explorer que fue emitido poco después,, este mes Microsoft prevé publicar 11 el próximo 13 de abril. Se confirma la tendencia que últimamente sigue Microsoft, en la que un mes se publican entre dos y cuatro boletines y al siguiente ciclo suelen dispararse a más de diez. Se consideran críticos cinco de ellos. Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Parece que por fin se corregirá un fallo en SMB que permite provocar una denegación de servicio en el sistema, y que reconoció el 13 de noviembre de 2009. Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora. Microsoft Security Bulletin Advance Notification for April 2010 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=161 IBM ha anunciado la existencia de una vulnerabilidad en IBM WebSphere Portal versiones 6.1.0.2 y anteriores. IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E. El problema se sabe que está relacionado con el proceso de login, sin embargo IBM no ha facilitado más detalles sobre el problema, por lo que se desconoce tanto el impacto como los posibles vectores de ataque. Se recomienda actualizar a IBM WebSphere Portal versión 6.1.0.3 Cumulative Fix 03 PM08667: LOGIN VULNERABILITY http://www.servi-tec.com.ar/informes_ver_uno.php?ba=169 Mozilla ha publicado una actualización de seguridad para el navegador Firefox que corrige una vulnerabilidad que podría permitir a un atacante remoto ejecutar código arbitrario. La vulnerabilidad se publicó en el Pwm2Own, un concurso dentro del contexto de la conferencia de seguridad CanSecWest, donde se compite por ser el primero en explotar los principales navegadores y teléfonos móviles. Un investigador alemán de MWR InfoSecurity llamado Nils encontró una vulnerabilidad en Firefox concretamente un fallo de corrupción de memoria al mover nodos de un árbol DOM entre documentos. Nils encontró una forma de mover un nodo reteniendo el ámbito anterior y provocando que el objeto fuese liberado erróneamente en cierto instante durante la recolección de memoria, posteriormente se usa el puntero lo que posibilita la ejecución de código arbitrario. Nils también fue el mismo que gano los premios correspondientes a Internet Explorer, Firefox y Safari de la edición del Pwm2Own de 2009. La vulnerabilidad con CVE-2010-1121 ha sido corregida en la versión 3.6.3. Mozilla ha informado que aunque la vulnerabilidad solo está presente en la rama 3.6 publicará un parche para la 3.5 ya que podría llegar a ser factible, mediante una forma alternativa a la presentada, explotar la vulnerabilidad. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=170 Foxit ha publicado la versión 3.2.1 de su lector de documentos PDF. Esta versión corrige un fallo de diseño que podría permitir a un atacante incrustar un archivo binario en un documento PDF y proceder a su ejecución una vez abierto el documento por el usuario. Foxit Reader es un lector PDF alternativo al extendido Adobe Reader. El lector de Foxit ha experimentado en los últimos tiempos un crecimiento notable de su base de usuarios; en parte debido a los continuos problemas de seguridad del de Adobe. El error fue descubierto por Didier Stevens, experto en seguridad y gran conocedor de los entresijos del formato PDF, mientras efectuaba una prueba de concepto tratando de saltarse la protección frente a ejecutables incrustados de ambos lectores PDF. Aunque en un principio los lectores PDF no permiten ejecutar un binario o script incrustado en el documento, Didier consiguió evadir mediante una técnica propia dicha protección consiguiendo ejecutar el contenido incrustado. En el lector de Adobe se encontró una protección adicional, ya que aunque permite la ejecución muestra antes un dialogo de advertencia al usuario. Dicho cuadro de dialogo no está presente en Foxit Reader el cual pasa a la ejecución directamente. Didier también apunta que deshabilitar Javascript en los lectores no previene ante la ejecución ya que se trata de "una forma creativa de usar la propia especificación del formato" y no de la explotación de una vulnerabilidad en concreto. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=159 Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X versiones 10.5 y 10.6 que solventa 88 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto con múltiples efectos. Esta es la segunda gran actualización del año (con el código 2010-002). Los componentes y software afectados son: AppKit, Application Firewall, AFP Server, Apache, ClamAV, CoreAudio, CoreMedia, CoreTypes, CUPS, curl, Cyrus IMAP, Cyrus SASL, DesktopServices, Disk Images, Directory Services, Dovecot, Event Monitor, FreeRADIUS, FTP Server, iChat Server, ImageIO, Image RAW, Libsystem, Mail, Mailman, MySQL, OS Services, Password Server, perl, PHP, Podcast Producer, Preferences, PS Normalizer, QuickTime, Ruby, Server Admin, SMB, Tomcat, unzip, vim, Wiki Server, X11 y xar. Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde: http://support.apple.com/downloads/ Dada la gravedad y elevado número de vulnerabilidades corregidas se recomienda la actualización del sistema con la mayor brevedad posible. Acerca del contenido de seguridad de la actualización de seguridad 2010-002 / Mac OS X v10.6.3 http://support.apple.com/kb/HT4077?viewlocale=es_ES http://www.servi-tec.com.ar/informes_ver_uno.php?ba=153 Oracle, propietaria de los productos de Sun tras su compra, ha publicado una actualización de la plataforma Java SE (Standard Edition) que incluye 27 parches de seguridad. Todas las vulnerabilidades son explotables en remoto y sin necesidad de autenticación. 23 de ellas podrían afectar a la integridad, confidencialidad y disponibilidad. Dos de las vulnerabilidades han sido corregidas en la librería ImageIO. cinco en la librería Java2D, nueve en el motor de entorno de ejecución (JRE), tres en JavaWeb Start, 1 en la herramienta para comprimir jars "pack200", cuatro en la librería Sound, 1 en JSSE (Java Secure Socket Extension) y dos en la versión servidor de la máquina virtual HotSpot. Además de los parches de seguridad esta actualización contiene 28 correcciones entre errores y mejoras. Oracle recomienda actualizar a la revisión 19 del JDK y JRE en la versión 6. Opina sobre esta noticia: http://www.hispasec.com/unaaldia/4176/comentar Más información Oracle Java SE and Java for Business Critical Patch Update Advisory - March2010 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=152 Hoy no es el segundo martes del mes pero Microsoft acaba de publicar el boletín de seguridad MS10-018 de carácter crítico, en el que se solucionan hasta diez vulnerabilidades diferentes en Internet Explorer. Si bien la publicación con carácter de urgencia se debe a la última vulnerabilidad recientemente anunciada y que está siendo utilizada de forma activa. La vulnerabilidad que ha propiciado la publicación del boletín afecta a Internet Explorer 6 y 7. Con el CVE-2010-0806 asignado, se encuentra en "iepeers.dll" y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado. Ya tratamos anteriormente este problema en una-al-día. Aparte de este problema la actualización corrige otros nueve problemas que afectan a Internet Explorer 5.01, 6, 7 y 8, relacionados mayoritariamente con el tratamiento de objetos en memoria y que podrían dar lugar a la ejecución de código arbitrario de forma remota. La actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización del navegador con la mayor brevedad posible. Se puede ver el boletín de Microsoft en: http://www.microsoft.com/spain/technet/security/bulletin/ms10-018.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=151 Lexmark ha anunciado dos vulnerabilidades que afectan a más de 60 modelos diferentes y que podrían ser empleadas por un usuario de la red para provocar denegaciones de servicio o incluso comprometer los dispositivos afectados. El problema de mayor gravedad sólo afecta a las impresoras láser, y se refiere a un desbordamiento de búfer en la funcionalidad de tratamiento de Printer Job Language (PJL) cuando maneja datos de gran tamaño enviados al puerto 9100/TCP. Un atacante remoto podría explotar este problema para ejecutar código arbitrario. Por otra parte, un error en el servicio FTP al procesar repetidas conexiones ftp pasivas abortadas, esto podría provocar que la impresora afectada ignore conexiones TCP entrantes lo que provoca una condición de denegación de servicio. Este problema afecta a impresoras Lexmark Láser, inyección y MarkNet. Dada la diversidad de productos y modelos afectados se recomienda consultar los avisos publicados por Lexmark y actualizar en caso de necesidad. http://support.lexmark.com/index?page=content&id=TE84 http://support.lexmark.com/index?page=content&id=TE85 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=158 Se ha publicado una actualización de OpenSSL que corrige una vulnerabilidad que podría ser aprovechada por un atacante remoto para causar una denegación de servicio. La vulnerabilidad, a la cual se le ha asignado el CVE-2010-0740 y ha sido bautizada con el reminiscente nombre de "Record of Death", fue descubierta y corregida por Bodo Moeller y Adam Langley, colaboradores habituales del proyecto. El error se encuentra en el archivo "ssl/s3_pkt.c", concretamente en la función "ssl3_get_record". Durante las conexiones TLS, el servidor o cliente pueden dejar de responder al recibir paquetes con un formato incorrecto en los registros, cuyo procesamiento podría desembocar en un intento de lectura a NULL. Dicha vulnerabilidad afecta a todas las versiones desde 0.9.8f hasta la 0.9.8m y en esta última, sólo en el caso que haya sido compilada con un compilador que posea el tipo "short" definido como entero de 16 bits. OpenSSL ha publicado una actualización que corrige esta vulnerabilidad en la versión 0.9.8n. "Record of death" vulnerability in OpenSSL 0.9.8f through 0.9.8m http://openssl.org/news/secadv_20100324.txt http://www.servi-tec.com.ar/informes_ver_uno.php?ba=148 Mozilla por fin ha publicado oficialmente la versión 3.6.2 del navegador Firefox que soluciona (entre otros) un fallo de seguridad que estaba siendo aprovechado por atacantes y del que se rumoreaba desde hace un mes. Por su parte (en su dinámica habitual) el gobierno alemán recomendó no usar el navegador hasta que el fallo fuese corregido. La compañía rusa de seguridad Intevydis, aseguró a mediados de febrero que conocía una vulnerabilidad del navegador Firefox que podría permitir la ejecución de código arbitrario con solo visitar una página web. Mozilla dijo que no podía confirmar el fallo. Evgeny Legerov, de Intevydis, dijo que encontrar el problema y crear un exploit no era trivial pero que era muy fiable y funcionaba en la instalación por defecto del navegador sobre XP y Vista. Efectivamente se confirma que el fallo era real, que en esta versión 3.6.2 se soluciona y que estaba siendo aprovechada por atacantes desde hace semanas. Intevydis es la desarrolladora de VulnDisco. Se trata de un pack para CANVAS que contiene exploits para vulnerabilidades no parcheadas de decenas de programas. En su última versión de principios de febrero, contenía una vulnerabilidad desconocida hasta ahora para Firefox 3.6. Desde entonces parece que el fallo ha estado siendo aprovechado, aunque Intevydis mantuvo en secreto la vulnerabilidad y solo fue comercializada a través de VulDisco. Pero, como era de esperar, en algún momento la información ha sido filtrada y ha caído en manos de los atacantes. Mozilla no pudo encontrar la vulnerabilidad aunque supiera que existía, y en un principio no reconocía el fallo. Al parecer, el propio Evgeny Legerov se puso en contacto con la fundación el 18 de marzo, después de que la compañía Secunia confirmara la vulnerabilidad. Aportó los detalles suficientes y entonces es cuando lo han corregido. En total, se ha necesitado aproximadamente un mes para tener lista una versión estable y oficial que solucione el problema. Mozilla ha adelantado su nueva versión, prevista para el 30 de marzo. Como viene siendo habitual, y ante el inminente peligro, la Oficina Federal para la Seguridad de la Información alemana recomendaba no usar Firefox hasta que existiese una actualización oficial. Primero, la recomendación de abandono temporal del navegador le tocó a Chrome, luego a Internet Explorer (noticia con mucha más repercusión que el resto) y ahora a Firefox. Efectivamente, como adelantábamos en una una-al-día anterior, "si la intención [del gobierno alemán] es, con buen criterio, disuadir del uso temporal de programas con graves vulnerabilidades hasta que sean resueltas, la lista debería ser demasiado larga." Más información: Update on Secunia Advisory SA38608 Mozilla Foundation Security Advisory 2010-08 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=146 IBM ha reconocido la existencia de una vulnerabilidad en OS/400, que podría ser empleada por usuarios maliciosos para conseguir acceso a información sensible. El problema reside en el servidor http por un error en el tratamiento de cabeceras al procesar determinadas peticiones. Mediante peticiones específicamente creadas un atacante remoto podría emplear este problema para acceder datos de la memoria con información de peticiones anteriores. Se recomienda aplicar el APAR SE42335. SE42335 - HTTPSVR - Patch Apache Vulnerability CVE http://www.servi-tec.com.ar/informes_ver_uno.php?ba=147 OpenSuSE ha publicado una actualización para el kernel de OpenSuSE Linux 11.2 que corrige diversos problemas de seguridad que podrían permitir la realización de ataques de denegación de servicio. Los problemas corregidos tienen relación con el manejo de ciertas operaciones de desbloqueo de "Priority Inheritance" (PI); con el tratamiento de determinados conteos de referencias en el kernel; con la validación de valores de nodo; con el tratamiento de múltiples mensajes NETLINK_CONNECTOR y en el emulador x86 en el subsistema KVM. Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update). [security-announce] SUSE Security Announcement: Linux kernel (SUSE-SA:2010:018) http://www.servi-tec.com.ar/informes_ver_uno.php?ba=149 Charlie Miller no es ningún charlatán. Ya en 2007 encontró cómo ejecutar código en un iPhone simplemente visitando una web con Safari. También es responsable del fallo que permitía ejecutar código en iPhone a través de SMS, además de destapar muchos otros fallos de seguridad en Mac. A final de mes revelará 20 formas distintas de ejecutar código en un Mac de forma remota, y otras 10 vulnerabilidades en otros programas. Miller alega que Apple sigue sin tomarse en serio la seguridad, puesto que sus pruebas fueron realmente simples. De hecho lo ha llamado "Apple Hacking For Dummies." Miller revelará los fallos en la CanSecWest security conference de Vancouver. Ha encontrado 30 vulnerabilidades en total (críticas, o sea, que permiten ejecución de código) en cuatro lectores de PDF. El peor parado es la aplicación "vista previa" (Preview) de Apple. Esta aplicación permite visualizar de forma simple diferentes formatos de archivos en Mac OS. 20 de estos fallos permiten ejecución de código con solo procesar ficheros PDF especialmente manipulados. Puesto que Safari puede procesar PDF con la vista previa al visitar una web, los fallos son aprovechables con solo visitar una página. Lo más curioso es la forma en la que Miller ha encontrado las vulnerabilidades. Puso a prueba cuatro programas: Adobe Reader, la vista previa de Apple, PowerPoint y OpenOffice. Con un script en python de 5 líneas, modificaba un bit de un fichero PDF o PPT y se lo pasaba a los diferentes lectores. Así, en tres semanas, consiguió 1.000 formas diferentes de hacer que los programas dejasen de responder (1.000 denegaciones de servicio). Pero cuando estudió algunas de ellas detenidamente, sacó 30 vulnerabilidades que permiten la ejecución de código. El peor parado, sin duda, la vista previa de Apple con 20 de esos errores. Esto no significa que PowerPoint, OpenOffice o Adobe Reader (este último, especialmente) no contenga más vulnerabilidades que las encontradas por Miller. Cabe recordar que el investigador es especialista en Mac y probablemente se haya centrado en este software para encontrar las 20 vulnerabilidades críticas. Miller se queja de la seguridad de Apple. Todavía no sabe si pondrá a prueba a la compañía para comprobar cuánto tardan en solucionar los errores. Es más, se sorprende de que una sola persona consiga encontrar tantos fallos en casa armado exclusivamente con un script muy sencillo, mientras que compañías como Apple (con decenas de ingenieros de software) parecen no haber realizado este tipo de pruebas antes o no haber llegado a prevenirlas de alguna forma. Miller seguirá investigando, y espera que algunos de estos fallos sean reproducibles en el iPhone. Apple debe dar un giro hacia la seguridad como prioridad en sus productos antes de que el popular teléfono se convierta en objetivo de los atacantes. A pesar de haber sufrido innumerables reveses en cuestión de seguridad, de haberse hecho públicos errores avergonzantes, y de ser mantener una política de seguridad muy cuestionable, Apple sigue priorizando el diseño y la funcionalidad, dejando quizás un poco de lado la cada vez más necesaria seguridad. Adobe (en plena crisis en este aspecto) está reaccionando con anuncios de mejora en sus métodos de actualización, entre otras medidas. ¿Para cuándo Apple? Researcher Will Expose 20 Hackable Apple Security Flaws http://www.servi-tec.com.ar/informes_ver_uno.php?ba=144 Se han anunciado un total de nueve vulnerabilidades en Google Chrome, el navegador de Google. Un atacante remoto podría emplear estos problemas para evitar restricciones de seguridad, descubrir información sensible o comprometer un sistema vulnerable. El primer problema se debe a errores de punteros en la sandbox mientras que otro problema se debe a metadatos persistentes como Web Databases y STS. Más problemas se dan porque las cabeceras http se procesan antes de la comprobación de navegación segura (SafeBrowsing). Una vulnerabilidad de ejecución remota de código se produce al procesar SVG mal construidos. Otro problema de desbordamiento de entero en objetos JavaScript WebKit, también podría emplearse para ejecutar código arbitrario. Otros problemas están relacionado con los diálogos de autenticación http básica y de descargas. Una última vulnerabilidad reside en el tratamiento de elementos SVG vacíos. Se recomienda actualizar a Google Chrome versión 4.1.249.1036, disponible desde: http://www.google.com/chrome http://www.servi-tec.com.ar/informes_ver_uno.php?ba=143 Microsoft y Adobe están trabajando conjuntamente en el proceso de actualizaciones de seguridad, posiblemente la firma de Redmond distribuya las actualizaciones de productos Adobe a través de Windows Update. En la actualidad una gran parte del malware que se distribuye es a través de archivos pdf, principalmente para aprovechar vulnerabilidades de Adobe Reader para su distribución. Por este motivo, el software de Adobe, sus vulnerabilidades, la distribución de parches y la actualización de este software representa un serio problema para Microsoft y sus sistemas operativos. La buena noticia es que Microsoft ha confirmado la colaboración entre las dos firmas para desarrollar soluciones que mejoren la experiencia del usuario en la actualización del software. Todo parece indicar que aun queda mucho trabajo por hacer, y aun no hay ninguna fecha final para tener una respuesta concreta, pero los pasos más importantes ya se están dando. Microsoft ha recalcado que la colaboración está enfocada en permitir o hacer posible que las actualizaciones de Adobe se distribuyan a través de los productos y servicios de administración centralizada de Microsoft, como System Center Configuration Manager (SCCM) o System Center Essentials (SCE). Más información: Microsoft and Adobe Collaborating on Security Patches http://www.servi-tec.com.ar/informes_ver_uno.php?ba=142 Se ha descubierto una vulnerabilidad en IBM HTTP Server 6.0 o 6.1 en sistemas Windows que podría ser aprovechada por un atacante para causar una denegación de servicio o comprometer los sistemas afectados. El problema afecta a los sistemas que carguen la directiva LoadModule para el módulo "mod_isapi" (por que hayan quitado el comentario de dicha directiva en el archivo de configuración). El módulo mod_isapi permite al servidor http utilizar DLLs diseñadas para su uso con Microsoft IIS. El problema se produce cuando un atacante envía múltiples peticiones de URLs maliciosamente contruidas para que sean tratadas por mod_isapi lo que puede provoar errores, caídas o llegar a permitir la ejecución de código remoto. Se recomienda aplicar el parche PM09447 disponible desde: http://www-01.ibm.com/support/docview.wss?uid=swg1PM09447 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=141 Dentro del conjunto de boletines de seguridad de marzo publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-017) de una actualización importante para evitar siete vulnerabilidades en Microsoft Excel que podrían permitir a un atacante remoto ejecutar código arbitrario si un usuario abre un archivo Excel especialmente manipulado. Varias vulnerabilidades están relacionadas con el tratamiento y análisis de registros, viéndose afectados los registros MDXTUPLE, MDXSET, DbOrParamQry y FNGROUPNAME, otro problema afecta a analizar el archivo XLSX, mientras que una última vulnerabilidad reside al confundir el tipo de objeto de hoja de Excel. Se recomienda instalar la actualización a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de las actualizaciones. Más información: Boletín de seguridad de Microsoft MS10-017 - Importante Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código (980150) http://www.microsoft.com/spain/technet/security/Bulletin/MS10-017.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=139 Se ha dado a conocer una vulnerabilidad en Skype (en todas las versiones previas a la 4.2.0.1.55 (v4.2 hotfix #1) para Windows), que podría ser aprovechada por un atacante para evitar restricciones de seguridad y descubrir información sensible. Skype es un el cliente de VoIP (voz sobre IP) muy popular, tiene millones de usuarios por todo el mundo y permite las comunicaciones a través de chat, voz y videoconferencia con otros usuarios de Skype o de teléfonos fijos. Además está disponible para distintas plataformas Windows, Linux y Mac OS X. El problema está provocado por un error en el tratamiento de los parámetros en determinadas URIs. Un atacante podría explotar la vulnerabilidad si inyecta un argumento "/Datapath" malicioso; por ejemplo apuntando a un recurso SMB compartido remoto. Esto podría aprovecharse para controlar algunas configuraciones de Skype (como la política de seguridad o la configuración proxy) y conseguir así acceso a información sensible (como los logs de los chats o el histórico de llamadas). Para lograr explotar con éxito esta vulnerabilidad se requiere engañar o inducir al usuario de Skype a acceder a una URI "skype:" específicamente creada y también dependerá del navegador que use. Para evitar este problema se ha publicado la versión 4.2.0.1.55 (v4.2 hotfix #1). http://www.servi-tec.com.ar/informes_ver_uno.php?ba=140 Este martes Microsoft ha publicado dos boletines de seguridad (MS10-016 y MS10-017) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft ambos boletines presentan un nivel de gravedad "importante". En total se han resuelto ocho vulnerabilidades. Los boletines publicados son: * MS10-016: Actualización para corregir una vulnerabilidad en Windows Movie Maker y Microsoft Producer 2003, que podría permitir la ejecución remota de código si un atacante envía un archivo de proyecto de Movie Maker o Microsoft Producer especialmente diseñado y convence al usuario de que lo abra. Microsoft aclara que Windows Live Movie Maker (disponible para Windows Vista y Windows 7) no está afectado por esta vulnerabilidad. * MS10-017: Actualización que soluciona siete vulnerabilidades en Microsoft Office Excel que podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado. Afecta a Microsoft Office XP, Office 2003, 2007 Microsoft Office System Service y las versiones Office 2004 y 2008 para Mac. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible. Resumen del boletín de seguridad de Microsoft de marzo de 2010 http://www.microsoft.com/spain/technet/security/bulletin/ms10-mar.mspx Boletín de seguridad de Microsoft MS10-016 - Importante Una vulnerabilidad en Windows Movie Maker podría permitir la ejecución remota de código (975561) http://www.microsoft.com/spain/technet/security/bulletin/ms10-016.mspx Boletín de seguridad de Microsoft MS10-017 - Importante Vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código (980150) http://www.microsoft.com/spain/technet/security/Bulletin/MS10-017.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=137 Microsoft informa de una vulnerabilidad en el navegador Internet Explorer que podría permitir a un atacante remoto ejecutar código arbitrario, con los permisos del usuario, a través de un sitio web especialmente manipulado. La vulnerabilidad, a la que se le ha asignado el CVE-2010-0806, se encuentra en "iepeers.dll" y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado. Microsoft ha detectado y confirma que la vulnerabilidad está siendo explotada activamente. Se consideran vulnerables las versiones 6 y 7. Se recomienda seguir las indicaciones de Microsoft a fin de minimizar el impacto. Microsoft está trabajando para publicar un parche que solucione esta vulnerabilidad. Más información: Microsoft Security Advisory (981374) http://www.microsoft.com/technet/security/advisory/981374.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=136 OpenSuSE ha publicado una actualización para el kernel de OpenSuSE Linux 11 que corrige diversos problemas de seguridad. Los problemas corregidos tienen relación con el subsistema hfs, el intérprete ELF, las operaciones de desbloqueo de prioridad de herencia y errores en "drivers/connector/connector.c" y "mm/migrate.c". Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update). http://www.servi-tec.com.ar/informes_ver_uno.php?ba=138 No es la primera vez que ocurre, y por desgracia tampoco será la última. A través de una-al-día ya hemos informado en más de una ocasión sobre malware distribuidos es aplicaciones legalmente adquiridas; en esta ocasión y de forma casi simultanea se ha anunciado que Vodafone y Energizer han distribuido productos que incluían algo más que lo que el comprador esperaba. Grandes fabricantes como HP o Disney, entre otras han visto como en sus discos, CDs o drivers, etc. se "colaba" de forma accidental algún ejemplar de malware. En esta ocasión los afectados han sido los usuarios de Vodafone y Energizer. Por una parte, Panda ha dado a conocer que Vodafone, en el paquete con el que distribuye el HTC Magic con Android incluye el cliente para incorporar el equipo a la botnet Mariposa, recientemente descubierta. Además también se incluye el no menos conocido Conficker y Lineage, un programa para robar contraseñas. Mucho más desapercibido podría pasar el troyano en el software opcional de los cargadores Energizer USB Duo; un cargador de pilas a través del USB con una aplicación Windows que permitía comprobar el estado de la carga. Sin embargo al instalar dicho software también se instalaba un troyano (Arucer.dll) en el sistema con el que cualquier atacante remoto podría lograr el control de los sistemas afectados. Una vez más las recomendaciones habituales, comprobar todas las aplicaciones que vayamos a instalar en el sistema (VirusTotal puede ser una buena opción para ello) y utilizar Windows con una cuenta con permisos restringidos. