Actualización del kernel para Ubuntu

Ubuntu ha publicado una serie de parches para el kernel que corrige un total de 57 vulnerabilidades conocidas en su mayoría en 2010.

A continuación se detallan las de mayor gravedad.

CVE-2010-2954
Existe una falla en la función irda_bind del archivo net/irda/af_irda.c a la hora de liberar ciertos objetos que podría llegar a causar una referencia a puntero nulo.

CVE-2010-2960
Hay una falla en la función keyctl_session_to_parent del archivo security/keys/keyctl.c que puede llegar a causar una referencia a puntero nulo.

CVE-2010-2962
Existe un error en las funciones 'i915_gem_pread_ioctl' y 'i915_gem_pwrite_ioct' de '/drivers/gpu/drm/i915/i915_gem.c' al no comprobar las direcciones de destino durante copiados de memoria.

CVE-2010-2963
Hay un error en la llamada a 'copy_from_user' localizada en 'drivers/media/video/v4l2-compat-ioctl32.c' que no comprueba la memoria de destino.

CVE-2010-3080
Existen varios errores de referencia a memoria liberada y doble liberación de memoria en la función 'snd_seq_oss_open' en 'sound/core/seq/oss/seq_oss_init.c'.

CVE-2010-3084
Existe un error en la función 'niu_get_ethtool_tcam_all' que provoca un desbordamiento de memoria intermedia basado en pila.

CVE-2010-3442
Error de desbordamiento de entero en la función 'snd_ctl_new' de 'sound/core/control.c'. Un atacante local puede causar una denegación de servicio y potencialmente elevar privilegios a través de vectores no especificados.

CVE-2010-3848
Existe un desbordamiento de memoria intermedia basado en pila en el protocolo Econet.

CVE-2010-3865
Existe un error de desbordamiento de entero en la función 'rds_rdma_pages' de 'net/rds/rdma.c'. esto puede ser aprovechado por un atacante local para elevar privilegios a través de una llamada especialmente manipulada a esta función.

CVE-2010-3904
Un error al copiar memoria en el protocolo RDS.

CVE-2010-4527
Error de comprobación de límites en la función 'load_mixer_volumes' localizada en 'sound/oss/soundcard.c' que provocaría un desbordamiento de memoria intermedia.

Se recomienda actualizar mediante la herramienta apt-get.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4540

Spotify intenta infectarte

Las infecciones a través de anuncios en páginas legítimas no son ninguna novedad. Desde hace años estas técnicas se han venido usando con más o menos regularidad. La última víctima ha sido una aplicación, Spotify, que durante un tiempo, ha mostrado a sus usuarios anuncios que intentaban infectar al usuario. Desde el punto de vista del atacante, esto cambia el modelo de infección y lo hace mucho más efectivo.

El programa Spotify ha sido la última "víctima". Los usuarios que utilizan el servicio gratuito reciben publicidad incrustada en el programa. Por lo que parece, alguno de estos servidores ha sido comprometido y los atacantes han modificado el anuncio para que intente explotar una vulnerabilidad en Java o en PDF. Si el usuario era vulnerable, se descargaba un ejecutable en el sistema y quedaba infectado.

Según la noticia original, AVG denomina al malware "Trojan horse Generic_r.FZ". Esto en realidad no aporta demasiada información. Realizando una consulta a la base de datos de VirusTotal, se encontró que el nombre en sí es utilizado para una amplia gama de malware. A esas muestras otros la llaman Zbot, o FakeAV, o Papras... como es habitual, no existe ningún tipo de consenso ni patrón en la nomenclatura de las firmas. Además, no sabemos si se detecta de esta forma el exploit o el binario descargado una vez que tiene éxito el exploit. Incluso en este segundo caso, el binario descargado podría ser modificado en cualquier momento.

Por lo que se deduce de la captura de pantalla que muestra NetCraft en la noticia original, podemos observar que el binario se descarga en la carpeta C:\users\... Esto significa que se almacena en el "home" del usuario Windows. Si suponemos que hablamos del binario descargado y no del exploit en sí hoy en día es una práctica habitual de los troyanos más "modernos". Si bien antes no les importaba dónde descargarse, puesto que daban por hecho que tendrían permisos de escritura en cualquier punto del sistema de archivos, últimamente los más avanzados buscan descargarse en la carpeta "Users". Esto es así porque que Windows Vista y 7 impiden por defecto escribir en otras zonas. Este es un comportamiento típico de las últimas versiones de Zbot. Las primeras se alojaban en c:\windows\system32, punto del sistema donde los usuarios por defecto de Vista y 7 deben ya dar permiso explícito para escribir.

Spotify optó por deshabilitar estos anuncios para iniciar una investigación y encontrar qué anuncio exactamente fue el que intentaba aprovechar la falla.

El hecho de que la amenaza venga en un formato u otro es irrelevante en este caso, la única forma de protegerse es la de siempre: mantener el sistema actualizado y no usar cuentas con privilegios. Al haber utilizado una vulnerabilidad conocida en Java, el mantenerse actualizado protege al usuario. Si el atacante hubiese usado una falla desconocida o no parcheada hasta el momento, estar actualizado no impediría la infección, por tanto es necesario al menos proteger al sistema no dando demasiados permisos a este tipo de programas.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4539

Rata Blanca con Doogie White - Guardian of Light [HQ]

Atacan el sitio web de MySQL

MySQL ha sido objeto de un ataque a través de una vulnerabilidad de inyección ciega de código SQL. Se trata de una falla en el código de la aplicación web y no de la base de datos.

