Boletín 00057 - 29/05/2006

Se ha anunciado una vulnerabilidad en los clientes de Skype para Windows, que puede ser empleada por usuarios maliciosos para evitar restricciones de seguridad y obtener archivos de un sistema remoto. Un atacante que construya una URL de Skype modificada específicamente puede llegar a provocar el inicio de una transferencia de un archivo a otro usuario de Skype. Para ello, basta con que el usuario atacado acceda al enlace malicioso para que se inicie la transferencia sin su consentimiento. Es necesario que el receptor del archivo haya sido previamente autorizado por el usuario que envía el archivo

Skype confirma como vulnerables los clientes Windows con versiones anteriores a la 2.0.*.104 (incluida) y las versiones 2.5.*.0 a la 2.5.*.78 (incluida). Se han publicado versiones actualizadas que corrigen el problema:

==== 3.- Detalles sobre la vulnerabilidad de Microsoft Word ====
A finales de la semana pasada se encontraba una vulnerabilidad en Microsoft Word que puede ser aprovechada por atacantes para comprometer el sistema. El fallo se debe a un error no especificado que puede derivar en la ejecución de código arbitrario. Debido a que el problema está siendo activamente aprovechado y no existe parche oficial, se ha convertido en un “0 day”, lo que supone un importante problema de seguridad.

La primera pista que se encontró sobre esta vulnerabilidad fue a través de un usuario de una compañía que detectó un dominio incorrecto en un correo que parecía completamente legítimo. Se hacía pasar por un email interno, incluso incluía firmas e iba dirigido expresamente a la víctima elegida. Por supuesto, tampoco era detectado por ningún antivirus. Al contrario que la mayoría del malware que conocemos, que suele ser genérico y lanzado indiscriminadamente contra cualquiera que posea un sistema desprotegido, esta era una amenaza directa a la compañía que lo estaba recibiendo, un ataque perpetrado especialmente contra ellos. Esto lo ha convertido en una amenaza solapada y oculta durante no se sabe cuánto tiempo.

Los correos en cuestión contienen un adjunto en formato Word (extensión .doc) que aprovecha una vulnerabilidad no conocida hasta ahora (funciona sobre un sistema totalmente parcheado hasta la fecha) para ejecutar código bajo los permisos del usuario que pretendiese conocer su contenido haciendo uso de Microsoft Office 2002 ó 2003. En ese momento el sistema descarga y ejecuta un troyano. A partir de aquí el troyano limpia sus huellas sobrescribiendo el documento Word original por uno no infectado. Tiene además una funcionalidad de rootkit, de forma que oculta al Explorer uno de los ficheros implicados en el exploit (winguis.dll). Según el propio descubridor, que envió sus muestras a Virustotal.com, ningún antivirus lo reconocía como tal en ese momento.
Para el usuario, mientras se realiza todo el proceso de infección, Word deja de responder con un error y se ofrece la opción de reabrir el archivo. Si se acepta, el nuevo documento que no contiene ningún tipo de infección es abierto sin problemas.

Hasta ahora se han reconocido dos variantes clasificadas por las casas antivirus como GinWui.A y GinWui.B, pero todavía no se ha detectado una presencia masiva. Es cuestión de tiempo que ocurra, en cuanto los detalles técnicos se hagan públicos.

Según eEye, los asuntos de los correos que cargan con el archivo de Word adjunto son:

“Notice” y “RE Plan for final agreement”

Y el nombre de los archivos en sí:

“NO.060517.doc.doc” y “PLANNINGREPORT5-16-2006.doc”

El fallo ha sido verificado en Microsoft Word 2002 y Microsoft Word 2003 aunque otros componentes de Office podrían verse afectados. Ni Word Viewer 2003 ni Office 2000 son vulnerables al problema. El archivo no se ejecuta de forma automática, sino que es necesario que el usuario ejecute el archivo dañino (con una de las versiones de Office) para que se libere el código en su sistema. Si el usuario es administrador, GinWui tendrá total control sobre el ordenador.

Microsoft ha declarado que publicará un parche de seguridad, como máximo, el día 13 de junio. Mientras, recomienda utilizar Microsoft Word en modo seguro. Para ello, según Microsoft, es necesario deshabilitar la funcionalidad de Outlook para usar Word como editor de correo electrónico y ejecutar winword.exe siempre con el parámetro “/safe”.

Este GinWui llama la atención por haberse descubierto de una forma poco habitual. Normalmente, tratándose de un “0 day”, se alerta de alguna vulnerabilidad que permite la ejecución de código y se hacen públicos los detalles para sacar partido de ella cuando todavía no existe parche oficial. A partir de ahí, en pocos días, aparecen virus y malware en general capaz de aprovecharla en su propio beneficio y que son lanzados de forma masiva para infectar al mayor número de sistemas posible. En ese momento las casas antivirus capturan su firma y se convierte en un virus fichado. Con GinWui, por el contrario, la vulnerabilidad se ha descubierto a través de un troyano que ya era capaz de aprovecharla siendo ésta previamente desconocida y, además, “gracias” a un ataque construido específicamente contra una compañía. Es a partir de ahora cuando el procedimiento se asemeja al “tradicional”, esto es, los detalles se hacen públicos, los ataques se multiplican y casi todas las casas antivirus reconocen el troyano. La peligrosidad desciende aunque siga siendo alta.

