Feb
8
Boletín 00010 – 25/04/2005
Category: Seguridad | 
Leave a Comment
1.- Múltiples sistemas afectados por denegación de servicio por mensajes ICMP
2.- Vulnerabilidades en el Kernel de Windows
3.- Ejecución de código por seleccionar un archivo en Windows 2000
4.- Desbordamiento de búfer en RealPlayer Enterprise
5.- Microsoft reconoce que actualización de Windows está fallando
6.- Nuevo sitio Sitio de Seguridad en WindowsNuevo sitio Sitio de Seguridad en Windows
7.- Herramienta de eliminación de software malintencionado de Microsoft® Windows® (KB890830)
8.- Windows vs. Linux: ¿cuál es más seguro?
==== 1.- Múltiples sistemas afectados por denegación de servicio por mensajes ICMP ====
Se ha publicado un documento que describe como el protocolo ICMP (Internet Control Message Protocol) puede ser empleado para realizar ataques de denegación de servicio contra el protocolo TCP. Este documento se ha distribuido a través de la Internet Engineering Task Force (IETF), y titulado como “ICMP Attacks Against TCP” (draft-gont-tcpm-icmp-attacks-03.txt).
Estos ataques, que solo afectan a sesiones que terminan o se originan en el propio dispositivo y pueden ser de tres tipos:
1. Ataques que usan mensajes ICMP de error fuerte
2. Ataques que usan mensajes ICMP tipo 3 código 4 falsificados (“fragmentación necesaria y sin fragmentar”)
3. Ataques que usan mensajes ICMP “Source Quench”
Los ataques exitosos, en función de su tipo, pueden provocar la pérdida de conexiones o la reducción del rendimiento de las conexiones existentes.
Se ven afectados un gran número de productos de diversos fabricantes.
Entre otros, Cisco publicó esta semana un aviso en el que informaba de la forma en que este tipo de ataques afectaba a un gran número de sus dispositivos.
Se ven afectados todos los productos Cisco que ejecuten cualquier versión de Cisco IOS y tengan habilitado PMTUD. Los siguientes dispositivos Cisco IOS o software basedo en Cisco IOS también son vulnerables:
* Switches Catalyst 4000 y 6000
* Puntos de acceso y bridges Cisco Aironet Wireless LAN
* Catalyst 2900XL, 2900XL-LRE, 3500XL, 2940, 2950, 2950-LRE, 2955 y 2970
* Catalyst 2948G-L3, 3550, 3560, 3750 y 3750-ME
* Communication Media Module (CMM)
* Cisco Optical Network Solutions (ONS)
* Cisco DistributedDirector. También son vulnerables dispositivos Cisco que no ejecuten IOS como:
* Cisco CRS-1
* Cisco PIX Security Appliance
* Cisco IP Phones
* Cisco Catalyst 6608 Voice Gateway y Cisco 6000 FXS Analog Interface
Module (WS-X6624-FXS)
* Cisco 11000 y 11500 Content Services Switches (CSS).
* Global Site Selector (GSS).
* Cisco ONS products: ONS 15302 and ONS 15305.
* Cisco MDS 9000 Series Multilayer Switches.
* VPN 5000 concentrator.
Cisco ha publicado las actualizaciones necesarias para corregir este problema.
Según ha confirmado Sun los sistemas Solaris 7, 8, 9 y 10 también se ven afectados por este tipo de ataques, aunque por el momento no hay ningún tipo de actualización disponible para evitar el problema.
Los sistemas operativos de Microsoft, (Windows 2000, Windows XP, Windows Server 2003, Windows 98 y Windows ME) también se ven afectados. Por ello, dentro de los boletines de seguridad de Microsoft publicados esta semana, se distribuyo el MS05-019, en el que se informa sobre este problema y se ofrecen las actualizaciones necesarias para evitarlos.
Otros sistemas como IBM AIX, los routers Juniper Networks M-series y T-series o los firewalls Watchward también se ven afectados por esta vulnerabilidad.