El ataque se atribuye a TinKode y Ne0h del grupo Rumano Slacker.Ro. Los datos extraídos fueron publicados en el sitio pastebin.com; algo que viene siendo habitual en este tipo de "hazañas".

Además del sitio principal los atacantes replicaron el ataque en las versiones localizadas de MySQL.com. En concreto las versiones francesa, alemana, italiana y japonesa.

Los datos expuestos se corresponden con las credenciales de los usuarios del servidor MySQL y el volcado de la base de datos principal del sitio. Entre las credenciales pueden observarse nombres de usuario, contraseñas, correos y direcciones.

Algunos de los hashes han sido además publicados en texto claro ya que eran tan sencillos que posiblemente a los atacantes les llevo poco tiempo encontrar su correspondencia utilizando fuerza bruta con tablas rainbow.

Se da la circunstancia que el sitio de MySQL contenía ya una vulnerabilidad de cross-site scripting activa. Estaa vulnerabilidad se hizo pública a través de twitter el pasado mes de enero y aún sigue sin ser solucionada.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4538

Vulnerabilidades en IGSS de 7-system

Luigi Auriemma descubrió un total de 13 vulnerabilidades en este software de diverso impacto, desde revelación de información y denegación de servicio a ejecución de código arbitrario.

Los sistemas SCADA son sistemas de "adquisición de datos y control de supervisión", muy usados en infraestructuras críticas.

1. Un error de comprobación de restricciones en IGSSdataServer.exe al procesar ciertos comandos puede ser aprovechado para leer y escribir ciertos archivos, enviado al puerto TCP/12401

2. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "ListAll" que puede ser aprovechado para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

3. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "Write file".

4. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "ReadFile".

5. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "Delete" que podría ser aprovechado por un atacante para ejecutar código arbitrario a través de un paquete especialmente diseñado enviado al puerto TCP/12401

6. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "RenameFile".

7. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "FileInfo".

8. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "Add" de RMS Reports.

9. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "ReadFile" de RMS Reports.

10. Existe un desbordamiento de memoria intermedia basado en pila en IGSSdataServer.exe al procesar el comando "Rename" de RMS Reports.

11. Existe un error de formato, al crear mensajes de log en la función 'LogText' en 'shmemmgr9.dll'. Esto puede ser aprovechado para causar una denegación de servicio a través del envío de un comando RMS Report "Delete" al puerto TCP/12401

12. Existe un desbordamiento de memoria intermedia basado en pila al crear una consulta SQL para ejecutar la petición STDREP.

13. Un error de comprobación de restricciones en dc.exe al procesar ciertos comandos puede ser usado para ejecutar cualquier aplicación del sistema a través de un paquete especialmente diseñado enviado al puerto TCP/12397

No existe parche disponible.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4537

Ejecución de código en VLC Player

La empresa Core Security Technologies ha hecho públicas dos vulnerabilidades en el extendido software VLC que permiten la ejecución de código arbitrario al reproducir cierto tipo de archivos con VLC.

La primer falla se le ha asignado el CVE-2010-3275 y consiste en un desbordamiento de memoria intermedia basada en heap al procesar archivos AMV con un valor en su offset 0x41 mayor que 90.

El segundo error se le ha asignado el CVE-2010-3276 y consiste en un desbordamiento de memoria intermedia basado en heap al procesar archivos NSV en los que se ha modificado el valor comprendido entre los offsets 0x0b y 0x0e.

Ambas vulnerabilidades han sido descubiertas mediante 'fuzzing'. El fuzzing es una técnica de búsqueda de vulnerabilidades que consiste en enviar una serie de entradas a una aplicación para tratar de encontrar un comportamiento anómalo.

Las vulnerabilidades han sido descubiertas por Ricardo Narvaja, conocido en el mundo de la ingeniería inversa por su guía "Introducción al Cracking con OllyDbg desde cero" considerada como el primer paso para adentrarse en el mundo de la ingeniería inversa.

La versión 1.1.8 soluciona estos problemas.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4536

Sobre los certificados fraudulentos

Comodo reconoció que un atacante con IP de Irán obtuvo usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para simular que era esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org...

Lo primero que hizo Comodo fue incluirlos en una lista de revocación, disponible desde http://crl.comodo.net/UTN-USERFirst-Hardware.crl. Esta lista puede descargarse e importarse manualmente en el sistema. Esto incluiría los certificados comprometidos en la lista de inválidos. Si fueran empleados contra una víctima, a ésta le aparecería a la hora de navegar por la página en cuestión, que el certificado no es válido.

La lista de revocación CRL comprueba la validez de un certificado. Es un método "offline" de comprobación manual. Existe para remediarlo un protocolo que, basado en HTTP, comprueba la validez de los certificados y se llama Online Certificate Status Protocol (OCSP). OCSP sirve para comunicarse con los servidores de revocación y comprobar el estado de los certificados. No todas las autoridades lo utilizan. También se da la condición de que el navegador debe estar configurado para usar OCSP y aprovechar esa característica.