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=133 Microsoft ha comunicado, a través del blog del equipo del centro de respuesta de seguridad, de una vulnerabilidad en Internet Explorer que podría permitir la ejecución de código arbitrario visitando una página web especialmente manipulada. Es necesario además para completar el ataque, que el atacante incite a la víctima a pulsar el botón F1 para lanzar la función de ayuda. Tanto la vulnerabilidad como la prueba de concepto fueron originalmente publicadas el día 26 de febrero por Maurycy Prodeus, del grupo polaco iSEC, en la lista de Full Disclosure. En el aviso detalla cómo la función "MsgBox" proporciona un parámetro en el que se puede indicar la ruta hacia un archivo .hlp. Si la víctima presiona F1, el archivo con formato win32hlp será procesado. Dichos archivos están clasificados por Microsoft como inseguros, al permitir acciones que podrían desembocar en un riesgo para el usuario si la fuente no es confiable. Entre las capacidades peligrosas está la posibilidad de portar una DLL, lo que potencialmente convertiría al archivo en el equivalente a un ejecutable. El soporte para este tipo de archivos, que se remontan a las primeras versiones de Windows, fue retirado en 2006, siendo Windows Vista y Windows Server 2008 los primeros sistemas de Microsoft que no disponen por defecto de un visor integrado para el formato (aunque se puede descargar oficialmente). Microsoft informa que esta vulnerabilidad no afecta a los sistemas operativos Windows 7, Windows Vista, Windows Server 2008 y Windows Server 2008 R2. El aviso de seguridad de iSEC reporta como vulnerable a la plataforma Windows XP SP3 con las versiones de Internet Explorer 6, 7 y 8. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=132 Se ha confirmado la existencia de de una vulnerabilidad en IBM Lotus iNotes (Lotus Domino Web Access), por la que un atacante remoto podría comprometer los sistemas afectados. El problema reside en desbordamientos de búfer en controles ActiveX, que podrían ser explotados por un atacante remoto a través de una página HTML especialmente creada. Si el usuario abre la página, se producirá el desbordamiento y la consiguiente ejecución de código arbitrario. El código se ejecutará con los privilegios del usuario atacado. Los CLSIDs de los controles afectados son: 3BFFE033-BF43-11d5-A271-00A024A51325 983A9C21-8207-4B58-BBB8-0EBC3D7C5505 E008A543-CEFB-4559-912F-C27C2B89F13B IBM ha publicado una corrección (7.0.4, 8.5) para evitar este problema. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=134 Se ha publicado recientemente una nueva versión de PHP (versión 5.2.13) que ha solucionado dos fallos de seguridad. PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida. El primero de los problemas reside en un fallo en el código de validación de safe_mode en la función tempnam(). Mientras que el segundo problema podría permir evitar los controles impuestos por open_basedir y safe_mode en la extensión de sesión. Además, la nueva versión corrige otra serie de problemas de diversa índole. La nueva versión se encuentra disponible para descarga desde: http://www.php.net/downloads.php http://www.servi-tec.com.ar/informes_ver_uno.php?ba=129 Se ha anunciado una vulnerabilidad en Adobe Download Manager (anterior al 23 de febrero de 2010) que podría ser empleada por atacantes remotos para lograr el compromiso de los sistemas afectados. El fallo en realidad, se encuentra en su componente NOS, creado por otro fabricante. El fallo está en getPlus Download Manager de NOS, usado por, entre otras compañías, Adobe en el componente Adobe Download Manager. GetPlus Downloader se instala en forma de ActiveX. Adobe lo usa para facilitar la instalación de Adobe Reader a través de Internet Explorer. Adobe Download Manager se instala por defecto al descargar Adobe Reader o Flash para Windows desde el sitio web de Adobe, pero de igual forma se desinstala automáticamente tras el siguiente reinicio del ordenador. La corta permanencia de este producto en los sistemas, ha sido sin duda la causa por la que seguramente ha pasado desapercibido a la hora de encontrar nuevas vulnerabilidades. El problema se debe a un error al procesar URLs, de tal forma que un atacante remoto podría emplearlo para descargar e instalar software no autorizado en el sistema vulnerable. Para ellos debería engañar al usuario a acceder a un enlace especialmente construido o visitar una página web maliciosa. En caso de haber realizado una instalación de Reader o Flash anterior al día 23 de febrero se recomienda reiniciar los sistemas (en caso de no haberlo hecho) o desinstalar manualmente Adobe Download Manager según se indica en el boletín publicado por Adobe: http://www.adobe.com/support/security/bulletins/apsb10-08.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=127 La reputada compañía rusa de seguridad Intevydis, asegura conocer una vulnerabilidad del navegador Firefox que puede permitir la ejecución de código arbitrario con solo visitar una página web. Mozilla dice que no puede confirmar el fallo. Intevydis es la desarrolladora de VulnDisco. Se trata de un pack para CANVAS que contiene exploits para vulnerabilidades no parcheadas de decenas de programas. En su última versión de principios de febrero, dice contener una vulnerabilidad desconocida hasta ahora para Firefox 3.6, que permite la ejecución de código arbitrario en Windows. A pesar de que Firefox ha publicado recientemente una nueva versión que soluciona cinco fallos de seguridad, la 3.6 no ha recibido ninguna actualización, con lo que parece que sigue siendo vulnerable a ese error (si es que existe). Evgeny Legerov, de Intevydis, dice que encontrar el fallo y crear un exploit no es nada trivial (desbordamiento de memoria intermedia basado en heap), pero que es muy fiable y funciona en la instalación por defecto del navegador sobre XP y Vista. Mozilla Foundation parece que está al tanto del asunto, pero no ha podido confirmar la vulnerabilidad. VulnDisco está disponible para "profesionales de la seguridad" Que paguen por él. Si se confirma el fallo, cualquiera podría tener acceso a esa información y comenzar a aprovecharla. No se tiene constancia de que esto haya ocurrido por ahora. Lo que sí se ha detectado es que esa versión de Firefox ha sufrido numerosos problemas de estabilidad al visitar ciertas páginas. Aunque podría no estar relacionado con el asunto. A veces es habitual que un fallo que hace que un programa deje de responder se convierta en un problema de seguridad aprovechable, aunque esto depende, lógicamente, de la naturaleza del error. Evgeny Legerov no es ningún desconocido en el mundo de la seguridad, y lidera una empresa seria que comercializa un producto reputado como VulnDisco. No es la primera vez que se conoce un nuevo fallo de seguridad a través de la recopilación realizada en VulnDisco y, sin ningún tipo de prueba adicional, se da por válido dada su buena reputación. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=125 SuSE ha publicado la actualización del kernel para SuSE Linux Enterprise Server 9 en la que se corrigen varios fallos de seguridad que podrían permitir a un atacante causar denegaciones de servicio, escalar privilegios o ejecutar código arbitrario en un sistema vulnerable. Las vulnerabilidades corregidas son: El primero de los problemas se presenta en la función "collect_rx_frame" del fichero "hfc_usb.c". Esto podría se aprovechado por una atacante local para ejecutar código arbitrario con privilegios de superusuario a través de un paquete "HDLC" especialmente manipulado. Se ha solucionado otro problema al procesar el argumento "eindex" de la función "gdth_read_event" en "drivers/scsi/gdth.c". Esto podría ser aprovechado por un atacante local para causar una denegación de servicio y, potencialmente, elevar privilegios a través de una llamada IOCTL especialmente manipulada. También se han detectado y corregido problemas en la validación de permisos en las funciones "do_ebt_set_ctl" y "do_ebt_get_ctl" cuando el usuario tiene el permiso de CAP_NET_ADMIN. Esto podría ser aprovechado por un atacante local para eludir restricciones y modificar las reglas de las ebtables. El driver e1000 de "e1000/e1000_main.c" interpreta de formar errónea múltiples bufers de una misma trama Ethernet. Un atacante remoto podría causar una denegación de servicio a través de tramas Ethernet especialmente manipuladas. Un atacante local podría elevar sus privilegios a través de la modificación de atributos del driver "megaraid", debido a un error en los permisos asignados a ciertos atributos expuestos por el driver "megaraid_sas" en "sysfs". Existe una falta de comprobación en el controlador z90crypt. Esto podría permitir a un atacante local con un "effective user ID" (euid) de valor 0 eludir restricciones de seguridad. La actualización también corrige un error de fuga de memoria a la hora de procesar determinados datagramas de "AppleTalk-IP" en el kernel de Linux. Esto podría permitir a un atacante remoto causar una denegación de servicio a través del envío de muchos datagramas "AppleTalk-IP" especialmente manipulados. La explotación solo es posible si están cargados y asociados a la misma interfaz los módulos "appletalk" y "ipddp". Esta actualización también corrige un error de comprobación de estado de los sockets en la función "unix_stream_connect". Esto podría ser aprovechado por un atacante remoto para causar una denegación de servicio, a través de reiterados intentos de conexión a un socket que se cierre mediante una llamada a shutdown. Por último, un error de comprobación de la inicialización en las rutinas de manejo de IOCTL. Esto podría ser aprovechado por un atacante local para provocar una denegación de servicio aprovechando las desreferencias a NULL de estructuras no inicializadas. Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=131 Serian más de tres veces lo que se ha marcado como estándar pero realmente dudo que vayamos a ver ningún producto con esta capacidad por no tener ningún estándar detrás que lo apoye. Pero sin duda suena interesante que uno de fabricantes de chips USB 3.0 vea tantas expectativas en un estándar que nos deberá acompañar durante bastantes años. Según NEC esta capacidad de transferencia se logra eliminando buena parte de las interferencias que plagan este tipo de conexiones de alta frecuencia. Con ello aumentan la velocidad teórica del interfaz de 600MB/s hasta casi 2000MB/s. Seguramente no veremos ningún producto, fuera del entorno industrial, con esta nueva capacidad pero sin duda sienta una base interesante de avance hacia un futuro USB 4.0 esperemos con velocidades aun superiores a esta. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=126 Adobe ha publicado actualizaciones para corregir dos vulnerabilidades en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante tomar el control de los sistemas afectados. Las vulnerabilidades corregidas están relacionadas con las recientemente anunciadas en Adobe Flash. Las versiones afectadas son Adobe Reader 9.3 para Windows, Macintosh y UNIX; Adobe Acrobat 9.3 para Windows y Macintosh; y Adobe Reader 8.2 y Acrobat 8.2 para Windows y Macintosh. Como se describía en el anterior boletín de seguridad de Adobe una de las vulnerabilidades podría permitir a un atacante modificar el comportamiento de la "sandbox" de forma que podría dar lugar a peticiones no autorizadas de dominios cruzados. Además se ha identificado una vulnerabilidad crítica que podría permitir a un atacante llegar a tomar el control de los sistemas afectados. Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/ http://www.servi-tec.com.ar/informes_ver_uno.php?ba=124 OpenOffice.org ha publicado la versión 3.2 de su suite ofimática que soluciona hasta siete fallos de seguridad que podrían ser aprovechados por atacantes para ejecutar código arbitrario en los sistemas afectados. Dos de los problemas se deben a un desbordamiento de búfer basado en heap al procesar registros mal construidos en un documento Word, lo que podría ser empleado por atacantes para lograr la ejecución de código arbitrario. Otros problemas que también podrían ser empleados para lograr la ejecución de código arbitrario residen en el tratamiento de datos GIF y XPM. Un problema reside en la versión de OpenOffice.org para Windows debido a que incluye una versión vulnerable de MSVC Runtime. Para finalizar también se han solucionado vulnerabilidades en libxmlsec y en libxml2. Se recomienda actualizar a OpenOffice.org version 3.2: http://download.openoffice.org/index.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=135 El ranking de resoluciones de pantalla es una clasificación mensual de las resoluciones consideradas como más populares. Como ya hemos señalado en alguna ocasión la resolución de pantalla es un elemento a considerar como importante para una mejor visualización de nuestra página web. Para poder conocer el perfil de nuestros usuario web y la resolución de pantalla que usan, podemos utilizar servicios como Google Analytics, no obstante esta clasificación da una referencia interesante para cualquier desarrollador interesado en saber en qué resolución debería funcionar y tener su mejor imagen un site. Ranking resoluciones de pantalla Enero de 2010 1. 1024x768 : 26.97% 2. 1280x800 : 20.23% 3. 1280x1024 : 10.40% 4. 1440x900 : 8.86% 5. 1680x1050 : 5.57% 6 1366x768 : 4.45% 7. 800x600 : 3.04% 8. 1152x864 : 2.28% Como dato relevante de esta última clasificación señalamos la nueva reducción de las diferencias que separan las resoluciones más populares (1024x768 y 1280x800) y el crecimiento de casi un 1%, respecto a diciembre 2009, de 1366x768. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=122 Dentro del conjunto de boletines de seguridad de febrero publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-015) de una actualización del kernel de Windows destinada a solucionar dos nuevas vulnerabilidades. El primero de los problemas reside en que no se valida correctamente el cambio de contexto y pila que se efectúa al llamar al manejador GP trap. La segunda vulnerabilidad se produce en el kernel de Windows al liberar dos veces el mismo rango de memoria. Estos fallos podrían ser aprovechados por un atacante local para elevar privilegios a través de una aplicación especialmente manipulada. Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad: http://www.microsoft.com/spain/technet/security/Bulletin/MS10-015.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=121 Adobe ha publicado una actualización de seguridad destinada a corregir dos vulnerabilidades de seguridad en Adobe Flash Player versión 10.0.42.34 y anteriores, la más grave podría dar lugar a peticiones no autorizadas de dominios cruzados. La vulnerabilidad más grave podría permitir a un atacante modificar el comportamiento de la "sandbox" de forma que podría dar lugar a peticiones no autorizadas de dominios cruzados; lo que podría dar lugar a la falsificación de peticiones. La actualización publicada también corrige una vulnerabilidad de denegación de servicio. Adobe recomienda a los usuarios de Adobe Flash Player la actualización a la versión 10.0.45.2. De igual forma, también se recomienda que las instalaciones de Adobe AIR se actualicen a la versión 1.5.3.9130. Disponibles desde la página web de Adobe o a través del boletín de seguridad publicado: http://www.adobe.com/support/security/bulletins/apsb10-06.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=120 Dentro del conjunto de boletines de seguridad de febrero publicado este martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS10-009) de una actualización crítica destinada a corregir cuatro vulnerabilidades en la implementación de la pila TCP/IP en sistemas Windows. La primera vulnerabilidad está causada por un error de validación de límites en la implementación de la pila TCP/IP de Windows a la hora de procesar paquetes ICMPv6 de anuncio de router. Esto podría permitir a un atacante remoto ejecutar código arbitrario si envía paquetes ICMPv6 especialmente manipulados a la víctima. El segundo problema corregido reside en la implementación de la pila TCP/IP de Windows a la hora de procesar datagramas fragmentados ESP (Encapsulating Security Payloads) encapsulados a través de UDP. Esto podría permitir a un atacante remoto ejecutar código arbitrario si envía paquetes IP especialmente manipulados a la víctima. Otra vulnerabilidad se presenta debido a una incorrecta validación de límites en la implementación de la pila TCP/IP de Windows a la hora de procesar paquetes ICMPv6 de información de ruta. Esto podría permitir a un atacante remoto ejecutar código arbitrario si envía paquetes ICMPv6 especialmente manipulados a la víctima. Por último, la actualización también corrige un fallo en la implementación de la pila TCP/IP de Windows a la hora de procesar paquetes TCP SACK especialmente manipulados. Esto podría permitir a un atacante remoto provocar una denegación de servicio si envía paquetes SACK especialmente manipulados a la víctima. Los problemas afectan a Windows Vista y Windows Server 2008. Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según versión desde la página del boletín de seguridad. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=116 Tal y como adelantamos, este martes Microsoft ha publicado trece boletines de seguridad (del MS10-003 al MS10-015) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico", siete son clasificados como "importantes" y el restante se considera "moderado". En total se han resuelto 25 vulnerabilidades, una de ellas reportada por Hispasec. Los boletines "críticos" son: * MS10-006: Actualización para corregir dos vulnerabilidades en el cliente SMB que podrían permitir la ejecución remota de código si un atacante envía una respuesta SMB especialmente creada a una petición de cliente SMB. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. * MS10-007: Actualización destinada a corregir una vulnerabilidad en el controlador del shell de Windows que podría permitir la ejecución remota de código arbitrario, el problema reside en la validación incorrecta de la entrada enviada a la función de la API ShellExecute. Afecta a Microsoft Windows 2000, Windows XP y Windows Server 2003. * MS10-008: Se trata de una actualización de seguridad acumulativa de bits de interrupción de ActiveX que además corrige una vulnerabilidad de ejecución remota de código en el control ActiveX de Microsoft Data Analyzer. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. * MS10-009: Boletín destinado a corregir cuatro vulnerabilidades en TCP/IP de Windows podrían permitir la ejecución remota de código, la más grave de ellas podría permitir la ejecución remota de código si se envían paquetes especialmente diseñados a un equipo con IPv6 habilitado. Afecta a Microsoft Windows Windows Vista y Windows Server 2008. * MS10-013: Actualización destinada a corregir una vulnerabilidad en Microsoft DirectShow relacionada con la forma en que se analizan los archivos AVI. Esta vulnerabilidad podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo AVI especialmente creado. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. Los boletines clasificados como "importantes" son: * MS10-003: Actualización que soluciona una vulnerabilidad en Microsoft Office que podría permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado. Afecta a Microsoft Office XP y Microsoft Office 2004 para Mac. * MS10-004: Actualización que soluciona seis vulnerabilidades en Microsoft Office PowerPoint, que podrían permitir la ejecución remota de código si un usuario abre un archivo Power Point especialmente creado. Afecta a Microsoft Office XP, 2003 y Microsoft Office 2004 para Mac. MS10-010: Actualización destinada a corregir una vulnerabilidad en Windows Server 2008 Hyper-V, que podría permitir provocar una denegación de servicio si un usuario ejecuta una secuencia especial de instrucciones con formato incorrecto en una de las máquinas virtuales invitadas que hospede el servidor Hyper-V. * MS10-011: Actualización destinada a solucionar una vulnerabilidad elevación de privilegios a través del subsistema de tiempo de ejecución de cliente-servidor de Windows (Client/Server Run-time Subsystem, CSRSS). Esta vulnerabilidad fue reportada por Matthew "j00ru" Jurczyk y Gynvael Coldwind, de Hispasec. * MS10-012: En este boletín se ofrece una actualización para resolver cuatro vulnerabilidades en el servidor SMB, la más grave de ellas podría permitir la ejecución remota de código si un atacante envía a un sistema afectado un paquete SMB especialmente diseñado. Afecta a Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7. * MS10-014: En este boletín se corrige una vulnerabilidad de denegación de servicio en las implementaciones de Kerberos. * MS10-015: Esta actualización de seguridad resuelve dos vulnerabilidades en el kernel de Windows. Afecta a Windows 2000, Windows XP, Windows Server 2003, Windows Vista y Windows Server 2008 Por último, la vulnerabilidad considerada como "moderada": * MS10-005: Actualización publicada para evitar una vulnerabilidad de ejecución remota de código en Microsoft Paint si un usuario visualiza con este programa un archivo JPEG especialmente manipulado. Afecta a Microsoft Windows 2000, Windows XP y Windows Server 2003. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=117 Citando a Fito y Fitipaldis "no es porqué digas la verdad, es porqué nunca me has mentido", la razón por la que confío en tí. Aunque en principio la frase pueda parecer un tanto redundante, la diferencia es más que sutil. Algo parecido está ocurriendo estos días en la industria antivirus tras la publicación de unas pruebas llevadas a cabo por Kaspersky, donde demostrarían que otro motores antivirus "copian" sus resultados. Nada nuevo bajo el sol. Como ya hemos comentado con anterioridad en una-al-dia, y es bien conocido dentro de la industria antivirus, los laboratorios se vigilan entre sí y tienen en cuenta los resultados de la competencia durante sus análisis. Normal y lógico. El problema viene dado cuando se dejan llevar en exceso por los resultados de terceros, especialmente en el caso de los falsos positivos (cuando alguien por error detecta como malware un software legítimo y el resto le sigue). Kaspersky ha querido ir un paso más allá en esta problemática y presentó a los medios una prueba de concepto realizada para la ocasión. Básicamente, generó unos ejecutables inofensivos y los incluyó en su base de firmas para detectarlos como si fueran malware. A continuación los envió a VirusTotal esperando que fueran distribuidos y esperó la reacción del resto de laboratorios antivirus. El resultado es que algunos motores comenzaron a incluir también firmas para detectar esos ficheros como malware. Esta prueba de concepto ha sido motivo de discusión entre la propia industria antivirus, algunos ven una campaña de marketing y desprestigio a la competencia, otros una interesante demostración y toque de atención sobre esta problemática. Por un lado comprendo el cansancio de cualquiera que vea como terceros se aprovechan de su trabajo sin aparentemente aportar nada a cambio. Por otro lado, con la que está cayendo, parece necesario que exista cierta colaboración entre antivirus para hacer frente a la avalancha de malware, ésta es una guerra que no puede ganar ningún laboratorio de forma individual. El posible efecto no deseado de la prueba de concepto de Kaspersky podría ser que creara desconfianza entre los propios laboratorios antivirus, que nadie se fíe de las detecciones del resto, con lo que finalmente ganan los malos y perdemos los usuarios. Como en muchos otros aspectos de la vida, la virtud suele estar en un punto intermedio. No parece ético que un antivirus se alimente de las detecciones de terceros sin contar con recursos propios que le permita discernir entre lo que es malware y lo que, a todas luces, no lo es. Lo lógico sería que las detecciones de terceros puedan ser un indicador más que los laboratorios pueden tener en cuenta en sus algoritmos para priorizar el estudio de muestras o como una variable más dentro de sus procesos para determinar si un fichero es malware o no, pero el mayor peso de esa decisión debería residir en recursos propios. Si todos los antivirus invirtieran sus esfuerzos en desarrollar tecnología propia, según sus posibilidades, y evitaran las prácticas de copia directa, se fomentaría un entorno de colaboración y confianza dentro de la propia industria antivirus que a día de hoy es, sencillamente, necesario. No está en juego sólo la confianza entre antivirus, sino en todo un modelo de protección. La industria antivirus debería ser más corporativista y no ser tan cortoplazista en la búsqueda de resultados, deberían trabajar en mejorar los resultados globales y la percepción del público. El problema no es que la marca X o el producto Y no detecte un malware, sino que el usuario empieza a desconfiar de la capacidad de cualquier antivirus para afrontar el problema actual. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=115 En mayo de 2008 la Fundación Mozilla distribuyó por error el plugin del idioma vietnamita para Firefox 2 infectado con adware. Aunque prometió literalmente "analizar más a menudo sus archivos para evitar que esto vuelva a ocurrir" se acaba de descubrir que dos plugins infectados con malware para Windows han estado disponibles desde su página oficial. La fundación Mozilla ha informado que dos complementos "experimentales" para el navegador Firefox contenían troyanos para Windows. En concreto, la versión 4.0 de Sothink Web Video Downloader y todas las versiones de Master Filer. Estaban infectados con LdPinch.gen y Bifrose respectivamente. Bifrose se trata de una peligrosa puerta trasera para Windows que suele comunicarse con UDP con su C&C (central de una botnet). LdPinch se trata de un troyano bancario con bastante solera (aparecido en 2003). Los troyanos infectan el sistema al arrancar el navegador tras la instalación de los complementos para Firefox. Si el usuario no ha tomado ninguna precaución (utilizar una cuenta sin privilegios de administrador, o usar un antivirus actualizado, aunque esto último no garantiza nada) lo más probable que el sistema quede infectado. La propia Mozilla informa de que los antivirus Antiy-AVL, Avast, AVG, Gdata, Ikarus, K7AntiVirus, McAfee, Norman y VBA32 detectan este tipo de malware de forma directa, aunque esto no significa que otras marcas sean capaces de reconocer el malware por comportamiento, o gracias a su heurística, por lo que realmente no podemos conocer qué otros antivirus han podido bloquear la infección. Evidentemente, los complementos son solo el vehículo de infección, y desinstalarlos no implica la eliminación del troyano del sistema. Para prevenir que esto vuelva a pasar, Mozilla dice que ha añadido dos herramientas adicionales de detección de malware, y que volvieron a analizar todos los complementos (de hecho, así detectaron que Sothink Web Video Downloader también estaba infectado). Es la segunda vez que Mozilla tropieza con la misma piedra, añadiendo complementos infectados en su página oficial. La primera vez que se hizo público fue en mayo de 2008. Como dijo Window Snyder (responsable de seguridad de Mozilla) en aquella ocasión "estas cosas pasan". Master Filer ha sido descargado unas 600 veces desde septiembre de 2009 y enero de 2010. Sothink Web Video Downloader se ha descargado unas 4.000 veces desde febrero a mayo de 2008. Master Filer fue eliminado del repositorio oficial el 25 de enero de 2010 y la versión afectada de Sothink Web Video Downloader el 2 de febrero de este año. Resulta "curioso" que se hayan percatado de este problema muchos meses después de la infección, y cuántos meses han tardado en retirar los componentes. Hay que tener en cuenta que cuando ya sucedió en 2008, prometieron análisis diarios de los complementos. Los sistemas antivirus o cualquier otra medida tomada por Mozilla contra el malware, han resultado claramente insuficientes o ineficaces. En general, cualquier antivirus resulta insuficiente o ineficaz por sí solo, si no es acompañado de otras medidas de seguridad. Las conclusiones vienen a ser las mismas que escribíamos hace año y medio. Confiar exclusivamente en la detección en un momento concreto, y no analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor error por parte de la Fundación Mozilla. Hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero el añadir dos nuevos métodos antivirus puede mitigar el problema aunque no tiene por qué solucionarlo. Otra lección importante es que no hay que relajarse por pensar que solo los archivos ejecutables o binarios son susceptibles de estar infectados o de ser específicamente malware. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=114 En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 13 boletines de seguridad. Afectan a toda la gama del operativo Windows, y pueden contener un número indeterminado de vulnerabilidades, aunque está programado corregir 26 vulnerabilidades. Microsoft tampoco soluciona en esta tanda ni el grave fallo en IIS descubierto hace semanas, ni otro problema en el protocolo SMB. Sí que corregirá al menos el problema de elevación de privilegios revelado recientemente. Si en enero se publicó solo un boletín de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar 13 el próximo 9 de febrero. Se consideran críticos cinco de ellos, siete importantes y uno moderado. El día 21 de enero se publicó un boletín "adelantado" para corregir un grave fallo en Internet Explorer. Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. En octubre de 2009 Microsoft publicó también 13 boletines de seguridad (el mayor número de boletines publicados en su ciclo habitual), pero en aquella ocasión corregía 34 vulnerabilidades diferentes. En los últimos 5 años, Microsoft ha publicado 13 boletines solo dos veces y 12 boletines en cuatro ocasiones. Últimamente, su media está en 5 ó 6 boletines por tanda, pero con grandes oscilaciones (meses de pocos boletines seguidos de ciclos con un gran volumen de vulnerabilidades). IIS no aparece como uno de los productos sobre los que aplicar parche este martes, por lo que Microsoft confirma que en esta tanda tampoco cerrará el grave problema en IIS encontrado a mediados de diciembre, y que permite ejecución remota de código ASP en Internet Information Server 6.x de forma trivial. Tampoco corregirá un fallo en SMB que permite provocar una denegación de servicio en el sistema, y que reconoció el 13 de noviembre. Al menos, parece que el grave problema de elevación de privilegios que sacudió a Microsoft a mediados de enero será corregido en esta tanda. Esta vulnerabilidad constituye un grave problema para compañías que utilicen el soporte para aplicaciones de 16 bits, puesto que la única forma de prevenirla eficazmente es deshabilitar esta propiedad del sistema. En este sentido, Microsoft parece haber trabajado duro para publicar un parche lo antes posible. Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=109 Microsoft ha publicado un aviso de seguridad para informar sobre una nueva vulnerabilidad en Internet Explorer (versiones 5.01, 6, 7 y 8) que podría permitir a un atacante remoto acceder a cualquier archivo de los sistemas afectados. Las versiones afectadas son Internet Explorer 5.01 y 6 en Windows 2000 SP4 y las versiones 6,7 y 8 de Internet Explorer bajo Windows XP SP2, SP3 y Windows Server 2003 SP2. Hay que señalar que Internet Explorer 7 o posterior en Windows Vista o posterior no es vulnerable a este problema (salvo que se haya desactivado expresamente el modo protegido del navegador). El fallo reside en que páginas web maliciosamente creadas para explotar esta vulnerabilidad (a través del protocolo file://), podrían permitir al atacante acceder a los ficheros del sistema afectado con los mismos permisos que el usuario bajo el que se esté ejecutando el navegador. Es importante destacar que el atacante debe conocer el nombre y ruta específicos del archivo al que quiere acceder y forzar a que se renderice el contenido de esos archivos desde una web que la víctima debe visitar. De esta forma el atacante tendrá acceso a los ficheros. Microsoft se encuentra investigando el problema y actualmente no se ha publicado actualización de seguridad para evitar esta vulnerabilidad. Si bien existen recomendaciones que pueden mitigar los efectos del problema, como habilitar el modo protegido en Internet Explorer, configurar el nivel de seguridad Alto en la Zona Internet y la recomendación habitual de utilizar cuentas de usuario limitadas. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=110 Aplica acaba de publicar una actualización (a la versión 3.1.3) de los populares iPhone e iPod Touch destinada a corregir cinco vulnerabilidades que podrían llegar a permitir la ejecución de código arbitrario en los dispositivos afectados. El primero de los problemas corregidos está relacionado con el tratamiento de archivos mp4 específicamente creados, que podría dar lugar a un desbordamiento de búfer con posibilidad de ejecución de código arbitrario al reproducir un archivo de este formato. Otro desbordamiento de búfer con posibilidad de ejecución de código arbitrario se produce al visualizar imágenes tiff maliciosamente creadas. Un tercer problema en el tratamiento de mensajes de control de USB, podría permitir acceder al contenido de los datos del usuario en dispositivos bloqueados. También se ha corregido un problema al acceder a servidores ftp específicamente manipulados, que podría dar lugar a divulgación de información, al cierre de la aplicación o a la ejecución de código arbitrario. El último de los problemas corregidos podría permitir la carga de audio y video en el correo cuando la carga de imágenes remotas se encuentre deshabilitada. Esta actualización también corrige otros problemas menores como un error en el indicador de carga de la batería en los modelos 3GS, problemas con la apertura de determinadas aplicaciones de terceros y un problema que produce cuelgues inesperados cuando se utiliza el teclado Kana japonés. Se recomienda actualizar a través de iTunes, ya que es el único lugar donde se encuentra disponible ésta actualización. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=112 Red Hat ha publicado una actualización del kernel de Red Hat Enterprise Linux 4 que solventa cinco vulnerabilidades que podrían ser aprovechadas por un atacante para provocar denegaciones de servicio, saltarse determinadas protecciones de seguridad, cambiar el comportamiento de controladores y hasta ejecutar código arbitrario. Los problemas corregidos son: * Un error al procesar el argumento "eindex" de la función "gdth_read_event" en "drivers/scsi/gdth.c". Un atacante local podría aprovechar este problema para causar una denegación de servicio y, potencialmente, elevar privilegios a través de una llamada IOCTL especialmente manipulada. * Otro problema reside en la función "collect_rx_frame" del fichero "hfc_usb.c". Esto podría se aprovechado por una atacante local para ejecutar código arbitrario con privilegios de superusuario a través de un paquete "HDLC" especialmente manipulado. * Dos de las vulnerabilidades se presentan en los permisos asignados a ciertos atributos expuestos por el driver "megaraid_sas" en "sysfs". Un atacante local podría elevar privilegios a través de la modificación de atributos del driver "megaraid". * Por último, un error de límites en la función "hfs_bnode_read" localizada en el fichero "fs/hfs/bnode.c" podría causar un desbordamiento de memoria intermedia. Un atacante local podría llegar a ejecutar código arbitrario a través de un archivo HFS especialmente manipulado. Además se han solucionado otros fallos de menor importancia. Se recomienda actualizar a través de las herramientas automáticas up2date. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=119 Mucho se dice acerca de los servicios que se ofrecen en un Data Center y de la importancia que tiene para una empresa contar con un proveedor serio, que brinde soluciones en tiempo y forma pero ¿cómo puede determinar una pyme si se justifica o no contratar uno? Claro está que siempre está la opción de manejar estos temas desde su propia empresa. En tal caso, debería acondicionar una oficina dentro de sus instalaciones para tal fin, aunque de todas maneras las diferencias entre la propia empresa y un data center son notorias: disposición física, seguridad, redundancia eléctrica, y mecanismos de conexión a Internet, son parámetros a considerar. En una oficina, por lo general, los equipos están alojados en una salita o lugar de paso, se apoyan sobre el piso o una mesa y no poseen una refrigeración especial, sino que comparte la del resto de los ambientes. Tampoco tiene ductos separados de cableado UTP y tensión eléctrica. En lo edilicio, el datacenter tiene conexiones a Internet de alta velocidad, condiciones de temperatura, humedad y suministro eléctrico regulado. Es un ámbito pensado para alojar equipos de computación y garantizar su permanente funcionamiento. Posee canales diferenciados de cableado a los servidores. Otro punto importante es el nivel de seguridad física de los equipos. En la oficina, cualquier empleado tiene acceso a esta sala; la misma está menos protegida ante accidentes tales como robo, caídas, golpes e incendios, entre otros, lo que puede generar la pérdida del contenido o de su back up. También hay mayor exposición a la suciedad del ambiente, ya que no se encuentran en una atmósfera controlada. En cambio, el data center, posee control de accesos, cámaras y seguridad física. Se trata de un lugar sumamente monitoreado, con sensores de humo, filtros para absorber partículas en el aire, y en un ambiente limpio. Otra diferencia: en el cuarto de telecomunicaciones no suele haber baterías que anticipen un corte de luz, y se dispone de una sola conexión a Internet. Sin embargo, el valor que se paga por ésta, duplica o triplica el costo de la misma capacidad de acceso de la web a través de un data center. En éste, suele haber baterías y UPSs, además de fases eléctricas redundantes y generadores eléctricos. La conectividad que ofrece es de alta velocidad, por fibra óptica. Y, otra de las diferencias esenciales es que en un data center se monitorea el funcionamiento de los equipos y de la red, en la modalidad 7×24. Además, ofrecen servicios redundantes, es decir, que se garantiza que la conexión no será interrumpirá bajo ningún aspecto. Establecida la diferencia, ¿cómo saber si su pyme necesita o no contratar un data center? Alejandro Pelloni, Gerente de Servicios Tecnológicos de IBM Argentina, resume: Algunas de las situaciones que suelen presentar las pymes que necesitan estos servicios son: Necesidad de cambios o actualización de la infraestructura existente que requieren inversiones y no tienen la posibilidad de afrontarlas; Necesidad de optimizar o variar su estructura de costos para encarar nuevos proyectos o situaciones de mercado; Problemas operativos por falta de recursos especializados (bases de datos, SAP, aplicativos específicos); o problemas de infraestructura de los Data Center propios tales como seguridad física vulnerable; Cortes de energía por falta de UPS o redundancia; Aire acondicionado deficiente, o falta de espacio, entre otros”. Néstor D. Rejas, Gerente de pymes de Telecom, comenta que “para las pymes, el modelo de Data Center es el de tercerización porque le sirve para ganar economía de escala sin tener que montar un área de Información Technology y, para ello comprar hardware, software, administrarlo y montar un lugar acondicionado para tal fin”. Según el ejecutivo, a una empresa le es conveniente el outsourcing de información por varios motivos: Para focalizarse en el propio negocio; Para resguardar información relevante de la empresa; Para lograr continuidad del negocio/operación 7 x 24 x 365; y Para estar siempre actualizados sin mayores costos. Los entrevistados coinciden en que son muchas las pequeñas y medianas empresas que acuden a los servicios que ofrece un Data Center. Según Pelloni, los más solicitados por este tipo de organización tienen que ver con los servicios de hosting de SAP, hosting de aplicaciones web, housing de equipos con servicios básicos de operación y tercerizaciones completas del área de IT. Los precios varían de acuerdo al tipo de servicio y la cantidad de equipos involucrados, y el presupuesto se diseña una solución acorde a las necesidades de cada cliente. Por su parte, Rejas comenta que cada vez hay más consultas sobre Hosting y Servidores Virtuales. “Un Servidor Virtual cuesta desde U$S 150 mensuales, y el cliente no tiene que comprar el equipo, por lo que evita la inversión inicial, amortizaciones, y costo por obsolescencia. Mientras que el Housing de un servidor cuesta u$s 150, a lo que hay que adicionar el costo del servidor (aproximadamente u$s 6000) y la conectividad”, detalla. A la hora de elegir a un proveedor, Pelloni aconseja a las pymes optar por una empresa que tenga experiencia y pueda brindar un amplio rango de servicios de modo de soportar cualquier requerimiento de negocio del cliente. “Esto le permitirá a la pyme asegurar la flexibilidad necesaria para acompañar las necesidades del negocio”, dice. El ejecutivo destaca que actualmente existen certificaciones asociadas a los procesos relacionados con la provisión de este tipo de servicios, como la eSCM for SP nivel 5, que no hacen más que asegurar el nivel de Calidad de los servicios que se prestan. ¿Cuál es el beneficio, entonces, de contratar un Data Center? Muchas se han ido desgranando a lo largo de esta nota: poder abocarse al core de su empresa, no requerir personal especializado, destinar su capital a otro tipo de inversiones, crecer en economía de escala, ahorro de costos, incremento de calidad, conectividad 7×24, soluciones para la crisis energética, servicios adicionales como backup y soporte a distancia son algunos de los que desequilibran la balanza. Se trata se ser objetivos, y en este caso, la objetividad pasa por reconocer la contundencia de los argumentos a favor de la tercerización. Por que dejar en manos de terceros aquello en lo que no somos expertos, puede ser una señal de sabiduría. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=118 Ipad, es el último lanzamiento de un dispositivo e Apple con el que navegar por la web, leer y enviar emails y disfrutar de opciones multimedia como ver fotos, vídeos, mapas o leer e-books. El Ipad, con un grosor de 13,4 mm y 680 gramos de peso, es más delgado y ligero que un netbook, incluye 12 nuevas e innovadoras aplicaciones diseñadas especialmente para él y gracias a la interfaz Multi-Touch hace que navegar la web o enviar emails sea una experiencia más interactiva. Entre las características del nuevo Ipad destaca procesador A4 que funciona con una frecuencia de 1 Ghz, pantalla multitáctil de 9,7 pulgadas, 16, 32 o 64 GB de memoria, Wifi compatible con 802.11n, 3G opcional, bateria que proporciona una autonomía de 10 horas, teclado virtual a tamaño casi completo, y compatibilidad con casi la totalidad de las más de 140.000 apps disponibles en la App Store. Entre los deficits del nuevo Ipad, señalar que carece de posibilidad de conectar dispositivos por USB, cambiar la batería, ver videos en Flash, asi como que no tiene funciones de teléfono ni dispone de cámara. Apple ha confirmado que el Ipad estará disponible en Estados Unidos a finales de marzo a un precio recomendado de 499 dólares. Más información sobre Ipad, el nuevo dispositivo táctil de Apple, desde www.apple.com http://www.servi-tec.com.ar/informes_ver_uno.php?ba=108 Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X versiones 10.5.8 y 10.6.2 que solventa 12 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto con diversos efectos. Esta es la primera gran actualización del año (con el código 2010-001). Los componentes y software afectados son: CoreAudio, CUPS, Flash Player plug-in, ImageIO, ImageRAW y OpenSSL. Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde: http://support.apple.com/downloads/ http://www.servi-tec.com.ar/informes_ver_uno.php?ba=104 RealNetworks ha publicado actualizaciones de Real Player 10 y 11 en plataformas Windows, Mac y Linux debido a que se ve afectado por hasta once vulnerabilidades de seguridad. Las vulnerabilidades corregidas consisten en diferentes desbordamientos de búfer en distintos puntos del reproductor: en el ASM Rulebook, en un archivo GIF, en la codificación de bloque http, en el procesamiento de archivo IVR, en el por códec SIPR, en el análisis de SMIL o en el tratamiento de temas (skins) entre otros. RealNetworks ha publicado versiones actualizadas del reproductor disponibles para descarga desde: Para Windows XP, Vista o Windows 7: http://client-software.real.com/free/windows/installer/stubinst/stub/rp12/R51ESR/RealPlayerSPGold_es.exe Para RealPlayer Enterprise: http://www.realnetworks.com/support/login.html Para Mac OS X: http://spain.real.com/realplayer/mac/?lang=es Para Linux: http://www.real.com/linux http://www.servi-tec.com.ar/informes_ver_uno.php?ba=106 Tras la grave vulnerabilidad detectada en Internet Explorer, y que tanto ha dado que hablar en los últimos días, Microsoft ha publicado una actualización para su navegador fuera de ciclo destinada a corregir este problema. Para añadir más polémica a todo lo tratado, Microsoft ha reconocido que conocía la existencia de este fallo desde hace cinco meses. Sin ser el segundo martes de mes, Microsoft acaba de publicar un boletín de seguridad (con identificador MS10-002). Debido a su gravedad, los fallos podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable. La actualización para Internet Explorer, acumulativa como suele ser habitual en las actualizaciones del navegador, está destinada a cubrir un total de ocho vulnerabilidades, si bien no todas son de carácter crítico ni afectan a todas las versiones del navegador. La gravedad de las vulnerabilidades varía en función de la versión del navegador y plataforma Windows sobre la que corre. La razón de la publicación del boletín fuera de ciclo es debido a la vulnerabilidad del navegador, de la que ya hablamos en un boletín anterior y que estaba siendo explotada de forma activa. Este fallo ya conocido como "Aurora" (asignado al CVE-2010-0249), junto con otras cinco vulnerabilidades, son de naturaleza similar y en muchos casos pueden permitir la ejecución remota de código. Pero lo más polémico puede surgir tras el reconocimiento por la propia firma de Redmond de que conocía de la existencia del fallo empleado en los ataques contra Google y Adobe (entre otras) desde el pasado mes de agosto. Meron Sellen, un investigador de la firma israelí BugSec, había reportado el fallo el pasado mes de agosto y la propia Microsoft confirmó su gravedad en septiembre. Otros fallos similares corregidos en esta actualización también habían sido reportados a Microsoft hace seis meses por Zero Day Initiative. Microsoft tenía planeada la distribución de este boletín para su ciclo habitual de actualizaciones de febrero, sin embargo los ataques han obligado a adelantar su publicación. Las otras dos vulnerabilidades corregidas son un cross-site scripting y una vulnerabilidad de validación de URLs que también podría dar lugar a la ejecución remota de código a través de una URL maliciosamente construida. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=103 Se han publicado los detalles de una grave vulnerabilidad en todas las versiones de Windows que permite elevar privilegios en el sistema. No existe parche disponible y el exploit está al alcance de cualquiera, lo que lo convierte en un serio "0 day" para Microsoft. Tavis Ormandy, reputado investigador de seguridad que ha encontrado numerosos fallos de seguridad en diferentes programas, ha publicado un exploit para una vulnerabilidad que permite elevar privilegios en Windows. Se trata de un fallo de diseño que arrastran todos los Windows de 32 bits (basados en tecnología NT) desde 1993. Esto va desde el NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista. El fallo reside en el soporte heredado de aplicaciones de 16 bits. No se valida correctamente el cambio de contexto y pila que se efectúa al llamar al manejador GP trap. Windows comete algunos errores y asume incorrectamente que: * Se requiere el privilegio SeTcbPrivilege para configurar un contexto VDM (Virtual DOS Machine) . * Código en ring3 no puede instalar selectores de segmento de código arbitrarios. Usando el modo Virtual-8086, es posible. * Código alojado en el ring3 (espacio de usuario) no puede falsificar un "trap frame". Ormandy consigue eludir estas cuestiones, y el resultado es que un usuario puede realizar un cambio de contexto en el núcleo y ejecutar código como SYSTEM, el máximo privilegio en el sistema. Para eludir el tercer punto, se necesita acceder a una dirección de memoria, que es siempre la misma en todos los Windows menos Vista y Windows 7 que realizan una "aleatorización" de la carga en memoria. Se supone que esto protege de este tipo de ataques. Sin embargo, usando NtQuerySystemInformation(), se puede llegar a calcular dónde está esa dirección aunque sea diferente en cada inicio, con lo que la protección ASLR (Address space layout randomization) también se ve eludida. Ormandy avisó a Microsoft en junio de 2009, y poco después confirmaron el problema. Harto de que no publicasen una solución (que considera no muy compleja), ha decidido hacer público el fallo. Él mismo entiende que esta vulnerabilidad afecta de forma más seria a empresas y corporaciones que mantienen a sus usuarios con privilegios limitados. Por desgracia, la mayoría de usuarios caseros utilizan ya la cuenta de administrador en su Windows (no tan poderosa como SYSTEM, pero equivalente a efectos prácticos) para tareas cotidianas, con lo que la elevación de privilegios no suele ser un requisito en los ataques. El exploit ha sido probado y funciona a la perfección. La buena noticia es que es relativamente sencillo mitigar el problema. Incluso ha publicado vídeos en Youtube de cómo hacerlo, destinados principalmente a administradores. Evitar el fallo implica deshabilitar el soporte para aplicaciones de 16 bits, que se supone no será ningún problema para la mayoría de usuarios. Los pasos son los siguientes: Desde la consola de políticas (gpedit.msc) abrir "Configuración de equipo", "Plantillas administrativas", "Componentes de Windows", "Compatibilidad de aplicación" y habilitar la política "Impedir el acceso a aplicaciones de 16 bits". Es importante asegurarse de que es aplicada a los sistemas que dependen del controlador de dominio, forzando una actualización de políticas. Los vídeos publicados con cómo realizar esto (en inglés) desde la consola de políticas y aplicarlo a todos los clientes de un Directorio Activo están disponibles desde: Windows Server 2003: http://www.youtube.com/watch?v=XRVI4iQ2Nug Windows Server 2008: http://www.youtube.com/watch?v=u8pfXW7crEQ Para Windows XP: http://www.youtube.com/watch?v=u7Y6d-BVwxk Para sistemas más antiguos, NT4, aquí se explica cómo deshabilitar esta funcionalidad: http://support.microsoft.com/kb/220159 Este es un grave revés para Microsoft. Si los administradores quieren mantener su red de usuarios controladas hasta que exista parche oficial, se recomienda aplicar esta solución temporal lo antes posible. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=100 Es noticia en todos los medios que el gobierno alemán y francés han recomendado no usar Internet Explorer como navegador, a raíz de los ataques perpetrados (supuestamente) desde el gobierno Chino contra Google aprovechando una vulnerabilidad desconocida del navegador de Microsoft. Realmente esta recomendación no supone nada novedoso viniendo del gobierno alemán, que ya en 2008 desaconsejó el uso del navegador Chrome, por ejemplo. Pero si la intención es, con buen criterio, disuadir del uso temporal de programas con graves vulnerabilidades hasta que sean resueltas, la lista debería ser demasiado larga. Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. Tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos. Los laboratorios de McAfee analizaron varias muestras de malware involucrado en los ataques. Descubrieron que uno de los ejemplares aprovechaba una vulnerabilidad desconocida hasta la fecha en Internet Explorer, que permite ejecutar código arbitrario y que está reconocida pero no solucionada oficialmente. Previamente, se especulaba con que una vulnerabilidad en Adobe Reader era el "vehículo" usado para ejecutar código en los sistemas de las víctimas. Si bien parece que también ha sido usado, se trata de vulnerabilidades ya conocidas que disponen de parche oficial, aunque no por ello menos graves. Ahora, la Oficina Federal para la Seguridad de la Información alemana mantiene candente el asunto. Recomienda no usar Internet Explorer. ¿Tan inseguro es el navegador para que un gobierno recomiende suspender su uso? El problema es que en estos momentos, sufre una vulnerabilidad que está siendo aprovechada y para la que no hay parche. Es una situación por la que han pasado no solo todos los navegadores, sino muchísimas aplicaciones y sistemas operativos en algún momento de su historia. No es excusa, pero tampoco novedad. De hecho Internet Explorer ha vivido esta situación en muchas otras ocasiones, por ser objetivo favorito de atacantes y por retrasos en la publicación de soluciones. Una cuestión que llama la atención, al margen de los enfrentamientos "ideológicos" sobre navegadores que suscitan este tipo de noticias, es que según El País, el gobierno recomienda a los usuarios que busquen una alternativa al navegador Internet Explorer de Microsoft, "para garantizar su seguridad". Esta afirmación es peligrosa, y puede llevar a equívocos. Evidentemente ningún navegador "garantiza la seguridad" sino que en lo posible y dada la situación (como siempre ocurre en seguridad) el uso de alternativas que no están siendo atacadas en estos momentos minimiza el riesgo. Pero también minimiza el riesgo (ahora y siempre) seguir usando Internet Explorer si se aprovechan y se entienden a las medidas de seguridad que implementa de serie, que en su versión 8 son numerosas y efectivas. Por su parte, el portavoz de Microsoft en Alemania, Thomas Baumgaertner, ha replicado que los ataques a Google fueron llevados a cabo por "personas muy motivadas y con unos fines muy específicos". "No hubo ataques contra los usuarios comunes o los clientes de la firma. No hay amenazas para ellos, por eso no apoyamos esta recomendación". Baumgaertner olvida que el exploit no ha tardado en hacerse público, por tanto a día de hoy, cualquiera podría ser atacado. Lo coherente, en todo caso, es practicar la defensa en profundidad ante las amenazas. Ya sea con el navegador o cualquier sistema informático, en todo momento. Se deben utilizar alternativas cuando exista un potencial riesgo mayor como el que ahora sufre el navegador de Microsoft, si es posible, pero no hay que relajarse por ello. No sabemos qué programa, ni de qué forma, puede estar siendo atacado en estos momentos Tampoco es la primera vez que el gobierno alemán prohíbe el uso de un navegador. A principios de septiembre de 2008 Google lanza su nuevo navegador Chrome. Una semana después, Internet se inunda de comentarios sobre todos los aspectos de esta nueva aplicación y en particular sobre su seguridad. Muchos comentarios, exploits, más exploits y aclaraciones después, el gobierno alemán desaconsejó explícitamente el uso de este navegador. La Oficina Federal para la Seguridad de la Información alemana advirtió que resultaba arriesgado que los datos de un usuario fuesen acaparados por un único fabricante y desaconsejó abiertamente el uso del navegador Chrome en un importante informativo televisado. Muchos ven en estas reacciones del gobierno alemán un movimiento más en contra de las grandes corporaciones americanas, que a favor de la seguridad de los usuarios. En cualquier caso, la recomendación, temporal hasta que Microsoft corrija el problema, no debe ser desatendida. No es un mal criterio aconsejar el uso de alternativas cuando no exista solución a un problema de seguridad. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=101 Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando, que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos. En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail que han estado siendo accedidas de forma ilícita durante cierto tiempo, relacionadas con activistas pro derechos humanos en China de varios continentes. Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras. McAffe y la "Operación Aurora" Dentro del marco de investigación conjunta de las compañías afectadas y entidades públicas, los laboratorios de McAffe han analizado varias muestras de malware involucrado en los ataques. De esta forma descubrieron en uno de los ejemplares una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario. En detalles sobre el ataque, McAffe sospecha que han sido planeados sobre objetivos muy concretos, en particular, personal con acceso a propiedad intelectual valiosa y con métodos de ingeniería social para garantizar el éxito de la infección. Acerca del malware, utiliza un abanico de vulnerabilidades 0-day. En este punto, McAffe aclara que no han encontrado evidencias hasta el momento sobre un posible y nuevo 0-day en el lector de Adobe, tal como se ha estado especulando en los medios. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado. Respecto del mediático nombre de "Operación Aurora", se debe a que el nombre "Aurora" aparece como parte en una ruta de archivo que McAffe halló en dos de los binarios analizados y que presumiblemente, según McAffe, sería el nombre con el que el atacante bautizó la operación. Microsoft y el 0-day Poco después, la reacción de Microsoft no se hizo esperar y ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer. Que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Está vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada para este fin. Las versiones afectadas son la 6, 7 y 8 en los sistemas operativos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=102 De acuerdo a su ciclo habitual de boletines de seguridad Adobe ha publicado una actualización para corregir ocho vulnerabilidades en Adobe Reader y Acrobat, que podrían permitir a un atacante tomar el control de los sistemas afectados. Las problemas solucionados son de diversa índole y afectan a diferentes módulos de los productos vulnerables. Problemas en el tratamiento de punteros, de desbordamiento de búfer, desbordamiento de enteros, inyección de código script o en la carga de dlls se traducen en múltiples fallos que podrían permitir la ejecución remota de código arbitrario. Las vulnerabilidades se han confirmado en Adobe Reader 9.2 y Acrobat 9.2 para Windows, Macintosh y UNIX, y Adobe Reader 8.1.7 y Acrobat 8.1.7 para Windows y Macintosh. Dada la gravedad de los problemas, se recomienda la actualización de Adobe Reader y Acrobat desde: http://www.adobe.com/support/security/bulletins/apsb10-02.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=107 Buena parte de los protocolos P2P más utilizados a día de hoy mantienen un enfoque centralizado, bien impuesto por el propio protocolo, bien por iniciativas de la propia comunidad a la hora de recomendar y optimizar la compartición de contenidos. La nueva hornada de aplicaciones P2P apuestan por la descentralización y los filtros de recomendaciones. Pongamos como ejemplo BitTorrent. El cliente requiere descargarse un fichero .torrent que contiene información sobre el contenido solicitado y el servidor centralizado que está coordinando la descarga del mismo. Una vez procesado el fichero .torrent, el cliente va solicitando al servidor la información sobre el resto de usuarios que están compartiendo y descargando ese mismo contenido, dando comienzo la compartición entre pares. La compartición del fichero se realiza en trozos según una división del contenido original. El cliente irá descargando trozos del fichero desde unos usuarios y a su vez pone a disposición los trozos descargados para enviarlos al resto de usuarios. La integridad de todas estas operaciones está garantizada mediante el uso de hashes (SHA-1), evitando compartir trozos del fichero corruptos (voluntaria o involuntariamente). El enfoque centralizado de BitTorrent viene dado por: * necesita un servidor que coordine la descarga de contenidos (tracker) * es necesario un archivo .torrent para iniciar la descarga, normalmente disponible a través de "páginas de descargas" que mantienen un índice de contenidos, aunque podría y es publicado y distribuido a través de otros métodos (e-mail, etc) * a mayor número de usuarios descargando un mismo fichero coordinado desde un mismo servidor, más recursos compartiendo y potencial velocidad de descarga, y más garantías de que se podrá completar la descarga (no dependencia de una única fuente o semilla) * el protocolo no ofrece al usuario final ninguna garantía o método sencillo de comprobación sobre el contenido compartido en un .torrent (más allá de los hashes correspondientes y el título del fichero que puede ser falso, conocido como "fake"), por ello las páginas de descargas o foros de intercambio actúan como filtros de recomendación y control de calidad (que el contenido se ajusta al título, características del mismo, etc), evitando así contenidos inadecuados, en mal estado, o peligrosos (malware). Para evitar este tipo de dependencias las nuevas aplicaciones P2P están enfocando en el soporte y popularización de unas tecnologías ya existentes y conocidas: * la información que antes se mantenía en un servidor central se distribuye y gestiona entre los clientes participantes en la red. No es una tecnología nueva, redes muy conocidas como Kad (e-mule), o los propios trackers distribuidos de torrents, hacen uso efectivo de las tablas de hashes distribuidas (DHT) o el Peer Exchange (PEX), permitiendo la comunicación y coordinación entre clientes sin la necesidad de un servidor centralizado. * no será necesario las páginas web de descarga que hospedan los archivos .torrent, se utiliza en su lugar los "magnet links". Básicamente se trata de un enlace que hace referencia al contenido (mediante un hash) en vez de a la localización, es decir, el enlace no apunta a una dirección o servidor concreto, sino que tiene información sobre el fichero a localizar en la nube (en la red P2P). A través de un "magnet link" se puede descargar el archivo .torrent sin saber de antemano la dirección donde está hospedado, lo proporcionará cualquier cliente de la red P2P que lo tenga. También se abre la puerta al soporte de búsqueda de contenidos en redes distribuidas P2P mediante los buscadores tradicionales, sin necesidad de pasar por un servidor intermedio o página web que actúe como contenedor del enlace. * el uso de DHT y PEX permite comunicarse y participar en la compartición de archivos a usuarios que hayan descargado el archivo .torrent sobre un mismo contenido desde diferentes localizaciones. Un servidor no coordina la descarga por grupos, sino que participa toda la red dotando al sistema de mayor garantía y disponibilidad. * se están implementando sistemas de recomendación basados en algoritmos de filtrado colaborativo e indicadores de reputación. Al estilo de Spotify o Amazon, el cliente P2P realiza recomendaciones basándose en el historial de descargas, además permite compartir el historial o dar mayor relevancia a las opiniones de una red de contactos confiables (al estilo de las redes sociales). Adicionalmente se establecen indicadores de reputación y valoraciones, de forma que penaliza a aquellos contenidos que no se ajusten a lo esperado y a los clientes que fomenten la introducción de "fakes" o malware. Este es uno de los puntos más dependientes de las actuales páginas de índices y foros de descargas, el control de calidad, y está por ver si finalmente la comunidad logra autogestionarse en este sentido. Todo esta tecnología se está implantando de forma paulatina en clientes P2P ya conocidos, de hecho habrá usuarios que estén utilizando de forma parcial alguna de estas técnicas sin ser conscientes de ello. También están naciendo clientes P2P adaptados a este nuevas premisas, por ejemplo el caso de www.tribler.org, si bien aun no disponen de una masa crítica de usuarios como para obtener resultados similares al de otros clientes de mayor uso. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=97 Adobe ha anunciado la publicación de una actualización para corregir diversas vulnerabilidades críticas en Adobe Illustrator CS4 (14.0.0) y Adobe Illustrator CS3 (13.0.3 y anteriores), tanto en plataformas Windows como Macintosh. Según el anuncio oficial de Adobe se han corregido dos vulnerabilidades de desbordamiento de búfer que podrían permitir la ejecución remota de código arbitrario. Ambos fallos se producen por el tratamiento de datos de gran tamaño en archivos Postscript encapsulado (.eps). Adobe ha publicado actualizaciones para corregir el problema en todos los sistemas y plataformas afectadas, disponibles desde, http://www.adobe.com/support/security/bulletins/apsb10-01.html donde también se detallan los procedimientos de actualización en función de la versión y sistema operativo. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=98 Oracle informa que el próximo martes lanzará una serie de parches con el objetivo de corregir una larga lista de problemas de seguridad detectados en múltiples de sus productos. Oracle mantiene su política de lanzamiento de actualizaciones que durante el 2010 coincidirá con el de otros grandes fabricantes como Microsoft o Adobe. Los fallos se dan en varios componentes de los siguientes productos: * Oracle Database 11g, versión 11.1.0.7 * Oracle Database 10g Release 2, versiones 10.2.0.3, 10.2.0.4 * Oracle Database 10g, versión 10.1.0.5 * Oracle Database 9i Release 2, versiones 9.2.0.8, 9.2.0.8DV * Oracle Application Server 10g Release 3 (10.1.3), versiones 10.1.3.4.0, 10.1.3.5, 10.1.3.5.1 * Oracle Application Server 10g Release 2 (10.1.2), versión 10.1.2.3.0 * Oracle Access Manager versiones 7.0.4.3, 10.1.4.2 * Oracle E-Business Suite Release 12, versiones 12.0.4, 12.0.5, 12.0.6, 12.1.1 y 12.1.2 * Oracle E-Business Suite Release 11i, versión 11.5.10.2 * PeopleSoft Enterprise HCM (TAM), versiones 8.9 and 9.0 * Oracle WebLogic Server 10.0 hasta MP2, 10.3.0 y 10.3.1 * Oracle WebLogic Server 9.0 GA, 9.1 GA y 9.2 hasta 9.2 MP3 * Oracle WebLogic Server 8.1 hasta 8.1 SP6 * Oracle WebLogic Server 7.0 hasta 7.0 SP7 * Oracle JRockit R27.6.5 y anteriores (JDK/JRE 6, 5, 1.4.2) * Primavera P6 Enterprise Project Portfolio Management 6.1, 6.2.1 y 7.0 Primavera P6 Web Services 6.2.1, 7.0 y 7.0SP1 Las 24 correcciones se desglosan de la siguiente forma: * 10 afectan a Oracle Database entre los que se incluye una para corregir la vulnerabilidad de Oracle Secure Backup. Dos de estas vulnerabilidades pueden ser explotadas de forma remota sin autenticación. Los componentes afectados son: Application Express Application Builder, Core RDBMS, Listener, Oracle Data Pump, Oracle OLAP, Oracle Secure Backup, Oracle Spatial y Oracle Universal Installer. * Tres nuevos parches de seguridad para el Servidor de Aplicaciones Oracle (Oracle Application Server). Todas estas vulnerabilidades pueden ser explotadas remotamente sin autenticación. En este caso los componentes que se ven afectados por los problemas son: Access Manager Identity Server y Oracle Containers for J2EE. * Tres de los nuevos parches de seguridad corresponden a Oracle Applications Suite. Los componentes afectados son: CRM Technical Foundation (mobile), Oracle Application Object Library y Oracle HRMS (Self Service). * Una revisión de seguridad para PeopleSoft y JD Edwards Suite. Esta vulnerabilidad no permite ser explotada de forma remota sin autenticación. El componente afectado por este problema es PeopleSoft Enterprise HCM - eProfile. * También se incluyen cinco actualizaciones de seguridad para la Suite de Productos BEA. Todas estas vulnerabilidades pueden ser explotadas remotamente sin autenticación. Los productos afectados por las vulnerabilidades que se corrigen en estas actualizaciones son: Oracle JRockit, Oracle WebLogic Server (Web Services) y Oracle WebLogic Server (Servlet Container Package). * Por último, se incluyen dos parches de seguridad para Oracle Primavera Product Suite. Estas vulnerabilidades no son explotables remotamente sin autenticación. Los productos afectados son: Primavera P6 Enterprise Project Portfolio Management (Integration API) y Primavera Web Services. Si bien Oracle avisa que toda está información podrá estar sujeta a cambios de última hora. Por otra parte, dada la diversidad de productos afectados y el número de vulnerabilidades se recomienda comprobar las matrices de productos afectados, gravedad y la disponibilidad de parches, disponible desde la notificación oficial. Oracle mantiene la previsión de publicación de actualizaciones para el año 2010 en las fechas: 12 de enero, 13 de abril, 13 de julio y 12 de octubre. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=99 En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se espera solo un boletín de seguridad. Afecta exclusivamente al sistema operativo Windows, y puede contener un número indeterminado de vulnerabilidades. Microsoft no soluciona en esta tanda ni el grave fallo en IIS descubierto hace semanas ni otro problema en el protocolo SMB . Si en diciembre se publicaron seis boletines dentro del ciclo habitual, este mes Microsoft prevé publicar solo uno el 12 de enero. Se considera crítico para Windows 2000, y solo de importancia "baja" para el resto desde XP hasta 2008) Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Microsoft confirma que en esta tanda no se cerrará el grave problema en IIS encontrado a mediados de diciembre, y que permite ejecución remota de código ASP en Internet Information Server 6.x de forma trivial. El error se da al no filtrar correctamente el carácter ";" en el nombre de un fichero. De este modo un atacante remoto podría subir al servidor un fichero ASP y ejecutar su contenido suplantando, por ejemplo, una imagen. El fallo permite así que si se consigue subir un fichero llamado, por ejemplo, "foto.asp;.jpg" al servidor, la aplicación lo tome como una inocente imagen, pero en realidad se ejecute su código ASP ("Active Server Page") al invocarlo. Ya han aparecido todo tipo de exploits que permiten no solo subir ficheros de forma cómoda, sino además, por ejemplo, intentar poner una consola a la escucha en un puerto (para que el acceso sea más cómodo). Aunque en realidad, con una simple "shell" en ASP, el atacante podría obtener acceso (de escritura o lectura según la pericia del administrador) a todos los archivos colgados en el servidor, o incluso del sistema. Microsoft ha intentado quitar hierro al asunto, argumentando que, en la configuración por defecto, el servidor no se ve afectado. Pero la realidad es que se trata de un gravísimo problema para muchos servidores que por su función, deben permitir la subida de ficheros por parte de usuarios. En estos casos, se recomienda eliminar los permisos de ejecución sobre los directorios donde se alojen los ficheros subidos. Por otro lado, Microsoft confirmó en noviembre un nuevo fallo en su protocolo de compartición de ficheros SMB. Este error, en principio, solo permite una denegación de servicio, esto es, que cualquier Windows deje de responder. El problema es que es aprovechable a través de Internet Explorer, o sea, visitando una página web. Este fallo tampoco será resuelto en esta tanda de parches. Los parches anunciados están sujetos a cambios, en cualquier caso, no se garantiza que se produzcan cambios de última hora. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=96 La cooperativa de telecomunicaciones TelViso firmó un acuerdo con IBM Argentina para renovar su plataforma tecnológica y realizar el mantenimiento de sus equipos, con el objetivo de ampliar las fronteras actuales de su negocio y brindar un mejor servicio a los clientes. La primera etapa contempla el relevamiento lógico y físico para diseñar la ingeniería de detalle. Luego, se pondrán en marcha los aparatos y su conexión, y se procederá con la parametrización de los equipos, de manera tal de llevar a cabo la integración y migración de los mismos. El gigante azul se hará cargo de la gestión e instalación del cambio de equipos de routing, switching, firewalls y BRAS (broadband remote access server) de la cooperativa. Estos dispositivos concentran las conexiones de ADSL de los usuarios, y son a los que se le aplican políticas de seguridad y los diversos perfiles para el acceso a Internet. Según Alejandro Pelloni, gerente de Servicios de Tecnología de IBM en el país, este proyecto es muy interesante ya que la convergencia de redes e IT, que abarca tanto a la tecnología como al modelo de negocios, genera más desafíos para los proveedores de servicios de comunicaciones. “Lo importante de esta solución es que sienta las bases que permitirán a TelViso ofrecer a sus clientes nuevos y mejores servicios y llegar a una mayor cantidad de usuarios”. Por su parte, Marcos Cytrynblum, presidente de TelViso, señaló que de las cuatro propuestas que se presentaron en la licitación, IBM fue la que más de ajustó por precio y calidad a sus necesidades. “Es interesante subrayar que operamos en todo el municipio de Pilar con un importante porcentaje de usuarios corporativos, de countries y barrios residenciales que demandan una altísima calidad en los servicios que les prestamos”. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=94 A estas horas ya todo el mundo debe saber lo ocurrido durante el día de ayer con la web de la Presidencia española de la Unión Europea (www.eu2010.es). De este "supuesto ataque" se pueden sacar conclusiones y tratar de aprender algo. Durante el día de ayer saltó a los medios más generalistas la noticia de que un "hacker" (no se podía emplear otro término) había entrado en la recién inaugurada web de la Presidencia española de la Unión Europea (www.eu2010.es) y había incrustado en ella una imagen del conocido humorista británico Rowan Atkinson en su papel de Mr. Bean. La noticia está causando un gran revuelo, incluso más después de conocer el dato de que el proyecto había costado más de 11 millones de euros, si bien este presupuesto no solo cubre el alojamiento, desarrollo y seguridad del sitio. También se incluyen otros asuntos relacionados con la instalación y funcionamiento de los medios de telecomunicaciones, sistemas informáticos y servicios de videostreaming de los centros de prensa que se habilitarán en las cumbres internacionales. Pero realmente el sitio no ha sido vulnerado, en el sentido de que nadie ha tomado su control. En esta ocasión se volvió a cumplir aquello de "no dejar que la realidad estropee una buena noticia". El problema radicaba en un cross-site scripting (XSS) que a través de una petición especialmente manipulada, había circulado en forma de URL por redes sociales, mensajería, etc. Alguien pulsó sobre el enlace del XSS y la noticia ya estaba creada. La petición real que circuló tenía la forma: http://www.eu2010.es/en/resultadoBusqueda.html?query=%3Cscript%3Edocument.write%28%27%3Cimg%20src%3D%22http%3A%2F%2Fblog.tmcnet.com%2Fblog%2Ftom-keating%2Fimages%2Fmr-bean.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E&index=buscadorGeneral_en Se trata de un XSS tradicional no persistente. Es decir, si no se accede a través de ese enlace, en realidad no se puede ver ningún ataque. No deja de ser un problema de seguridad en el desarrollo de la web, pero no tiene nada que ver con el hecho de que alguien entre y tome el control de unos servidores. En el blog Security By Default, lo han explicado de una forma muy instructiva en: http://www.securitybydefault.com/2010/01/eu2010es-el-fail-es-para.html Por otra parte, tampoco se puede considerar totalmente correcta la explicación dada por el gobierno español para negar el supuesto "hackeo": "El supuesto ataque -señala Moncloa en un comunicado- ha consistido en que se ha empleado una captura de una página de búsqueda del sitio para hacer un fotomontaje al que se ha asignado una dirección (url o enlace) que luego se ha distribuido en Internet, a través de redes sociales y blogs". En un fallido intento de restar importancia al asunto, se ha usado la palabra "fotomontaje", pero la verdad es que la imagen capturada y el fallo de seguridad eran reales, no producto el "PhotoShop". La explicación certera hubiese sido que la imagen de Mr. Bean, debido a un problema de seguridad, se mostraba "interpretada en" la página, pero no "desde" ella. No hubiese estado de más aclarar que mostrar una imagen es el menos grave los daños que se podrían haber causado. En cualquiera de los casos, el daño a la reputación está hecho, y es quizás el problema más serio a los que se enfrentan los responsables de la página en estos momentos. Con esto, está claro que la web no fue "hackeada", pero está igual de claro que contenía un problema de seguridad en su buscador. O bien no se había realizado una auditoría de seguridad o no se había prestado atención a los problemas de cross-site scripting encontrados. Ambas circunstancias suelen ser habituales. En muchas ocasiones en nuestros trabajos de auditoría nos planteamos cómo calificar la gravedad de un cross-site scripting; desde luego, no permite "entrar" en el servidor, pero el alcance que puede provocar (y aquí tenemos un claro ejemplo) puede ser igual de serio. No se presta la suficiente atención en corregirlo (dado que no se considera un problema grave) y se da carpetazo al asunto con un "este fallo no permite entrar en el servidor". En una página sin control de sesión y sin datos que robar, el riesgo de un error como el que nos ocupa actualmente ("de libro" y más habitual de lo que parece) puede ser considerado como de riesgo medio desde el punto de vista técnico, si bien ya hemos visto que el impacto mediático ha sido alto y por tanto también debe valorarse el daño potencial a la imagen de este tipo de vulnerabilidades. También existen casos en que las vulnerabilidades por XSS son consideradas de riesgo alto por criterios técnicos. Debemos pensar que los vectores de ataques de las vulnerabilidades XSS son variados y dependen del contexto, pudiendo ser utilizados en casos de phishings, distribución de malware desde fuentes teóricamente confiables, suplantación de sesiones, robos de cookies, etc. Aunque en este caso no llegaron a entrar en el servidor (tal como múltiples medios aseguraban), a efectos prácticos el resultado final que se ha transmitido a la conciencia colectiva es equivalente a si hubieran tomado el control. La imagen que se ha transmitido sobre el gobierno español y sobre Telefónica como encargada del proyecto, tanto en España como en Europa (donde el incidente también ha transcendido), no es nada positiva. Por eso, una vez más es importante recordar la importancia de auditar y corregir cualquier tipo de fallo encontrado, aunque sea un cross-site-scripting que no permita "entrar" en el servidor. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=95 El año recién estrenado, 2010, ha resultado también una cifra incómoda para ciertos sistemas informáticos, que no han sabido gestionar adecuadamente estas cuatro cifras, y han dejado de funcionar o lo han hecho de forma equívoca desde que comenzó el año. Sin tanto bombo ni platillo como se le dio al "efecto 2000", parece que este "otro efecto 2000" ha pillado por sorpresa. Uno de los afectados ha sido precisamente una de las soluciones profesionales de seguridad de Symantec, Endpoint Protection Manager. Se trata de un producto que aúna diferentes protecciones de seguridad y, por supuesto, en el plano reactivo usa firmas que se actualizan regularmente para su antivirus, antispyware y su IPS. El problema es que todas las actualizaciones desde el último minuto del 31 de diciembre de 2009, han sido calificadas erróneamente por el programa como "desactualizados", por lo que en este aspecto, los usuarios han quedado relativamente desprotegidos desde entonces. Symantec ha buscado una solución temporal para proteger a sus clientes: mantiene la fecha de última actualización de las firmas a 31 de diciembre de 2009, pero incrementa el número de versión de éstas. Así los clientes disfrutan de las últimas firmas pero, por ahora y a falta de una solución oficial, sin poder ser identificadas con la fecha correcta en la que son emitidas. Spamassassin también ha sufrido las consecuencias. El famoso filtro de correo cataloga como basura o no un email según muy diferentes valores, aplicando filtros bayesianos. Según las características del texto va sumando puntos y, si sobrepasa un límite, el programa añade una etiqueta al correo y muy probablemente acabe ignorado en la basura. Se ha encontrado un bug en su código. En concreto, desde el uno de enero añade a todos los correos una puntuación extra de aproximadamente 3.2 a causa de la directiva FH_DATE_PAST_20XX. Habitualmente, y según el administrador, un correo suele ser catalogado como spam si consigue una puntuación por encima de 4. Esto significa que hay muchas más posibilidades de que un correo sea catalogado como basura erróneamente. Cisco también ha tenido problemas. Las cookies del balanceador Cisco CSM expiraban desde hace años el 1 de enero de 2010.... ese día ha llegado y el balanceador no está haciendo bien su trabajo, pues piensa que todas las conexiones caducan constantemente. Windows Mobile no se ha librado. Los mensajes enviados en 2010 están siendo fechados en 2016. Más ejemplos: con el programa Invision Power Board, no se podían crear nuevas entradas desde que comenzó el año. SAP, ArcSight, Palm, Splunk... son otros programas que han detectado un poco tarde que no estaban preparados para el "efecto 2010". Tampoco los bancos. Alemania ha sido durante unos días un verdadero caos en lo referente a las tarjetas de débito y crédito. Cajeros automáticos que no funcionaban o tiendas en las que no se podía pagar con tarjeta ha sido la tónica para casi la mitad de todas las tarjetas emitidas del país. Aunque no ha supuesto un problema de seguridad, seguro que ha sido un incordio para muchos. El problema tiene su origen en un fabricante francés de tarjetas. Si bien para el efecto 2000 se desplegó durante años una importante campaña de concienciación hasta el punto de incrustar el concepto en la ideología popular (películas sobre catástrofes y horas y horas de leyendas alimentadas artificialmente), este bug de 2010 ha llegado en silencio. Las consecuencias no han sido graves, igual que no lo fueron hace 10 años (lo que supuso casi una decepción para los más catastrofistas). Pero el hecho nos hace pensar una vez más sobre la capacidad de anticipación de los programadores, que quizás ven el futuro demasiado lejos, o bien siguen sin darse cuenta de que en todo caso y desgraciadamente, el tiempo pasa más rápido de lo que parece. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=93 Cloud computing representa una nueva forma de entregar y consumir servicios sobre una red e infraestructura TI compartida. Antes, el hardware y software TI era adquirido y provisto físicamente en terreno. Con cloud computing, el valor de estos mismos productos de software y hardware son entregados bajo-demanda como servicios sobre la red. Cloud computing no sólo es relevante a los proveedores de servicio de red o proveedores de servicio basado en internet que ofrecen servicios cloud a consumidores, empresas o sector público las organizaciones de TI se están volviendo más agudamente concientes de la relevancia de cloud computing para sus propias operaciones. Ahora es posible para las TI construir clouds privadas o aumentar sus recursos con clouds públicas que permiten que sus Data Centers se beneficien de este poderoso modelo de cómputo. Las lecciones aprendidas del cloud computing pueden mejorar vastamente la escala, agilidad y niveles de servicio de aplicación de Data Centers empresariales al igual que reducir costos. Lograr estos resultados requiere examinar de cerca la red en sí misma, la cual es la base del Data Center listo para cloud. Interconectar un creciente número de dispositivos virtuales y físicos mientras se intenta simplificar la red para gestionar estos recursos a escala puede ser abrumador. La complejidad de gestión aumenta exponencialmente mientras se agregan más dispositivos. Esto frecuentemente requiere segmentación física, lo cual es ilógico versus construir grandes fuentes de recursos compartidos que maximizan la economía de escala. Superar estos obstáculos requiere un cambio fundamental en la forma en que las organizaciones de TI empresarial construyen sus redes de Data Center Legacy. El éxito para construir una red de Data Center escalable y lista para cloud requiere tres pasos críticos: (1) simplificar, (2) compartir y (3) asegurar. Simplificar La simplificación comienza al reducir el número de dispositivos autónomos. En el futuro, un switch lógico individual será capaz de escalar de forma segura y confiable a través del Data Center para conectar todos los servidores, almacenaje y dispositivos. Hasta que eso suceda, se pueden tomar medidas para consolidar las capas de redes consolidadas, aumentar la escala y desempeño sin agregar complejidad y reducir costos: - Aprovechar la densidad de dispositivos para reducir el número de dispositivos físicos. - Emplear tecnologías que permitan que múltiples dispositivos físicos actúen como un único dispositivo lógico. - Reducir capas de switching a dos o menos. - Asegurar conexiones de routing confiable entrando y saliendo del Data Center. - Mantener un SO común y un punto individual para monitorear y gestionar la red con APIs abiertos. Compartir Con una red más simple y escalable para soportar grandes fuentes de recursos, el próximo paso permite compartir dinámicamente los recursos para mayor agilidad. Esto requiere virtualización en dos niveles: - La virtualización de servidores, almacenajes y dispositivos. - La virtualización de la red misma La virtualización minimiza la necesidad de segmentación física, permite capacidad y ancho de banda para ser compartido eficiente y flexiblemente para servicio multi-inquilino y de alta calidad. Las VLANs, zonas, MPLS y VPLS ofrecen formas efectivas de virtualizar la red dentro y entre los data centers empresariales. Asegurar Otro desafío implica mantener entornos confiables y escalar la seguridad para una gran fuente de recursos. Para complementar la simplificación y el compartir de un Data Center listo para cloud, los servicios de seguridad también deberían ser consolidados y virtualizados. Es vital para asegurar los datos y servicios en reposo y en tránsito usar esta y otras medidas de seguridad: - Asegurar flujos hacia el Data Center. Autentificar y encriptar conexiones a puntos finales de red (SSL) y dispositivos empresariales (IPSec) mientras se reduce la proliferación de dispositivos. También es esencial para prevenir ataques de denegación-de-servicio e implementar firewalls para cuidar el borde y el perímetro. - Asegurar flujos dentro del Data Center. Segmentar la red con VLANs, zonas, routers virtuales y VPNs, y usar firewalls para proteger tráfico de aplicación-a-aplicación –entre servidores, entre máquinas virtuales y entre unidades. También emplear políticas de seguridad, concientes de aplicación y basadas en identidad. - Establecer políticas a lo ancho de la red desde una ubicación central para asegurar el cumplimiento de normas de seguridad. Motores centralizados de reporte brindan visibilidad histórica y en tiempo real a aplicaciones y datos, y permiten que el departamento de TI realice evaluaciones de vulnerabilidad programadas. Conclusión Al repensar la tradicional estrategia legacy y prepararse para la llegada del cloud computing, es posible para las organizaciones de TI construir redes de Data Center que ofrezcan mayores economías de escala, niveles de servicio de aplicación mejorados, gestión más sencilla y menores costos. Simplificar, compartir y asegurar la red es crítico para lograr el éxito en la construcción de Data Centers listos para cloud. Dado que la Ley de Moore asegura que el avance tecnológico continúe haciendo que las redes de Data Center listas para cloud sean una realidad, las organizaciones de TI pueden tomar pasos decisivos que impulsen a los negocios más cerca de la promesa del mañana. (*) Vicepresidente de marketing de producto y desarrollo de negocio para el Negocio de Tecnologías de Fabric y Switching en Juniper Networks. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=89 Se ha publicado recientemente un error de seguridad en IIS 6.x que permite eludir restricciones de seguridad y ejecutar código ASP arbitrario mediante el uso de una múltiple extensión. Tercer susto del año para Microsoft y su IIS. Internet Information Services (IIS), es un servidor de aplicaciones implementado por Microsoft que permite montar distintos servicios como FTP, SMTP, NNTP y HTTP/HTTPS. Está basado en varios módulos que permiten procesar distintos lenguajes web, por ejemplo ASP y ASP.NET. También pueden ser incluidos los de otros como PHP o Perl. El error (de nuevo extremadamente simple) se provoca al no filtrar correctamente el carácter ";" en el nombre de un fichero. De este modo un atacante remoto podría subir al servidor un fichero ASP y ejecutar su contenido suplantando, por ejemplo, una imagen. Aunque IIS incorpora una medida de seguridad que evita ejecutar código cuando un fichero tiene múltiple extensión, el fallo permite que si se consigue subir un fichero llamado "foto.asp;.jpg" al servidor, la aplicación lo tome como una inocente imagen, pero en realidad se ejecute su código ASP ("Active Server Page") al invocarlo. El hecho de que un atacante pueda ejecutar código ASP arbitrario en un servidor, abre un amplio abanico de posibilidades. Dependiendo de la configuración, quedará comprometida no solo la página, sino todo el servidor que lo aloja. Para poder explotar esta vulnerabilidad es necesario que el servidor permita subir ficheros. El atacante solo debe realizar un simple cambio en la extensión del nombre del archivo. Dado que muchas aplicaciones web permiten subir archivos fotográficos (por ejemplo a modo de "avatar") el impacto en estos servidores es importante. Tercera vulnerabilidad grave para IIS en lo que va de año, después de mucho tiempo de tranquilidad en este aspecto. En mayo, se encontró un fallo en IIS 6.x a la hora de procesar peticiones HTTP especialmente manipuladas con la cabecera "Translate:f" y con caracteres Unicode que permitía a un atacante eludir la autenticación al disparar un problema de validación en WebDAV. En septiembre, el mismo investigador que descubrió el fallo anterior, publicó un exploit funcional que permitía a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x. Microsoft no ha publicado parche ni "advisory" oficial al respecto. Si es imprescindible permitir la subida de archivos, se recomienda eliminar los permisos de ejecución sobre los directorios donde se permita. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=86 Se han anunciado múltiples vulnerabilidades en Winamp (versiones 5.56 y anteriores). Un atacante podría emplear estos problemas para comprometer los sistemas vulnerables. Winamp es seguramente el reproductor de archivos multimedia más famoso para plataformas Windows. Entre sus cualidades está el soportar múltiples formatos, ser ligero, aceptar infinidad de plugins y la posibilidad de descarga de versiones gratuitas. Los primeros problemas se deben a un desbordamiento de enteros al procesar datos PNG o JPEG. Un atacante podría provocar la ejecución de código arbitrario si un usuario abre un archivo multimedia (p.ej. MP3) especialmente manipulado. Otros problemas residen en desbordamiento de búfer y enteros en el Module Decoder Plug-in (IN_MOD.DLL) al procesar archivos Impulse Tracker, Ultratracker o Oktalyzer mal construidos. Un atacante podría provocar la ejecución de código arbitrario si un usuario abre un archivo especialmente manipulado. Se recomienda actualizar a Winamp versión 5.57, que además incluye otra serie de mejoras y se encuentra disponible desde: http://www.winamp.com/media-player http://www.servi-tec.com.ar/informes_ver_uno.php?ba=87 SuSE ha publicado la actualización del kernel para diversos productos, en la que se corrigen varios fallos de seguridad que podrían permitir a un atacante causar denegaciones de servicio, escalar privilegios o incluso ejecutar código arbitrario en un sistema vulnerable. Los productos actualizados son SLE SDK 10 SP2, SUSE Linux Enterprise Desktop 10 SP2, SUSE Linux Enterprise 10 SP2 DEBUGINFO, SUSE Linux Enterprise Server 10 SP2. De forma resumida, las principales vulnerabilidades corregidas son: Varias de las vulnerabilidades están asociadas a un error en los permisos asignados a ciertos atributos expuestos por el driver "megaraid_sas" en "sysfs". Un atacante local podría elevar privilegios a través de la modificando de atributos del driver "megaraid". Otro problema reside en la función "collect_rx_frame" del fichero "hfc_usb.c". Esto podría se aprovechado por un atacante local para ejecutar código arbitrario con privilegios de superusuario a través de un paquete "HDLC" especialmente manipulado. Otra vulnerabilidad del kernel corregida reside al procesar el argumento "eindex" de la función "gdth_read_event" en "drivers/scsi/gdth.c". Esto podría ser aprovechado por un atacante local para causar una denegación de servicio y, potencialmente, elevar privilegios a través de una llamada IOCTL especialmente manipulada. También se ha corregido un error al procesar el argumento "req" de la función "fuse_direct_io" en "fs/fuse/file.c". Un atacante local podría aprovechar este problema para causar una denegación de servicio a través de vectores no especificados. Un error de fuga de memoria a la hora de procesar determinados datagramas de "AppleTalk-IP" en el kernel de Linux. Un atacante local podría provocar una denegación de servicio a través del envío de muchos datagramas "AppleTalk-IP" especialmente manipulados. La explotación solo es posible si están cargados y asociados a la misma interfaz los módulos "appletalk" y "ipddp". Existe un error de comprobación de estado de los sockets en la función "unix_stream_connect". Un atacante remoto podría aprovechar este problema para causar una denegación de servicio, a través de reiterados intentos de conexión a un socket que está siendo cerrado mediante una llamada a shutdown. Se ha corregido un error de comprobación en la inicialización en las rutinas de manejo de IOCTL. Un atacante local podría aprovechar esto para provocar una denegación de servicio aprovechando las dereferencias a NULL de estructuras no inicializadas. Existe un error de puntero nulo en las función "nfs4_proc_lock". Un atacante local podría aprovechar este problema para causar una denegación de servicio (Kernel panic) a través de un fichero NFSv4 especialmente manipulado. Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=90 Se han anunciado dos nuevas vulnerabilidades en Adobe Flash Media Server 3.5.2 (y anteriores). Un atacante remoto podría emplear estos fallos para provocar condiciones de denegación de servicio o llegar a ejecutar código arbitrario en los sistemas afectados. El primero de los problemas permitiría a un atacante remoto enviar datos específicamente manipulados para consumir todos los recursos del sistema atacado. La segunda vulnerabilidad permitiría a un atacante remoto subir al servidor atacado DLLs arbitrarias, las cuales podrían ser posteriormente ejecutadas. Adobe ha publicado la versión 3.5.3 que corrige estos problemas disponible desde: http://www.adobe.com/support/flashmediaserver/downloads_updaters.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=85 El pasado 17 diciembre PHP.net actualizó su versión estable a la 5.2.12. En esta versión ha solucionado varios fallos de seguridad. PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida. CVE-2009-3557: Existe un error de validación de permisos en la función "tempnam" cuando está activo "safe_mode". Esto permitiría a un atacante local saltar las restricciones de "safe_mode" y escribir ficheros arbitrarios en el sistema cuando se tiene permiso de escritura en la carpeta. Esto es debido a que la función sólo comprueba el valor de "open_basedir". CVE-2009-3558: Existe un error de validación de permisos en la función "posix_mkfifo". Esto permitiría a un atacante local saltar las restricciones y escribir ficheros arbitrarios en el sistema cuando se tiene permiso de escritura en la carpeta. Esto es debido a que la función solo comprueba el valor de "safe_mode" y no de "open_basedir". CVE-2009-4017: Existe un error de diseño en PHP cuando se suben archivos. Esto permitiría a un atacante remoto causar una denegación de servicio remota por consumo excesivo de memoria mediante la subida de varios archivos simultáneos. Para solucionar este fallo se ha añadido una directiva llamada "max_file_upload" por defecto 20 que limita el número de archivos simultáneos que se permiten subir. CVE-2009-4142: Existe un error en el filtro de la función "htmlspecialchars". Esto permitía a un atacante remoto evitar que se codifiquen correctamente ciertos caracteres pudiendo causar errores de codificación o fallos de "cross site scrpting". CVE-2009-4143: Existe un error de falta de comprobación en "session.save_path". Esto podría ser aprovechado por un atacante para causar un impacto no especificado. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=81 La Fundación Mozilla ha publicado siete boletines de seguridad (del MFSA2009-65 al MFSA2009-71) para solucionar diversas vulnerabilidades en Mozilla Firefox. Según la propia clasificación de Mozilla tres de los boletines presentan un nivel de gravedad "crítico", uno es de gravedad alta, dos son "moderados" y un último considerado bajo. Los boletines publicados son: * MFSA2009-65: En este boletín crítico se cubren múltiples fallos de estabilidad en Firefox, Thunderbird, SeaMonkey que podrían llegar a permitir la ejecución remota de código arbitrario. * MFSA2009-66: Trata de múltiples problemas críticos relacionados con liboggplay y que afectan a Firefox, SeaMonkey y que pueden llegar a permitir la ejecución remota de código arbitrario. * MFSA2009-67: Otro boletín crítico relacionado con un desbordamiento de entero el la librería de vídeo Theora. Afecta a Firefox, SeaMonkey. * MFSA2009-68: Boletín considerado de gravedad "alta" en el que se refiere a una vulnerabilidad en la implementación NTLM de Mozilla en Firefox, SeaMonkey. El problema podría permitir que las credenciales NTLM de una aplicación sean reenviadas a otra aplicación arbitraria a través del navegador. * MFSA2009-69: En este boletín considerado de carácter moderado se trata un problema que podría permitir la falsificación de URLs, en el que una página http podría aparecer como https. * MFSA2009-70: Otro boletín moderado que afecta a Firefox y SeaMonkey, en el que se trata un problema de escalada de privilegios. * MFSA2009-71: El último boletín, considerado de gravedad baja, hace relación a un problema en el objeto GeckoActiveXObject por el que se podrían listar los objetos COM instalados en el sistema del usuario. Se han publicado las versiones 3.5.6 y 3.0.16 del navegador Firefox que corrige todas estas vulnerabilidades. La versión 3.5.6 se encuentra disponible desde: http://www.mozilla-europe.org/es/firefox/ La versión 3.0.16 puede descargarse desde: http://www.mozilla.com/en-US/firefox/all-older.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=80 Cisco ha confirmado la existencia de múltiples vulnerabilidades de desbordamiento de búfer en el reproductor Cisco WebEx Recording Format (WRF). Cisco WebEx WRF Player es una aplicación que se emplea para reproducir grabaciones de reuniones WebEx registradas en el ordenador de un asistente a la reunión en línea. WebEx Recording Format (WRF) es el formato de archivo en que se almacenan dichas grabaciones. El reproductor WRF puede ser instalado automáticamente cuando el usuario accede a un archivo WRF alojado en un servidor WebEx. También puede ser instalado manualmente para su uso sin conexión descargándolo desde www.webex.com. Las vulnerabilidades anunciadas afectan al reproductor Cisco WebEx WRF en plataformas Microsoft Windows, Apple Mac OS X y Linux. Se han confirmado hasta seis problemas de desbordamiento de búfer en el reproductor de WRF, que pueden llegar a permitir a un atacante remoto la ejecución de código arbitrario. Para explotar las vulnerabilidades, es necesario abrir un archivo WRF malicioso con la aplicación. Si el reproductor WRF fue instalado de forma automática, se actualizará de igual forma a la última versión no vulnerable cuando los usuarios accedan a un archivo WRF alojado en un servidor WebEx. En cambio si se instaló de forma manual, los usuarios deberán instalar también manualmente la nueva versión actualizada descargándola desde www.webex.com. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=84 Adobe ha confirmado la existencia de una nueva vulnerabilidad en Adobe Acrobat y Reader reportada como "0-day" que se está explotando en estos momentos de forma activa para conseguir la ejecución remota de código arbitrario. Cuando una vulnerabilidad se reporta en forma de "día cero" (0-day) quiere decir que se divulga o conoce cuando ya se están efectuando ataques y se aprovecha de forma activa. Esto implica que cuando se da a conocer no hay parche disponible, por lo que generalmente el fabricante debe trabajar contrarreloj para corregir el problema. En general, todos los ataques a través de archivos pdf detectados en la actualidad basados en la instalación de un troyano se conocen como Trojan.Pidief.X (donde X especifica la versión de turno), por lo que la mayoría de los antivirus que lo detecten lo clasificarán bajo este nombre. Adobe ha publicado un aviso de seguridad en el que confirma el problema (calificándolo de crítico) en Adobe Reader y Acrobat 9.2 (y versiones anteriores). Adobe recomienda emplear "JavaScript Blacklist Framework" o desactivar JavaScript en los documentos PDF para mitigar en la medida de lo posible los ataques. Otra contramedida disponible pasa por activar el sistema DEP (Prevención de Ejecución de Datos) disponible en algunas versiones de Windows lo que podrá mitigar el ataque a una denegación de servicio. Recomendamos, si es posible, usar otro lector de archivos PDF hasta que se solucione el fallo. Aunque no estén exentos de contener problemas de seguridad, al menos por ahora no son objetivo claro de atacantes. Existen múltiples opciones para elegir para todas las plataformas en: http://pdfreaders.org/ En cualquier caso se recomienda precaución al abrir archivos pdf provenientes de fuentes desconocidas. Como opción y ante cualquier duda también puede ser recomendable enviar cualquier archivo sospechoso a VirusTotal (http://www.virustotal.com) para su análisis. Otra de nuestras recomendaciones habituales también es válida en este caso: no usar la cuenta de administrador para leer archivos PDF. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=79 En su ciclo, ya habitual, de boletines de seguridad Adobe ha publicado una actualización para corregir siete vulnerabilidades en Adobe Flash Player y AIR, que podrían permitir a un atacante tomar el control de los sistemas afectados. Esta actualización soluciona una vulnerabilidad en el tratamiento de datos jpeg que podría dar lugar a una ejecución de código arbitrario. También soluciona una vulnerabilidad de divulgación de información, que solo afecta a sistemas Windows, en el acceso local a nombres de archivo en el control ActiveX de Flash. También soluciona otras vulnerabilidades de ejecución de código a través de desbordamiento de enteros, inyección de datos, o modificación de datos en memoria. Adobe recomienda a los usuarios de Adobe Flash Player 10.0.32.18 (y versiones anteriores) actualizar a la nueva versión 10.0.42.34 desde http://get.adobe.com/flashplayer/ o mediante el sistema de actualización automática. Para los usuarios que no puedan actualizar a Adobe Flash Player 10, se ha publicado una actualización de Adobe Flash Player 9, Adobe Flash Player 9.0.260, que puede descargarse desde http://www.adobe.com/go/kb406791 Para los usuarios de Adobe AIR 1.5.2 y anteriores se recomienda actualizar a la versión 1.5.3 desde http://get.adobe.com/air/ http://www.servi-tec.com.ar/informes_ver_uno.php?ba=78 Dentro del conjunto de boletines de seguridad de diciembre publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-072) de una actualización acumulativa para Internet Explorer 5.01, 6, 7 y 8; que además solventa cinco nuevas vulnerabilidades. La primera de las vulnerabilidades corregidas se trata de una ejecución remota de código en un control ActiveX compilado con los encabezados vulnerables de Microsoft Active Template Library (ATL). Las otras cuatro vulnerabilidades corregidas residen en errores de desbordamiento de memoria al acceder a objetos no inicializados o borrados en Internet Explorer. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada. Este parche, al ser acumulativo, incluye todas las actualizaciones anteriores. Se recomienda actualizar el navegador mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad: www.microsoft.com/spain/technet/security/Bulletin/ms09-072.mspx

