Monthly Archives: March 2008

Diversas vulnerabilidades en Microsoft Internet Explorer 7.x

Posted on by
Reply

Se han encontrado múltiples vulnerabilidades en Microsoft Internet Explorer 7 que podrían ser aprovechadas por un atacante remoto para realizar ataques de cross-site scripting o saltarse ciertas restricciones de seguridad por medio de ataques HTTP Request Smuggling.

La técnica del HRS (HTTP Request Smuggling) fue originalmente descubierta y documentada por los analistas de Watchfire, y consiste básicamente en lanzar varias peticiones especialmente preparadas, de modo que dos dispositivos http (clientes, servidores, cachés, etc.) podrían visualizar distintos tipos de peticiones. Esto permitiría que usuarios maliciosos introdujeran peticiones camufladas en un dispositivo, sin que el otro se percatara.

El problema está causado porque es posible modificar ciertas cabeceras por medio de la función “setRequestHeader()”, lo que podría ser aprovechado para inyectar peticiones HTTP arbitrarias configurando la cabecera Transfer-Encoding como “chunked” o para sobrescribir ciertas cabeceras, como “Content-Length”, “Host” y “Referer”.

Las vulnerabilidades están confirmadas para la versión 7.0.5730.11 y otras versiones podrían verse afectadas también. Como siempre y como norma habitual, se recomienda no navegar por sitios web no confiables.

Fuente : http://www.hispasec.com/unaaldia/3444
Más Información:

Microsoft Internet Explorer “Transfer-Encoding: chunked” allows Request Splitting/Smuggling
http://www.mindedsecurity.com/MSA01240108.html

Microsoft Internet Explorer allows overwriting of several headers leading to Http request Splitting and smuggling
http://www.mindedsecurity.com/MSA02240108.html

Múltiples vulnerabilidades en productos Mozilla

Posted on by
Reply

Se han encontrado múltiples vulnerabilidades en Mozilla Firefox, Thunderbird y Seamonkey que podrían ser aprovechadas por un atacante remoto para revelar información sensible, saltarse restricciones de seguridad, realizar ataques de cross-site scripting o incluso ejecutar código arbitrario en un sistema vulnerable.Las vulnerabilidades anunciadas son las siguientes:

* Diversos errores en el manejo de código JavaScript que podrían ser aprovechados para realizar ataques de cross-site scripting o para ejecutar código arbitrario.

* Errores en el motor JavaScript que podrían provocar la corrupción de la memoria y permitir la ejecución de código arbitrario.

* Firefox entrega un certificado SSL privado, configurado previamente, cada vez que un servidor web realiza una petición SSL de autenticación de cliente. Esto podría ser aprovechado para ganar acceso información sensible desde un servidor web malicioso que realice dicha petición.

* Existe un error al mostrar ventanas pop-up XUL que podría ser aprovechado para ocultar los bordes de las ventanas, con lo que se facilitaría la realización de ataques de phishing.

* Se ha encontrado un error no especificado en el manejo de XPCNativeWrappers que podría ser aprovechado para ejecutar código JavaScript arbitrario con los privilegios del usuario, por medio de llamadas a la función setTimeout.

* Existen varios errores en el motor de diseño que podrían ser aprovechados para causar una corrupción de memoria.

* Otro de los problemas reside en un error en el manejo de cabeceras HTTP “Referer:” enviadas con peticiones a URLs que contengan credenciales de “Autenticación Básica” con un nombre de usuario vacío. Esto podría ser aprovechado para saltarse las protecciones contra ataques de cross-site request forgery.

* La última vulnerabilidad está causada por un error en el manejo del protocolo “jar:” que podría ser aprovechado para establecer conexiones a puertos arbitrarios en la máquina local.

Las siguientes versiones y productos se verían afectados por las vulnerabilidades:
- Las versiones de Firefox anteriores a la 2.0.0.13 se ven afectadas por todas las vulnerabilidades.
- Las versiones de Seamonkey anteriores a la 1.1.9 se ven afectadas por todas las vulnerabilidades.
- Las versiones de Thunderbird anteriores a la 2.0.0.13 se ven afectadas sólo por algunas de las vulnerabilidades.

Se recomienda actualizar a las versión 2.0.0.13 de Firefox y Thunderbird y a la 1.1.9 de Seamonkey una vez que estén disponibles, desde:

http://www.mozilla-europe.org/es/products/


Más Información:

Mozilla Thunderbird/Seamonkey/Firefox 2.0.0.12 Multiple Remote Vulnerabilities
http://www.securityfocus.com/bid/28448/discuss

Fuente : http://www.hispasec.com/unaaldia/3442

Para Secunia, los dos fallos de Safari son críticos

Posted on by
Reply

Según publica Secunia, los dos fallos de seguridad encontrados en la versión para Windows del navegador Safari de Apple, son “altamente críticos”.

La versión 3.1 del navegador fue liberada hace poco más de una semana, y además se ofrece su descarga e instalación casi de forma compulsiva, a usuarios de otros productos de Apple, como QuickTime e iTunes. Sobre este tema hicimos un comentario hace unos días (ver “Relacionados”).

Veinticuatro horas después de ese artículo, nos hacíamos eco de un fallo en Safari que podía provocar una denegación de servicio.

Casi al mismo tiempo, se reveló una vulnerabilidad que afecta la barra de direcciones del programa, permitiendo a un delincuente llevar a cabo ataques de spoofing con direcciones falsas. Ambas vulnerabilidades fueron descubiertas por el investigador argentino Juan Pablo Lopez Yacubian.