El modelo de confianza de las autoridades certificadoras funciona, aunque como se ha comprobado, mantiene el punto débil en las autoridades. Estas pueden ser objetivo de atacantes, pueden cometer errores o sacrificar calidad por cantidad. Una alternativa a este modelo de confianza es GPG, por ejemplo, en el que no existe una autoridad que emita confianza sino que son los propios usuarios entre sí los que "firman" certificados para darles "validez". Es la propia comunidad la que actúa firmando otras claves GPG de usuarios. Tiempo atrás se realizaban "quedadas" en los que los usuarios de GPG se encontraban físicamente para firmarse mutuamente las claves GPG que llevaban en disquetes.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4535

Dio - King of Rock n' Roll

black sabbath - neon knights

Black Sabbath Die Young

Rainbow - Long Live Rock And Roll (From "Live In Munich 1977")

Heaven and hell - Falling off the Edge of the World live

Publican vulnerabilidad en IBM Lotus Domino Server Controller

Existe un error al autenticar un usuario en Lotus Domino Server Controller que permite a un atacante ejecutar código arbitrario. La vulnerabilidad se ha hecho pública sin que exista parche disponible.

El servidor Lotus Domino Server Controller escucha en el puerto 2050 y utiliza un COOKIEFILE (archivo que guarda la información de autenticación) para comparar los datos usuario y sesión enviados por el cliente. La falla radica en que el servidor se encuentran en una ruta UNC que puede ser accesible para el atacante, por lo que éste podría tener el control sobre los datos que se envían y los datos que se comparan.

Una vez que el atacante logra acceso al sistema, puede ejecutar código bajo el contexto del usuario 'SYSTEM' en Windows, esto es, con todos los privilegios.

Esta falla ha sido revelada por ZDI (Zero Day Initiative) acogiéndose a su reciente política de divulgación pública de fallas sin parche tras no recibir respuesta después de 180 días por parte del fabricante. En agosto de 2010 Zero Day Initiative de TippingPoint impuso una nueva regla destinada a presionar a los fabricantes de software para que solucionen lo antes posible sus errores: si pasados seis meses desde que se les avise de una falla de seguridad de forma privada no la han corregido, la harían pública.

Las contramedidas son: Establecer una contraseña para la consola del sistema y limitar el acceso a hosts confiables.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4533

Frank Zappa - Son Of Orange County & Camarillo Brillo, Live 1974

Actualización de seguridad para Mac OS X

Apple publicó una nueva actualización de seguridad para su sistema operativo Mac OS X 10.6 que solventa múltiples vulnerabilidades.

Esta actualización, publicada como 2011-001, corrige 53 fallas en los siguientes componentes y servicios: AirPort, Apache, AppleScript, ATS, bzip2, CarbonCore, ClamAV, CoreText, File Quarantine, HFS, ImageIO, Image RAW, Installer, Kerberos, Kernel, Libinfo, libxml, Mailman, PHP, QuickLook, QuickTime, Ruby, Samba, Subversion, Terminal y X11.

Los problemas permiten a un atacante local o remoto acceder a información sensible, evitar restricciones de seguridad, provocar condiciones de denegación de servicio e incluso llegar a comprometer los sistemas afectados.

Las actualizaciones pueden ser instaladas a través de Software Update de Mac OS X o, según versión y plataforma, descargándolas directamente desde: http://support.apple.com/downloads/

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4532

Revelación de información en el Kernel Linux

Han publicado tres vulnerabilidades en el kernel de Linux que pueden ser aprovechadas para revelar información sensible a un atacante.

* CVE-2011-1170
Un error al no terminar determinadas estructuras en las funciones 'compat_do_replace', 'do_replace' y 'do_arpt_get_ctl', localizadas en el archivo 'net/ipv4/netfilter/arp_tables.c', permite a un atacante local acceder a información del sistema.

* CVE-2011-1171
Un error al no terminar determinadas estructuras en las funciones 'compat_do_replace', 'do_replace' y 'do_arpt_get_ctl', localizadas en el archivo 'net/ipv4/netfilter/ip_tables.c', permitiría a un atacante local acceder a información del sistema.

* CVE-2011-1172
Un error al no terminar determinadas estructuras en las funciones 'compat_do_replace', 'do_replace' y 'do_arpt_get_ctl', localizadas en el archivo 'net/ipv4/netfilter/arp_tables.c', podría permitir acceder a información del sistema.

Es obvio que se trata del mismo error en a lo largo del código fuente. El problema radica en que no se comprueba la terminación "\x00" de las cadenas de las estructuras de datos, por lo que la solución propuesta consiste en el forzado de dicha terminación en las cadenas de texto de las estructuras.

Se observa en las lineas introducidas del parche:

tmp.name[sizeof(tmp.name)-1] = 0;
rev.name[sizeof(rev.name)-1] = 0;

Cabe destacar que para poder explotar esta vulnerabilidad, es necesario que la funcionalidad CAP_NET_ADMIN se encuentre habilitada.

