Boletín 00055 - 08/05/2006

==== 1.- Escalada de privilegios a través de interfaz HTTP de Cisco Unity Express 2.X ====

Se ha anunciado la existencia de una vulnerabilidad en Cisco Unity Express que puede permitir a usuarios remotos autenticados elevar sus privilegios el los sistemas afectados. La interfaz HTTP de manejo de un módulo CUE (Cisco Unity Express) permite a usuarios autenticados modificar su contraseña. Esta vulnerabilidad permite a cualquiera al que le haya caducado al contraseña, modificarla. Si la contraseña de administrador ha caducado, puede ser modificada por un usuario autenticado, permitiendo a un usuario no privilegiado tomar completo control del módulo CUE.

Cualquier módulo CUE Advanced Integration Module (AIM) o Network Module (NM) que ejecute software CUE con versiones anteriores a la 2.3(1) se ve afectado por esta vulnerabilidad.

Se acaba de publicar una importante actualización para Mozilla Firefox 1.5, que soluciona un problema de seguridad potencialmente crítico. Mozilla es un entorno de código abierto multiplataforma, de gran calidad, nacido a partir de una iniciativa de Netscape. Firefox es el navegador web del proyecto Mozilla, un producto de calidad y popularidad creciente, con más de 170 millones de descargas.

Las versiones de Firefox 1.5 anteriores a la recién publicada 1.5.0.3 contienen una vulnerabilidad que permite que una página maliciosa “mate” el navegador y, bajo circunstancias propicias, podría permitir la ejecución de código arbitrario en la máquina del usuario.

La vulnerabilidad, difundida de forma pública, radica en la gestión de borrado de contextos de control de Firefox, cuando el modo “designMode” está activado. En la mayor parte de los casos esa operación provoca la caída del navegador, pero bajo circunstancias apropiadas podría utilizarse para ejecutar código arbitrario.

La fundación Mozilla ha publicado de forma urgente la versión 1.5.0.3 de Firefox, para solucionar este problema de seguridad. Los parches previstos para 1.5.0.3 se han desplazado a la futura versión 1.5.0.4, actualmente en desarrollo.

Todos los usuarios de Mozilla Firefox deben actualizar a la versión 1.5.0.3. Gracias a la capacidad de actualización automática de este navegador, la mayoría de ellos deberían estar trabajando ya con dicha versión. Para saber qué versión del navegador está ejecutando, ejecute el menú “ayuda -> sobre Mozilla Firefox”.

Si todavía no ha actualizado de forma automática, fuerce una actualización manual con el menú “ayuda -> buscar actualizaciones”.

Las versiones recientes de Firefox 1.0.* o Mozilla Suite 1.7.* no están afectadas por esta vulnerabilidad.

Una cifra significativa es la multiplicación x5 de la demanda de análisis: si bien a principios del 2005 el número de muestras analizadas en el servicio rondaba las 20.000 mensuales, en estos momentos se está sobrepasando la cifra de 100.000. Este aumento ha requerido de una modificación a nivel infraestructura interna como una ampliación importante de los recursos utilizados por el servicio en sí.

Otro cambio, mucho más perceptible por los usuarios habituales es el trabajo aplicado a la mejora del sistema de respuestas del interfaz web. El funcionamiento original consistía en dejar a la espera al usuario para presentar los resultados completos una vez se había terminado de hacer el análisis. El nuevo interfaz de respuestas es mucho más informativo en la fase previa, dando desde posición en la cola de espera hasta tiempos estimados para el comienzo del análisis.
Una vez en dicha fase, los resultados presentados por los motores se dan en tiempo real.

Además, el nuevo interfaz web ofrece información extra al usuario, incluye hashes del archivo analizado, empaquetadores detectados por algunos de los motores, y el resultado de la Sandbox de Norman en caso de detecciones heurísticas por parte de dicho motor. Estos datos son muy apreciados por usuarios avanzados del servicio que buscan un mayor detalle sobre la muestra analizada.

En el aspecto de ampliar la potencia de detección del servicio hemos incorporado el motor Malware Protection que nos ha proporcionado Microsoft. Con MSMP la cifra de motores disponibles en el servicio aumenta a un total de 25. Esto ofrece una gran potencia que, sumada a la flexibilidad dada por la posibilidad de uso de los dos interfaces del servicio (web y correo), está demostrando ser de gran utilidad no sólo para usuarios de a pié, sino para entidades públicas y privadas a nivel mundial, como por ejemplo CERTs de multitud de países.

