Monthly Archives: January 2008

Mozilla eleva nivel de alerta para fallo en Firefox

Posted on by
Reply

De acuerdo al blog de seguridad de Mozilla, la vulnerabilidad reportada hace unos días en Firefox (ver ), sería de gravedad alta.

Un atacante podría valerse de este agujero, para obtener información del equipo atacado, incluyendo las cookies y el historial del usuario actual.

Sin embargo, Firefox no es vulnerable por defecto. Solo están en riesgo los usuarios que hayan instalado ciertas extensiones que utilizan una estructura de directorio plana (las llamadas “flat”), en lugar de archivos .JAR.

Una lista parcial de estas extensiones puede verse en el siguiente enlace: https://bugzilla.mozilla.org/attachment.cgi?id=300181

Mozilla recomienda a los autores de estas extensiones realizar una actualización de las mismas, en un paquete .JAR.

Cómo anunciábamos hace unos días, el problema se produce por un error de filtrado en los caracteres utilizados para ciertos parámetros al manejarse el protocolo CHROME.

Este protocolo utiliza archivos escritos en XUL, un lenguaje XML creado para facilitar el desarrollo del navegador Mozilla.

La vulnerabilidad permite el acceso de un atacante a directores superiores, y a partir de allí, a partes sensibles del sistema.

Mozilla acelera la salida de su Firefox 2.0.0.12 para corregir este problema.

Más información:

Status update for Chrome Protocol Directory Traversal issue
http://tinyurl.com/yuxz5l

Bug 413549 – Grep Addons for packages not using .jar
https://bugzilla.mozilla.org/show_bug.cgi?id=413451

Relacionados:

Vulnerabilidad en protocolo Chrome de Firefox
http://www.vsantivirus.com/vul-firefox-chrome-190108.htm

Mejoran exploit que afecta al kernel de Windows

Posted on by
Reply

El exploit para la vulnerabilidad que afecta al protocolo TCP/IP en Microsoft Windows, sigue dando que hablar. La vulnerabilidad se produce porque el kernel de Windows realiza una validación insuficiente cuando almacena el estado de las solicitudes IGMP que procesa TCP/IP.

TCP/IP es el conjunto de protocolos de comunicaciones que se usa para transmitir datos a través de las redes.

IGMP es el protocolo de administración de grupo de Internet, que se utiliza para la comunicación entre un solo emisor y múltiples receptores en una red (IPv4).

Hace una semana, publicábamos que Immunity Inc., la compañía creadora del software CANVAS, utilizado para pruebas de penetración, había actualizado su herramienta para hacer pruebas valiéndose de la vulnerabilidad mencionada.

Esta semana, una versión mejorada del exploit, demuestra que la vulnerabilidad es altamente explotable, a pesar de lo que afirma Microsoft. Aún así, Immunity reconoce que este nuevo exploit no es 100% confiable.

En una animación en Flash colgada en el sitio de Immunity, se puede apreciar el exploit en acción. Allí se puede comprobar como dos equipos con Windows XP SP2 sin el parche publicado en el boletín MS08-001, son comprometidos a pesar del firewall de Windows, activo en ambas máquinas, demostrando la posibilidad de ejecución remota de código.

Es posible que esta ejecución se realice en el contexto del kernel de Windows, lo que podría ser especialmente crítico en Windows Vista, ya que un usuario remoto podría introducir código aún a pesar de las restricciones para ejecutar comandos a ese nivel de forma local (aún siendo administrador del PC). Y además, sin ningún tipo de autenticación.

Lo cierto es que las posibilidades de sacar provecho de este problema para introducir troyanos y rootkits en los sistemas de los usuarios que no han instalado el parche del boletín MS08-001, aumentan enormemente.

Es muy probable que en los próximos días (o tal vez horas), alguien cree una forma de explotar esto por medio de un malware, comprometiendo a miles de equipos en pocos minutos.