Sirve para administrar interfaces de red, modificar las tablas de ruta, establecer el modo promiscuo, etc.

netfilter: ip_tables: fix infoleak to userspace http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=78b79876761b86653df89c48a7010b5cbd41a84a

ipv6: netfilter: ip6_tables: fix infoleak to userspace http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=6a8ab060779779de8aea92ce3337ca348f973f54

netfilter: arp_tables: fix infoleak to userspace http://git.kernel.org/?p=linux/kernel/git/torvalds/linux-2.6.git;a=commitdiff;h=42eab94fff18cb1091d3501cd284d6bd6cc9c143

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4531

Denegación de servicio en CGIT

Han reportado una vulnerabilidad en CGIT que permite a un atacante remoto provocar una denegación de servicio.

CGIT es una interfaz web que permite visualizar y gestionar un repositorio git. CGIT es un programa de código abierto escrito en C.

Esta vulnerabilidad se debe a un error en la función "convert_query_hexchar", localizada en 'html.c'. En esta función se decrementa de forma indebida el valor de una variable, provocando un bucle infinito.

A esta vulnerabilidad se le ha asignado el código CVE-2011-1027.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4530

Denegación de servicio en Asterisk

Nuevas versiones de Asterisk fueron publicadas para solucionar dos fallas de denegación de servicio.

Asterisk es una implementación de una central telefónica (PBX). Como cualquier PBX, permite interconectar teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP o a la línea telefónica tradicional. Asterisk incluye buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Funciona en plataformas Linux, BSD, MacOSX, Solaris y Windows.

La primer falla se produce cuando la interfaz de administración está activa. Un error en la función 'send_string' de 'manager.c' permite a un atacante remoto causar una denegación de servicio abriendo conexiones, por un consumo excesivo de CPU.

El segundo error solucionado se produce al abrir y cerrar conexiones TCP con ciertas API. No se valida de manera correcta el valor de un puntero, pudiendo causar una referencia a NULL y por tanto, una denegación de servicio.

Recomendamos que deben actualizar desde http://www.asterisk.org/downloads a las versiones 1.6.1.23, 1.6.2.17.1 o 1.8.3.1 que solucionan estos problemas.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4529

Comprometen la seguridad de RSA y roban información sobre SecurID

RSA es una de las compañías de seguridad más importantes a nivel mundial. Emitieron un comunicado oficial en el que admiten que su seguridad interna se ha visto comprometida por atacantes y que han robado información relativa a su famoso producto SecurID. El problema es tan grave que involucra al gobierno de los Estados Unidos.

Arthur W. Coviello, Jr., director ejecutivo de RSA confiesa que RSA ha sido víctima de un "ataque cibernético extremadamente sofisticado" que, por lo que se deduce, viene de tiempo atrás y ahora ha sido detectado. Esto es lo que se llama un ATP (Advanced Persistent Threat), en resumen se refiere a un ataque específicamente diseñado contra la compañía, por el que los atacantes obtienen acceso a información interna confidencial. Normalmente estos ataques llevan meses de preparación y es necesaria una importante investigación posterior para ver cómo y cuándo comenzó. Sobre todo, hasta dónde han llegado.

Al parecer lo que se sabe es que han tenido acceso a "cierta" información relacionada con uno de sus productos estrella: SecurID. Se trata de un token físico que proporciona autenticación segura de dos factores. En vez de necesitar una sola contraseña con el token es necesario un PIN y un número de seis cifras que genera el propio dispositivo. Ese código sólo es válido durante un tiempo limitado. Es utilizado por grandes compañías concienciadas con la seguridad para, habitualmente, acceso externo a las redes.

Ante la gravedad del asunto, EMC ha llenado un formulario llamado 8-K. Se trata de un documento gubernamental que se utiliza para informar de un evento importante e inesperado a la "U.S. Securities and Exchange Commission"

Hay que tener en cuenta que, como ha ocurrido en otras ocasiones con el robo de material secreto en empresas, a la larga puede hacerse público. Hoy podemos encontrar en redes P2P y puntos de descarga directa, desde partes del código fuente de Windows y del antivirus de Kaspersky, hasta todos los correos privados del último año del dueño la compañía de seguridad HBGary.

Resulta extraño que una empresa dedicada por entero a la seguridad, y que lleva el nombre de los inventores de la criptografía moderna, haya sido comprometida. Pero hay que recordar que esto ha pasado en los últimos años con muchas empresas importantes, desde Google a la propia HBGary, y que nadie está a salvo de ataques si son lo suficientemente sofisticados.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4528

Inyección SQL en Joomla

Han publicado una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del gestor de contenidos Joomla. La falla ha sido descubierta por Aung Khant que forma parte de 'YGN Ethical Hacker Group'.

Joomla es un gestor de contenidos en código abierto que cuenta con una gran cantidad de plantillas y componentes que un usuario puede utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores.

La falla fue puesta en conocimiento de Joomla el pasado 24 de enero y tuvo que esperar hasta principios de marzo para que fuera publicada la actualización que soluciona este error de seguridad, concretamente la versión 1.6.1.

Desde Hispasec recomiendan la actualización del gestor.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4527

Twitter añade cifrado SSL

Twitter se suma para proteger el contenido del tráfico web. Como ya hiciera hace tiempo Google, o Facebook, entre otros, Twitter añade soporte para conexiones seguras a través de SSL.

SSL (Secure Sockets Layer, capa de conexión segura) y TLS (Transport Layer Security, capa de seguridad del transporte) son dos métodos usados para ofrecer cifrado e integridad de datos en las comunicaciones entre dos entes a través de una red informática.

