Monthly Archives: April 2007

Vulnerabilidad crítica en ActiveX de IncrediMail

Posted on by
Reply

IncrediMail es una aplicación de correo electrónico que se caracteriza por permitir el uso de múltiples emoticones animados.

Una vulnerabilidad del tipo desbordamiento de búfer en un control ActiveX utilizado por el programa, puede ser explotada por un atacante remoto para la ejecución de código con los mismos privilegios del usuario actual.

El problema se produce específicamente en el objeto IMMenuShellExt cuando se utiliza el método DoWebMenuAction(). La biblioteca afectada es ImShExt.dll. El control es utilizado por IncrediMail en Internet Explorer y otros navegadores, al instalarse en un sistema Windows.

Un usuario malicioso puede crear un documento HTML (una página Web, un correo con formato HTML o un adjunto), que al ser visualizado o abierto por el usuario, puede provocar que el navegador de Internet deje de responder, o que se ejecute un código de forma arbitraria.

No es necesario abrirlo con IncrediMail para que el exploit funcione.

Sugerencias para minimizar el problema:

No existe una solución oficial para este problema.

Puede ser minimizado si se deshabilita ActiveX en Internet Explorer, o se aplica el Kill bit al control afectado:
{F8984111-38B6-11D5-8725-0050DA2761C4}
Cada uno de estos procedimientos es válido por si solo, no necesita aplicarlos todos. Seleccione el más conveniente a su caso.

1. Uso de REGEDIT

Ejecute REGEDIT (Inicio, Ejecutar, escriba REGEDIT y pulse Enter), y busque la siguiente entrada: HKEY_LOCAL_MACHINESOFTWARE
MicrosoftInternet ExplorerActiveX Compatibility
{F8984111-38B6-11D5-8725-0050DA2761C4}
Agregue el siguiente valor DWORD (400 en hexadecimal):
Compatibility Flags = 400
NOTA: Si no existe la clave {F8984111-38B6-11D5-8725-0050DA2761C4}, no tiene instalado IncrediMail en su sistema y no es vulnerable.

2. Uso de un archivo .REG

Descargue el siguiente archivo:
http://www.videosoft.net.uy/incredimail-immenushellext-killbit.reg
Haga doble clic sobre él, y luego acepte agregar su contenido al registro.

Software afectado:

- IncrediMail (todas las versiones)

Referencias:

Vulnerability Note VU#906777
IncrediMail IMMenuShellExt ActiveX control stack buffer overflow vulnerability
http://www.kb.cert.org/vuls/id/906777

Referencias CVE:

CVE-2007-1683
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-1683

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado público, la cuál es operada por cve.mitre.org, corporación patrocinada por el gobierno norteamericano.

FUENTE : http://www.vsantivirus.com/vul-incredimail-cve-2007-1683.htm

Vulnerabilidad crítica en Photoshop

Posted on by
Reply

Detectan una gravísima vulnerabilidad crítica en las versiones CS2 y CS3 del programa de retoque fotográfico de Adobe.

Un agujero de seguridad que podría permitir a un atacante tomar el control total del sistema, permitiendo a este llevar a cabo todo tipo de actividades maliciosas.

El problema reside en las versiones CS2 y CS3 de Photoshop, y a la hora de procesar imágenes en formato .BMP, .DIB o .RLE.

Archivos en estos formatos pueden ser manipulados para aprovechar la vulnerabilidad del programa e incluir código malformado.

Hasta la salida del parche correspondiente que solvente el problema cuidado a la hora de abrir archivos en los formatos anteriormente mencionados.

TrueCrypt en Linux (I)

Posted on by
Reply

Aviso antes de nada de que no voy a entrar en las peculiaridades de cada posible distribución. Por tanto me atendré a mi distribución preferida y quien utilice otra siempre puede acudir a nuestro foro sobre TrueCrypt para aclarar dependencias y otras circunstancias. No obstante, confío en que otras distribuciones no se alejen demasiado de lo aquí expuesto.

