Feb
9
Boletín 00024 – 16/08/2005
Category: Seguridad | 
Leave a Comment
1.- Manipulación local de permisos de archivos con unzip 5.52
2.- Actualización del kernel de SuSE Linux 9
3.- Diversas vulnerabilidades en Microsoft ActiveSync
4.- F-Secure Reports First Viruses for Microsoft Command Shell
5.- Denegación de servicio en Business Objects Enterprise y Crystal Reports
6.- Seis nuevos boletines de seguridad de Microsoft en agosto
7.- Multiple Vulnerabilities in IE
8.- Denegación de servicio en KDE 3.3 y 3.4
9.- Desbordamiento de búfer en kernel 2.6.12 de Linux
10.- Gusano “Zotob” aprovecha vulnerabilidad en Plug-and-Play de Windows
11.- Denial of Service in Windows Kerberos, PKINIT, and RDP
==== 1.- Manipulación local de permisos de archivos con unzip 5.52 ====Se ha descubierto una vulnerabilidad en unzip 5.52 que puede ser explotada por usuarios locales maliciosos para realizar ciertas acciones con privilegios escalados en sistemas afectados. La vulnerabilidad se debe a una condición de carrera que se da cuando un archivo a descomprimir es cerrado antes de que se cambien sus permisos. Esta circunstancia puede ser explotada mediante ataques symlink para cambiar los permisos de otros ficheros que pertenezcan al usuario que ha ejecutado unzip.La explotación con éxito de la vulnerabilidad requiere que el usuario malicioso pueda borrar el archivo sin comprimir y lo reemplace con un hardlink a otro archivo perteneciente al usuario que ejecutó unzip, todo esto antes de que los permisos sean dados al archivo. Si bien la vulnerabilidad ha sido confirmada en la versión 5.52, es probable que las versiones anteriores se vean también afectadas por el problema.
A pesar de la complicación para la explotación de la vulnerabilidad, se recomienda usar esta herramienta en directorios con el bit sticky activado, o donde otros usuarios no tengan permisos de escritura.
Más información:
Info-ZIP UnZip CHMod File Permission Modification Race Condition Weakness
http://www.securityfocus.com/bid/14450
==== 2.- Actualización del kernel de SuSE Linux 9 ====SuSE ha publicado una actualización para el kernel de sus Linux 9 debido a que se han detectado vulnerabilidades que pueden ser explotadas por usuarios locales maliciosos para provocar denegaciones de servicio o, potencialmente, realizar escaladas de privilegios.* Un error en el tratamiento del acceso a ar.rsc vía ptrace y restore_sigcontent puede ser explotado para provocar denegaciones de servicio.
* Otro error en el envío de señales puede provocar un mensaje depánico del kernel cuando un sub-thread ‘exec’ cuando tiene un contador de tiempo pendiente.
* Un error en ‘ptrace()’ a la hora de procesar direcciones especialmente creadas puede provocar la caída del kernel (en plataformas AMD64).
* Una condición de carrera en el código de compatibilidad de ‘execvt()’ en las plataformas IA64 y AMD64 puede ser explotada para provocar denegaciones de servicio y potencialmente para realizar escaladas de privilegios.
La compañía recomienda utilizar YOU (YaST Online Update) para actualizar los sistemas afectados.
Más información:SUSE Security Announcement: several kernel security problems
http://www.novell.com/linux/security/advisories/2005_44_kernel.html==== 3.- Diversas vulnerabilidades en Microsoft ActiveSync ====Se han descubierto diversas vulnerabilidades en Microsoft ActiveSync 3.7.1 y 3.8 que pueden ser explotadas por usuarios maliciosos para provocar denegaciones de servicio, enumerar identificadores de equipo válidos o realizar conexiones maliciosas. ActiveSync es, por defecto, el programa de conectividad que mantiene sincronizados un PC y dispositivos Pocket PC. También incluye otras características, como depuración, transferencia de archivos, etc.Los ataques de denegación de servicio son posible debido a un error en el tratamiento de comunicaciones de dicho componente: ActiveSync puede dejarse en un estado en el que es incapaz de responder si se le envían múltiples peticiones de inicialización al puerto 5679/TCP.