Desde ahora, un usuario de Twitter puede configurar su cuenta para que utilice este cifrado por defecto. Simplemente debe acceder a la configuración de la cuenta y marcar "Usar siempre HTTPS". Esto lo protegerá de robo de tráfico en redes internas, por ejemplo. Además de que permite garantizar en todo momento que el usuario se comunica con el servidor legítimo.

Las aplicaciones de terceros basadas en Twitter pueden implementar esta nueva medida de seguridad para sus clientes.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4526

Actualización de seguridad para Flash

Adobe publicó una actualización de seguridad destinada a corregir trece vulnerabilidad críticas en Flash Player versión 10.1.102.64 para Windows, Macintosh, Linux y Solaris.

En total son trece vulnerabilidades corregidas, doce de las cuales han sido puntuadas con un 9.3 como puntuación CVSS, debido a que permiten la ejecución de código arbitrario por un atacante remoto, la vulnerabilidad restante se trata de una elevación de privilegios.

Adobe recomienda a los usuarios de todas las plataformas afectadas la actualización a la versión 10.2.152.26, disponible desde: http://www.adobe.com/go/getflash

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4525

0 day en Adobe Flash, Reader y Acrobat

Adobe informa de que encontró una vulnerabilidad que permite la ejecución de código en sus productos Flash, Reader y Acrobat que está siendo aprovechado por atacantes.

La falla en Flash está siendo explotada activamente a través de la difusión por correo de archivos Excel que contienen un .swf en su interior. Afecta a los sistemas Windows, Macintosh, Linux, Solaris y Android.

En Reader y Acrobat X encuentra en el componente authplay.dll y solo afecta a las versiones para Windows y Macintosh. Por el momento no se han detectado archivos PDF que exploten esta vulnerabilidad. Esta librería es una "vieja conocida". Sufrió problemas de seguridad graves a finales de octubre de 2010, otro en junio de ese mismo año y otro más en julio de 2009.

Puesto que para Reader X se puede prevenir la explotación de este falla activando "Protected Mode", en esta versión Adobe solucionará el problema el 14 de junio durante el ciclo de actualizaciones. Para el resto de versiones afectadas Adobe está trabajando en una solución que tiene previsto hacer pública en la semana del 21 de marzo.

El CVE asignado a esta vulnerabilidad es el CVE-2011-0609.

Para mitigar el problema en Reader mientras se publica la solución, se recomienda renombrar temporalmente el archivo authplay.dll o impedir el acceso a través de permisos.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4524

Cae un nuevo router de MoviStar y publican cómo descubrieron las claves WPA

Seguridadwireless.net hizo público todos los detalles sobre cómo se generan las claves WPA por defecto para los routers Zyxel distribuidos por MoviStar. Este descubrimiento llega tras la publicación de los detalles de generación de claves de los routers Comtrend, también de MoviStar y Jazztel a principios de febrero.

Antecedentes

Seguridadwireless.net descubrió el algoritmo de generación de claves WPA por defecto de los routers Comtrend el 24 de noviembre de 2010. Al no recibir respuesta del fabricante, el 15 de diciembre se publica la falla sin desvelar el algoritmo, facilitando sólo una interfaz web para generar la contraseña. Ese mismo día retiran todo lo publicado tras recibir una llamada de un responsable de la compañía Comtrend. Desde la comunidad, son muy criticados por ello. De forma independiente una fuente anónima publica el viernes 4 de febrero todos los detalles del algoritmo.

Hasta entonces no se sabía cómo lo habían conseguido puesto que no podían realizar ningún comunicado oficial hasta que no caducase el acuerdo de confidencialidad que firmaron con Comtrend. El 8 de marzo, una vez expirado, han revelado los detalles técnicos del descubrimiento.

Básicamente, se conectaron por Telnet y observaron unos archivos temporales que dejaba en el directorio var/ una vez calculada la clave y que debía haber borrado. Con esta información el algoritmo podía deducirse. Además, los métodos básicos empleados para evitar que se recorriera el sistema de archivos del router, eran fácilmente eludibles. Por ejemplo impedía el uso del comando "ls" para listar archivos, pero se podía conseguir el mismo efecto con la combinación de otros comandos.

Previamente ya se había filtrado otro método para conseguir también las claves por defecto de Comtrend. En este caso ni siquiera era necesario conectarse al router. Descargando el firmware y montándolo, era posible hurgar en su interior y deducir las pistas necesarias para encontrar el algoritmo de generación. En resumen, existían dos formas diferentes y relativamente simples de dar con el algoritmo.

Además, el sábado 5 de marzo seguridadwireless.net publica también cómo calcular la clave WPA por defecto de los routers Zyxel, el otro modelo que distribuye MoviStar. Esta vez, se hacen públicos todos los detalles de cómo calcularlo, aunque no el método empleado para conseguirlo.

MoviStar, Jazztel, Comtrend ni Zyxel se han pronunciado oficialmente sobre estos descubrimientos. Como se mencionaba en una entrega anterior, deben pensar bien cuál es el siguiente paso para actuar responsablemente. En concreto MoviStar, puesto que distribuye los dos routers comprometidos y a cuyos clientes finales afecta más este hallazgo.