Instalación y configuración

En Arch Linux necesitaremos cuatro paquetes para completar con éxito este tutorial. Los tres primeros forman parte de la distribución y el último ya está disponible en el repositorio AUR. La lista (en el orden de instalación apropiado) es la siguiente:

Una vez instalado todo, en tu directorio personal hay una nueva carpeta de nombre tcgui. Teclea ahora lo siguiente (como usuario normal, no root):

$ cd ~/tcgui
$ ./installer.sh

Al responder “Sí” a la pregunta de si deseas integración con Konqueror, al menos a mí me aparece un mensaje de error:

Do you want konqueror integration [Y/n]:
Kommander is not installed, please install the package kdewebdev

Revisando el script de instalación del interfaz gráfico encontramos el error. El script busca el lanzador de kommander en /usr/bin, pero en Arch lo tenemos instalado en /opt/kde/bin.

Editamos el script para corregirlo. Basta sustituir /usr/bin/kmdr-executor por /opt/kde/bin/kmdr-executor para que el instalador funcione. Ejecútalo de nuevo si -como yo- necesitaste realizar esta corrección.

Para que todo funciones correctamente aún hay un par de operaciones previas que has de realizar como root. En primer lugar, has de cargar en el kernel el módulo truecrypt:

# modprobe truecrypt

Si piensas utilizar TrueCrypt con regularidad no es necesario que recurras a la consola. Puedes automatizar la carga del módulo en el arranque. En Arch esto se hace añadiendo truecrypt a la línea modules del fichero /etc/rc.conf.

La siguiente operación que has de realizar como root sólo hay que efectuarla una vez y te permitirá ejecutar TrueCrypt como un usuario corriente, no root. Teclea lo siguiente:

# chmod +s /usr/bin/truecrypt

Desde el punto de vista de la seguridad, en general no es conveniente establecer este bit en ejecutables, porque un eventual compromiso de truecrypt sería mucho más peligroso. Sin embargo no se me ocurre otra forma más sencilla de que todo funcione a la primera. Seguridad y comodidad, de nuevo en conflicto. No obstante, si algún lector experto dispone de un método mejor, que lo explique ahora o calle para siempre ;)

Ahora, para probar a arrancar tu flamante TrueCrypt “gráfico” teclea (sin salir del directorio tcgui):

$ kmdr-executor tcguien

El resultado debe parecerse a lo siguiente:

En lo sucesivo no necesitarás usar la consola para arrancar TrueCrypt. Simplemente copia el fichero Truecrypt.desktop al escritorio y podrás utilizar la aplicación mediante un simple clic.

Utilización

Para cubrir lo mismo que en nuestro correspondiente tutorial sobre TrueCrypt en Windows, procederemos a continuación a crear un volumen cifrado normal de 3 MB.

Para ello simplemente arrancamos el programa con un clic sobre su icono, seleccionamos la pestaña “Create new Volumen” y escribimos el nombre y localización de nuestro disco virtual, así como su tamaño. Podemos seleccionar también los algoritmos de cifrado y hash, pero el sistema de archivos sólo puede ser FAT:

Pulsa “Create Volume”. Se te presenta un cuadro de diálogo para que suministres la contraseña que protegerá tu volumen. Tu seguridad depende por completo de su calidad, así que procura que sea larga, que mezcle letras mayúsculas y minúsculas, con números o caracteres especiales, siempre que puedas recordarla:

Tras confirmar la contraseña elegida, abajo de la ventana aparece el mensaje “Volume has been created!” (el volumen ha sido creado):

Para utilizar nuestro nuevo volumen deberemos montarlo antes. Desde la ventana principal del programa seleccionamos “Mount a volume”. En la ventana correspondiente localizamos y seleccionamos el nombre que dimos al volumen y elegimos un sitio donde montarlo (en general, una carpeta que crearás previamente en tu directorio de usuario). Tras pulsar “Mount” y pedirnos la contraseña, un mensaje nos avisa del éxito de la operación:

Ahora, en la ventana principal del programa, ya se muestra el volumen que tienes montado:

Si pulsas sobre “Show volumen info”, puedes ver con detalle sus características:

Ya puedes utilizar tu nuevo contenedor cifrado como una carpeta más del sistema, con la particularidad de que todo lo que guardes en ella dejará de estar accesible en cuanto desmontes el volumen para cualquiera que no disponga de la contraseña. La carpeta seguirá ahí, pero estará totalmente vacía hasta que vuelvas a montar en ella tu volumen cifrado.