La enumeración de identificadores de equipo válidos puede realizarse examinando la respuesta dada por el componente afectado al enviar información especialmente construida a tal efecto al puerto 5679/TCP. Esta vulnerabilidad puede usarse como base para engañar al usuario para que revele al atacante claves de dispositivos móviles. Estas vulnerabilidades se han descubierto en la versión 3.7.1, aunque no se descarta que otras puedan verse también afectadas.
Por último, ActiveSync 3.8 no fuerza la autenticación por contraseña
cuando se realiza la sincronización sobre una red. Esto puede explotarse
para provocar que una PDA se sincronice con un servidor ActiveSync
malicioso o que una PDA maliciosa acceda a un servidor ActiveSync con identificadores capturados de la red.
A la espera de un parche de actualización de Microsoft, se recomienda
restringir el tráfico que pueda acceder al puerto 5679/TCP.
Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/2479/comentar
Más información:
Airscanner Mobile Security Advisory: Remote Password Compromise of Microsoft Active Sync 3.7.1 & 3.8
http://www.airscanner.com/security/activesync371.htm
Microsoft ActiveSync clear text password
http://www.security.nnov.ru/Jdocument358.html
ActiveSync
http://www.microsoft.com/windowsmobile/downloads/activesync38.mspx
Antonio Ropero
antonior@hispasec.com
Tal día como hoy:
—————–
07/08/2004: ¿Sabemos detectar un ataque phishing?
http://www.hispasec.com/unaaldia/2113
07/08/2003: Vulnerabilidad local en firewalls ZoneAlarm
“,1] ); //–>
Por último, ActiveSync 3.8 no fuerza la autenticación por contraseña cuando se realiza la sincronización sobre una red. Esto puede explotarse para provocar que una PDA se sincronice con un servidor ActiveSync malicioso o que una PDA maliciosa acceda a un servidor ActiveSync con identificadores capturados de la red.
A la espera de un parche de actualización de Microsoft, se recomienda restringir el tráfico que pueda acceder al puerto 5679/TCP.
Más información:
Airscanner Mobile Security Advisory: Remote Password Compromise of Microsoft Active Sync 3.7.1 & 3.8
http://www.airscanner.com/security/activesync371.htm
Microsoft ActiveSync clear text password
http://www.security.nnov.ru/Jdocument358.html
ActiveSync
http://www.microsoft.com/windowsmobile/downloads/activesync38.mspx
==== 4.- F-Secure Reports First Viruses for Microsoft Command Shell ====
Microsoft released a beta of its new command-line shell MSH (code- named Monad) in June, and already viruses have been developed that take advantage of the new technology. According to security solutions provider F-Secure, a virus writer published five sample viruses in a Web-based “magazine” dedicated to writers of computer viruses.
http://list.windowsitpro.com/t?ctl=107A7:51B03
==== 5.- Denegación de servicio en Business Objects Enterprise y Crystal Reports ====
Se ha anunciado una vulnerabilidad en Business Objects Enterprise y Crystal Reports Server, que puede ser explotada por un usuario malicioso para provocar denegaciones de servicio. El problema, del que no se han facilitado los detalles, reside en Report Application Server (Crystalras.exe) y puede ser explotado para bloquear el servicio a través de una petición especialmente creada. BusinessObjects ha publicado las actualizaciones necesarias para evitar esta vulnerabilidad:
Business Objects Enterprise XI:
http://ftp1.businessobjects.com/outgoing/EHF/commonXIwin_en.zip
Crystal Reports Server XI:
http://ftp1.businessobjects.com/outgoing/EHF/commonXIwin_en.zip
Business Objects Security Bulletin
Vulnerability in Crystal Report Application Server could allow Denial of Service
http://support.businessobjects.com/fix/hot/critical/bulletins/security_bulletin_june05.asp
==== 6.- Seis nuevos boletines de seguridad de Microsoft en agosto ====
Como cada segundo martes de mes, Microsoft ha publicado sus ya habituales boletines de seguridad. Y una vez más se demuestra que para la seguridad no existen vacaciones de verano, en este mes de agosto se han anunciado seis nuevos boletines (MS05-038 al MS05-043). Según la propia clasificación de Microsoft tres de los nuevos boletines presentan un nivel de gravedad “crítico”, uno “importante” y dos de ellos reciben la calificación de “moderado”.* MS05-038: Actualización acumulativa para Microsoft Internet Explorer que además soluciona tres nuevas vulnerabilidades que podrían permitir
la ejecución remota de código arbitrario. Según la calificación de Microsoft está calificado como “crítico”. Afecta a Internet Explorer 5.01, Internet Explorer 5.5 e Internet Explorer 6.* MS05-039: Actualización por vulnerabilidad de ejecución remota de código arbitrario en PnP para Microsoft Windows. Está calificado como “crítico”. Afecta a Windows 2000, Windows XP y Windows Server 2003.