Se recomienda modificar la clave por defecto del cifrado WPA, bien a través del panel de configuración del router o bien del CD que lo suele acompañar.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4522

Actualización de Apple iOS

Apple publicó actualizaciones para iOS, AppleTV y Safari que solucionan numerosos problemas de seguridad. En concreto, para el sistema operativo iOS usado por iPod touch, iPhone e iPad ha actualizado a la versión 4.3 que soluciona 59 vulnerabilidades.

Las fallas permiten la revelación de información sensible, ejecución de código Javascript e inyección de código HTML, denegaciones de servicio y ejecuciones de código arbitrario por un atacante remoto.

En esta ocasión se corrigió principalmente el componente WebKit, sobre el que se han solucionado 52 fallas de seguridad. WebKit es el motor de renderizado HTML de código abierto utilizado por Safari.

Cabe mencionar que esta no es la actualización que corrige el mayor número de problemas en iOS. La versión 4.2 corregía un total de 85 y la versión 4.0 solucionaba 70 sobre su predecesora.

Se recomienda actualizar a las versiones iOS 4.3, Safari 5.04 y Apple TV 4.2.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4521

A la chingada la dieta y el ejercicio

El conejo corre y salta todo el día, come frutas y verduras, coge diez veces diarias y solo vive quince años.

La ballena nada el día entero, solo come plancton, solo bebe agua, respira calmada y profundamente todo el día, y es gorda la pobre desgraciada.

La tortuga no corre, traga de todo, se hace pendeja la mayor parte del día, y vive 450 años…


Conclusión a la chingada la dieta y el ejercicio.

Elevación de privilegios en Windows

De manera casi simultanea a los boletines de Microsoft del mes de marzo, se hizo público un exploit capaz de aprovechar un error en los permisos de .NET Runtime Optimization Service y que permite a un atacante elevar privilegios.

.NET Runtime Optimization es un servicio de precompilador que trabaja una vez se ha instalado y cuando el equipo se encuentre inactivo asigna tareas de baja prioridad. Se instala con .NET Framework.

La falla y los detalles para explotarlo han sido publicados directamente sin previo aviso a Microsoft. El problema se ha confirmado para XP SP3, Windows Server 2003 R2 y Windows 7, pero no se descarta que afecte a todas las versiones de Windows.

El error reside en los permisos de escritura de .NET Runtime Optimization Service y puede ser aprovechado por un atacante local (usuario de dominio o usuario avanzado) para elevar privilegios sustituyendo el archivo mscorsvw.exe por otro que se ejecutaría con privilegios de SYSTEM al iniciarse el servicio.

Se recomienda desactivar el servicio o modificar los permisos del archivo c:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4520

Actualización para Red Hat Enterprise Linux 6

Red Hat publicó una actualización del paquete libcgroup para la versión 6 de su producto Enterprise Linux.

La actualización soluciona dos vulnerabilidades que permiten a un atacante local escalar privilegios y causar una denegación de servicio.

"libcgroup es un paquete que provee herramientas y librerías para el control y monitorización de grupos de control".

CVE-2011-1022: Existe un error al no comprobar el origen de los mensajes Netlink.

CVE-2011-1006: Hay un error de desbordamiento de memoria intermedia basada en heap al convertir una lista de controladores de una tarea en un array de cadenas.

Falla reportada por Nelson Elhage. Esta actualización está disponible a través de Red Hat Network.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4519

Boletines de seguridad de Microsoft en marzo

Este martes Microsoft publicó tres boletines de seguridad correspondientes a su ciclo habitual de actualizaciones. Según Microsoft un boletín presenta un nivel de gravedad "crítico", mientras que los dos restantes se clasifican como "importantes". En total se han resuelto cuatro vulnerabilidades.

Los boletines publicados son:

* MS11-015: Actualización "crítica" destinada a resolver una vulnerabilidad en DirectShow y otra en el Reproductor de Windows Media y Windows Media Center. La más grave de ellas permite la ejecución remota de código si un usuario abre un archivo de grabación de video digital de Microsoft (.dvr-ms) especialmente diseñado. Afecta a Windows XP, Vista, Windows 7 y Windows Server 2008.

* MS11-016: Se trata de una actualización "importante" que soluciona una vulnerabilidad en Microsoft Groove 2007. El problema permitiría la ejecución remota de código si un usuario abre un archivo legítimo relacionado con Groove, que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado.

* MS11-017: Boletín "importante" que corrige una vulnerabilidad en el cliente de Escritorio remoto de Windows. Este problema podría permitir la ejecución remota de código si un usuario abre un archivo legítimo de configuración de Escritorio remoto (.rdp), que se encuentre en la misma carpeta de red que un archivo de biblioteca especialmente diseñado. Afecta a los Clientes de Conexión a Escritorio remoto 5.2, 6.0, 6.1 y 7.0.

Las actualizaciones pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4518

Actualización para Debian Linux

Debian publicó una actualización del paquete subversion que soluciona una vulnerabilidad que permite a un atacante remoto causar denegación de servicio haciendo que la aplicación deje de responder.

Subversion es un sistema de control de versiones con licencia Apache.

El error existe en la función 'svn_fs_get_access' al devolver un puntero nulo cuando procesa un comando 'lock' si éste es enviado por un usuario no autenticado.