Cuando acabes de trabajar con tu volumen cifrado puedes (debes) desmontarlo. Tan fácil como pulsar “Unmount selected Volume”.

Con esto, nuestros usuarios de Windows y de Linux se encuentran ya al mismo nivel. En próximas entregas continuaremos avanzando. Mientras tanto, todo el mundo a trabajar. Y para dudas y consultas, nuestro foro.

Fuente : Kriptopolis.org

Ejecución de código a través de productos Zone Alarm

Posted on by
Reply

Se han detectado varias vulnerabilidades en productos Check Point Zone Alarm que podrían ser aprovechadas por atacantes, para comprometer un sistema vulnerable.

El fallo está localizado en los IOCTL handlers 0x22208F y 0x2220CF
dentro del driver srescan.sys. Los parámetros Irp no son correctamente
verificados, por lo que un atacante podría utilizar estos IOCTL para
realizar una escritura en memoria. Para IOCTL 0x2220CF, el atacante
podría introducir el valor constante 0×30000, mientras que para IOCTL
0x22208F podría escribir el contenido del buffer devuelto por
ZwQuerySystemInformation.

Esta vulnerabilidad podría provocar:

* La ejecución de código dentro del contexto del kernel.
* Gracias a que los mecanismos de control de acceso configurados por
defecto permiten que cuentas restringidas puedan acceder a los drivers
del dispositivo afectado, un atacante podría conseguir una escalada de
privilegios al nivel de SYSTEM.

Se ha confirmado la existencia de estas vulnerabilidades para la versión
5.0.63.0 de srescan.sys instalado con la versión Zone Alarm Free, pero
no se descarta que otras versiones puedan estar también afectadas.

Se recomienda cambiar la configuración de los mecanismos de control de acceso así como actualizar a la versión 5.0.156.0 o superior de ZoneAlarm Spyware Removal Engine desde:

http://www.zonealarm.com/store/content/catalog/download_buy.jsp?dc=12bms&ctry=US&lang=en

iDefense Labs:

http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=517

Reversemode:

http://www.reversemode.com/index.php?option=com_remository&Itemid=2&func=fileinfo&id=48

Fuente: http://www.hispasec.com/unaaldia/3107/

Una página de Microsoft modificada por defacers

Posted on by
Reply

¿Puede ser Microsoft atacada por un defacer? Sí, todos podemos, si los servidores no son correctamente administrados o los datos no son correctamente validados al ser ingresados, o…

Este último caso (de falta de validación) fue el utilizado para modificar una página de Microsoft. En la siguiente imágen puede verse una página normal de ingreso de datos.
En la misma, el atacante introdujo, mediante SQL Injection (supongo) datos especialmente manipulados. Al ser grabados en la base de datos esta información produce que la página sea mostrada con algunas pequeñas alteraciones.

Si se analiza el HTML puede encontrarse el siguiente código en el cuerpo:

Como puede verse, la seguridad es importante en todos los niveles. La gente de Microsoft, olvidó validar y hasta ahora han tenido “suerte” ya que la página sólo ha sido utilizada para mostrar una foto. Se imaginan si se utilizara para propagar malware mediante correos masivo.
¿Quién sospecharía de una URL de Microsoft?

También queda averiguar el método utilizado para insertar (vía SQL) ese “último registro” que permite ver la imagen, como si fuera parte del combo de las compañias.

Fuente : seguinfo.blogspot.com