* MS05-040: Vulnerabilidad en servicio de telefonía de Microsoft Windows que puede ser explotado por usuarios maliciosos para comprometer la seguridad del sistema. Según la calificación de Microsoft recibe el nivel de “importante”. Afecta a Windows 2000, Windows XP (incluido SP2), Windows Server 2003,
Windows 98 y Windows Me Gold.
* MS05-041: Denegación de servicio en protocolo de escritorio remoto de Microsoft Windows. Está calificado como “moderado”. Afecta a Windows 2000, Windows XP y Windows Server 2003.
* MS05-042: Actualización para vulnerabilidades en Kerberos debido a que se han descubierto dos problemas en el servicio responsable de autenticar usuarios en un dominio de directorio activo que permitirían provocar denegaciones de servicio, acceder a información sensible o a realizar ataques de falsificación. Microsoft califica esta vulnerabilidad como “moderada”. Afecta a Windows 2000, Windows XP y Windows Server 2003.* MS05-043: Ejecución remota de código por vulnerabilidad en servicio Print Spooler o cola de impresión. Está calificado como “crítico”. Afecta a Windows 2000, Windows XP y Windows Server 2003.Más información:
Vulnerability in Print Spooler Service Could Allow Remote Code Execution (896423): MS05-043
http://www.microsoft.com/technet/security/Bulletin/MS05-043.mspx
Vulnerabilities in Kerberos Could Allow Denial of Service, Information Disclosure, and Spoofing (899587): MS05-042
http://www.microsoft.com/technet/security/Bulletin/MS05-042.mspx
Vulnerability in Remote Desktop Protocol Could Allow Denial of Service (899591): MS05-041
http://www.microsoft.com/technet/security/Bulletin/MS05-041.mspx
Vulnerability in Telephony Service Could Allow Remote Code Execution (893756): MS05-040
http://www.microsoft.com/technet/security/Bulletin/MS05-040.mspx
Vulnerability in Plug and Play Could Allow Remote Code Execution and Elevation of Privilege (899588): MS05-039
/technet/security/Bulletin/MS05-039.mspx
Cumulative Security Update for Internet Explorer (896727): MS05-038
http://www.microsoft.com/technet/security/Bulletin/MS05-038.mspx
Antonio Ropero
antonior@hispasec.com
Tal día como hoy:
—————–
09/08/2004: Variante de Bagle y tiempos de reacción antivirus
http://www.hispasec.com/unaaldia/2115
09/08/2003: Parche de actualización de Kernel de Sun Solaris 8
http://www.hispasec.com/unaaldia/1749
09/08/2002: Vulnerabilidad en cortafuegos de Symantec
http://www.hispasec.com/unaaldia/1384
09/08/2001: Vulnerabilidad en el servidor de Quake III Arena
http://www.hispasec.com/unaaldia/1019
09/08/2000: Vulnerabilidades en CommuniGate Pro v3.2.4
http://www.hispasec.com/unaaldia/653
09/08/1999: Problema de denegación de servicios en Firewall-1
“,1] ); //–> http://www.microsoft.com/technet/security/Bulletin/MS05-039.mspx
Cumulative Security Update for Internet Explorer (896727): MS05-038
http://www.microsoft.com/technet/security/Bulletin/MS05-038.mspx
==== 7.- Multiple Vulnerabilities in IE ====
Due to a flaw in the way Microsoft Internet Explorer (IE) processes JPEG images, an intruder could launch remote code that might allow him or her to take complete control of the system. A cross-domain vulnerability with Web Folders could allow a remote intruder to perform a variety of actions, including creating new user accounts, installing programs, or manipulating system data, which might allow the intruder to take complete control of the system. Because of the way IE tries to instantiate COM objects, memory corruption might occur, which could let an intruder take control of the system.