ICMP attacks against TCP
http://www.ietf.org/internet-drafts/draft-gont-tcpm-icmp-attacks-03.txt
Cisco Security Advisory: Crafted ICMP Messages Can Cause Denial of Service
http://www.cisco.com/warp/public/707/cisco-sa-20050412-icmp.shtml
NISCC Vulnerability Advisory 532967/NISCC/ICMP Vulnerability Issues in ICMP packets with TCP payloads
http://www.niscc.gov.uk/niscc/docs/re-20050412-00303.pdf?lang=en
Sun TCP Connections May Experience Performance Degradation If Certain ICMP Error Messages Are Received
http://sunsolve.sun.com/search/document.do?assetkey=1-26-57746-1
Boletín de seguridad de Microsoft MS05-019 Vulnerabilidades en TCP/IP que podrían permitir la ejecución remota de código y una denegación de servicio
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS05-019-IT.mspx
WatchGuard Firebox ICMP Processing Errors Let Remote Users Deny Service
http://securitytracker.com/alerts/2005/Apr/1013698.html
==== 2.- Vulnerabilidades en el Kernel de Windows ====
Dentro del conjunto de boletines de abril publicado por Microsoft y del que ya efectuamos un adelanto la semana pasada, se cuenta el anuncio (en el boletín MS05-018) de la existencia de cuatro vulnerabilidades en el núcleo (kernel) de diversos sistemas Windows que pueden permitir la escalada de privilegios o denegaciones de servicio.
Los problemas afectan a Windows 2000, Windows XP, Windows Server 2003, Windows 98 y Windows Millennium Edition (ME). Las vulnerabilidades corregidas son los siguientes:
Existe una vulnerabilidad de desbordamiento de búfer en la forma en Windows procesa determinadas fuentes y que puede permitir la escalada de privilegios. Esta vulnerabilidad puede permitir a un atacante autenticado en el sistema tomar el control completo.
El proceso empleado por los sistemas Windows afectados para validar determinadas peticiones de acceso se ve afectado por otra vulnerabilidad, que puede dar lugar a que un atacante local eleve sus privilegios.
Un desbordamiento de búfer en los sistemas afectados puede dar lugar a un problema de denegación de servicio, provocando que el sistema deje de responder y su reinicio automático.
Por último, una vulnerabilidad en el proceso empleado por el CSRSS (Client Server Runtime System) para validar determinados mensajes puede dar lugar a una escalada de privilegios. CSRSS es la parte que corresponde al modo de usuario del subsistema Win32, mientras que Win32.sys es la parte correspondiente al modo del núcleo del subsistema Win32. El subsistema Win32 debe estar en ejecución en todo momento. CSRSS es responsable de las ventanas de consola, de crear subprocesos y de eliminarlos, además de encargarse de algunas partes del entorno MS-DOS virtual de 16 bits.
Microsoft publica las siguientes actualizaciones:
Microsoft Windows 2000
http://www.microsoft.com/downloads/details.aspx?FamilyId=992C1BF9-A2C0-49D2-9059-A1DAD6703213
Microsoft Windows XP
http://www.microsoft.com/downloads/details.aspx?FamilyId=F0683E2B-8E8F-474F-B8D8-46C4C33FCE99
Microsoft Windows XP 64-Bit Edition Service Pack 1 (Itanium)
http://www.microsoft.com/downloads/details.aspx?FamilyId=B52F9281-570F-4F7A-8DEF-5AEAB6E8E002
Microsoft Windows XP 64-Bit Edition Version 2003 (Itanium)
http://www.microsoft.com/downloads/details.aspx?FamilyId=C51D6AD5-93BA-4717-A5DB-5CE78F70592E
Microsoft Windows Server 2003
http://www.microsoft.com/downloads/details.aspx?FamilyId=E66332D4-3952-428F-AC62-AC8124F8942A
Microsoft Windows Server 2003 for Itanium-based Systems
http://www.microsoft.com/downloads/details.aspx?FamilyId=C51D6AD5-93BA-4717-A5DB-5CE78F70592E
Microsoft no publica actualizaciones para Windows 98, Windows 98 Second Edition (SE) y Windows Millennium Edition (ME) ya que ninguno de los problemas son considerados de carácter crítico.