Es de vital importancia que los usuarios de Windows Vista y Windows XP, actualicen a la brevedad su sistema instalando los últimos parches, especialmente el descrito en el boletín MS08-001.

Relacionados:

Demostración en Flash:
http://immunityinc.com/documentation/ms08_001.html

MS08-001 Ejecución de código vía TCP/IP (941644)
http://www.vsantivirus.com/vulms08-001.htm

Exploit para primera vulnerabilidad de Windows en 2008
http://www.vsantivirus.com/23-01-08.htm

Actualización de múltiples paquetes para productos SuSE Linux

Posted on by
Reply

SuSE ha publicado actualizaciones para múltiples paquetes que resuelven diferentes problemas de seguridad. Las actualizaciones afectan a OpenSUSE Linux 10.x, SuSE Linux 10.x, SuSE Linux Enterprise (SDK) 10 y SuSE Linux Enterprise Server (SLES) 10.Los paquetes y problemas corregidos son:

* Desbordamiento de búfer durante el proceso de autenticación en top-pegasus.

* Múltiples desbordamientos de búfer en Xine rtsp.

* Denegación de servicio en libxml2 durante el manejo de UTF8.

* Manejo incorrecto de certificados SSL en libqt4.

* Nuevas actualizaciones de XFree86/X.Org.

* Corregidos varios problemas menores en krb5.

* Desbordamientos de búfer y denegación de servicio en libexif.

* Denegación de servicio en openafs.

* Denegación de servicio durante la post-autenticación en Apache Derby.

* Actualización a MozillaThunderbird 1.5.0.14.

* Denegación de servicio en Xen.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).

http://www.hispasec.com/unaaldia/3385

La infección masiva surgió en servidores Apache

Posted on by
Reply

De acuerdo a una nota de prensa liberada por la empresa de seguridad Finjan, servidores web comprometidos, están infectando a miles de visitantes diariamente, con un malware que convierte a sus equipos en máquinas zombis, formando parte de una red de robots (botnet), controlada por organizaciones criminales.

Otros expertos confirman esta información, aunque con diferentes estimaciones en cuánto a cantidad de sitios afectados.

Todos los reportes coinciden en que los servidores comprometidos se ejecutan en Linux y utilizan Apache como software.

El exploit implica la inyección de un rootkit que sustituye múltiples archivos en el servidor. Los siguientes binarios parecen ser los comprometidos:

/sbin/ifconfig
/sbin/fsck
/sbin/route
/bin/basename
/bin/cat
/bin/mount
/bin/touch

El rootkit renombra estos archivos, y los sustituye por versiones infectadas, quedando a la espera del próximo reinicio del servidor. Cuando ello ocurre, el rootkit llama a los binarios infectados.

El resultado, es que ciertos archivos en el servidor quedarán ocultos, y un código en JavaScript será enviado a los visitantes del sitio.

El código en JavaScript es creado de forma dinámica, y suele tener un nombre al azar de cinco caracteres (Ej: ‘cbolw.js’). Ello no ocurre en todas las sesiones, haciendo más difícil su identificación.

El JavaScript intenta explotar múltiples vulnerabilidades en Windows, QuickTime y Yahoo! Messenger. Son afectados aquellos usuarios que no han aplicado las últimas actualizaciones de Microsoft, ni tienen las últimas versiones del software involucrado.

Mark Cox del equipo de seguridad de Apache Software Foundation, dice que no hay detalles precisos sobre como los atacantes pueden obtener acceso de root a los servidores comprometidos, “además de que no hay evidencias que este ataque se deba a alguna vulnerabilidad no corregida en el servidor Apache.”

Una misma opinión parece tener Red Hat, el mayor proveedor de Linux. “En este momento, no hemos tenido acceso a todos los equipos afectados, y por lo tanto, no podemos dar una orientación sobre las herramientas que puedan detectar al rootkit.”

Los fabricantes de cPanel, una popular herramienta utilizada por las empresas de alojamiento web que permite a sus clientes administrar sus sitios, ha publicado una nota de seguridad describiendo lo que el rootkit hace después de instalado, y sugiere algunos procedimientos para comprobar si un servidor está comprometido.

