Boletín 00056 – 22/05/2006

     Fecha de Liberación:       9 de Mayo de 2006

     Ultima Revisión:           9 de Mayo de 2006

     Fuente:                    CERT/CC y diversos reportes de Equipos de
                                Respuesta a Incidentes, así como Foros y
                                Listas de Discusión.

   Sistemas Afectados
   ——————

     Microsoft          Microsoft          ==  Microsoft
     Windows            Exchange Server        Exchange Server

     Microsoft          Microsoft Windows  ==  Microsoft Windows
     Windows

   Riesgo
   ——
     Crítico

   Problema de Vulnerabilidad
   ————————–
     Remoto

  Tipo de Vulnerabilidad
  ———————-
     Múltiples vulnerabilidades

   I. Descripción
   ===============

      Microsoft ha publicado sus boletines de seguridad correspondientes al
      mes de Mayo del 2006 alertando sobre vulnerabilidades en Microsoft
      Windows y en Microsoft Enchange Server. La información completa se
      encuentra disponible a través de las siguientes Notas de
      Vulnerabilidad del US-CERT:

      * VU#303452 – Fallas en Microsoft Exchange en la manera en que
      maneja las propiedades vCal e iCal.

      Microsoft Exchange Server no maneja adecuadamente las propiedades de
      vCal e iCal de los correos electrónicos. La explotación de esta
      vulnerabilidad puede permitir que un intruso ejecute código
      arbitrario en el servidor de correo. (CVE-2006-0027)

      * VU#945060 – Los productos de Adobe Flash contienen múltiples
      vulnerabilidades.

      Varias vulnerabilidades encontradas en los productos de Macromedia
      Flash pueden permitir a un intruso la ejecución de código remoto
      sobre el sistema vulnerable. (CVE-2006-0024)

      * VU#146284 – Fallas en Macromedia Flash Player para validar
      apropiadamente el identificador de los archivos “SWF”.
      Una vulnerabilidad de buffer overflow en algunas versiones de
      Macromedia Flash Player puede permitir la ejecución de código remoto
      sobre el sistema vulnerable.

   II. Impacto
   ===========

      Ejecución de código remoto. Además, un intruso puede ser capaz de
      causar una Negación de servicio.

   III. Solución
   =============

      Aplicar la actualización correspondiente.
      Microsoft ha publicado las actualizaciones de seguridad para estas
      vulnerabilidades en su boletín de seguridad correspondiente. También
      están disponibles a través de su servicio de Microsoft Windows
      Update.

   IV. Apéndice
   =============

          o Proyecto Seguridad en Windows, DSC/UNAM-CERT – <http://
            www.seguridad.unam.mx/windows>

   * Luis Fernando Fuentes Serrano (lfuentes at seguridad.unam.mx)
   * Jesús Ramón Jiménez Rojas (jrojas at seguridad.unam.mx)
    —————————————————————–

    INFORMACIÓN
    ===========

    Éste documento se encuentra disponible en su formato original en la
    siguiente dirección:

==== 4.- Tres boletines de seguridad de Microsoft en mayo ====
Tal y como adelantamos la pasada semana, este segundo martes de mes, Microsoft fiel a su cita ha publicado tres boletines de seguridad. Se han publicado los boletines MS06-018 al MS06-020 y las actualizaciones distribuidas, según la propia clasificación de Microsoft, dos presentan un nivel de gravedad “crítico” y un tercero como “moderado”.

* MS06-018: Destinado a solucionar dos vulnerabilidades de denegación de servicio en el Coordinador de transacciones distribuidas de Microsoft (MSDTC). Afecta a Microsoft Windows 2000, Windows Server 2003 y Windows XP. Según la calificación de Microsoft tiene un nivel “moderado”.

* MS06-019: Se trata de una actualización de seguridad para Microsoft Exchange destinada a solucionar una vulnerabilidad de ejecución remota de código. Afecta a Exchange Server 2000 y 2003. Está calificado como “crítico”.

* MS06-020: Evita dos vulnerabilidades en Flash Player de Adobe provocadas por la forma en que se tratan las animaciones Flash (SWF) y que podrían llegar a permitir la ejecución remota de código. Afecta a Windows XP, Windows 98 y Windows Millennium Edition (ME). Está calificado como “crítico”.

Las actualizaciones publicadas pueden descargarse a través de Windows Update y Office Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

==== 8.- Productos Apple Mac afectados por múltiples vulnerabilidades ====

   Apple ha liberado su Actualización de Seguridad 2006-003 para corregir
   múltiples vulnerabilidades que afectan Mac OS X, Mac OS X Server, el
   navegador Web Safari, Mail y otros productos. La más seria de estas
   vulnerabilidades podría permitir a un intruso remoto ejecutar código
   arbitrario. Los impactos de las otras vulnerabilidades incluyen
   violaciones de restricciones de seguridad y negación de servicio.

     Fecha de Liberación: 12 de Mayo de 2006

     Ultima Revisión:     12 de Mayo de 2006

     Fuente:              CERT/CC y diversos reportes de Equipos de
                          Respuesta a Incidentes, así como Foros y
                          Listas de Discusión.