Un atacante remoto no autenticado puede causar una denegación de servicio a través del envío de comandos especialmente manipulados.

La vulnerabilidad solo se puede explotar cuando subversion funciona a través del servidor Apache HTTPD cuando los usuarios no autenticados tienen acceso de lectura.

La falla fue notificado por Philip Martin de la empresa WANdisco y tiene asignado el CVE-2011-0715.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4517

RAMSES - TRISTE -- Super Rock En Concierto

Microsoft publicará tres boletines de seguridad

Siguiendo con su ciclo de publicación de parches de seguridad, Microsoft publicará el próximo día 8 de marzo tres boletines de seguridad.

Los dos primeros afectan a los sistemas operativos de la familia Windows. El primero está calificado de "Crítico" y afecta a XP, Vista y Windows 7. El segundo se califica de "Importante" y afecta a todas las versiones soportadas de Windows.

El tercer boletín está calificado de "Importante" y afecta a Groove 2007. Groove es una aplicación para compartir archivos orientada a equipos de trabajo. Groove se renombró a SharePoint WorkSpaces en la versión 2010 de Office.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4516

AutoRun en Windows: Se acerca el fin de esta funcionalidad II

En un boletín de una-al-día llamado "Virus y promiscuidad. Del disquete al USB", ya se recomendaba configurar específicamente Windows para ignorar los archivos autorun.inf y atajar el problema de raíz, puesto que ya se conocían formas de eludir la protección "oficial" que consistía en la modificación de la directiva de registro NoDriveTypeAutorun.

Dos vulnerabilidades, un mismo problema

En julio de 2008, Microsoft publicó el boletín MS08-038 que corregía este comportamiento fallido de Autorun (CVE-2008-0951). Solo se ofrecía a través de Windows Update para Windows Vista y 2008. Los usuarios de XP disponían del parche para solucionar la falla (KB953252), pero había que ir a descargarlo e instalarlo. No se instalaba automáticamente como el resto de parches de seguridad porque Microsoft tenía miedo de "romper" demasiadas funcionalidades para su amplio parque de usuarios de Windows XP. Además daba un empujoncito para incentivar la actualización a su sistema operativo más moderno hasta la fecha.

Pero a finales de 2008 apareció Conficker, un malware bastante sofisticado que aprovechaba de manera inédita hasta la fecha la funcionalidad Autorun. Creaba un archivo autorun.ini funcional pero disimulado con basura, que conseguía pasar desapercibido para los antivirus. Es decir: los métodos oficiales recomendados hasta la fecha para evitar la ejecución, seguían sin funcionar realmente. Debido al éxito de Conficker en XP, en febrero de 2009 tuvieron que corregir una nueva falla (CVE-2009-0243) a través de una actualización que cubría en parte la anterior vulnerabilidad y que esta vez, era obligatoria para todos. Aunque el parche KB967715 para XP se distribuyó automáticamente a través de Windows Update en esa fecha, sorprendentemente no fue considerado como "parche de seguridad".

Además, el parche modificaba el comportamiento de Autorun: Después de aplicarlo, se añadía una nueva etiqueta en el registro que debía ser correctamente configurada. En la práctica, para usuarios poco avanzados, Autorun seguía siendo un problema.

Mejoras, pero solo para Windows 7

En mayo de 2009 Microsoft decide mejorar la seguridad de la funcionalidad de "autoejecución" de los medios extraíbles en los que se pueda escribir, evitando el diálogo de ejecución automática (Autoplay) en memorias USB. Lo hacía por defecto en Windows 7 y para las versiones anteriores de Windows publica en agosto de 2009 el parche KB971029. Una vez más no era obligatorio, había que descargarlo manualmente. Otro supuesto empujón para motivar el cambio de sistema operativo. Ha sido necesario esperar año y medio para que ahora, a finales de febrero de 2011, se instale de forma obligatoria para todos los sistemas operativos anteriores a Windows 7 desde Windows Update.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4515

AutoRun en Windows: Se acerca el fin de esta funcionalidad

Microsoft acaba de publicar como actualización automática el parche que deshabilita el Autoplay en dispositivos USB en todas sus versiones de Windows. Con este movimiento, da el paso final para aniquilar una funcionalidad que ha traído muchos problemas.

Aunque Windows 9x disponía de AutoRun, era un sistema algo primitivo que no podía ser comparado con el de XP. Además, por aquel entonces los dispositivos de almacenamiento USB no eran demasiado populares, mientras que los disquetes todavía se usaban. Por lo tanto el verdadero problema comenzó a finales de 2001, con XP y su Autorun y Autoplay.

Autorun y Autoplay

Autorun: Es la capacidad del sistema operativo de ejecutar dispositivos extraíbles cuando son insertados en el sistema. En Windows, los parámetros de la "autoejecución" se definen en un archivo de texto llamado autorun.inf, que aparece en la raíz de la unidad que se inserta.

Autoplay: Es la funcionalidad propia introducida en XP. Complementa y se basa en Autorun. Analiza el dispositivo que se inserta y según el tipo de archivo que encuentre, lanza un diálogo en el que se sugieren las mejores aplicaciones para reproducirlos. Si se elige una acción por defecto, el usuario no necesitará más este diálogo y el programa elegido se lanzará automáticamente la próxima vez gracias a Autorun y la "memoria" de Autoplay.