Microsoft released Security Bulletin MS05-038, “Cumulative Security Update for Internet Explorer (896727),” and a cumulative update for IE. The update contains all patches released since Microsoft Security Bulletin MS04-004 (February 2, 2004).
http://list.windowsitpro.com/t?ctl=109AB:51B03
==== 8.- Denegación de servicio en KDE 3.3 y 3.4 ====Se ha descubierto una vulnerabilidad en KDE (versiones de la 3.3.1 a la 3.4.1) que puede ser explotada por usuarios maliciosos para provocar denegaciones de servicio en el sistema de la víctima. La vulnerabilidad se debe a un error en kpdf a la hora de crear archivos temporales, lo que puede ser explotado por usuarios maliciosos para crear archivos temporales de gran tamaño cuando la víctima abre documentos PDF especialmente construidos a tal efecto. La utilización con éxito de esta técnica puede provocar el consumo total del espacio disponible de disco.Se recomienda aplicar los siguientes parches: KDE 3.3.1:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.3.1-kdegraphics-4.diff
KDE 3.4.1:
ftp://ftp.kde.org/pub/kde/security_patches/post-3.4.1-kdegraphics-4.diff
Más información:KDE Security Advisory: kpdf temp file writing DoS vulnerability
http://www.kde.org/info/security/advisory-20050809-1.txt==== 9.- Desbordamiento de búfer en kernel 2.6.12 de Linux ====Se ha descubierto una vulnerabilidad en la versión 2.6.12 del kernel de Linux que puede ser explotada por usuarios maliciosos para provocar denegaciones de servicio y, potencialmente, para comprometer un sistema afectado. El problema se debe a un error en el tratamiento de límites de variables dentro de la función ‘xdr_xcode_array2()’ a la hora de decodificar arrays XDR (eXternal Data Representation). Esta circunstancia puede ser explotado para provocar desbordamientos de búfer enviando datos XDR maliciosos para el protocolo nfsacl. La vulnerabilidad ha sido solventada en las versiones 2.6.13-rc1 y posteriores del kernel, disponibles en la siguiente dirección:
http://www.kernel.org/
Más información:Linux Kernel NFSACL Protocol XDR Data Remote Denial of Service Vulnerability
/bid/14470Julio Canto
jcanto@hispasec.com
Tal día como hoy:
—————–
13/08/2004: Ejecución remota por metacaracter shell en Adobe Acrobat Reader 5 para Unix
http://www.hispasec.com/unaaldia/2119
13/08/2003: Vulnerabilidades en CiscoWorks Common Management Foundation (CMF)
http://www.hispasec.com/unaaldia/1753
13/08/2002: Antivirus corporativo: dos (diferentes) mejor que uno
http://www.hispasec.com/unaaldia/1388
13/08/2001: Recomendaciones de la NSA sobre el correo electrónico
http://www.hispasec.com/unaaldia/1023
13/08/2000: Parche de seguridad para Office 2000
http://www.hispasec.com/unaaldia/657
13/08/1999: El Equipo Hispano RC5-64 en el TOP-100
http://www.hispasec.com/unaaldia/290
——————————————————————-
Claves PGP en “,1] ); //–> http://www.securityfocus.com/bid/14470
==== 10.- Gusano “Zotob” aprovecha vulnerabilidad en Plug-and-Play de Windows ====El gusano es capaz de infectar automáticamente los sistemas Windows 2000 que no hayan instalado la actualización MS05-0039, disponible desde el pasado martes. Desde Hispasec aconsejamos a todos los usuarios mantengan sus sistemas puntualmente actualizados, y de forma especialmente urgente este mes en el caso de Windows. El gusano se encuentra activo, y aprovecha la vulnerabilidad en Plug-and-Play de Windows que puede ser explotada de forma remota por un usuario anónimo en sistemas Windows 2000.La aparición de un gusano de estas características era previsible, ya que hace unos días fueron publicados los detalles para explotar esta vulnerabilidad junto a otras pruebas de concepto sobre ataques relativos a los parches de Windows del mes de agosto. Más detalles sobre las pruebas de concepto publicadas y la respuesta AV en http://blog.hispasec.com/laboratorio/22