     CVE ID:              CVE-2006-1457

   Riesgo
   ——
     Crítico

   Problema de Vulnerabilidad
   ————————–
     Remoto

   Tipo de Vulnerabilidad
   ———————-
     Múltiples Vulnerabilidades

   I. Sistemas afectados
   =====================
          o Apple Mac OS X versión 10.3.9 (Panther) y versión 10.4.6
            (Tiger)
          o Apple Mac OS X Server versión 10.3.9 y versión 10.4.6
          o Apple Safari web browser
          o Apple Mail

      Las versiones anteriores de Mac OS X podrían también ser afectadas.
      Consulte la Actualización de Seguridad de Apple 2006-003 para mayor
      información.

   II. Descripción
   ===============
      La Actualización de Seguridad de Apple 2006-003 resuelve un número de
      vulnerabilidades que afectan Mac OS X, OS X Server, el navegador Web
      Safari, Mail y otros productos. Información más detallada puede
      encontrarse disponible en las Notas_de_Vulnerabilidad individuales.

   III. Impacto
   ============
      Los impactos de estas vulnerabilidades varían. Para mayor información
      sobre impactos específicos, consulte las Notas_de_Vulnerabilidad. Las
      consecuencias potenciales incluyen ejecución remota de comandos o
      código arbitrario, violaciones de restricciones de seguridad y
      negación de servicio.

   IV. Solución
   ============
          o Instalar una actualización
            Instalar la Actualización de Seguridad de Apple 2006-003. Estas
            y otras actualizaciones están disponibles a través de Apple
            Update.

          o Deshabilitar la opción “Open ’safe’ files after downloading”
            Para protección adicional, deshabilite la opción “Open ’safe’
            files after downloading”, como se especifica en el documento
            “Asegurando_tu_Navegador_Web” (en inglés).

    * Israel Becerril Sierra (ibecerril at seguridad dot unam dot mx)
    * Jesús Ramón Jiménez Rojas (jrojas at seguridad dot unam dot mx)
    —————————————————————–

    INFORMACIÓN
    ===========

    Éste documento se encuentra disponible en su formato original en la
    siguiente dirección:

==== 9.- Actualización de seguridad de MySQL ====
Las versiones de MySQL anteriores a la 5.0.21 contienen varias vulnerabilidades que permiten provocar la caída del servicio MySQL o el acceso a información potencialmente comprometedora.

MySQL es un servidor de bases de datos SQL, “open source”, muy difundido en el mundo Linux.

Las versiones de MySQL anteriores a la 5.0.21 contienen las siguientes vulnerabilidades:

* Un atacante malicioso puede consumir toda la memoria del servidor mediante el envío de transacciones sin completarlas. Las versiones previas de MySQL no imponen ningún límite en el número de transacciones pendientes, lo que puede llevar a que se consuma toda la memoria disponible y provocar la caída del servicio. A partir de la versión 5.0.21 existe una variable de configuración para fijar un valor máximo.

* Un atacante malicioso puede enviar una petición de “login” o “COM_TABLE_DUMP” inválido, especialmente formateado, y leer así memoria no inicializada. Dicha memoria puede contener datos arbitrarios, potencialmente delicados o valiosos.

* Un atacante malicioso puede enviar un comando “COM_TABLE_DUMP” especialmente formateado y ejecutar código arbitrario en el servidor mediante un desbordamiento de búfer.

Hispasec recomienda a todos los administradores de instalaciones MySQL 5.0 que actualicen cuanto antes a la versión 5.0.21.

La vulnerabilidad está causada por un error en el tratamiento de petiticiones HTTP fragmentadas. Un atacante podrá aprovechar este problema para eludir el filtrado URL de Websense y tener acceso a websites restringidas a través de peticiones GET HTTP fragmentadas en múltiples paquetes.

Para que pueda ser aprovechado requiere que PIX, ASA, o FWSM estén configurados para usar Websense/N2H2 como filtrador de contenido.

Los productos afectados son:
* Cisco PIX software versión 6.3.x y posterior.
* Cisco PIX/ASA software versión 7.x.
* Cisco FWSM software versión 2.3 y 3.1.

Se recomienda actualizar a las versiones no vulnerables.

PIX versión 6.3.x:
Actualizar a la versión 6.3.5(112).

VNC es un software propiedad de la británica RealVNC. Se compone de un servidor y un cliente (viewer) que permite interactuar con el escritorio de entornos Windows, Linux, Solaris y HP-UX desde cualquier plataforma a su vez. Es un software tremendamente extendido (más de 100 millones de descargas desde 1998) entre los administradores de red, debido a su sencillez, potencia y sobre todo, el hecho de estar licenciado bajo GPL.

VNC suele abrir un puerto al exterior para que remotamente el administrador pueda interactuar con cualquier sistema como si estuviese sentado frente el escritorio de un ordenador que puede encontrarse físicamente a miles de kilómetros de distancia. El software ha sido incluido en distintas distribuciones de Linux y forma parte de otros paquetes de software. Para los sistemas que ofrezcan abiertamente el servicio hacia internet, el hecho de que esté protegido por contraseña pierde el sentido ante este fallo y queda virtualmente a disposición de quien conozca los detalles de la vulnerabilidad.