Boletín de Seguridad de Microsoft MS05-018 Vulnerabilidades en el núcleo de Windows que podrían permitir la elevación de privilegios y una denegación de servicio
http://www.eu.microsoft.com/spain/technet/seguridad/boletines/MS05-018-IT.mspx
==== 3.- Cross-Site Scripting en RSA Authentication Agent for Web para IIS 5.2 ====
Se ha descubierto una vulnerabilidad en RSA Authentication Agent for Web para IIS 5.2 que puede ser explotada por usuarios maliciosos para realizar ataques de tipo cross site scripting.
El problema se debe a que las entradas recibidas en el parámetro ‘postdata’ en ‘/WebID/IISWebAgentIF.dll’ no es filtrada adecuadamente antes de ser devuelta a los usuarios, por lo que se puede ejecutar código HTML y script arbitrario en la sesión de un usuario en el contexto de seguridad del sitio vulnerable.
Si bien la vulnerabilidad ha sido confirmada en la versión 5.2 de este software, no se descarta que versiones anteriores se vean también afectadas. Se recomienda la actualización a la versión 5.3 que se puede bajar desde el sitio de la RSA, en la dirección:
http://www.rsasecurity.com/node.asp?id=2807&node_id=
Plataformas afectadas:
Microsoft: Microsoft IIS 5.0
Microsoft: Microsoft IIS 6.0
Microsoft: Windows 2000 SP4
Microsoft: Windows Server 2003
Microsoft: Windows Server 2003 Enterprise Edition
Microsoft: Windows Server 2003 Standard Edition RSA Security: RSA
Authentication Agent for Web 5.2
RSA Authentication Agent for Web – IISWebAgentIF.dll – Cross Site Scripting Vulnerability
http://www.oliverkarow.de/research/rsaxss.txt
RSA Authentication Agent for Web for IIS Input Validation Bug Lets Remote Users Conduct Cross-Site Scripting Attacks
http://www.securitytracker.com/alerts/2005/Apr/1013724.html
RSA Authentication Agent postdata parameter cross-site scripting
http://xforce.iss.net/xforce/xfdb/20098
RSA Authentication Agent 5.2 for Web
http://www.rsasecurity.com/node.asp?id=1176&node_id=
==== 3.- Ejecución de código por seleccionar un archivo en Windows 2000 ====
Se ha descubierto una vulnerabilidad en el Explorador de Windows de los sistemas Windows 2000 que puede ser explotada para ejecutar código script arbitrario al seleccionar un archivo malicioso.
La vulnerabilidad se localiza concretamente en la librería ‘webvw.dll’ y puede ser explotada por un usuario malicioso para ejecutar código script arbitrario. El atacante deberá construir un archivo especialmente creado para sus pretensiones y conseguir que la víctima lo seleccione en el explorador (no es necesaria la ejecución propiamente dicha). Para que dicha ejecución tenga efecto, la víctima tiene que tener activa la visualización de contenido web en las carpetas (opción activa por defecto en los sistemas Windows 2000).
En este caso la gravedad de la vulnerabilidad radica en que no es necesaria la ejecución del archivo malicioso para que el atacante logre sus objetivos, bastará con seleccionar el archivo para que se explote la vulnerabilidad.
Se recomienda precaución debido a que no hay parche oficial y existen varios ejemplos a modo de prueba de concepto que muestran los efectos de la vulnerabilidad.
Como contramedida, se recomienda desactivar la visualización de contenido web en las carpetas (Herramientas -> Opciones de Carpeta -> Carpetas Clásicas de Windows).