Como el problema de la denegación de servicio se debe a una corrupción de la memoria utilizada por el programa, existen probabilidades de que la vulnerabilidad sea explotada para la ejecución de código. Sin embargo, Secunia no ha establecido que ello sea posible, ni tampoco lo confirma Yacubian.

De todos modos, para Secunia ambas vulnerabilidades son “muy críticas”, según su aviso de seguridad.

El problema del spoofing, es un fallo ideal para ataques de phishing, ya que se puede suplantar la dirección web de un sitio conocido. El usuario puede creer que está ingresando a su banco, cuando en realidad accede a un sitio malicioso que le robará sus credenciales de acceso y datos de su tarjeta electrónica.

Si explotando la segunda vulnerabilidad se lograra ejecutar código, la simple visita a un sitio web podría instalar en el equipo de la víctima un keylogger o cualquier otro programa malicioso.

Sin embargo, la base de usuarios de Safari en todo el mundo es muy pequeña aún como para que “los malos” se decidan a explotar estos problemas a gran escala. Sin embargo el riesgo existe y es muy real.

Apple no ha comentado nada al respecto, y por lo tanto tampoco existen actualizaciones disponibles que corrijan el problema.

Por fortuna, en este caso al menos, no basta con tener instalado Safari para ser vulnerable. Hay que utilizar el navegador para ser víctima de los ataques mencionados.

Referencias:

Safari Address Bar Spoofing and Memory Corruption Vulnerabilities
http://secunia.com/advisories/29483/

Relacionados:

Denegación de servicio en Apple Safari 3.1
http://www.vsantivirus.com/vul-safari31-240308.htm

Instalación obligatoria de Safari. ¡Mala idea!
http://www.vsantivirus.com/24-03-08.htm

Fuente :  http://vsantivirus.com/28-03-08.htm

Detectan troyano contra usuarios de PGP

Posted on by
Reply

Maarten Van Horenbeeck narra hoy en SANS ISC un interesante hallazgo: un ejemplar de malware que no detectan la mayor parte de los antivirus y que llegó camuflado en un fichero de ayuda de Windows (extensión CHM).

Una vez infectada la máquina, el troyano se conecta a un servidor de Hong Kong, desde donde descarga un ejecutable que se encarga de la segunda fase del ataque. En ésta se realiza la conexión a un segundo servidor, que responde con datos codificados en BASE64. Una vez decodificados, su contenido es el siguiente:

netmgetr usb:\*.doc
netmgetr usb:\*.pkr
netmgetr usb:\*.skr
netlsr usb:\*.*

La función de netmgetr es revisar el sistema en busca de los ficheros cuyas extensiones se explicitan (entre ellos los anillos de claves públicas y secretas de cifrado PGP).

Pero, ¿de qué sirve una clave secreta sin su frase-contraseña? No hay problema..

Para resolver la cuestión se acompaña de un keylogger, que se encarga de registrar las pulsaciones del teclado, obteniendo posiblemente la contraseña que desbloquea la clave secreta.

Van Horenbeeck reconoce no haber comprobado este último extremo, aunque afirma que la meta del atacante parece ser realizar un análisis del tráfico cifrado del usuario, es decir, averiguar con quién intercambia éste mensajes cifrados.

¿Quién puede poner en circulación un troyano semejante? Teorías conspirativas al margen, el incidente demuestra que nadie se molesta en romper el cifrado de PGP atacando sus algoritmos, sino obteniendo las claves “in the wild”, algo que por otra parte es absolutamente lógico. Se conoce como “ley del mínimo esfuerzo” y resulta muy atractiva (y muy peligrosa) en todos los órdenes de la vida.

Fuente: http://www.kriptopolis.org/detectan-troyano-contra-pgp

El 90% de las webs son vulnerables a ataques

Posted on by
Reply

Según un estudio de WhiteHat Security, 9 de cada 10 sitios webs en todo el mundo están expuestos a al menos una vulnerabilidad de la que un atacante podría aprovecharse para introducirse y controlarla a su antojo. Y de hecho, la media es de al menos 7 vulnerabilidades por sitio web.

Los desarrolladores del estudio demuestran que a pesar de los esfuerzos para proteger la web, la enorme cantidad de estándares y tecnologías manejadas hace complicado cubrir todos los frentes con efectividad: “Aunque las posturas sobre seguridad de algunas empresas son mejores que las de otras, la diferencia es realmente insignificante cuando la idea es prevenir que un sitio web sea atacado – los atacantes sólo necesitan explotar una vulnerabilidad”, afirman en el estudio.

Los agujeros más comunes son los denominados Cross-Site Scripting (CSS), que aparecen en el 70% de los sitios, mientras que cada vez están más de moda los llamados Cross-Site Request Forgery (CSRF), cuyo uso está creciendo como la espuma entre la comunidad hacker y cracker. Estos mecanismos son complejos de detectar y erradicar, y suponen una amenaza real para muchos sitios web.

El informe también habla de sitios webs por sector y su tendencia a contener vulnerabilidades: las compañías de seguros son las menos seguras en este apartado – un 84% de estas empresas disponen de sitios web con vulnerabilidades críticas o de muy alta prioridad. Los sitios web de empresas TIC no se libran (72% vulnerables), y por detrás están las de Salud (64%) y Financieras (60%).

Fuente: http://www.theinquirer.es/2008/03/27/el_90_de_las_webs_son_vulnerables_a_ataques.html