Las casas antivirus de momento no dan protagonismo a “Zotob” en sus alertas y rankings, no en vano la propagación es muy discreta. El hecho de que infecte a través del puerto TCP/445 dificulta su propagación por Internet, ya que lo usual es que el puerto esté filtrado por los firewalls perimetrales.Es vital que los sistemas se mantengan puntualmente actualizados con los últimos parches disponibles. En esta ocasión es crítico en el caso de Windows, ya que se han publicado los códigos que permiten aprovechar varias de las últimas vulnerabilidades corregidas durante el mes de agosto.“Zotob” es sólo una muestra de lo que puede hacerse al automatizar este tipo de ataques. No es la única, en las últimas horas están apareciendo nuevos especímenes que aprovechan la misma vulnerabilidad, como el caso de variantes de Sdbot o del propio Zotob, y tampoco debemos olvidar la posibilidad de ser víctimas de un ataque específico contra nuestro sistema. Los usuarios domésticos pueden comprobar e instalar las últimas actualizaciones disponibles desde la dirección http://windowsupdate.microsoft.com
En el caso de los usuarios corporativos entendemos que el despliegue se hará de forma centralizada, por lo que instamos a los administradores a que aceleren el proceso.Descripción de “Zotob”Como hemos comentado, el gusano busca sistemas vulnerables que no hayan instalado el parche MS05-039. Para ello lanza 16 hilos para barrer aleatoriamente la clase B de la IP del sistema infectado en busca de sistemas con el puerto TCP/445 abierto.
Cuando encuentra un sistema vulnerable, aprovecha la vulnerabilidad en Plug-and-Play para abrir un shell en el puerto TCP/8888 del equipo de la víctima, a través del cual llama a FTP.EXE para realizar la descarga del gusano (archivo haha.exe) desde un servidor FTP hospedado en el puerto TCP/33333 del sistema previamente infectado desde el que partía el ataque.
Una vez se ejecuta el gusano en el nuevo sistema, crea el archivo botzor.exe en la carpeta de sistema de Windows y las entradas en el registro de Windows para asegurarse su ejecución en cada inicio
de sistema:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run”WINDOWS SYSTEM” = “botzor.exe”
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices”WINDOWS SYSTEM” = “botzor.exe”
También modifica el archivo hosts del sistema para que los dominios web de los antivirus apunten a la dirección 127.0.0.1 (localhost), como estrategia para impedir que los sistemas infectados puedan actualizar el antivirus o utilizar herramientas para su localización y desinfección.Por último “Zotob” intenta conectarse a un servidor IRC desde donde el gusano puede recibir órdenes de sus creadores, como descargar e instalar nuevas versiones del gusano.==== 11.- Denial of Service in Windows Kerberos, PKINIT, and RDP ====
Kerberos, PKINIT, and Remote Desktop Protocol on Windows are vulnerable to Denial of Service (DoS) attacks. The Kerberos subsystem contains flaws that could let an intruder cause a DoS attack. The flaw is due to the way domain controllers (DCs) process Kerberos messages. The related PKINIT protocol contains a design flaw that could allow information disclosure and spoofing, which could let an intruder intercept communication between a client and server. RDP contains a flaw that could allow an intruder to launch a DoS attack against an affected system. Such an attack might cause the server to stop responding and to automatically reboot. Microsoft released Security Bulletin MS05-042, “Vulnerabilities in Kerberos Could Allow Denial of Service, Information Disclosure, and Spoofing (899587),” and an associated patch to correct the problem with the Kerberos service. Microsoft released Security Bulletin MS05-041, “Vulnerability in Remote Desktop Protocol Could Allow Denial of Service (899591),” and an associated patch to correct the problem with RDP.
http://list.windowsitpro.com/t?ctl=10C8D:51B03