En cualquier caso, seguimos trabajando en el proyecto para aumentar a corto/medio plazo tanto las funcionalidades del servicio como la lista de motores usados.

==== 6.- Microsoft publicará tres actualizaciones de seguridad el próximo martes ====

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan tres parches de seguridad, dos destinados a su sistema operativo Windows y otro a su sistema de correo Exchange.

Si en abril fueron cinco los boletines de seguridad, este mes son sólo tres las actualizaciones que prevé publicar Microsoft el día 9 de mayo. De los dos para el sistema operativo, alguno alcanza el estado de crítico, lo que supone que la vulnerabilidad es aprovechable sin interacción del usuario y permite tomar el control del sistema si se ejecuta con privilegios de administrador. El destinado a Exchange, también se describe como de peligrosidad crítica. Esta última actualización incluirá un cambio de funcionalidad ya discutido en la base de conocimientos de Microsoft (Microsoft Knowledge
Base) en el artículo 912918, por lo que se recomienda a los administradores que estudien este artículo y evalúen convenientemente y con antelación el potencial impacto de la aplicación del parche. Como es habitual, las actualizaciones requerirán reiniciar el sistema y se publicará además una actualización para la herramienta antispyware de Microsoft “Malicious Software Removal Tool”.

No se sabe si estas actualizaciones solventarán las “cuentas pendientes” que Microsoft tiene con Internet Explorer, que ahora mismo sufre tres vulnerabilidades públicas no parcheadas. Dos de ellas tienen como base un fallo de corrupción en la memoria a la hora de procesar scripts HTML manipulados con etiquetas OBJECT especialmente formadas. Michal Zlewski hizo público el descubrimiento de una primera vulnerabilidad con la posibilidad de hacer que el navegador dejase de funcionar, pero no estaba claro si era posible ejecutar a partir de ahí código arbitrario.
Cuando por fin se creía haber encontrado una forma de ejecutar código aprovechando el hallazgo original realizado por Zlewski, lo que en realidad se había descubierto era una variante que puede considerarse como vulnerabilidad casi independiente.

Aparte de estos dos errores basados en una misma raíz, existe un fallo en el manejador mhtml, que puede ser aprovechado para revelar información sensible. Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Patrick McHardy ha informado, a través de las listas de distribución dedicadas al anuncio de nuevas versiones del núcleo Linux, la disponibilidad de una nueva versión en la rama 2.6  Esta nueva versión, numerada como 2.6.16.13, ve la luz a consecuencia de la detección de un problema de seguridad diagnosticado en versiones anteriores de la rama, problema que podría facilitar enormemente la conducción de ataques de denegación de servicio sobre las máquinas con núcleos vulnerables.

La falla está causada por un error de diseño en el código de SCTP-netfilter, que en versiones sin actualizar no garantiza que no se produzcan bucles infinitos que tras algunos ciclos pueden llegar a extenuar los recursos disponibles, anulando la capacidad de la máquina.

El parche no es complejo, con un total de 3 ficheros cambiados (incluyendo el makefile) y un total de 15 inserciones y 9 sustracciones en el diff correspondiente. Sin contar el makefile, restan por tanto 14 inserciones (7 por fuente) y 8 sustracciones (4 por fuente) que hay que aplicar en el código fuente de ip_conntrack_proto_sctp.c, ubicado en net/ipv4/netfilter/ y en net/netfilter/

Sin tener en cuenta las adiciones en el código relativas a comentarios, la esencia del parche consiste en la agregación de una segunda condición de contorno en la que se verifican además los tamaños de las porciones de los fragmentos gestionados a través del protocolo SCTP (Stream Control Transmission Protocol), de modo que se garantice un progreso adecuado y completo para cada particularización inducida por el bucle for_each_sctp_chunk(). SCTP es un protocolo en la capa de transporte que facilita el transporte de señales PSTN (Public Switched Telephone
Network) sobre redes IP, con un diseño orientado a la seguridad, ya que es un protocolo diseñado específicamente para evitar no sólo las congestiones naturales, sino para proporcionar resistencia a los ataques de inundación (flooding) y de enmascaramiento (maskerading).

Habida cuenta de que este tipo de denegaciones de servicio son factibles no sólo local sino remotamente, el carácter de criticidad asignable al fallo es de moderadamente crítico. Desde estas líneas realizamos un llamamiento a los administradores para que procedan a actualizar tan pronto les sea posible.