http://www.servi-tec.com.ar/informes_ver_uno.php?ba=77 Este pasado martes Microsoft ha publicado seis boletines de seguridad del MS09-069 y MS09-074) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de doce vulnerabilidades. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que los tres restantes son "importantes". Los boletines "críticos" son: * MS09-071: Actualización destinada a corregir dos vulnerabilidades en el Servicio de autenticación de Internet al tratar los intentos de autenticación PEAP. Sólo están afectados los servidores con el Servicio de Autenticación de Internet cuando usan PEAP con la autenticación MS-CHAP v2. Estos problemas que afectan a Windows 2000, XP, Vista, Server 2003 y Server 2008, podrían permitir la ejecución remota de código. * MS09-072: Actualización acumulativa para Microsoft Internet Explorer que además soluciona cinco nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Afecta a Internet Explorer 5.01, 6, 7 y 8. * MS09-074: Actualización de seguridad para evitar una vulnerabilidad Microsoft Office Project, que podría permitir la ejecución remota de código si un usuario abre un archivo de Project especialmente creado. Afecta a Project 2000, 2002 y Office Project 2003. Los boletines clasificados como "importantes" son: * MS09-069: Actualización destinada a corregir una vulnerabilidad de denegación de servicio, si en un sistema afectado un usuario remoto autenticado envía mediante protocolo IPSEC un mensaje ISAKMP especialmente diseñado al Servicio LSASS (Subsistema de Autenticación de la Autoridad de Seguridad Local). * MS09-070: Actualización que soluciona dos vulnerabilidades en Servicios de federación de Active Directory (ADFS, Active Directory Federation Services). Un usuario remoto autenticado podría lograr la ejecución remota de código si envía una petición http especialmente diseñada a un servidor web habilitado para ADFS. * MS09-073: Actualización que soluciona una vulnerabilidad en Microsoft WordPad y Office Word, que podría permitir la ejecución remota de código si un usuario abre un archivo Word 97 específicamente manipulado. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=76 Ante un conflicto por la titularidad de un dominio, la Cancillería pedirá pruebas. El objetivo es terminar con las usurpaciones. Ante los crecientes reclamos de empresas y particulares, el Gobierno finalmente creó un sistema de arbitraje veloz para resolver disputas sobre la titularidad de los dominios argentinos, tal como adelantó iEco en junio pasado. El mecanismo entró en vigencia el 1° de diciembre tras la publicación de la resolución 654/09 en el Boletín Oficial y estará bajo la órbita de la Cancillería, que definirá muchos de los conflictos que se presentan con el registro de marcas y nombres comerciales para ser utilizados en las direcciones electrónicas “.com.ar”. La iniciativa busca poner freno a los ciberokupas, tal como define la jerga informática a las personas que registran indiscriminadamente nombres comerciales –conocidos o no– especulando con la posibilidad de venderlos a quienes lo necesiten. Desde ahora, muchos de los reclamos se podrán dirimir en forma rápida, y sin recurrir a la Justicia. “El trámite es gratuito y es tan simple que no habrá necesidad de contratar gestores ni intermediarios”, prometió Gustavo Soliño, titular del NIC Argentina (del inglés Network Information Technology), la oficina de la Cancillería a cargo de la gestión de los dominios finalizados en “com.ar.” Mucho más fácil que la resolución de las controversias, justo es remarcarlo, es el registro de un dominio, porque no sólo es gratuito y simple, sino que el trámite completo se hace por Internet. Eso no constituye ninguna novedad, lo que sí resulta llamativo es que la Argentina es el único país del mundo que no aranceló el servicio, lo que parece favorecer las prácticas especulativas. Esto produce algunas distorsiones, porque ya existen más de 2 millones de dominios argentinos, pero en el mercado estiman que alrededor del 65% está sin uso o desactivado. El gran problema que se intenta resolver son las usurpaciones de nombres y marcas, una actividad que roza lo legal. Precisamente a eso apunta la nueva resolución, que delega en el NIC la responsabilidad de dirimir gran parte de las disputas por la titularidad de dominios. El mecanismo, según explicó Soliño, a grandes rasgos funcionará así: si una persona intenta registrar una marca o nombre comercial y encuentra que está ocupado, podrá recurrir al NIC, que resolverá el pleito “en menos de un mes”, juró. A las pruebas me remito “Debe concurrir con una nota (firmada por escribano) y la documentación que demuestre el derecho a recuperar el nombre”, dijo el funcionario. Si es una marca, por ejemplo, debe mostrar constancias del IMPI (el registro de marcas) o de la AFIP, o en el caso del nombre de una empresa, la inscripción en la Inspección General de Justicia, por ejemplo. ”Con esto, el NIC intimará al primer registrarte para que haga su descargo. Y si no lo puede justificar, se revoca el dominio y se le otorga al que lo reclamó”, reseñó Soliño. Sólo en el último año, de acuerdo con datos oficiales, el NIC recibió 872 reclamos por usurpación. De ese total, 130 no prosperaron porque la normativa anterior no preveía la cuestión. Y 63 de esos casos terminaron en la Justicia y los legítimos dueños recuperaron sus dominios por medio de medidas cautelares, es decir, un fallo favorable pero provisorio. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=150 Se ha descubierto una vulnerabilidad en el popular programa de tratamiento gráfico Paint Shop Pro 8, que podría ser aprovechada por un usuario local para provocar la ejecución de código arbitrario en el sistema. El problema se debe a un desbordamiento de búfer en el módulo gear12d.dll del software al tratar imágenes PNG específicamente construidas. Un atacante podría emplear este problema para lograr ejecutar código arbitrario y comprometer los sistemas afectados. Se ha publicado un exploit de demostración para aprovechar este problema para el que por el momento no existe solución, por lo que se recomienda precaución y ano abrir archivos PNG de fuentes desconocidas con Paint Shop Pro. Jasc Paint Shop Pro v8 Local Buffer Overflow Exploit (UNIVERSAL) http://www.servi-tec.com.ar/informes_ver_uno.php?ba=88 NIC Argentina implementará durante 2010 un nuevo sistema de registro y administración de nombres de dominio. Por tal motivo, se informa que todas las Entidades Registrantes deberán regularizar sus datos registrales. Aquellas que al 1ro de marzo de 2010 no hayan regularizado sus datos registrales serán dadas de baja al igual que los dominios que estuvieran registrados a su nombre. DATOS REGISTRALES – ACTUALIZACIÓN (Domicilio, Teléfono, etc.) Estos datos deben estar "actualizados" dado que la falsedad o inexactitud de los mismos puede derivar en la pérdida de nombres de dominio y/o bajas de Entidades Registrantes. DATOS REGISTRALES – REGULARIZACIÓN (Nombre de fantasía, datos duplicados, etc.) Los datos registrales de las Entidades Registrantes deben corresponder a Personas Físicas y/o Jurídicas reales. Por tal motivo aquellas Entidades que estén registradas con nombres de fantasía, razones sociales inexistentes, datos desactualizados, entidades duplicadas, etc. deberán regularizar su situación, pues, de lo contrario, podría derivar en la pérdida de nombres de dominio y/o bajas de Entidades Registrantes. CORREO ELECTRÓNICO Es obligatorio para todas las Entidades tener asociada una dirección de correo electrónico válida y que se encuentre activa. Por tal motivo, se recuerda a quienes aún no hayan inscripto su correo electrónico, que deberán hacerlo con anterioridad al 01/03/2010 ya que, de no ser así, la Entidad será dada de baja junto con los dominios que estuvieran registrados a su nombre. CUIT / DNI Es obligatorio para todas las Entidades registrar su CUIT, CUIL o DNI. Debido a ello, se recuerda a quienes aún no lo hayan registrado, que deberán hacerlo con anterioridad al 01/03/2010 ya que, de no ser así, la Entidad será dada de baja junto con los dominios que estuvieran registrados a su nombre. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=75 Establécese que la búsqueda, recepción y difusión de información e ideas por medio del servicio de Internet se considera comprendida dentro de la garantía constitucional que ampara la libertad de expresión. Sancionada: Mayo 18 de 2005 Promulgada de Hecho: Junio 16 de 2005 ARTÍCULO 1° — La búsqueda, recepción y difusión de información e ideas de toda índole, a través del servicio de Internet, se considera comprendido dentro de la garantía constitucional que ampara la libertad de expresión. ARTÍCULO 2° — La presente ley comenzará a regir a partir del día siguiente al de su publicación en el Boletín Oficial. ARTÍCULO 3° — Comuníquese al Poder Ejecutivo. —REGISTRADA BAJO EL N° 26.032— DADA EN LA SALA DE SESIONES DEL CONGRESO ARGENTINO, EN BUENOS AIRES, A LOS DIECIOCHO DÍAS DEL MES DE MAYO DEL AÑO DOS MIL CINCO. EDUARDO O. CAMAÑO. — MARCELO A. GUINLE. — Eduardo D. Rollano. — Juan Estrada. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=73 En períodos de crisis económica, las empresas tienden a valorar, más que en etapas de normalidad, a los trabajadores que reúnen características apropiadas para atravesar el mal momento con éxito: confiabilidad, dedicación, lealtad y madurez. En este contexto, las personas de más de 45 años recuperaron protagonismo. “Estamos en presencia de un fenómeno especial, en el que, frente a procesos de crisis, las personas con experiencia y conocimiento son requeridas para puestos clave”, destaca Gustavo Dos Santos, director de la consultora Datum, especializada en trayectos laborales. “La selección de estos perfiles está dada por la seguridad que ofrece su performance y las posibilidades que presenta; estamos hablando de personas que buscan estabilidad y ya no tantos cambios de organizaciones o posiciones”, agrega. La situación para los mayores de 45 años mejoró relativamente en los últimos tiempos, según afirma María Amelia Videla, gerente de Responsabilidad Social y Asuntos Públicos de la consultora Manpower. “Fueron más buscados y necesitados luego de la crisis de 2001, cuando las empresas redujeron al máximo sus dotaciones”, ejemplifica. “Los perfiles más demandados son: expertos en oficios o en informática, en servicios de asesoramiento, en consultoría y especialistas en desarrollo de tareas concretas que requieren de un conocimiento específico”, agrega Videla. Experiencia y madurez, Fernando Bocchicchio es gerente de Recursos Humanos de Smith International, una empresa dedicada a dar soluciones tecnológicas y de servicio en la exploración y explotación de petróleo y gas. De los 363 empleados con los que cuenta, el 35% supera los 45 años y 14 de sus 20 gerentes son mayores de 40. “La experiencia de vida y los conocimientos de un ejecutivo que atravesó varias situaciones límite son decisivos para resolver problemas puntuales como los que se presentan hoy en las empresas”, comenta Bocchicchio. La crisis fue un factor decisivo para la llegada de personal de esta franja etárea a Smith International: en comparación con 2008, el ingreso de personas “mayores” creció en un 63%. “El fenómeno de la “empleabilidad” de mayores de 45 sucede porque la compañías finalmente comprendimos que los idealizados procesos de gestión del conocimiento no han logrado de modo uniforme hacer un verdadero traslado del know how ante situaciones de crisis o cambio. Estamos frente a un operativo retorno a valores que jamás debieron dejarse de transmitir y contagiar: experiencia, madurez”, explica Bocchicchio. Por otra parte, el temple de una persona que ya enfrentó situaciones extremas en el pasado también es un factor a tener en cuenta. Gerardo Bollini, gerente de Recursos Humanos de Zucamor, una empresa que realiza envases de cartón corrugado y bolsas multipliego, destaca la importancia de contar con empleados que no se paralicen en momentos difíciles. “No se puede obviar que una persona de 50 años ya vivió las crisis de 2001 o de 1989. Esto le da una agilidad mental y práctica superior a la que puede tener un joven de 30”. Bollini posiciona a la experiencia adquirida, las competencias desarrolladas y la velocidad de adaptación como las principales variables a destacar dentro de esta franja etárea etaria. “Considero que para puestos donde se requiera una competencia específica relacionada a la toma de decisiones en momentos críticos, los mayores de 45 tienen un perfil de empleabilidad más atractivo que cualquier otro”, asegura. Pilotos de tormenta No es lo mismo un profesional con trayectoria que uno sin ella, apunta Videla. “Muchas organizaciones valoran las habilidades y experiencias ganadas durante una carrera extensa: vitalidad, flexibilidad y capacidad de adaptación al cambio, conocimiento, trato personal, enfoque de carrera, interés y contribuciones tangibles para los resultados”, agrega. José Manuel Aggio, gerente de Recursos Humanos de la empresa San Miguel, primera productora de limones del país y segunda fuente de empleo en la provincia de Tucumán, encuentra que en el interior “el vínculo que se genera entre la compañía y la gente hace que el trabajador se sienta respetado y valorado a medida que pasan los años. En Capital, al haber más opciones, los jóvenes cambian más y no cumplen tantos años en la empresa”. El 61% de su planta está integrado por trabajadores mayores de 40 y también hubo lecciones aprendidas en 2001: “Verificamos la estrategia de buscar ‘pilotos de tormenta’ para pasar la crisis”, asegura. “En tiempos de crisis se valora más la experiencia de haber pasado situaciones similares y la madurez para gestionarlas en los puestos jerárquicos, así como la habilidad para resolver problemas con menos recursos que los habituales en los puestos más operativos”, concluye Aggio. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=74 Se ha descubierto un error en IBM DB2, (el popular gestor de base de datos de IBM) por el cual un atacante local podría conseguir elevar sus privilegios. El problema, que afecta a las versiones 8 y 9 del producto, se debe a errores de permisos en "DASAUTO". De forma que un atacante local sin permisos podría llegar a ejecutarlo, lo que le permitiría elevar sus privilegios. Se recomienda actualizar a IBM DB2 versión 9.7 Fix Pack 1, V9.5 Fix Pack 4, 9.1 Fix Pack 8 o 8 Fix Pack 18: http://www.ibm.com/support/docview.wss?rs=71&uid=swg27007053 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=62 Esta semana se han dado a conocer dos problemas de seguridad relacionados con Internet Explorer. Un fallo es muy grave y permite la ejecución de código arbitrario en el sistema con solo visitar una página web. El otro fallo es mucho más leve, y solo permite que un atacante obtenga información confidencial a través de archivos PDF impresos desde el navegador. De la primera vulnerabilidad, la más grave, se han dado todos los detalles de forma pública. No se han observado de forma masiva ataques que la aprovechen, pero dadas las circunstancias, parece que no tardarán en aparecer. El fallo está en el manejo de punteros en la función "getElementsByTagName" de mshtml.dll al procesar objetos CSS. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que corra Internet Explorer con solo visitar una página especialmente manipulada. Microsoft ya ha reconocido el fallo y está trabajando en un parche para solucionarlo. Solo afecta a las versiones 6 y 7 del navegador. Si no es posible usar la versión 8, como contramedida, se recomienda elevar la seguridad de las zonas de Internet Explorer a "Alta" para las páginas no confiables. O desactivar directamente el "Active Scripting" en las "Opciones de Internet", pestaña de "seguridad", "nivel personalizado". El otro problema de seguridad encontrado en el navegador es mucho menos peligroso. Cuando se abren en Internet Explorer páginas web almacenadas en el disco duro y se imprimen con cualquier impresora virtual en formato PDF, el navegador añade en el archivo información que no debería estar ahí, como la ruta local de la página que se ha impreso en PDF. Lo añade en el interior del archivo de forma que no se ve a simple vista. Es necesario abrir el archivo PDF con un editor para observarlo. Un atacante con acceso al documento PDF podría obtener así información sensible a partir de esas rutas locales, como por ejemplo los nombres de usuario y versión del sistema operativo analizando el archivo con un editor. La persona que ha alertado sobre este último problema, advierte que con el buscador Google, es muy sencillo encontrar ficheros PDF que han sido impresos en este formato a través del navegador y que contienen la ruta del disco duro donde estaban alojados. En la mayoría de las ocasiones si esta ruta es la de "Mis documentos" en Windows, podrían incluir el nombre de usuario que las generó. Este fallo afecta a todas las versiones incluida la 8. Microsoft no lo considera un problema de seguridad, así que aunque ha reconocido el problema, no parece que vaya a aplicar un parche. Lo más probable es que posteriores versiones del navegador, o bien un posible futuro Service Pack, anulen este comportamiento. Mientras tanto, se recomienda que si se imprimen con impresoras virtuales páginas HTLM interpretadas con Internet Explorer, se abra posteriormente el archivo PDF con cualquier editor, se busque la información sensible y se elimine. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=83 Se ha anunciado una vulnerabilidad en algunas impresoras de la gama HP Color LaserJet, que podría permitir la realización de ataques de denegación de servicio o evitar restricciones de seguridad y permitir el acceso no autorizado a datos. En múltiples ocasiones hemos hablado de la importancia de mantener los sistemas actualizados, pero también hay que recordar que elementos hardware también pueden verse afectados por problemas de seguridad que pueden afectar de forma importante al continuidad del negocio. Son frecuentes actualizaciones por vulnerabilidades en routers, switches y dispositivos de red similares, pero las impresoras son elementos importantes en la operativa de trabajo diaria y también pueden verse afectadas por graves problemas. Especialmente impresoras de centros de trabajo con múltiples funcionalidades. El problema está provocado por un error del que HP no ha facilitado detalles, pero ha confirmado que se ven afectadas las impresoras HP Color LaserJet M3530 Multifunction Printer con firmware 53.021.2 y HP Color LaserJet CP3525 Printer con firmware 05.058.4. Solo se ven afectadas las impresoras con esas versiones concretas de firmware. HP ha publicado actualizaciones del firmware para corregir estos problemas: HP Color LaserJet M3530 Multifunction Printer 53.031.4 o posterior. HP Color LaserJet CP3525 Printer 05.059.3 o posterior. Disponibles desde la web de HP en: www.hp.com Este problema es una muestra de lo importante que puede ser prestar atención a todos los sistemas y dispositivos que integran nuestra red, incluso aquellos que pensemos que no pueden tener problemas como una impresora. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=82 Se ha publicado la versión 5.3.1 de PHP, que corrige seis vulnerabilidades de seguridad en el popular lenguaje, que podrían ser aprovechadas por un atacante remoto para saltarse restricciones de seguridad o provocar denegaciones de servicio. El primero de los problemas solucionados se debe a que PHP no limitaba el número máximo de subidas de archivo por petición, con la actualización queda limitado a 20 por defecto. Un atacante podría explotar este problema para provocar una denegación de servicio mediante el consumo de archivos temporales. Un segundo problema está provocado por la ausencia de controles de seguridad en el tratamiento de exif. Un atacante podría emplear otro de los errores en "tempnam()" para evitar el modo "safe_mode". Otra de las vulnerabilidades reside en un error en "posix_mkfifo()", que podría permitir evitar las restricciones "open_basedir". También se ha corregido un problema en "safe_mode_include_dir". El último de los problemas corregidos se debe a un error en popen al manejar un modo no válido, lo que podría provocar una denegación de servicio. Se recomienda actualizar a PHP versión 5.3.1 disponible en: http://www.php.net/downloads.php http://www.servi-tec.com.ar/informes_ver_uno.php?ba=63 Se han solucionado dos errores en Wordpress que podrían ser aprovechados por usuarios autenticados para eludir restricciones o subir ficheros al servidor. WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL. Ofrecido a la comunidad bajo licencia GPL, WordPress es uno de los gestores de blogs más extendido en la blogosfera. El primero de los errores solucionados es un problema de cross site scripting en el fichero "press-this.php". Este error está causado por no filtrar correctamente las variables usadas para el título y la sección. El otro fallo corregido permite eludir restricciones y subir al servidor de Wordpress ficheros con doble extensión. El atacante solo tendría que visitarlos posteriormente para que se ejecutasen y obtener un mayor o menor control del servidor dependiendo de los permisos obtenidos. Se ha solucionado modificando la función "sanitize_file_name" para que escriba "_" si encuentra múltiples extensiones y alguna no está soportada. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=68 Según ha publicado recientemente Kaspersky Lab más del 60% de los sitios que controlan (entre 100.000 y 300.000 webs) han sido vulneradas más de una vez por atacantes para subir su malware durante el año 2009. El crecimiento de este fenómeno es alarmante, según este estudio los sitios infectados han aumentado en 100 veces con respecto a hace solo tres años. El numero de páginas vulneradas se cuentan por miles, phishtank recibió en octubre de este año más de 23.000 avisos, cifras muy elevadas si comparamos con 2006, en este año se reportaron al rededor de 7.000 avisos; muchos de estos avisos son de sitios vulnerados. Muchos de estos ataques usan técnicas que ahora están siendo explotadas desde el malware conocido como gumblar del que nuestro compañero David escribió hace tiempo. Es normal viendo estos datos que la industria busque métodos para evitar paginas infectadas o peligrosas desarrollando métodos como Google Safe Browsing o la barra de herramientas de Netcraft para intentar proteger a los usuarios. En ocasiones hemos encontrado sitios vulnerados por varios grupos de hackers y con varias shells subidas y que son accesibles desde varios años atrás. El descuido y/o la falta de conocimiento sobre como actuar ante estas situaciones son los errores que se cometen a menudo. Es muy importante que cuando se nos comunica que nuestro sitio ha sido vulnerado intentemos investigar sobre como han entrado y arreglar el fallo, de lo contrario es muy probable que vuelvan a atacarnos por el mismo sitio. Es muy posible que exista alguna shell en nuestro servidor, etiquetas iframe usadas para atacar a nuestros usuarios, malware, etc. tendremos que buscarlos y eliminarlos. Podemos pedir la ayuda de nuestro hosting para la investigación ya que ellos tendrán más datos que los que podamos tener nosotros. Es muy recomendable que tras a ver sufrido un ataque cambiemos las contraseñas que se usan en el servidor para evitar que acceda con nuestros datos. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=71 Se ha confirmado la existencia de una vulnerabilidad en WordPress por la que un atacante remoto podría realizar ataques de denegación de servicio de forma sencilla. WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. WordPress es uno de los gestores de blogs más extendido en la blogosfera. El problema, descubierto por Jose Carlos Norte, reside en que un usuario remoto puede enviar una serie de peticiones especialmente construidas que contengan codificaciones multibyte para provocar que el script "wp-trackbacks.php" consuma grandes recursos de CPU. Se ha publicado la versión 2.8.5 que corrige este problema, disponible desde: http://wordpress.org/development/2009/10/wordpress-2-8-5-hardening-release/ Aunque también se recomienda la lectura de la descripción de la vulnerabilidad en: http://rooibo.wordpress.com/2009/10/17/agujero-de-seguridad-en-wordpress/ http://www.servi-tec.com.ar/informes_ver_uno.php?ba=69 Se han corregido múltiples vulnerabilidades en VMWAre ESX, que podrían ser aprovechadas por un atacante para descubrir información sensible, causar una denegación de servicios o comprometer los sistemas afectados. VMware es un software que permite ejecutar diferentes sistemas operativos en un mismo PC de forma virtual. Entre otras aplicaciones, VMware es muy utilizado en seguridad informática por la versatilidad que ofrece. VMWare ESX permite asignar recursos de procesador, memoria, almacenamiento de información y redes en múltiples máquinas virtuales. Se han corregido un total de 48 vulnerabilidades que residen en DHCP, JRE y en el kernel del VMware ESX 3.5 y 3.0.3. Las actualizaciones están disponibles desde: Para ESX 3.5 Consola de Servicio DHCP http://download3.vmware.com/software/vi/ESX350-200910406-SG.zip Librería DHCP y kernel http://download3.vmware.com/software/vi/ESX350-200910401-SG.zip JRE http://download3.vmware.com/software/vi/ESX350-200910403-SG.zip Para ESX 3.0.3 Consola de Servicio DHCP http://download3.vmware.com/software/vi/ESX303-200910402-SG.zip http://www.servi-tec.com.ar/informes_ver_uno.php?ba=157 Existen dos vulnerabilidades en phpMyAdmin que permiten inyectar código SQL y realizar ataques Cross site scripting (XSS). PhpMyAdmin es una popular herramienta escrita en PHP de administración de MySQL a través de un navegador. Este software permite crear y eliminar bases de datos, crear, eliminar y alterar tablas, borrar, editar y añadir campos, administrar privilegios y claves en campos, exportar datos en varios formatos; y en general ejecutar cualquier sentencia SQL. Además está disponible en más de 50 idiomas bajo licencia GPL. El primero de los errores tiene su origen en una la falta de validación de ciertos parámetros en pmd_pdf.php. Esto podría ser aprovechado por un atacante para inyectar código SQL y ejecutar sentencias no autorizadas. Por otro lado, existen varios errores en db_operations.php y pdf_pages.php provocados por no usar la función "htmlspecialchars" cuando se muestran ciertos datos. Esto podría ser aprovechado por una atacante para insertar código HTML o JavaScript. Si un administrador visualiza esos datos, un atacante podría usar JavaScript para robar su cookie de sesión, por ejemplo. En la versión 3.x este error también se encuentra en db_structure.php Estas vulnerabilidades ya han sido solucionadas y se puede descargar la nueva versión desde el sitio phpmyadmin.net. phpMyAdmin Advisory http://www.phpmyadmin.net/home_page/security/PMASA-2009-6.php phpMyAdmin SVN http://phpmyadmin.svn.sourceforge.net/viewvc/phpmyadmin?view=rev&revision=13034 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=51 Dos investigadores japoneses han descubierto un ataque sobre WPA que permitiría romper el cifrado en un minuto. Toshihiro Ohigashi de la universidad de Hiroshima y Masakatu Morii de la universidad de Kobe presentaran los detalles del ataque en una conferencia que tendrá lugar en Hiroshima el próximo 25 de septiembre. Como ya comentamos en "Una al día" en la pasada conferencia PacSec 2008, los investigadores alemanes Mark Tew y Martin Beck presentaron un ataque que permitía romper parcialmente el cifrado usado por WPA en un tiempo de 12 a 15 minutos usando una técnica similar a "Chopchop", empleada en los ataques al protocolo WEP. Dicho ataque estaba limitado a implementaciones que soportan características de QoS, mientras que con esta nueva aproximación, basada en el trabajo de Tew y Beck, cualquier implementación WPA es susceptible de ser vulnerable y en un tiempo bastante más reducido. Ambos ataques se limitan a WPA usando TKIP -Temporal Key Integrity Protocol- una versión modificada de WEP, con lo cual no afectaría a WPA usando AES ni al protocolo WPA2. Aclarar también que el ataque no tiene como objetivo extraer la llave PSK, fundamental para emplearla en la negociación de conexiones con el punto de acceso. De momento, los ataques a WPA tan solo se pueden emplear para inyectar un determinado número de paquetes falsificados en el tráfico. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=64 Laurent Gaffié ha detectado un fallo de seguridad en Windows Vista que podría permitir a un atacante provocar un BSOD (pantallazo azul, una denegación de servicio) con solo enviar algunos paquetes de red manipulados a una máquina que tenga activos los servicios de compartición de archivos (protocolo SMB). El fallo (incomprensiblemente simple) está en el intérprete de las cabeceras SMB, concretamente en el driver srv2.sys. Como los controladores operan en el "ring0", la capa de abstracción del sistema operativo más cercana al hardware (en contraste con el "ring3", la capa de usuario que no interactúa directamente con él) un fallo en cualquier driver provoca que el sistema se bloquee por completo, al no poder manejar la excepción correctamente. Se trata del temido pantallazo azul, o BSOD. Los Windows anteriores a Windows 2000 no realizaban esta separación de seguridad entre capas, por lo que todo operaba en el mismo espacio de memoria y los fallos en el espacio de usuario podían causar un bloqueo total del sistema. De ahí que los pantallazos azules fuesen mucho más comunes en Windows 9x y Me. El ataque es tan sencillo que recuerda a los "pings de la muerte" que hicieron estragos a finales de los 90 en los sistemas Windows. Contenían un fallo en la pila TCP que hacía que, si se enviaba un ping al sistema especialmente manipulado (simplemente especificando con un parámetro, por ejemplo, un tamaño mayor del paquete) se podía hacer que el sistema dejara de responder. Esto, unido a la carencia de cortafuegos del sistema, a que en aquellos momentos las conexiones se realizaban a través de módem (que carecía de protección por cortafuegos o NAT) y el hecho de no existir servicio de actualización automático del sistema, hicieron muy popular el ataque. Este fallo en el protocolo SMBv2 de compartición de archivos requiere igualmente del envío de una sencilla secuencia de paquetes SMB (al puerto 445) al sistema víctima con las cabeceras manipuladas. El truco está en enviar un carácter "&" en el campo "Process Id High" de las cabeceras SMBv2. Esto provoca una excepción en srv2.sys que provoca el pantallazo azul. El exploit es público y realmente sencillo. Vista mantiene el cortafuegos activo por defecto para su perfil "público", y esto mitiga el problema. Pero todo depende del perfil. Si el usuario usa un perfil de cortafuegos (ya sea de dominio, o el perfil privado) en el que permite las conexiones a sus unidades compartidas (puerto 445, normalmente abierto en las redes locales) será vulnerable. No es necesario que comparta realmente una unidad, solo que el protocolo SMB esté activo y preparado para compartir en su sistema. Esto puede resultar especialmente grave en redes internas. No existe parche oficial disponible. Se recomienda filtrar el puerto 445 (y los implicados también en la compartición de ficheros 137-139) a través de cortafuegos. También es posible detener el servicio "Servidor" del sistema (aunque se puede llegar a perder funcionalidad). Otra contramedida posible es desactivar la casilla "compartir archivos e impresoras" que aparece en las propiedades de las interfaces de red. Aunque el ataque no permite ejecución de código y es poco viable que pueda propagarse por la red pública, sí que puede resultar más que molesto en redes internas donde los usuarios normalmente mantienen reglas de cortafuegos mucho más relajadas. ¿Vuelven los tiempos del "ping de la muerte"?. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=199 Kingcope (quién también descubrió el reciente fallo Webdav en IIS) ha publicado (sin previo aviso al fabricante) un exploit funcional que permite a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tenga el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permite provocar una denegación de servicio. Microsoft engloba dentro del "paquete" IIS, entre otros, al conocido servidor web IIS y un servidor FTP que no se instala por defecto en ningún caso. La versión 5.x de IIS se encuentra sólo en servidores Windows 2000. Windows 2003 venía con IIS 6.x y Windows 2008 con la rama 7.x. Estrictamente hablando, no se trata de un 0 day, puesto que el fallo no ha sido detectado en ataques reales a sistemas. No se tiene constancia de que esté siendo aprovechado para vulnerar servidores. El problema es grave, puesto que permite a cualquier usuario con permisos de escritura en el FTP ejecutar código en el sistema con los máximos privilegios. Básicamente, si el atacante puede hacer un MKDIR por FTP (crear un directorio), el servidor completo podría quedar comprometido si se trata de un IIS 5.x y provocar que deje de responder si es un IIS 6.x. El fallo reside en un desbordamiento de memoria intermedia en el comando NLST del servidor FTP. El exploit publicado por Kingcope (muy sencillo de usar) crea un usuario con privilegios de administrador, pero offensive-security.com lo ha mejorado para que enlace una consola a un puerto y poder así acceder más fácilmente al servidor comprometido. No era trivial puesto que por la naturaleza del fallo, el espacio para inyectar el shellcode (código máquina que contiene las instrucciones que el atacante ejecuta gracias a la vulnerabilidad) no es demasiado extenso (unos 500 bytes). Se recomienda a los administradores de servidores Windows con IIS y el servidor FTP habilitado, que eliminen los permisos de escritura a todos lo usuarios que tengan acceso a él. El problema se agrava si el servidor permite escribir a usuarios anónimos. Ya existe un script de nmap que permite buscar servidores con estas características. Microsoft ha reconocido la vulnerabilidad pero aún no ha publicado ninguna nota oficial al respecto. Microsoft IIS FTP 5.0 Remote SYSTEM Exploit http://www.offensive-security.com/blog/vulndev/microsoft-iis-ftp-5-0-remote-system-exploit/ Microsoft Internet Information Services (IIS) FTP Service Vulnerability http://www.us-cert.gov/current/index.html#microsoft_internet_information_services_iis1 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=70 Este viernes los servidores de la fundación Apache presentaron durante unas cuantas horas una escueta página informando que se encontraban investigando un incidente en sus servidores. Aclaraban que no se trataba de un exploit que afectase al popular servidor web, producto de la propia fundación, sino de una llave SSH comprometida. La llave en cuestión permitía el acceso a una cuenta para efectuar copias de respaldo automáticas del sitio web "ApacheCon", en una máquina situada en un alojamiento externo a la fundación. Dicha máquina fue usada para subir archivos a un servidor de su infraestructura, denominado minotaur.apache.org, con funciones notables, como proveer de cuentas para los "comitters" -cuentas con acceso de escritura a los repositorios de código- y de entrada a los distintos sitios web de la fundación Apache. Según las primeras investigaciones, fueron creados varios archivos dentro del dominio "www.apache.org", incluyendo varios scripts CGI, que fueron usados para sincronizar dichos archivos con varios servidores en producción e inyectar procesos en los servicios web funcionales. Tras detectar los procesos que inyectaron los atacantes procedieron a detener los sistemas afectados, de esta manera, por algunos instantes, no se podía acceder a ninguno de los sitios web de Apache, hasta que se procedió a cambiar los DNS hacia una máquina no afectada para mostrar un mensaje informativo indicando la situación en la que se encontraban. Después de asegurarse de que la infraestructura que la fundación posee en Europa no estaba afectada -los atacantes llegaron a subir los archivos pero no fueron ejecutados-, usaron las copias de respaldo no comprometidas para restaurar los servicios en lo posible, permaneciendo gran parte de su infraestructura detenida para evaluar los daños causados por los atacantes. Aunque, según Apache, no tienen conocimiento de usuarios finales afectados, ni de que las descargas fueran afectadas, enfatizan efectuar la verificación de la firma digital de los archivos. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=1 Se ha anunciado la existencia de tres vulnerabilidades en HP OpenView Network Node Manager (OV NNM), que podrían ser explotadas por atacantes remotos para comprometer un sistema vulnerable. HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes, posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP. El primero de los problemas se debe a un desbordamiento de búfer basado en pila en el CGI "OvCgi/Toolbar.exe" cuando procesa el parámetro de cookie "OvOSLocale" de gran tamaño, que podría ser explotado por atacantes remotos para ejecutar código arbitrario mediante peticiones http especialmente creadas. La segunda vulnerabilidad está provocada por un desbordamiento en heap en el CGI "OvCgi/Toolbar.exe" al procesar el parámetro "OvAcceptLang" de cookie con un gran tamaño, igualmente podría ser explotado por atacantes remotos para ejecutar código arbitrario mediante peticiones http especialmente creadas. Por último, un tercer desbordamiento basado en heap en el CGI "OvCgi/Toolbar.exe" al procesar un valor de cabecera "Accept-Language" excesivamente largo. También podría ser explotado por atacantes remotos para ejecutar código arbitrario mediante peticiones http creadas a tal efecto. Se ven afectadas las versiones HP OpenView Network Node Manager (OV NNM) v7.01, v7.51, v7.53 sobre HP-UX, Linux, Solaris y Windows. Se recomienda consultar el aviso de HP desde el que se pueden descargar las actualizaciones necesarias en función de la versión y plataforma afectada: http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01696729 http://www.servi-tec.com.ar/informes_ver_uno.php?ba=60 Dentro del conjunto de boletines de seguridad de agosto publicado este pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-038) de una actualización crítica para el reproductor multimedia Windows Media destinada a resolver dos vulnerabilidades de ejecución remota de código. Los dos problemas residen en el tratamiento de archivos .avi especialmente manipulados, y podrían permitir a un atacante remoto conseguir el control del sistema afectado si el usuario abre un archivo .avi malicioso con Windows Media.   El primero de los problemas corregidos reside en un desbordamiento de enteros en el controlador de ficheros AVI al validar los datos. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario a través de un fichero .avi especialmente manipulado. El otro problema corregido consiste en un error en el controlador de cabeceras de ficheros AVI. Esto podría ser aprovechado por una atacante remoto para ejecutar código arbitrario a través de un fichero .avi con la cabecera manipulada. Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según plataforma desde la página del boletín de seguridad: http://www.microsoft.com/technet/security/bulletin/ms09-038.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=198 Desde la página oficial de Adobe "Get Reader" los usuarios pueden descargar la última versión 9.1 del lector de PDF. El problema es que esta versión tiene 14 fallos de seguridad. Están solucionados, y existe versión que los corrige, pero Adobe confía (sin advertirlo explícitamente) en que sean los propios usuarios los que, tras la descarga, actualicen manualmente el lector. Después de la versión 9.1, Adobe publicó la 9.1.1, e incluso más tarde, la 9.1.2 para solucionar graves problemas de seguridad. Pero no las distribuye para usuarios de Mac y Windows. Para usuarios de Linux, sin embargo, sí que se puede descargar directamente la versión 9.1.2. El sistema de actualización de Adobe se ejecuta por defecto una vez a la semana, con lo que, si el usuario no se percata de que acaba de descargar una versión vulnerable, no obtendrá la última actualización hasta una semana más tarde desde su descarga. Este es el escenario más probable, puesto que es lógico pensar que los usuarios concluyan que acaban de descargar la última versión no vulnerable cuando acuden al sitio oficial si no son advertidos de lo contrario. Pero no es así. Varios usuarios descargaron la última versión de Reader desde el sitio oficial de Adobe, y ejecutaron la herramienta PSI (Personal Security Inspector) de Secunia para comprobar si en su sistema existía algún software vulnerable. Lo que en principio parecía un fallo de detección del programa, ha sido ahora confirmado. Descargaban la versión 9.1 vulnerable. Un parche o versión corregida que no se ha difundido oficialmente, no es un parche real. Una política mucho más correcta hubiese sido, o bien ofrecer directamente para descarga directa las versiones no vulnerables, o bien obligar, una vez descargado, a ejecutar automáticamente el actualizador durante la instalación, para que los parches sean aplicados. A efectos prácticos, Adobe estaba abriendo deliberadamente una ventana de tiempo en el que permitía que sus clientes se mantuviesen vulnerables a ataques que están siendo aprovechados activamente. Normalmente a través de ficheros PDF especialmente manipulados, y que permiten la ejecución de código en el sistema. Esta actitud solo sería "permisible" cuando el parche no está convenientemente probado. Esto es, que no introduzca errores de inestabilidad, que solucione todos los vectores por los que una vulnerabilidad puede ser aprovechada, que no exija recompilación, etc. Esto ocurrió, por ejemplo, con la penúltima vulnerabilidad en Firefox. Aunque el problema estaba localizado e incluso existían versiones en desarrollo no vulnerables, Firefox ofreció durante días la versión vulnerable en su página oficial hasta que integró la solución en una nueva versión. Pero cuando el parche está más que aprobado, e incluso ya integrado en nuevas versiones, no hay excusas para retrasar su aplicación. No se entiende esta política de Adobe, que anda despistado intentando implantar nuevas políticas de seguridad, pero parece que debe todavía aprender mucho al respecto. Adobe doles out bug-filled PDF Reader to users http://www.computerworld.com/s/article/9135687/Adobe_doles_out_bug_filled_PDF_Reader_to_users http://www.servi-tec.com.ar/informes_ver_uno.php?ba=67 Microsoft ha batido su propio récord: ha solucionado 31 problemas de seguridad en su última tanda de diez boletines. Este argumento puede ser utilizado como un arma arrojadiza contra la seguridad de Microsoft, o de cualquier otro. ¿Se puede medir la seguridad por un número? No. Los tiempos han cambiado. Igual que hace apenas unos 5 años las casas antivirus se jactaban de ser capaces de reconocer unos pocos cientos de miles de virus, hoy esa publicidad es impensable. Los números no significan nada cuando las cifras son tan elevadas que ya no tienen sentido para un usuario. Nadie podría cuantificar el número de "virus" que existen hoy, mucho menos cuántos miles más aparecerán, literalmente, mañana. Sería necesaria otra métrica mucho más precisa para evaluar la gestión de seguridad de un producto. Los antivirus hablan de protección global, de heurística, de seguridad en tiempo real con nubes e inteligencia colectiva. Los responsables de programas deben hablar de claridad, velocidad, efectividad, respuesta, información, planificación y servicio. Quedarse en las cifras es tan ambiguo que puede significar cualquier cosa, dependiendo de la intención del que lo anuncie. Oracle se mueve en la media de 50 vulnerabilidades corregidas cada tres meses. Hace un par de años su media era de más de 100. Pero eso no es lo que lo hace especialmente inseguro. Oracle es inseguro básicamente por las pocas facilidades e información que ofrecen a un administrador y porque puede pasar meses o años sin solucionar un fallo conocido. Otro ejemplo: Apple publica cuando puede o quiere (cada pocos meses) parches "jumbo" que corrigen más de 60 vulnerabilidades. El problema es que no se caracteriza por ser especialmente claro o rápido a la hora de solucionar fallos de seguridad. Microsoft no es rápido, pero sí es muy claro en sus boletines, ofreciendo una información muy útil al administrador que deba aplicar los parches. Sun, por ejemplo, independientemente de los números, es especialmente lento a la hora de corregir fallos de seguridad en Solaris. Para evaluar, hay que tener en cuenta a todos los actores condicionantes. Ocho de estas últimas vulnerabilidades están dedicadas a Internet Explorer. Quizás lo relevante es que ha solucionado por fin (el último tras Safari y Firefox) el fallo en el navegador que permitió ganar el concurso Pwn2Own en marzo. Sin embargo, independientemente de los números, Apple fue también el último gran fabricante en solucionar el fallo de seguridad en DNS descubierto por Kaminsky. Microsoft ya ha corregido el grave problema en WebDAV pero no el 0day en DirecShow... Adobe, por ejemplo, ante una avalancha de problemas de seguridad que no ha sabido manejar, ha tomado la decisión de agrupar la publicación de parches periódicamente, al igual que hizo Microsoft en 2003, y al que siguieron Cisco con su IOS y Oracle. Acaba de publicar (el mismo día que Microsoft, en un movimiento poco respetuoso con los administradores) nada menos que parches para 13 vulnerabilidades. Pero no debemos detenernos aquí: Adobe está intentando manejar un problema nuevo para él, con el que Microsoft se está enfrentando desde hace muchos años (la seguridad) y parece positivo que tome decisiones que puedan ayudar a mejorar este aspecto. De las cifras, por tanto, se pueden extraer muchas conclusiones. Tan buenas o malas como quiera el que recopile la información. Se puede hablar de que si se detectan más fallos es porque se está realizando una mejor labor en ese aspecto, o porque el software sigue siendo inseguro después de muchos años en producción (más probable esto último en el caso concreto de XP, concebido cuando la seguridad para Microsoft era secundaria)... Para evaluar la gestión de la seguridad de un producto no podemos detenernos en interpretar cifras. Es necesario realizar un seguimiento objetivo sobre la gestión, incorporando aspectos como la claridad de la información, la velocidad de aparición de parches efectivos (que no contengan regresiones, como suele ocurrir con los paquetes de Debian), el momento en el que son emitidos (es inevitable pensar en la comodidad de los administradores), los canales y facilidades que ofrecen para el parcheo, etc... y vigilar esto durante un tiempo. Las cifras adornan titulares y rellenan gráficas. Pero sin olvidar que informan en un contexto. Por sí solas no siempre tienen valor. Hay que reconocer que es complicado ofrecer un estudio objetivo en este aspecto. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=72 Dentro del conjunto de boletines de seguridad de abril publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-025) de una actualización del kernel de Windows destinada a solucionar cuatro nuevas vulnerabilidades sobre sistemas Windows 2000, XP, Vista, Windows Server 2003 y 2008. Se ha corregido un problema en el kernel de Windows debido a que no valida correctamente los cambios en determinados objetos del kernel. Esto podría permitir a un atacante local ejecutar código arbitrario con privilegios elevados. Se ha corregido una vulnerabilidad de elevación de privilegios en el kernel de Windows debida a una validación insuficiente de determinados punteros pasados desde el modo de usuario. También se ha corregido otra vulnerabilidad de elevación de privilegios debida a que el kernel de Windows no valida correctamente un argumento pasado a una llamada del sistema del kernel de Windows. Por último, una vulnerabilidad de elevación de privilegios cuando el kernel de Windows valida incorrectamente la entrada pasada desde el modo de usuario al kernel al editar un parámetro de escritorio específico. Se recomienda actualizar los sistemas afectados mediante Windows Update no descargando los parches según plataforma desde la página del boletín de seguridad: http://www.microsoft.com/technet/security/bulletin/MS09-025.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=66 SpiderLabs ha publicado un estudio en el que analizan un ejemplar de malware que afecta a cajeros automáticos. Se le ha seguido por Europa del Este durante 18 meses. Ya en marzo, a través del blog de Hispasec, se anunció la noticia de un ejemplar que afectaba a los cajeros de la marca Diebold en Rusia. En ese caso las muestras fueron analizadas por SophosLabs y suministradas a través de VirusTotal donde llegaron el 11 de noviembre de 2008. Con un total de 16 actualizaciones hasta ahora y una calidad de código etiquetada de "profesional" en su factura, el ejemplar estudiado por SpiderLab es instalado, al parecer, por personal desde dentro de la entidad bancaria, y permanece en la máquina afectada monitorizando la cola de mensajes de las transacciones esperando a que un usuario inserte su tarjeta y pin para ser copiados. ¿Dónde envía los datos robados? No los envía. El troyano no hace uso de la red, no tiene capacidad alguna para efectuar comunicaciones, posiblemente para no levantar sospechas en los sistemas de monitorización de tráfico del banco. En su lugar, lo que hace es esperar a que una tarjeta de control sea insertada, en ese momento el troyano presentará en pantalla un menú con diversas opciones, entre las cuales se encuentran la de imprimir por la impresora del cajero los datos robados, resetear los logs a cero (para no amontonar los datos ya extraídos), desinstalar el troyano, resetear el cajero y la más lucrativa aunque también notoria: sacar todo el dinero en efectivo que tenga el cajero en ese momento. Aunque no todas las opciones están disponibles para todos los usuarios. Hay dos tipos de niveles, para los administradores y otra con funciones recortadas, supuestamente para colaboradores, léase "muleros". De momento todos los casos han necesitado de un colaborador para infectar manualmente la máquina, dificultad que impide la proliferación de casos de este tipo de malware. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=65 Microsoft ha reconocido en un aviso oficial una vulnerabilidad en DirectX sobre 2000, XP y 2003 que podría permitir a un atacante ejecutar código arbitrario. El fallo parece que se está aprovechando en estos momentos por atacantes, por lo que se convierte en un 0 day. Es explotable a través de archivos de QuickTime. DirectX es una colección de APIs creadas para facilitar tareas relacionadas con la programación de juegos y multimedia en Windows. El kit de desarrollo de DirectX (SDK) y el EndUser Runtime se distribuyen gratuitamente por Microsoft y también adjunto a muchos programas que lo utilizan. DirectX 7.x, 8.x y 9.x sobre Windows 2000, XP y 2003 sufre de una vulnerabilidad en la forma en la que DirectShow (en quartz.dll) maneja el formato QuickTime. Si la víctima abre un archivo QuickTime especialmente manipulado a través de cualquier vía (también a través el navegador), el atacante podría ejecutar código arbitrario con los permisos del usuario que ejecuta la aplicación. Se recomienda tomar cualquiera de estas acciones: a) Deshabilitar la interpretación de contenido QuickTime en quartz.dll borrando la rama HKEY_CLASSES_ROOTCLSID{D51BD5A0-7548-11CF-A520-0080C77EF58A} del registro. b) Modificar la ACL de quartz.dll eliminando los permisos NTFS c) Desregistrando la librería (Regsvr32.exe -u %WINDIR%system32quartz.dll) http://www.servi-tec.com.ar/informes_ver_uno.php?ba=155 McAfee ha publicado un estudio con las palabras que pueden ser más peligrosas a la hora de visitar los resultados que producen en un buscador. O sea, las palabras que tienen más probabilidad que lleven a un usuario a un sitio en el que quede infectado por malware. La ganadora es "screensavers" con un riesgo del 60%. McAfee ha buscado 2.658 palabras y frases en 413.368 URLs para comprobar qué términos pueden exponer al usuario a un mayor número de direcciones que alojen malware o fraudes. Concluye que todas las búsquedas que incluyan la palabra "free" (en este contexto, sería "gratis") tienen un mayor riesgo (un 21%) mientras que las más seguras suelen ser las búsquedas relacionadas con términos médicos o de salud. El estudio de McAfee no deja de ser anecdótico. El mundo del malware y sus creadores se han anticipado al dinamismo de la Red actual, y parecen trabajar a un ritmo mucho más acelerado "para estar a la última" que el resto de la industria. Esto hace que lo que hoy es considerado "menos peligroso" (un término más adecuado que "seguro"), constituya un peligro grave y patente a corto plazo. Por ejemplo, hace ya muchos años que los atacantes aprovechan cualquier acontecimiento relevante, social, político o de cualquier otra índole para crear campañas de envío de correo basura por email. Si no, lo inventan. Las muertes ficticias de políticos, deportistas o famosos en general han sido enviadas en muchas ocasiones como anuncios en primicia a través del correo, incluyendo un vídeo demostrativo que esconde el malware. La ventaja es que la infraestructura de los atacantes está ahí, solo tienen que cambiar la presentación, el papel de regalo. Por ejemplo, Conficker apareció aprovechando la vulnerabilidad MS09-067, solo unos días después de que fuera hecha pública. Esto no significa que fuera creado desde cero en ese tiempo, sino que sus creadores estaban atentos a la aparición de una vulnerabilidad de estas características. Así, incluyeron el código necesario para aprovecharla, y cubrir así de forma eficaz el módulo de "expansión" que les faltaba para completar su obra. El resto de la infraestructura del troyano llevaba, probablemente, meses siendo preparada y esperando el momento exacto. Los atacantes pues, dedican un tiempo de desarrollo significativo al estudio de las tendencias y nuevas técnicas, modas y preferencias que aparecen en la Red para aprovecharlas cuanto antes y hasta sus últimas consecuencias. En el caso de las palabras de búsqueda, ocurre igual. A finales de 2008, usaron Google Trends para sindicar en tiempo real las palabras de búsqueda más populares, y poder así posicionar el malware más arriba en la lista de resultados de Google . Google Trends es un servicio de Google Labs que muestra los términos diarios más buscados, actualizados cada poco tiempo. Los atacantes supieron exprimir el servico en provecho propio, optimizando las búsquedas. Por supuesto, habían registrado previamente blogs y plataformas 2.0, para poder modificarlas con las palabras necesarias de forma automática y escalar en los resultados de los buscadores. Por último, y con respecto al estudio de McAfee, cabe destacar que han contabilizado los sitios fraudulentos "puros", creados específicamente para ello. El problema es que literalmente, cientos de miles de páginas web legítimas son comprometidas e infectadas cada minuto con scripts que hacen que el visitante sea como mínimo, atacado. Por tanto, páginas legítimas hoy que aparecen en los primeros puestos de los buscadores ante cualquier búsqueda, pueden resultar nefastas mañana. En conclusión el peligro, como siempre, no son las palabras que puedan ser buscadas en sí, aunque sí es cierto que algunas palabras más que otras, indican que el que las pretende encontrar está en realidad buscando problemas a gritos. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=197 Tal y como adelantamos, este martes Microsoft ha publicado sólo un boletín de seguridad (el MS09-017) correspondientes a su ciclo habitual de actualizaciones. Esta actualización que corrige un total de 14 vulnerabilidades presenta, según la propia clasificación de Microsoft, un nivel de gravedad "crítico". Las vulnerabilidades corregidas afectan a diversas versiones de PowerPoint de Microsoft Office (XP, 2000, 2002, 2003 y 2007), Office para Mac y el visor de archivos PowerPoint (PowerPoint Viewer 2003 y 2007). Entre las vulnerabilidades corregidas se incluye el problema ya comentado anteriormente que venía siendo explotado de forma activa desde primeros de abril. Todos los problemas corregidos pueden permitir la ejecución remota de código al abrir un archivo PowerPoint maliciosamente construido. El problema se agravaba al ser PowerPoint un formato de archivo sobre el que la gente tiende a confiar, y que se usa con frecuencia para el intercambio de presentaciones de todo tipo entre usuarios (desde presentaciones profesionales hasta totalmente intrascendentes), lo que podría permitir la rápida infección debido precisamente a estos factores. Las actualizaciones publicadas pueden descargarse a través de Windows Update o desde el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible. Microsoft Security Bulletin Summary for May 2009 http://www.microsoft.com/technet/security/bulletin/ms09-may.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=50 Seis años después de su primera versión, Microsoft publica esta guía práctica, gratuitamente en formato electrónico, que ayuda a aplicar una parte de la Ley orgánica de Protección de Datos (LOPD) para quien trabaje con software de Microsoft. El libro también puede ayudar a entender de forma práctica esta ley. A principios de 2008 se aprobó el nuevo Real Decreto 1720/2007 que desarrolla la Ley orgánica de Protección de Datos (LOPD), que regula cómo y de qué forma hay debe cumplir con ella. Afecta a todas las empresas que trabajen con datos personales (la inmensa mayoría) y está destinada a proteger los datos personales almacenados en los sistemas de información en función de su sensibilidad. En el año 2002, y ante la publicación del anterior Real Decreto de Protección de Datos, Microsoft Ibérica creó un manual técnico y práctico sobre cómo cumplir con dicha legislación desde la perspectiva técnica. El libro mostraba el texto de la ley y cómo llevarlo a la práctica en entornos Windows, paso a paso y de forma muy sencilla. Ante el éxito obtenido, se ha publicado una segunda versión actualizada con el doble de páginas. Los coautores son:

* José María Alonso Cebrián de Informática 64, Microsoft MVP en el área de Seguridad.
* Juan Luís García Rambla de Informática 64, Microsoft MVP en el área de Seguridad.
* Antonio Soto. Director de Solid Quality.
* David Suz Pérez. Consultor de Microsoft Ibérica.
* José Helguero Sainz. Director General de Helas Consultores. Miembro de la Comisión de Seguridad de ASIMELEC.
* María Estrella Blanco Patiño, Responsable de publicaciones de Helas Consultores.
* Miguel Vega Martín, Director de Marketing de IPS Certification Authority. Miembro de la Comisión de Seguridad de ASIMELEC.