Según cPanel, si no se puede crear un directorio cuyo nombre comience por un número, es probable que su sitio esté infectado.

Otras técnicas son descriptas en el siguiente enlace:

Random JS Toolkit

http://www.cpanel.net/security/notes/random_js_toolkit.html

Uno de los mayores misterios hasta el momento, es como llegó el rootkit a los servidores infectados. En ausencia de cualquier evidencia forense sobre los allanamientos, lo más lógico sería pensar que los autores del malware consiguieron acceder a los servidores utilizando contraseñas de root robadas.

Las primeras víctimas conocidas, de acuerdo a información publicada anteriormente, fueron los sitios de alojamiento web administrados por grandes empresas, los que dan acceso a miles de sitios Web, los cuáles a su vez, son visitados por cientos de miles de navegantes diariamente.

Los usuarios que mantengan su software actualizado (incluyendo el sistema operativo), tienen menos probabilidades de convertirse en víctimas.

Más información:
Finjan Uncovers Insidious New Variant of Crimeware Toolkit Infecting More Than 10,000 US Websites in December

http://www.finjan.com/Pressrelease.aspx?PressLan=1819&id=1820

Random JS Toolkit

http://www.cpanel.net/security/notes/random_js_toolkit.html

Mystery infestation strikes Linux/Apache Web sites

http://www.linux.com/feature/125548

Relacionados:
El 80% de los sitios maliciosos son legítimos

http://www.vsantivirus.com/24-01-08.htm

Extraña infección masiva causa gran cantidad de tráfico

http://www.vsantivirus.com/15-01-08.htm

ESET informa sobre la aparición de miles de sitios con scripts dañinos para propagar malware

http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1199823658&n=2

¿Actualizar o no actualizar?

http://www.enciclopediavirus.com/noticias/verNoticia.php?id=943

Masivo ataques a sitios web

http://www.enciclopediavirus.com/noticias/verNoticia.php?id=941

Nuwar con amor

http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200583897&n=2

Malware simula ser Flash Player

http://www.eset.com.uy/eset/index.php?subaction=showfull&id=1200095656&n=2

Fuente: http://www.vsantivirus.com/28-01-08.htm

Expertos aconsejan sobre seguridad en Linux

Posted on by
Reply

Muy esclarecedor un artículo publicado en Linux.com, donde varios destacados expertos en software libre comentan cómo aseguran sus propios equipos.

Como siempre, hay de todo en la viña del señor, desde Linus Torvalds y su aproximación “dura” (doble cortafuegos, políticas estrictas…), a Andrew Morton (que se encargue de todo el router y crucemos los dedos), pasando por los que van “sobraos”, como Ted Ts’o, quien afirma saber tanto del tema que dice no necesitar ni cortafuegos (como Rutkowska ;) .

Y muy aprovechables los sabios consejos de Fyodor, el creador de Nmap, dirigidos a evitar el exceso de confianza de los usuarios de Linux: “Los ataques por e-mail y vía Web son con frecuencia multiplataforma. Los usuarios de Linux son tan vulnerables como los de Windows al phishing y otras formas avanzadas de fraude”

A resaltar también otra afirmación de Ted Ts’o: “OpenOffice ha hecho tan buen trabajo replicando las aplicaciones de Microsoft Office que es posible abrir un documento o un fichero y resultar infectado”.

También me parece muy saludable la conclusión del autor del artículo:

Linux no es un sistema a prueba de balas y su equipo no es seguro sólo por ejecutar Linux. Déjese guiar por el buen sentido. Para la mayoría de nosotros, eso significa situar el equipo detrás de un cortafuegos y aplicar regularmente los parches de seguridad. Para otros, habría que adoptar medidas defensivas adicionales.

Fuente:

http://www.kriptopolis.org/expertos-aconsejan-seguridad-linux

http://www.linux.com/feature/124994