Debido a la importancia del descubrimiento, Wiseman casi no podía creerlo. Mientras programaba un cliente propio para conectarse a servidores VNC, se dio cuenta de que podía acceder al servidor sin conocer la contraseña. Trabajaba con VNC Free Edition 4.1.1 bajo Windows y, después de muchas pruebas para asegurase de que lo que tenía ante sus ojos suponía un grave problema, no pudo más que concluir que realmente estaba ante una gravísima vulnerabilidad.

Tras unos momentos de pánico, en los que Wiseman descargó los “hermanos”
de VNC TightVNC y UltraVNC y comprobó que no eran vulnerables, se puso en contacto con RealVNC y al poco tiempo hicieron disponible la versión no vulnerable 4.1.2.

El fallo se debe a un error de diseño en el proceso de autenticación, mientras el cliente y el servidor llegan a un acuerdo sobre el tipo de autenticación. Uno de estos tipos de autenticación disponibles desde el servidor es precisamente la no autenticación, donde no se pedirá contraseña al cliente. Una implementación incorrecta permite que sea el cliente el que elija el tipo, independientemente del que tenga configurado el propio servidor, de entre un array que éste hace disponible durante la negociación. De esta forma, sólo es necesario cambiar un poco la información que el cliente envía, y será el propio cliente el que tenga la posibilidad de elegir “no autenticación” para acceder al servidor, aunque se encuentre en realidad protegido por contraseña.

Aunque no se han dado detalles técnicos sobre el problema, según se publica en listas de seguridad, es trivial reproducir el fallo, y cuestión de tiempo que aparezca un cómodo exploit capaz de acceder a cualquier servidor que ejecute este popular programa.

Según estas listas, se mira con cierta sospecha la actitud de la compañía VNC ante el problema. Si bien actuaron rápida y efectivamente ante la vulnerabilidad (el mismo 12 de mayo que Wiseman contactó con ellos publicaron una actualización), bien sea por la importancia del asunto o lo simple del error, han decidido optar por el secretismo. Por ejemplo, Wiseman alojó en su blog una prueba de concepto sin detalles para comprobar si se era vulnerable, pero tras pocas horas quedó permanentemente deshabilitada. En la lista “full disclosure” (dedicada a la total revelación de detalles de seguridad ) James Evans afirma que aunque el software está licenciado bajo GPL y por ello es obligatorio hacer público el código fuente junto con el programa compilado, en esta ocasión RealVNC no lo ha hecho. También habla de que sus mensajes a la lista del programa, en los que comentaba el asunto y pedía el código, fueron borrados de los servidores tras ser enviados aunque en estos momentos parecen estar disponibles. En la página oficial no de dan demasiados detalles sobre el asunto.

==== 14.- Herramienta para la detección de malware en   Windows ====

Hace unos días descargue y probé una herramienta libre que ayuda a la detección de malware en los equipos. La herramienta se llama a-squared HiJackFree y realiza un análisis de puertos y procesos abiertos, así como también escanea los servicios y las llaves del registro. Además de generar un reporte de los usuarios que existen en el sistema.

Es una herramienta amigable, ya que cuenta con un reporte gráfico que no requiere de gran experiencia para el análisis de malware. La herramienta a-squared HiJackFree y otras de esta índole se puede descargar del siguiente
sitio:

==== 18.- Acceso no autorizado a Sun Java System Directory Server 5.2 ====
Se ha identificado una vulnerabilidad en Sun Java System Directory Server que puede ser aprovechada por atacantes remotos o locales para comprometer un sistema vulnerable.

El fallo se debe a un error de diseño en el proceso de instalación inicial, que no configura de forma correcta la contraseña administrativa. Esto puede permitir a un usuario local o remoto conseguir acceso de administrador a la consola de Directory Server.

El problema es dependiente de la versión empleada en la instalación original de Directory Server. Si la primera instalación fue de una de las versiones afectadas, los datos de usuario erróneos son grabados en un archivo creado durante la instalación original. Posteriores actualizaciones del producto a versiones no afectadas no corrigen el problema.

Los productos afectados son:
Sun Java System Directory Server versión 5.2 (PatchZIP) Sun Java System Directory Server versión 5.2 Patch2 Sun Java System Directory Server versión 5.2 Patch3 Sun Java System Directory Server versión 5.2 Patch4

No se ha publicado parche para el problema, según recomienda la propia Sun basta con cambiar la contraseña administrativa a través del panel de control o línea de comando:
% <serverroot>/bin/admin/adminconfig -server <server>:<port> -user  <adminuser>:<adminpassword> -setAdminPwd <new passwd>

Es importante destacar que la vulnerabilidad está siendo activamente aprovechada por atacantes a través, principalmente, de correos con adjuntos y que en principio descarga otros componentes dañinos para el sistema.

El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word 2003. Hay que señalar que otros documentos de Office (como Excel o PowerPoint) pueden emplearse como vectores de ataque si incluyen documentos Word embebidos.

No existe parche oficial, se recomienda no abrir archivos Office que provengan de fuentes no confiables.