* Héctor Sánchez Montenegro. National Technology Officer de Microsoft Ibérica. El manual recoge muchas recomendaciones técnicas contextualizadas artículo por artículo (relevante en tecnología), del reglamento de la LOPD. Servirá de ayuda a técnicos, directores de sistemas y directores de seguridad que trabajen con Windows y que deben plasmar en configuraciones técnicas concretas, las exigencias legales de un reglamento como el de la LOPD. El manual es también útil para los no técnicos que necesiten entender con un lenguaje llano y no especializado, el reglamento. En cualquier caso, el libro no es ninguna fórmula mágica para cumplir con la LOPD. Cumplir por completo con la ley es mucho más complejo que lo que recoge el libro (entendiendo que está enfocado a entornos Windows, pero que puede ayudar para asegurar otras plataformas). Aun así, supone una lectura necesaria para descubrir la "traducción técnica" de las leyes, a veces redactadas con un lenguaje poco práctico para ser llevado a la realidad. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=43 En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan ocho boletines de seguridad. Las actualizaciones afectarían a su sistema operativo Windows, a Internet Explorer, Office y a ISA. Si en marzo se publicaron tres boletines de seguridad, este mes Microsoft prevé publicar ocho actualizaciones el martes 14 de abril. Cinco dedicadas a Windows (una de ellas compartida con Office), una a Internet Explorer, otra a ISA y una a Office (en concreto a Excel). Cinco alcanzan la categoría de críticas, dos están catalogadas como importantes y una como moderada. Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad. Parece que Microsoft corregirá en esta tanda de parches el grave problema de seguridad encontrado en su hoja de cálculo Excel. El pasado 24 de febrero, Microsoft reconoció en una nota oficial que estaban investigando la existencia de una nueva vulnerabilidad en Office Excel que podría permitir la ejecución remota de código si un usuario abre un archivo Excel especialmente manipulado. Lo que no es seguro, si se solucionará el grave problema en PowerPoint que Microsoft reconoció a principios de abril. Como es habitual, cada boletín podrá contener un número indeterminado de correcciones de seguridad y hay que señalar que, en cualquier caso, el adelanto que ofrece Microsoft está sujeto a cambios de última hora. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=2 La nueva versión 13 de la rama 6 de Java Runtime Environment corrige múltiples vulnerabilidades, como viene siendo habitual. El "Update 13", como su propio nombre indica, es la decimotercera tanda de corrección de problemas de seguridad desde que apareció la rama 6 hace ahora dos años. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=156 PandaLabs, el laboratorio de detección y análisis de malware de Panda Security, ha descubierto un nuevo gusano de la familia Waledac, Waledac.V, que está utilizando noticias de falsos ataques en ciudades como cebo para engañar a los usuarios. El gusano se distribuye en correos con asuntos como: •Look at this!! (¡mira esto!) •Damned terrorists!!! (¡malditos terroristas!) •Did it really happen in your city??? (¿ocurrió esto en tu ciudad?) Los links de los correos redirigen a una página web falsa que imita a la original de la agencia Reuters (Imagen aquí: http://www.flickr.com/photos/panda_security/3370104792/ ). En ella se muestra un video que, si el usuario intenta reproducirlo, le pedirá que se descargue cierto complemento para poder hacerlo. Ese complemento no es otra cosa que un ejemplar del gusano Waledac.V. Para dar mayor verosimilitud a la noticia, la página incluye en su página inferior un link a una búsqueda de Google, que remite a una búsqueda antigua sobre ataques en ciudades (imagen aquí: http://www.flickr.com/photos/panda_security/3370104886/) y a una página de Wikipedia (imagen aquí: http://www.flickr.com/photos/panda_security/3369280677/ ) "Waledac ha sido una de las familias más activas en los últimos meses provocando un importante número de infecciones con ocasión de importantes eventos como San Valentín, las elecciones de los Estados Unidos, etc-", explica Luis Corrons, director técnico de PandaLabs Para evitar ser víctima de este tipo de ataques, PandaLabs recuerda a los usuarios que deben ignorar todo correo electrónico que llegue de fuentes desconocidas, sobre todo, si anuncia algún tipo de noticia sensacionalista o espectacular. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=196 Dentro del conjunto de boletines de seguridad de marzo publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-008) de una actualización importante para el servidor DNS y WINS que solventa cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para falsificar respuestas y redirigir tráfico de red hacia sus propios sistemas. El primero de los problemas reside en una vulnerabilidad de falsificación en el servidor de DNS de Windows causada porque no se hace uso de las respuestas cacheadas al recibir peticiones especialmente manipuladas, lo que podría permitir que los IDs de las siguientes transacciones sean más predecibles. Esto podría ser aprovechado por un atacante remoto para falsificar respuestas, pudiendo redirigir tráfico de Internet. Otra vulnerabilidad de falsificación en el servidor de DNS de Windows está causada porque no se cachean de forma adecuada ciertas respuestas DNS. Esto llevaría al servidor a hacer consultas innecesarias, lo que podría permitir que los IDs de las siguientes transacciones fueran más predecibles. Ésto podría ser aprovechado por un atacante remoto para falsificar respuestas, pudiendo redirigir tráfico de Internet. Existe una vulnerabilidad a ataques man-in-the-middle en el servidor de DNS cuando se usan las actualizaciones dinámicas y los ISATAP y WPAD todavía no se han registrado en el DNS. El problema está causado porque el servidor de DNS no valida de forma correcta quien puede registrar entradas WPAD en el servidor DNS. Esto podría ser aprovechado por un atacante remoto para falsificar un servidor web, pudiendo redirigir tráfico de Internet. Por último, también se ha corregido una vulnerabilidad similar a ataques man-in-the-middle en el servidor de WINS cuando se usan las actualizaciones dinámicas y los ISATAP y WPAD todavía no se han registrado en el WINS. El problema está causado porque el servidor de WINS no valida de forma correcta quien puede registrar entradas WPAD en el servidor WINS. Ésto podría ser aprovechado por un atacante remoto para falsificar un servidor web, pudiendo redirigir tráfico de Internet. Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según sistema y versión desde la página del boletín de seguridad de Microsoft: http://www.microsoft.com/spain/technet/security/Bulletin/ms09-008.mspx Boletín de seguridad de Microsoft MS09-008 – Importante Vulnerabilidades en el servidor DNS y WINS podrían permitir la suplantación de identidad http://www.microsoft.com/spain/technet/security/Bulletin/ms09-008.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=113 Dentro del conjunto de boletines de seguridad de marzo publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS09-006) de una actualización crítica para el kernel de Windows (para las versiones XP, 2000, Server 2003, Server 2008 y Vista). Se corrigen tres vulnerabilidades podrían permitir a un atacante remoto causar una denegación de servicio o ejecutar código arbitrario, o a un atacante local escalar privilegios. La primera vulnerabilidad está causada por un error de validación de entrada al procesar de forma incorrecta las entradas de modo usuario al kernel, a través del componente GDI. Esto podría ser aprovechado para ejecutar código remoto. La segunda vulnerabilidad está causada por un error en el kernel de Windows al no procesar de forma adecuada los controladores. El error podría ser aprovechado por un atacante local para tomar control total sobre el sistema. Por último, también se ha corregido una vulnerabilidad causada por un error al manejar de forma incorrecta los punteros no válidos especialmente manipulados. El error podría ser aprovechado por un atacante local para tomar control total sobre el sistema. Se recomienda actualizar los sistemas afectados mediante Windows Update o descargando los parches según sistema y versión desde la página del boletín de seguridad de Microsoft: http://www.microsoft.com/spain/technet/security/Bulletin/ms09-006.mspx http://www.servi-tec.com.ar/informes_ver_uno.php?ba=123 La ShadowServer Fundation advirtió el día 19 de febrero de una potencial vulnerabilidad en Adobe Acrobat Reader que podría permitir a un atacante ejecutar código arbitrario. Al descubrirse el problema mientras estaba siendo aprovechado activamente por atacantes, se convierte en un grave 0day. Adobe reconoció la vulnerabilidad y esperó al día 10 de marzo para publicar parche solo para algunas versiones. Foxit Reader, afectada por un problema muy parecido, necesitó solo 10 días para solucionar el fallo. Es más que probable que el fallo fuese conocido incluso desde hace bastante más tiempo, y que Adobe tuviese constancia de su existencia. Pero solo lo reconoció el mismo día en el que la ShadowServer lo hizo público. El día 23, para complicar el asunto, aparece un exploit público para múltiples lectores PDF, que permite una denegación de servicio aprovechando los flujos JBIG2, base del problema de Adobe. Este ejemplo daba muchas pistas a los atacantes sobre cómo crear un exploit que permitiese la ejecución de código. El día 26 de febrero, SourceFire (dueños del IDS snort) publica un parche rápido para mitigar el problema. El día 27, Secunia avisa a Foxit Reader, otro popular lector de PDF, de que también es vulnerable a este problema. 10 días después Foxit publica una actualización y lo soluciona. Adobe ha necesitado más de 20 días para publicar un parche para sólo algunas de sus versiones. Y contando desde que lo reconociera, que no significa que no estuviese al tanto desde bastante antes. Adobe lo soluciona un día antes del prometido, pero solo a medias. Publica la versión 9.1 para Windows, olvidando las ramas 8 y 7 para otros sistemas operativos. Para colmo, recientemente se ha descubierto una nueva forma mucho más sencilla de aprovechar la vulnerabilidad. Un nuevo vector de ataque que permite incluso ejecutar código sin necesidad de abrir el archivo con el lector. A través del explorador de Windows, simplemente mostrando una carpeta que contenga un documento PDF especialmente manipulado (y basándose en el servicio de indexación, que debería estar activo), sería posible ejecutar código en el sistema. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=58 Tal y como adelantamos, este martes Microsoft ha publicado tres boletines de seguridad (del MS09-006 y MS09-008) correspondientes a su ciclo habitual de actualizaciones, que corrigen un total de ocho vulnerabilidades. Según la propia clasificación de Microsoft uno de los boletines presenta un nivel de gravedad "crítico", mientras que los dos restantes son "importantes". El boletín "crítico" es: * MS09-006: Actualización del kernel de Microsoft Windows que soluciona tres vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Los dos boletines "importantes" son: * MS09-007: Actualización destinada a corregir una vulnerabilidad en Secure Channel (Schannel) de Windows que podría permitir a un atacante remoto la falsificación de certificados. * MS09-008: Actualización para DNS y WINS que resuelve cuatro vulnerabilidades que podrían ser aprovechadas por un atacante remoto para falsificar respuestas y redirigir tráfico de Internet. Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=4 SuSE ha publicado una actualización para múltiples paquetes de diversos productos SuSE Linux que corrigen numerosos problemas de seguridad. De forma resumida, las vulnerabilidades son: * Salto de restricciones de seguridad a través de redirecciones HTTP en curl, que podría permitir el acceso a archivos del sistema local. * Denegación de servicio en aplicaciones que hagan uso de la librería libmikmod, a través de la carga de múltiples canciones con diferentes números de canales. * Denegación de servicio a través de mod_proxy en apache2. * Denegación de servicio y posible ejecución remota de código en optipng a través de archivos GIF y BMP especialmente manipulados. * Denegación de servicio en el cliente de mensajería instantánea Psi a través del puerto de transferencia de archivos. * También se ha actualizado a OpenJDK Java 1.6.0 build b14 para solventar múltiples problemas de seguridad que podrían permitir la revelación de información sensible, denegación de servicio, escalada de privilegios, e incluso la ejecución de código arbitrario. Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update). http://www.servi-tec.com.ar/informes_ver_uno.php?ba=91 Microsoft acaba de lanzar el Service Pack 3 para el sistema operativo de la compañía más popular. Tras un pequeño retraso por cierta incompatibilidad con su Dynamics RMS, ya está disponible para descarga directa. Si el Service Pack 2 supuso unos cambios radicales para XP y lo modificó notablemente, con SP3 se introducen pocas mejoras sustanciales y, como de costumbre, se incluyen todos los parches de seguridad aparecidos hasta el momento. Repasemos un poco la historia de estas macroactualizaciones. Después de esperar a que estuviese disponible el 29 de abril, como se anunció, es ahora cuando se ha hecho público el SP3 para Windows XP. Se detectó una incompatibilidad con el producto Dynamics RMS y Microsoft retrasó su lanzamiento. Finalmente la compañía ha decidido bloquear automáticamente por Windows Update la actualización si el sistema tiene el RMS instalado, y proporcionar un parche (hotfix) para quien deba usarlo. Repasemos un poco la historia de estas macroactualizaciones. Windows NT tuvo hasta seis Service Packs (el último en 1999). Windows 2000 lleva 4 y no se espera ninguno más. De hecho, en junio de 2005 apareció el Windows 2000 SP4 Update Rollup. Un 'Rollup', para Microsoft, es una simple y pura acumulación de parches (en este caso más de 50) que aparecieron como 'complemento' del SP4, en sustitución quizás de un hipotético SP5 que no se sabe muy bien por qué, se resiste. El SP1 para XP apareció en agosto de 2002 y pasó sin pena ni gloria. Se corrigieron las inestabilidades habituales tras el lanzamiento de un sistema nuevo y se aglutinaron los parches de seguridad conocidos hasta el momento. El Service Pack 2 para Windows XP apareció en el verano de 2004, antes de lo previsto y supuso un punto de inflexión en el sistema operativo de Microsoft. Quizás sea una de las actualizaciones más controvertidas. Con ella Microsoft se ocupó especialmente por la seguridad proactiva (se desarrolló de lleno dentro de su iniciativa de seguridad puesta en marcha en 2002) y activó por defecto importantes mejoras como el cortafuegos. El Service Pack 2 no solo contenía un parche para todas las vulnerabilidades conocidas hasta ese momento para Windows XP, sino que además actualizaba sustancialmente el sistema modificando muchas de sus funciones. Se mejoraba la seguridad por defecto del navegador Internet Explorer (aunque esto no ha servido de mucho), se desactivó la capacidad del sistema de generar paquetes TCP especialmente manipulados a bajo nivel (algo especialmente controvertido, pues no permitía el uso de herramientas como nmap...) y otros cambios importantes que al intentar aumentar la seguridad, inevitablemente, volvía al sistema más 'incómodo'. SP2 no se consideró como una actualización 'para' el sistema operativo, sino más bien como una actualización 'de' sistema operativo. Por supuesto, cómo no, este cambio vino acompañado de fuertes críticas y se dudó de su efectividad e incluso la utilidad del Service Pack cuando grandes empresas recomendaron no instalarlo, hasta pasado un tiempo, porque muchos programas dejaron de funcionar correctamente. Curiosamente hoy Windows XP con SP2 es considerado 'suficientemente bueno' e incluso el 'sistema definitivo' para la mayoría, sobre todo con respecto a Vista. La historia se repite. Es un ciclo que se cumple con cada cambio en Microsoft. Service Pack 3 para XP ha sido muy esperado. No tanto porque se pretendan mejoras para el sistema operativo (que apenas se introducen) sino por obtener en un solo paquete todas las actualizaciones aparecidas hasta el momento. Han sido 4 años acumulando parches cada mes, lo que supone que una instalación nueva de XP con el SP2 integrado, tenía que descargar e instalar ya casi 100 parches para estar al día. Desde ahora, se podrá obtener sólo este SP3 y se estará actualizado hasta el momento. Cabe destacar también, que se ha malinterpretado el anuncio de la muerte de XP a finales de junio de 2008. En esa fecha se dejará de vender, pero a efectos prácticos, esto no afecta a la mayoría de los usuarios. Los fabricantes podrán preinstalarlo en los sistemas nuevos hasta el año que viene (e incluso reutilizar licencias de Vista). Pero sobre todo, uno de los aspectos más importantes a la hora de seguir manteniendo un sistema operativo es que siga disfrutando de soporte al menos en cuestión de seguridad. Windows XP lo tendrá, al menos hasta 2014. Hasta esa fecha se publicarán los parches de seguridad los segundos martes de cada mes, y esto no tiene nada que ver con cuándo se dejará de vender. Windows 2000 hace tiempo que no se vende, y los parches siguen apareciendo puntuales cada mes, a pesar de haber nacido dos años antes que XP. De hecho, no se espera que el soporte de Windows 2000 se abandone completamente hasta el 2010. Más información: Paquete de instalación red de Windows XP Service Pack 3 para profesionales de TI y desarrolladores (Aquí) http://www.servi-tec.com.ar/informes_ver_uno.php?ba=185 Se han anunciado diversas vulnerabilidades en Adobe Photoshop CS4 versión 11.0.0 que podrían permitir a un atacante el compromiso de los sistemas afectados. El problema reside en diversos problemas de desbordamiento de búfer en el tratamiento de archivos de imagen en formato Tiff específicamente manipulados. El fallo afecta tanto a sistemas Windows como Macintosh y podría permitir a un atacante ejecutar código arbitrario si el usuario abre una imagen maliciosa. Se recomienda instalar las siguientes actualizaciones en función del sistema afectado: Para Adobe Photoshop CS4 11.0.1 para Windows : http://www.adobe.com/support/downloads/detail.jsp?ftpID=4292 Para Adobe Photoshop CS4 11.0.1 para Macintosh : http://www.adobe.com/support/downloads/detail.jsp?ftpID=4291 Security issues in Adobe Photoshop CS4 11.0.0 http://www.adobe.com/support/security/bulletins/apsb10-10.html http://www.servi-tec.com.ar/informes_ver_uno.php?ba=130 Novell ha resuelto, con la publicación de una actualización, un grave problema de seguridad que afecta a dos de sus productos más populares, Novell Linux Desktop 9, versiones i386 y x86_64, y Open Enterprise Server 1, para i386. Novell Linux Desktop es un producto derivado de SUSE Linux, y está orientado al usuario final, ya que permite que los usuarios poco familiarizados con entornos Linux obtengan una aproximación al concepto cómoda, al ser un escritorio amigable en uso y configuración. Open Enterprise es el resultado de la combinación de Netware y SUSE Linux Enterprise Server, una plataforma abierta para el despligue de aplicaciones empresariales que requieran de un sistema que actúe como servidor corporativo. El fabricante ha dispuesto de una actualización que corrige un fallo de seguridad explotable de modo remoto que podría permitir desbordamientos de búfer en el módulo de autenticación "pam_micasa". La gravedad viene propiciada por el hecho de que este módulo se añade de un modo automático a /etc/pam.d/sshd en toda instalación de Novell Common Authentication Service Adapter (CASA), lo que podría permitir a los atacantes remotos ganar privilegios de root en las máquinas donde CASA esté instalado. Pese a que Novell ha liberado el preceptivo parche, recomendamos que los usuarios que no empleen este módulo procedan a su desinstalación a través del gestor de paquetes RPM, tecleando para ello, en consola, la secuencia "rpm -e CASA CASA-gui CASA-devel" Los usuarios que deseen actualizar pueden hacerlo, para su mayor comodidad, a través del frontal gráfico Redcarpet, que acompaña a sendos productos. Aquellos administradores que deseen hacer un seguimiento de la falla, deben acudir a la referencia Mitre CVE ID CVE-2006-0736 y/o ponerse en contacto con el servicio postventa de Novell. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=154 Microsoft ha publicado el Service Pack 1 para su sistema operativo Windows Server 2003 con importantes novedades en materia de seguridad. Esta actualización amplia la infraestructura de seguridad del sistema incluyendo nuevas herramientas de seguridad como el Asistente de Configuración de Seguridad (que ayuda a reforzar la seguridad del servidor a la hora de realizar operaciones basadas en roles), la Protección de Ejecución de Datos (que ayuda a mejorar la defensa en profundidad), y el Asistente de Actualización de Seguridad Post-Configuración (que ayuda a crear un escenario de primer arranque más seguro). Service Pack 1 para Windows Server 2003 incluye el Windows Firewall, similar al incluido con Windows XP Service Pack 2. Sin embargo, al contrario que con Windows XP Service Pack 2, el servicio de firewall está desactivado por defecto el Server 2003 Service Pack 1, y debe ser activado para la protección de los sistemas en caso de que se desee dicho servicio. Microsoft también ha incluido una serie de mejoras en este Service Pack 1 como configuraciones por defecto más robustas y una reducción de los privilegios en los servicios. Por ejemplo, se han establecido más autenticaciones en las llamadas RPC y DCOM. Windows Server 2003 SP1 incluye los componentes Rqs.exe y Rqc.exe para facilitar el Control de Cuarentena de Acceso a Red (Network Access Quarantine Control). La dirección para descargar esta actualización (por ahora solo para la versión en inglés) es la siguiente: http://www.microsoft.com/downloads/details.aspx?FamilyID=22cfc239-337c-4d81-8354-72593b1c1f43&DisplayLang=en Learn About and Install Windows Server 2003 Service Pack 1 (SP1) Technical Overview of Windows Server 2003 Service Pack 1 (SP1) http://www.servi-tec.com.ar/informes_ver_uno.php?ba=105 Durante los dos últimos años, dos estudiantes del MIT han adquirido discos de segunda mano a través de subastas en Internet y tiendas de segunda mano. De un total de 129 discos adquiridos y operativos, fue posible recuperar archivos en un total de 69. Y de éstos, en 49 había información "privada": datos médicos, cartas de amor, pornografía y más de 5.000 números de tarjetas de crédito. Esto puede poner los pelos de punta al indicar que, según algunas estimaciones, durante el año 2002 un total de 150.000 discos duros fueron "jubilados". Si bien la mayoría de estos discos retirados acaban en la papelera, un porcentaje significativo de los mismos pasa al mercado de segunda mano. Hoy en día los en los discos duros de todos nosotros tenemos almacenada una gran cantidad de información altamente sensible, que bajo ningún concepto deseamos pueda llegar a manos de cualquier otra persona. Cuando borramos un archivo, en realidad lo que hacemos es indicarle al sistema operativo que lo marque como borrado y que su espacio en el disco pase a ser reutilizable. Pero los datos del archivo continúan en el disco hasta que no son sobrescritos. De la misma forma, formatear un disco no siempre borra los datos. Con el fin de hacer la operación lo más breve posible, en muchas ocasiones sólo se rescriben las cabeceras de los sectores del disco. Es un hecho que, cada vez con más frecuencia (y no siempre de forma debidamente justificada), la vida operativa de los ordenadores personales se acorta. Por eso no es extraño que, llegado el momento de la ampliación o cambio, deseemos recuperar algo de la inversión efectuada procediendo a la subasta o venta del equipo antiguo. En el caso de las empresas, la situación todavía es más común. Hoy en día no es nada raro que las medianas y grandes empresas, en lugar de adquirir directamente los ordenadores tengan su parque de informática personal bajo leasing o renting. Por tanto, pasado el período de vida, estos equipos son devueltos a la empresa arrendataria. Un destino tradicional de estos equipos procedentes del leasing/renting es, al igual que sucede con los particulares, que pasen a propiedad de empresas especializadas en subastas o venta de equipos a precio de saldo. Hoy en día existe un importante mercado de venta de equipos con dos/tres años de antigüedad que se nutre, precisamente, de los equipos que han finalizado su periodo de vida en las medianas y grandes empresas. El estudio efectuado por los dos estudiantes del MIT se realiza a partir de discos que proceden de subastas en Internet o tiendas de segunda mano. Durante un período de dos años, se adquirieron un total de 158 discos duros, de los cuales 129 eran operativos. En el momento de recibir cada disco, se conectaban a un ordenador ejecutando FreeBSD 4.4 y se realizaba una copia, bloque a bloque del disco duro en un archivo imagen (mediante la utilidad dd del sistema operativo). Al finalizar la copia, se intentaba montar el disco mediante diversos sistemas de archivo. Si se podía montar el archivo, se copiaban todos los archivos reconocidos con tar y se procedía al análisis de estos archivos. En total, los dos estudiantes del MIT obtuvieron 75 GB de datos (71 GB correspondían a las imágenes de particiones recuperadas y 3,7 GB eran archivos tar comprimidos). Los datos obtenidos son apabullantes. Del total de discos adquiridos, únicamente 12 (un 9%) habían pasado por un proceso de limpieza para garantizar el borrado de la información. 83 discos (64%) contenían particiones FAT16 o FAT32 directamente accesibles. El resto, 46 discos no contenían ninguna partición que pudiera ser accedida. De los 83 discos con particiones, 51 aparentemente habían sido formateados ya que no había ningún archivo. Otros seis discos si bien habían sido formateados, disponían de los archivos del sistema operativo (DOS o Windows) necesarios para arrancar la máquina. Pero en los discos no formateados también fue posible encontrar datos. Entre los 46 discos sin particiones, en 30 se pudo extraer información leyendo los diversos sectores del disco. Una vez identificados los discos, se procedió a recuperar los archivos: 675 documentos DOC, 274 hojas de cálculo XLS, 20 bases de mensajes PST, 566 presentaciones PPT. Algunos de estos archivos almacenaban datos especialmente sensibles: documentos de una empresa referentes al personal, una carta a un médico quejándose del tratamiento recibido para curar un cáncer, plantillas de fax de un hospital para niños, cartas de amor, imágenes pornográficas... Para profundizar todavía más, se escribió un programa que rastreaba los discos en busca de datos de tarjetas de crédito (series de números que se ajustan al formato de las tarjetas de crédito y que son reconocidos como tales mediante el algoritmo de verificación). Entre todos los discos, en 42 de ellos se obtuvieron números aparentemente válidos de tarjetas de crédito. Uno de estos discos, contenía un gran número de tarjetas de crédito (más de 2.800 números). El análisis más detallado del mismo llega a la conclusión que el disco pertenecía a un cajero automático. Otro disco duro almacenaba los números de más de 3.700 tarjetas de crédito dentro de lo que se asemejaba a un archivo log. En otro caso, la tarjeta de crédito estaba dentro de un archivo procedente de la memoria caché del navegador web. Existen un gran número de herramientas útiles cuando se intenta recuperar los datos que una vez estuvieron almacenados en un disco. En el apartado de "Más información" incluimos los enlaces a diversas herramientas, como TestDisk (una herramienta para acceder a los datos de particiones borradas, con soporte para particiones FAT, FAT32, Linux, NTFS, BeFS, NetWare...) y The Coroner's Toolkit (un conjunto de utilidades para investigaciones forenses que se puede utilizar para acceder a datos borrados). También incluimos los enlaces de AutoClave, un sistema para el borrado seguro de los datos del disco duro y un par de comparativas de diversas herramientas para el borrado seguro de los datos. Otra alternativa es el cifrado de los datos. Algunos sistemas operativos, como Windows 2000/XP, incorporan de serie la posibilidad de cifrar los datos almacenados en el disco. También PGP permite crear discos virtuales cuyo contenido está permanentemente cifrado. De esta forma, si alguien dispone de acceso al disco, a pesar de que pueda recuperar los datos, lo tendrá muy difícil para poder visualizar la información. Conclusión Las conclusiones que se obtiene de todo este estudio es que antes de deshacerse de un disco duro, hay que tomar una serie de medidas adecuadas para garantizar que los datos almacenados en su interior son totalmente borrados. Las recomendaciones que se realizan son: * Los usuarios deben conocer las técnicas necesarias para el borrado seguro de la información. * Las organizaciones deben establecer políticas para el borrado de todos los sistemas de almacenamientos que son vendidos, destruidos o devueltos al fabricante. Como ejemplo, en el apartado de más información incluimos las recomendaciones que realiza al respecto la NASA. * Los fabricantes de sistemas operativos deberían incluir herramientas de sistema para el borrado seguro de los datos. * En el futuro, los sistemas operativos deberían realizar la operación de borrado seguro de forma automática. * Siempre que se posible, es conveniente utilizar sistemas de archivos que incorporen funciones de cifrado. * Los fabricantes de discos deben facilitar herramientas para garantizar la confidencialidad de los datos almacenados. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=111 Linux.Vit.4096, bajo este nombre se ha anunciado por parte de la casa antivirus AVP (http://www.avp.ru) la aparición de un nuevo virus que afecta al sistema operativo Linux. Se trata de un virus no residente en memoria que es capaz de replicarse en ejecutables con formato ELF. El proceso de infección lo lleva a cabo insertando su código, 4096 bytes, después de la cabecera ELF en la primera sección de código del fichero. Durante la replicación el virus utiliza un fichero temporal VI324.TMP, de donde ha derivado, según sus descubridores, la denominación del virus (VIxxx.Txx). La primera noticia que se conoce sobre virus para Linux se remonta a Septiembre de 1996, cuando en algunas news (comp.security.unix, alt.comp.virus y comp.os.linux.misc) se difundió en un mensaje la versión alpha de Bliss, considerado como el primer virus para Linux. El autor advertía en el mensaje que se trataba de un virus que no tenía fines destructivos, pero que podía acarrear problemas al sistema debido a errores en su programación. El fin de Bliss, según su autor, era demostrar que es factible la construcción de virus en entornos Unix. Bliss, escrito en GNU C, podía ser compilado para SunOS, Solaris y OpenBSD, además de Linux. Una vez se ejecutaba intentaba infectar copiándose a si mismo en todos los binarios a los que tuviera acceso según los derechos del usuario, y mantenía un registro de todas sus acciones en /tmp/.bliss. Por aquel entonces fue McAfee (http://www.mcafee.com) el primer antivirus en sacar su antídoto al mercado. A diferencia de los sistemas operativos de Microsoft, entorno natural de los virus, Linux mantiene restricciones de acceso según el usuario, con lo que la acción del virus era muy limitada si no se había ejecutado como superusuario (root). Debemos de sumar también que los usuarios de Linux tienen como norma general y recomendada el no utilizar ejecutables que no hayan compilado ellos mismos y así evitar estos problemas al poder realizar un estudio previo de sus fuentes. Sigue llamando la atención que este tipo de virus sea detectado por aplicaciones antivirus para los entornos Microsoft, donde estos engendros no tienen ningún sentido. Los usuarios de Linux, fieles a su filosofía, siguen manteniendo que no son necesarios los antivirus, y que se pueden evitar este tipo de programas siguiendo unas normas mínimas de seguridad. Mucho menos están dispuestos a introducir en sus sistemas software sin tener acceso a sus fuentes. Ante esto todo parece indicar que, tanto Bliss como VIT, vienen a engordar las ya de por sí exageradas estadísticas de los productos antivirus, más que a ofrecer una protección real. http://www.servi-tec.com.ar/informes_ver_uno.php?ba=128 Un nuevo problema de seguridad en el sistema operativo Windows NT 4.0, puede permitir que cualquier usuario con acceso local a la máquina consiga derechos de administrador. El conocido grupo L0pht ha hecho público un nuevo problema de seguridad. No es la primera vez que esta agrupación aparece en nuestras noticias por este tipo de descubrimientos. Esta vez, el problema parece ser bastante grave, ya que permitiría a cualquier usuario local con acceso a una máquina Windows NT 4.0 , lograr derechos de administrador, independientemente de los permisos originales que disponga el usuario. El problema radica en la implementación en Windows NT de una zona de memoria caché destinada al mapeado de objetos, con el propósito de cargar librerías de acceso dinámico (dlls) lo más rápido posible. Esta caché de objetos, se crea con los permisos necesarios para que el grupo de todos los usuarios tenga control total sobre ella. Por tanto, y en este punto reside la vulnerabilidad, es posible borrar objetos de esta caché y reemplazarlos por otros que apunten a diferentes dlls. Cuando se crea un proceso, se carga el ejecutable importando las dlls en el espacio de procesos. Si en esta zona existe un objeto dll cachéado, se asocia en el espacio de procesos antes que ir al disco. Por lo tanto, hay una condición explotable cuando un usuario sin privilegios reemplaza una dll en la caché por una dll troyana, seguido de un acceso con privilegios lanzando el proceso. El proceso con privilegios mapeará la dll falsa y su código ejecutable en beneficio del usuario sin privilegios. L0pht ha desarrollado una dll troyana basada en el kernel32.dll para demostrar la vulnerabilidad de esta forma de administrar la creación de procesos. La dll troyana realiza las llamadas a las funciones de la dll original, aunque incluye una función DllMain() diferente, que se ejecuta cuando se carga la librería maligna. Una aplicación se encarga de sustituir el mapeado al kernel32.dll de la caché del sistema por la dll maliciosa. De igual forma, ha desarrollado un parche para cubrir los peligros de esta vulnerabilidad y que presenta en forma de servicio Win32 para ser instalado por el administrador del sistema. El parche se configura a sí mismo para ejecutarse cada vez que se inicia el sistema y antes de que el usuario tenga oportunidad de ejecutar un programa ajusta los permisos de la caché a unos valores más seguros. Todos los detalles técnicos del problema, el modo de funcionamiento del espacio de memoria en el que se almacenan las dlls o el parche (y el código fuente) que soluciona la vulnerabilidad se encuentran en http://www.l0pht.com/advisories.html.