Monthly Archives: May 2007

Actualizaci?n de seguridad para QuickTime 7.1.6

Posted on by
Reply

Apple QuickTime 7.1.6 fue publicado hace apenas unas semanas (ver “Vulnerabilidad en QuickTime mediante Java”, http://www.vsantivirus.com/vul-quicktime-230407.htm), pero ahora Apple anuncia una actualizaci?n de seguridad para dicha versi?n.

Una de las vulnerabilidades corregidas en esta actualizaci?n, est? relacionada con un problema en la implementaci?n para Java de QuickTime, que puede permitir la ejecuci?n de c?digo de forma arbitraria, por el simple acto de visitar una p?gina Web maliciosa. El problema se debe a una incorrecta validaci?n de applets.

La segunda vulnerabilidad permite que la simple visita a un sitio Web malicioso, permita la revelaci?n de informaci?n confidencial sin el conocimiento del usuario.

El problema se debe a un error de dise?o que permite a un applet de Java leer la memoria utilizada por el navegador.

Se recomienda a los usuarios que utilizan Apple QuickTime como reproductor multimedia, que se actualicen a la brevedad posible a la versi?n 7.1.6 si es que todav?a no lo han hecho, y luego descarguen la actualizaci?n correspondiente a dicha versi?n desde los siguientes enlaces (estas actualizaciones soportan todos los idiomas, espa?ol incluido):

Security Update (QuickTime 7.1.6 for Windows)
http://www.apple.com/support/downloads/securityupdatequicktime716forwindows.html

Security Update (QuickTime 7.1.6 for Mac)
http://www.apple.com/support/downloads/securityupdatequicktime716formac.html

Productos vulnerables:

- Apple QuickTime Player 7.1.6

Descarga versi?n 7.1.6:

Windows 2000 o XP
http://www.apple.com/quicktime/download/win.html

Mac OS X v10.3.9 o posterior
http://www.apple.com/quicktime/download/mac.html

M?s informaci?n:

Acerca de la actualizaci?n de seguridad (QuickTime 7.1.6)
http://docs.info.apple.com/article.html?artnum=305531-es

Referencias CVE:

Las vulnerabilidades corregidas est?n relacionadas con las siguientes referencias CVE:

CVE-2007-2388
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2388

CVE-2007-2389
www.cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2007-2389

CVE (Common Vulnerabilities and Exposures), es la lista de nombres estandarizados para vulnerabilidades y otras exposiciones de seguridad que han tomado estado p?blico, la cu?l es operada por cve.mitre.org, corporaci?n patrocinada por el gobierno norteamericano.

Relacionados:

Vulnerabilidad en QuickTime mediante Java
http://www.vsantivirus.com/vul-quicktime-230407.htm

Mac pierde la apuesta y el exploit afecta a Windows
http://www.vsantivirus.com/24-04-07.htm

El grupo Rock Phish dispara el n?mero de ataques phishing en el mundo

Posted on by
Reply

Las t?cnicas phishing evolucionan a medida que los usuarios toman conciencia del perjuicio que les puede provocar y aprenden a evitarlo.
Rock Phish, grupo pionero en ataques phishing en el mundo y responsable de la mayor?a de ellos, dispara el n?mero de ataques eludiendo leyes y contramedidas t?cnicas.

Seg?n algunas fuentes Rock Phish no es m?s que un kit de desarrollo de phishing r?pido para inexpertos. Sin embargo Rock Phish, para los que lidiamos con este tipo de asuntos antiphishing, es tambi?n una de las bandas m?s peligrosas y efectivas a la hora de crear ataques
fraudulentos de robo de credenciales. Han desarrollado metodolog?as muy avanzadas para evitar que los medios t?cnicos disponibles impidan su difusi?n. Por ejemplo, tienen la capacidad de crear m?ltiples y ?nicas URL para cada ataque, muy complejas (es una de sus se?as de identidad) que limitan de forma muy eficaz la labor de las barras antiphishing basadas en listas negras. Adem?s, act?an a lo grande, pues son responsables de aproximadamente, m?s de la mitad de todo el phishing creado en el mundo en estos momentos. Buscan pa?ses ex?ticos con leyes difusas para alojar sus p?ginas o lo hacen din?micamente para complicar la labor de rastreo y cancelaci?n del sitio fraudulento.

Nadie sabe qui?n integra o de d?nde viene esta banda, s?lo que se mueven entre la ?lite del crimen organizado y que su actividad debe ser tremendamente rentable a juzgar por la virulencia, constancia y alto nivel t?cnico de sus ataques.

APWG (Anti-Phishing Working Group) ha declarado en uno de sus informes que el n?mero de sitios phishing detectados en abril se ha disparado hasta 55.000. En su anterior medici?n, en octubre de 2006, se contabilizaron poco m?s de 35.000 sitios documentados por ellos ese mes.
Phishtank.com, un repositorio p?blico de sitios phishing, tambi?n registr? pico hist?rico en abril con 77.700 p?ginas sospechosas. Seg?n Brian Krebs, Rock Phish es el gran responsable de estas cifras.