Como advertía en un boletín anterior, el hecho de conocer algún mecanismo que permite tomar el control de un sistema y que no es detectado por nada ni por nadie hasta ese momento, tiene mayor valor en tanto en cuanto es conocido por un menor número de personas. En estos casos la amenaza resulta real y tremendamente peligrosa, y este ha sido uno de esos casos. Realmente nunca se sabrá durante cuánto tiempo esta vulnerabilidad ha sido conocida por unos pocos, que la han usado discretamente en su propio beneficio y el valor de lo que han podido llegar a obtener de los sistemas infectados.

Desde Hispasec se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.

==== 5.- Herramienta para prevención de spyware ====
Una herramienta gratuita que nos puede ayudar a protegernos del spyware y de las modificaciones en la configuración de nuestro navegador Web (especificamente en IE que es más vulnerable) es SpyBot - Search & Destroy. Es fácil de usar y tiene bastantes ventajas comparadas con el nuevo antispyware de Microsoft (WindowsDefender). La referencia para descargarlo es la siguiente:

==== 7.- Elevación de privilegios en Cisco VPN Client para Windows ====

Cisco ha publicado una actualización para el cliente Cisco VPN (Cisco VPN Client) para Windows debido a que se ve afectado por una vulnerabilidad de escalada de privilegios local que permite a un usuario obtener derechos de administrador.

Para poder aprovechar el problema un usuario necesita iniciar una sesión interactiva en Windows. El fallo se encuentra en el interfaz gráfico de usuario (GUI) de Cisco VPN Client para Windows también conocido como VPN client dialer.

Las versiones afectadas son (excluyendo a usuarios de Windows 9x):
2.x
3.x
4.0.x
4.6.x
4.7.x excepto 4.7.00.0533
4.8.00.x

==== 10.- Revelación de credenciales de usuario en Novell NetWare 6.5 ====

Se ha encontrado un problema de seguridad en Novell Netware que puede ser aprovechado por atacantes locales para obtener información sensible. El fallo reside en la función groupOperationsMethod en PORTAL.NLM debido a que podría llegar a escribir las credenciales de usuario en abend.log en texto claro.

Se ha descubierto una vulnerabilidad en el antivirus de Symantec Enterprise Edition en las versiones 10 y posteriores. Hasta el momento quien ha descubierto tal vulnerabilidad ha sido eEye, los cuales afirman que tal error puede desencadenar en un gusano tan nocivo como lo fue Blaster y slammer en el 2003. Por parte de Symantec aún no ha confirmado la existencia de tal vulnerabilidad y mucho menos la actualización para solucionarla.

Mantengámonos alerta sobre la posible actualización a tal vulnerabilidad, la cual se pronostica que sea lo antes posible, ya que el error puede ser fácilmente explotable y extensible para todos los usuarios de Symantec.

Más información acerca de este problema:

==== 14.- Actualización del kernel de Red Hat Enterprise Linux 4 ====

Red Hat ha publicado una actualización para su núcleo que corrige múltiples vulnerabilidades. Entre las vulnerabilidades corregidas se encuentran las siguientes:

* Denegación de servicio local a través de ipv6.
* Un fallo en el módulo atm permite a usuarios locales provocar una denegación de servicio a través de ciertas llamadas a scokets.
* Un fallo en el cliente NFS permite a usuarios locales provocar una denegación de servicio a tarvés de O_DIRECT.
* Un fallo en la implementación del keyring permite a un atacante local provocar una denegación de servicio.
* Una vulnerabilidad de denegación de servicio remota por un error en SCTP-netfilter.
* Un fallo en la memoria virtual permite a usuarios locales provocar una denegación de servicio a través del comando lsof.
* Una vulnerabilidad de escalada de directorios en smbfs permite a usuarios locales escapar de las restricciones chroot en un sistema montado con SMB.

Se recomienda actualizar a través de las herramientas automáticas up2date. Según versión y plataforma, las actualizaciones están disponibles a través de Red Hat Network.

Se ha anunciado la existencia de una vulnerabilidad en IBM AIX, por la que un usuario local podrá elevar sus privilegios en los sistemas afectados. Se ven afectadas las versiones AIX 5.1, 5.2 y 5.3. El problema reside en un error en “lsmcode”, que puede permitir a usuarios locales la ejecución de código con privilegios de root. IBM ha anunciado la próxima publicación de las siguientes actualizaciones:

- APAR IY85518 para AIX 5.1.0 (disponible aproximadamente 19/7/06)
- APAR IY88524 para AIX 5.2.0 (disponible aproximadamente 23/8/06)
- APAR IY85517 para AIX 5.3.0 (disponible aproximadamente 23/8/06)