File Selection May Lead to Command Execution
http://www.greymagic.com/security/advisories/gm015-ie/
==== 4.- Desbordamiento de búfer en RealPlayer Enterprise ====
Se ha descubierto una vulnerabilidad en RealPlayer Enterprise (versiones 1.1, 1.2, 1.5, 1.6 y 1.7) a la hora de procesar archivos RAM que puede ser explotada por usuarios maliciosos para comprometer un sistema afectado.
RealPlayer es un popular reproductor multimedia de la compañía Real Networks (la versión Enterprise es configurable, diseñada y optimizada para su implantación en entornos empresariales).
Los archivos RAM (archivo de metadatos propio de estos productos de Real Networks) contienen información para que los datos de streaming recibidos por el navegador se pasen adecuadamente a RealPlayer.
La vulnerabilidad detectada se debe a un error en el tratamiento de tamaños de variables localizado en la librería pnen3260.dll y que se da a la hora de procesar archivos RAM. Esta circunstancia puede explotarse para provocar un desbordamiento de búfer construyendo a tal efecto un archivo de este tipo y haciendo que la víctima lo intente reproducir, lo que llevaría a la ejecución de código arbitrario.
La compañía recomienda instalar una versión actualizada de la DLL afectada, disponible en la siguiente dirección:
http://docs.real.com/docs/pnen3260.dll
Security Patch Update For Realplayer Enterprise
http://www.service.real.com/help/faq/security/security041905.html
==== 5.- Microsoft reconoce que actualización de Windows está fallando ====
En un foro de discusión del sitio de TechNet salio que existen problemas con la actualización de seguridad de Microsoft MS05-002 (KB891711.EXE) para Windows 98, Windows 98 SE y Windows ME.
Más información en:
http://www.seguridad.unam.mx/noticias/?noti=474
==== 6.- Nuevo sitio Sitio de Seguridad en WindowsNuevo sitio Sitio de Seguridad en Windows ====
El Departamento de Seguridad en Cómputo/UNAM-CERT informa la creación de un nuevo espacio en el Portal de Seguridad en Cómputo destinado a la publicación de información sobre tópicos de seguridad relacionados con el sistema operativo Windows de Microsoft en cualquiera de sus versiones.
De acuerdo con Microsoft, el 12 de Abril es la fecha limite para evitar que Windows XP SP2 sea instalado en los equipos y uno de los propositos del sitio es ser una fuente de consulta ante cualquier problema que el usuario casero pueda enfrentar al actualizar su sistema y Aplicaciones.
Este sitio puede ser accedido directamente a través de la siguiente
dirección:
http://www.seguridad.unam.mx/windows
El Sitio Web actualmente contiene información relacionada con el Service Pack 2 para Windows XP y sobre AntiSpyware. Estos documentos son el resultado de pruebas realizadas en el Laboratorio de Seguridad y desarrolladas por el Proyecto de Seguridad en Windows.
En fechas próximas serán liberados más documentos sobre software, configuración, herramientas y temas relacionados con la seguridad en el sistema operativo Windows que puedan servir de guía a la comunidad universitaria y al público en general.
==== 7.- Herramienta de eliminación de software malintencionado de Microsoft® Windows® (KB890830) ====
La Herramienta de eliminación de software malintencionado comprueba equipos con Windows XP, Windows 2000 y Windows Server 2003 y ayuda a eliminar las infecciones producidas por este tipo de software, incluidas las infecciones con Blaster, Sasser y Mydoom. Una vez finalizado el proceso de detección y eliminación, la herramienta muestra un informe en el que se describen los resultados y se especifica qué tipo de software malintencionado, en caso de haberlo, se detectó y eliminó. La herramienta crea un archivo de registro llamado mrt.log en la carpeta %WINDIR%\debug.
==== 8.- Windows vs. Linux: ¿cuál es más seguro? ====
Tomado de:
http://www.netmedia.info/bsecure/articulos.php?id_sec=52&id_art=5178
Conocimiento, soporte, administración y configuración son los argumentos más importantes a considerar en la decisión
Andrés Velázquez
19 de abril de 2005
Es probable que esta columna sea del agrado de muchos, mientras que para otros sea una aberración, y esto se debe a que hay personas que opinan que Linux es más seguro que Windows. Sus argumentos son que está mejor programado, que permite controlar mejor los procesos, etc. Pero, ¿qué tan válidas son estas razones?