Microsoft no vio el problema hasta 2008. Se podía deshabilitar esta capacidad a través de políticas o cambios en manuales en el registro y no consideraba necesario cambiar su postura: Windows lo ofrecía como funcionalidad activa por defecto y quien quisiera protegerse, que lo desactivara. Pero esto no era del todo cierto: incluso desactivado, nunca se estuvo verdaderamente protegido. A partir de ahí comienza un recorrido para su desactivación y mejora que se aplica ya automáticamente a todos sus sistemas operativos.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4514

Google actualiza su navegador Chrome

Google publicó una actualización de su navegador Chrome que corrige hasta 19 vulnerabilidades. 16 de importancia alta y tres calificadas de media.

Esta actualización es publicada una semana antes del popular concurso Pwn2Own. Donde se premia a los investigadores que presenten una vulnerabilidad inédita que permita la ejecución de código arbitrario en los navegadores más populares.

Este año Google ha apostado 20.000 dólares, desafiando a aquel que pretenda demostrar una falla crítica en Chrome, si la vulnerabilidad se presenta en el primero de los tres días que dura el concurso.

Cabe destacar que ninguna de las vulnerabilidades mencionadas tiene la máxima gravedad, la denominada como importancia "crítica" que conlleva la mayor recompensa.

Apple también ha corregido más de 50 vulnerabilidades en Webkit de iTunes, y se espera que lo haga en Safari  justo antes del concurso Pwn2Own.

La versión actualizada de Chrome (versión 9.0.597.107) puede descargarse desde la página del producto o puede ser actualizada desde el mismo navegador.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4513

Actualización del kernel para Red Hat Enterprise

Red Hat ha publicó una actualización del kernel para la versión 5 de su gama Enterprise Linux Server y Desktop.

La actualización corrige tres fallas de seguridad que permiten permitir a un atacante provocar una denegación de servicio y obtener información sensible.

Por orden de CVE asignado las vulnerabilidades son:

CVE-2010-4249: Existe un error en la función 'wait_for_unix_gc function' de 'net/unix/garbage.c' al no seleccionar correctamente los tiempos de recolección de basura (liberación de memoria). Esto puede ser usado por un atacante local para provocar una denegación de servicio a través de las llamadas al sistema 'socketpair' y 'sendmsg' para sockets 'SOCK_SEQPACKET'. Falla reportada por Vegard Nossum.

CVE-2010-4251: Hay un error en la función '__release_sock' cuando el número de paquetes recibidos excede la capacidad de memoria reservada para su cacheo. Un atacante remoto provocaría una denegación de servicio a través del envío masivo de paquetes.

CVE-2010-4655: Existe una falla de inicialización en la función 'ethtool_get_regs' que permitiría a un atacante local provocar una revelación de información a través de vectores no especificados. Falla reportada por Kees Cook.

Adicionalmente la actualización corrige múltiples fallas y aporta mejoras no relacionadas con la seguridad. Esta actualización está disponible a través de Red Hat Network.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4512

Actualización de samba para Debian Linux

Debian ha publicado una actualización de samba que soluciona una vulnerabilidad que permite a un atacante causar una denegación de servicio.

Samba es una implementación del protocolo SMB/CIFS para sistemas Unix para poder compartir archivos e impresoras con sistemas Windows o aquellos que también tengan instalado Samba.

La vulnerabilidad se debe a una falta de comprobación en los límites del valor asignado a los descriptores de archivo usados por la macro FD_SET. La falta de comprobación provoca una corrupción de la pila cuando son usados valores fuera de rango.

La falla ha sido descubierta por Volker Lendecke de SerNet y tiene asignado el CVE-2011-0719. Se recomienda actualizar los paquetes samba.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4510

Elevación de privilegios en Microsoft Malware Protection Engine

Microsoft publicó una advertencia de seguridad para avisar a sus clientes sobre una vulnerabilidad en Microsoft Malware Protection Engine que permite al atacante elevar sus privilegios. Los productos afectados son Windows Live OneCare, Microsoft Security Essentials, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Endpoint Protection 2010 y Microsoft Malicious Software Removal Tool.

Microsoft Malware Protection Engine, que se encuentra en la libraría 'mpengine.dll', se encarga de proveer las funcionalidades de escaneo, detección y limpieza para software antivirus y antispyware de Microsoft.

La vulnerabilidad, a la que le ha sido asignado el CVE-2011-0037, permitiría a un atacante local autenticado elevar sus privilegios si Microsoft Malware Protection Engine realiza un escaneo del sistema tras la creación de un registro especialmente manipulado, por parte de un usuario legítimo con la condición de que no sea anónimo. Tras una explotación exitosa de la vulnerabilidad, el atacante obtendría los mismos permisos de usuario que la cuenta LocalSystem.

No es necesario llevar a cabo ninguna acción por parte de los administradores de los sistemas afectados para instalar la actualización, ya que los propios mecanismos de actualización de dichos productos se encargan de ello, por lo que Microsoft no publicará ningún boletín de seguridad relacionado con esta vulnerabilidad.

Si quieren más información pueden visitar: http://www.hispasec.com/unaaldia/4509