No contentos con esta abrumadora posici?n dominante, el grupo busca el
beneficio todav?a en mayores cantidades. Se ha detectado un considerable
aumento de ataques a bancos comerciales. Estos suelen ser bancos (o
divisiones de los bancos tradicionales) destinadas a dar servicios de
pr?stamos y dep?sitos a grandes empresas (no tanto a usuarios de a pie)
que mueven importantes capitales. Sus “umbrales de detecci?n de fraude”
son mucho m?s altos y por tanto los robos pueden ser m?s abultados y
pasar en cierta manera, m?s desapercibidos.

Si hasta el “simple” phishing tradicional sigue siendo efectivo para ciertos grupos m?s “modestos”, imaginamos que el nivel de sofisticaci?n alcanzado en Rock Phish debe proporcionar beneficios tan suculentos que seguro no est?n dispuestos a dejarlos escapar. Como toda organizaci?n, buscar?n optimizar recursos y es m?s que probable que evolucionen para que su “cuenta de resultados” aumente. Solo nos queda estar preparados.

M?s informaci?n:
Phishing Attacks Soar as Scammer Nets Widen

http://blog.washingtonpost.com/securityfix/2007/05/phishing_attacks_soar_nets_wid_1.html

Who or What Is ‘Rock Phish’ and Why Should You Care?

http://www.pcworld.com/article/id,128175-pg,1/article.html

‘Rock Phish’ blamed for surge in attacks

http://www.computerworld.com/action/article.do?command=viewArticleBasic&articleId=9005958

Anti-Phishing Working Group

http://www.antiphishing.org/reports/apwg_report_april_2007.pdf

Phishtank Stats April 2007

http://www.phishtank.com/stats/2007/04/

Fuente: http://www.hispasec.com/unaaldia/3139/

Morphing de Superman

Posted on by
Reply

Cuando vas a al l?mite es cuando se pueden producir errores, el exceso de trabajo hace que no puedas dedicar todo el tiempo del mundo en el repaso de los detallitos. Esto en las compa??as antivirus/antimalware es un serio problema.

Cuando se recibe una muestra hay que analizarla y escoger una firma. La firma debe ser lo suficientemente bien elegida para que identifique de forma un?voca al malware y que adem?s no sea f?cilmente saltable. Por eso se pueden mirar desde varias partes del archivo, el an?lisis empaquetado o desempaquetado en m?quinas virtuales, etc? Existen t?cnicas muy avanzadas en la detecci?n de amenazas. El problema se produce cuando tienes m?s de 10.000 muestras de malware por d?a.

Si eliges una mala firma puede pasarte como le sucedi? a McAfee que con una mala firma tuvo 7 p?ginas de falsos positivos e incluso firmo como virus el Excel. ?ste no fue el primero ni el ?ltimo caso y le ha pasado ya entre otros a Symantec, OneCare, Trend Micro, etc?

En virustotal reciben entre 15.000 y 20.000 muestras diarias lo que deja claro el volumen de estr?s laboral que deben llevar las compa??as para firmar las muestras.Las t?cnicas de evasi?n de las firmas de los antivirus suelen ser variadas. Desde el uso de ofuscadores de c?digo como el Yoda Protector o las t?cnicas de morphing como el morphine, pasando por la siempre funcional de modificar el c?digo en ensamblador o el c?digo fuente, cambiando de orden instrucciones, metiendo instrucciones in?tiles, etc.. hasta saltarse la firma.

Pero cuando la compa??a de antivirus tiene mucho estr?s y no puede analizar la muestra en profundidad busca una soluci?n r?pida y que garantice ningun (o pr?cticamente ning?n si contamos con las colisiones)falso positivo. Y lo m?s r?pido es firmarlo usando el hash del archivo. Claro, esto implica que con cambiar cualquier bit del fichero cambiamos el hash y ya no lo reconocer?a. Hagamos una prueba con el Patch (cliente de netbus 1.70). Este es un troyano de cuando estrenaban el coche fant?stico. Lo subimos a VirusTotal y vemos quien lo detecta:

Resultados VirusTotal de Patch.exe

En los resultados se ve el hash del archivo y vemos que todos, menos 1, lo detectan como Virus. El que no lo detecte Sunbelt a lo mejor es porque tiene una pol?tica de borrado de firmas antiguas, pero vamos, que con lo divertido que es el Netbus deber?a tenerlo firmadito. Si miramos el c?digo en hex?decimal vemos que tiene un mensaje de error en ASCII:

Vista Hex?decimal de Patch.exe

Vale, pues le cambiamos el mensaje y le ponemos este otro y lo guardamos como patch2.exe y lo subimos a Virustotal y vemos que se un par de motores que ?lo conoc?an? ya no le conocen:

Vista Hex?decimal de Patch2.exe

Resultados VirusTotal de Patch2.exe

Esta t?cnica Sergio “pajarraco” de los Santos la bautiz? como:?Morphing de Superman, que cambia el caracolillo por unas gafas y un sombrero y ya no le conoce nadie?