La mayoría de las veces que me presento para dar una conferencia, principalmente en universidades, la pregunta clave es: ¿qué sistema operativo es el más seguro? Normalmente la respuesta a esa pregunta, con una sonrisa de oreja a oreja, es: depende.
Pero esto siempre desconcierta al auditorio. Y por ello es que dedicaré este espacio a esa pregunta, siempre tan compleja de responder, y que siempre lo será. Por supuesto, si la pregunta es dirigida a Bill Gates o a Linus Torvalds, inmediatamente contestarán Windows y Linux, respectivamente.
En internet se pueden encontrar miles de artículos al respecto, algunos con cifras concretas que nos pueden “demostrar” que uno de estos dos competidores es mejor que el otro –como el “Security Report: Windows vs. Linux” de The Register (www.theregister.co.uk/security/security_report_windows_vs_linux/) o el HoneyNet Proyect (www.honeynet.org/papers/trends/life-linux.pdf). Pero la verdad es que no tenemos una forma real de compararlos, pues el hacerlo depende de demasiados factores.
El primer punto de interés es clave en las discusiones y gira en torno a que en Linux podemos analizar el código fuente, no sólo del sistema operativo, sino de las aplicaciones que corren o que instalamos para revisar que estén funcionando seguras. Sin embargo, yo no conozco a nadie que lo haya hecho hasta el momento. ¡Imagine cuánto tiempo perdería en revisar todo! En el caso de Windows, no podemos revisar el código del sistema operativo, ni de las aplicaciones propietarias… ¿qué es más seguro, saber o desconocer?
Otro asunto es la capacidad de generar parches de seguridad en los sistemas. En el caso de Linux se liberan con rapidez, mientras que los de Windows tardan mucho tiempo. Pero a menudo, en el caso de Linux, tenemos que parchar dos veces en una semana porque el primer parche de seguridad corrigió algunas vulnerabilidades, pero otras no. Así pues, ¿qué es más seguro, actuar o esperar?
La principal razón por la que los maliciosos de internet prefieran lanzar sus ataques a Windows no es porque tenga más vulnerabilidades que Linux, sino por el porcentaje de uso. Imagine que tiene que venderle algo a una mujer; usted no va a ir a una cantina o a un lugar donde únicamente haya hombres. De la misma manera, sabemos bien que hay más usuarios de Windows que de Linux, por lo que se generan más ataques automatizados al sistema de Microsoft. ¿Es más seguro un sistema operativo con menor probabilidad de sufrir agresiones?
Siempre un punto importante es el conocimiento, y esto genera varias preguntas que incluyen: soporte, administración y configuración de los servidores, independientemente del sistema operativo. Cuando un cliente me solicita hacer comparaciones de funcionalidades y costos es muy claro que Linux siempre es más económico, pero ¿realmente es económico cuando no contamos con los conocimientos para hacer el soporte?
Para mí es claro que los dos requieren de cosas diferentes, así como gente con el conocimiento necesario para administrarlos correctamente. Un Linux bien configurado es igual de seguro que un Windows bien configurado.
Concluiré con una frase que viene muy ad hoc. Es de Eugene Spafford, profesor y director del Centro de Investigación y Educación en Seguridad de la Información de la Universidad de Purdue: “El único sistema totalmente seguro es aquel que está apagado, desconectado, guardado en una caja fuerte de titanio, encerrado en un búnker de concreto, rodeado por gas venenoso y cuidado por guardias armados y bien pagados. Aun así, no apostaría mi vida por él”. Y lo peor de todo es que una computadora que se encuentra en este estado, ¡no nos sirve para nada!
Entonces, para tener seguridad, ¿Linux o Windows? ¡Depende de usted!