Superman & Clark Kent

En el caso del patch solo hab?a 2 motores que lo ten?an firmados por hash, pero? ?y las firmas de malware m?s moderno? Si lo hacemos con un exploit del a?o 2004, vemos que lo detectan todos menos 8. Los que no los detectan lo har?n simplemente porque en su pol?tica no estar? detectar hacking tools:

Resultados VirusTotal de epxloit lsass

Si le hacemos un ?Morphing de Superman? vemos que ahora son 17 los motores que no lo detectan, es decir, 9 motores utilizaban hash para firmar esta herramienta.

Resultados VirusTotal de exploit lsass_superman

Por ?ltimo, he pensado hacerlo con el hackerdefender, un rootkit de los m?s famosos, la versi?n 1.0. Primero lo detectan todos:

Resultados VirusTotal de hackerdefender100.exe

Con el ?Morphing de Superman? hay tres que ya no lo detectan.

Resultados VirusTotal de hackerdefender100_superman.exe

Esto s?lo es una curiosidad dentro de las t?cnicas de evasi?n de antivirus que utilizan los productores de malware hoy en d?a, por lo que queda de manifiesto que contar con el antivirus sigue siendo algo necesario, pero no suficiente.

Fuente:

http://elladodelmal.blogspot.com/2007/05/morphing-de-superman.html

La IETF aprueba DomainKeys Identified Mail

Posted on by
Reply

Esta tecnolog?a, desarrollada conjuntamente por Yahoo!, Cisco, Sendmail y PGP Corporation, mejorar?a la seguridad del correo electr?nico. El nuevo est?ndar se ha creado como herramienta para hacer frente a los mensajes fraudulentos y el ?phishing?.

Yahoo!, Cisco, Sendmail y PGP Corporation han unido fuerzas para combatir la falsificaci?n del correo electr?nico, el ?phishing? y otros m?todos de fraude en Internet por medio de la aprobaci?n de un nuevo est?ndar de correo electr?nico seguro.

El est?ndar DKIM Identified Mail (DKIM) ya ha sido aprobado por la Internet Engineering Task Force (IETF), el grupo con responsabilidad por los est?ndares t?cnicos en Internet. DKIM utiliza tecnolog?a de encriptaci?n de firmas para verificar la autenticidad del dominio de los remitentes del correo electr?nico.

Seg?n los datos del Grupo de Trabajo ?Anti-Phishing”, el pasado mes de febrero se detectaron 24.000 casos de ?phishing?, y se suplant? la identidad de m?s de 100 de las principales marcas en Estados Unidos.

DKIM es el resultado de la colaboraci?n entre numerosas organizaciones. Tras su aprobaci?n como est?ndar propuesto para combatir el fraude en Internet, estas empresas trabajar?n estrechamente con proveedores de servicio, empresas, organizaciones de comercio electr?nico, instituciones financieras y la comunidad de fuente abierta, para facilitar la adopci?n r?pida de esta especificaci?n y su incorporaci?n a futuros productos.

?M?s de mil millones de mensajes electr?nicos con la firma de DomainKeys son enviados cada d?a a trav?s de Correo Yahoo!, y esperamos que siga creciendo este ritmo a medida que m?s usuarios adopten el nuevo est?ndar para correo electr?nico”, ha afirmado Mark Delany, arquitecto principal de Correo Yahoo! y autor de DomainKeys.

Fuente: http://www.diarioti.com/gate/n.php?id=14302

Actualizaci?n de diversos paquetes para productos SuSE Linux

Posted on by
Reply

SuSE ha publicado varias actualizaciones que solventan cuatro vulnerabilidades.Los productos afectados son Novell Linux Desktop 9, OpenSUSE Linux 10.x, SuSE. Linux 10.x y 9.3, SuSE. Linux Desktop 1.0, SuSE. Linux Enterprise (SDK) 10, SuSE. Linux Enterprise Server (SLES) 8 y 9.

Las vulnerabilidades corregidas son:

* Un error que podr?a provocar una denegaci?n de servicio en net-snmp.

* Ejecuci?n de c?digo a trav?s de vim modeline. Algunos archivos con VIM modelines podr?an llamar a ciertas funciones no seguras de VIM.

* Un problema en la interacci?n entre el reproductor de flash kdebase3 y el navegador Konqueror que podr?a provocar una redirecci?n de pulsaciones hacia el applet en lugar de hacia el navegador.

* Una reserva insuficiente de caracteres especiales de mod_perl en la variable PATH_INFO que podr?a ser aprovechado por un atacante para causar un consumo excesivo de recursos y provocar una denegaci?n de servicio a trav?s de una URL especialmente manipulada.

Se recomienda actualizar a trav?s de las herramientas autom?ticas YoU (Yast Online Update).

M?s Informaci?n:

SUSE Security Summary Report SUSE-SR:2007:012
http://lists.suse.com/archive/suse-security-announce/2007-May/0008.html