Boletín 00060 - 27/06/2006

==== 1.- Doce boletines de seguridad de Microsoft en mayo ====

Tal y como adelantamos ayer, hoy como corresponde a cada segundo martes de mes, Microsoft ha publicado doce boletines de seguridad.

Se han publicado los boletines MS06-021 al MS06-032 y las actualizaciones distribuidas, según la propia clasificación de Microsoft, ocho presentan un nivel de gravedad “crítico”, tres son calificadas como “importantes” y una última como “moderada”.

* MS06-021: Se trata de una actualización acumulativa para Internet Explorer, que además soluciona ocho nuevas vulnerabilidades en el navegador de Microsoft, que pueden llegar a permitir la ejecución remota de código. Está calificado como “crítico”.

* MS06-022: Destinado a solucionar una vulnerabilidad de ejecución remota de código en la forma en la que Windows maneja imágenes ART. Afecta a Windows Server 2003, Windows XP, Windows 98 y Windows Millennium Edition (Me). Según la calificación de Microsoft tiene un nivel “crítico”.

* MS06-023: Evita una vulnerabilidad en Microsoft JScript podría permitir la ejecución remota de código. Afecta a Windows 2000, Windows Server 2003 y Windows XP, Windows 98 y Windows Millennium Edition (ME). Está calificado como “crítico”.

* MS06-024: Se trata de una actualización para Microsoft Windows Media Player, para solucionar una vulnerabilidad de ejecución remota de código arbitrario en el reproductor al tratar imágenes en formato PNG. Afecta a Windows Media Player 9, 10 y Windows Media Player para XP. Recibe el nivel de “crítico”.

* MS06-025: Destinado a solucionar dos vulnerabilidades de ejecución remota de código en el servicio de acceso remoto y enrutamiento.

Afecta a Windows 2000, Windows Server 2003 y Windows XP.

Según la calificación de Microsoft tiene un nivel “crítico”.

* MS06-026: Se trata de una actualización de seguridad para evitar una vulnerabilidad en el motor de proceso de gráficos podría permitir la ejecución remota de código. Afecta a Windows 2000, Windows Server

2003 y Windows XP. Según la calificación de Microsoft tiene un nivel “crítico”.

* MS06-027: Soluciona una vulnerabilidad de ejecución remota de código en Microsoft Word. Afecta a Word 200, 2002 y 2003. Microsoft califica esta actualización como “crítica”.

* MS06-028: Evita una vulnerabilidad en PowerPoint que podría permitir la ejecución remota de código. Afecta a PowerPoint 2000,

2002 y 2003. También recibe una calificación de “crítico”.

* MS06-029: Se trata de una actualización para Microsoft Exchange Server con Outlook Web Access podría permitir la inyección de scripts.

Afecta a Exchange 2000 y Exchange Server 2003. Recibe el nivel de “Importante”.

* MS06-030: Evita dos vulnerabilidades en SMB (SMB) que podrían permitir la elevación de privilegios o una denegación de servicio.

Afecta a Windows 2000, Windows Server 2003 y Windows XP. Según la calificación de Microsoft tiene un nivel “Importante”.

* MS06-031: Destinado a solucionar una vulnerabilidad de falsificación en el servicio RPC que puede permitir a un atacante la falsificación de un recurso de red confiable. Afecta a Windows 2000. Recibe el nivel de “Moderado”.

* MS06-032: Se trata de una actualización de seguridad para evitar una vulnerabilidad en TCP/IP que podría permitir la ejecución remota de código. Afecta a Windows 2000, Windows Server 2003 y Windows XP. Según la calificación de Microsoft tiene un nivel “Importante”.

Las actualizaciones publicadas pueden descargarse a través de Windows Update y Office Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

Opina sobre esta noticia:

==== 4.- Denegación de servicio en Sendmail 8.13.6 y anteriores ====
Se ha encontrado una vulnerabilidad en Sendmail que puede ser aprovechada por atacantes remotos para provocar una denegación de servicio. Sendmail es el MTA (Mail Transfer Agent) más veterano y popular en Internet, con una cuota de bastante más del 50% de los servidores de correo.

La vulnerabilidad está causada por un error en la función recursiva mime8to7() a la hora de realizar conversiones MIME. Algunos procesos pueden dejar de responder si se procesan conversiones MIME especialmente manipuladas para provocar la interrupción del servicio. El proceso Sendmail puede quedarse sin espacio de pila si se le proporciona un mensaje MIME profundamente anidado, con lo que dejaría de responder.

Específicamente, la denegación de servicio se producirá porque los mensajes en cola no serán entregados o porque los ficheros de volcado de core (core dump) acabarán con el espacio disponible en disco. La nueva versión limita el valor de la constante MAXMIMENESTING para evitar el problema.

El fallo ha sido confirmado en la versión 8.13.6 y anteriores. La mayoría de fabricantes están en estos momentos publicando actualizaciones para sus distintos productos y distribuciones. Desde Hispasec, se recomienda que los sistemas sean actualizados lo antes posible.

Desde la página oficial:

La firma MD5 para comprobar la integridad del fichero sendmail.8.13.7.tar.gz es 5327e065cb0c1919122c8cecbeddbc28

Microsoft publicó el día 13 de junio, como cada segundo martes de mes,12 boletines de seguridad que agrupaban 21 vulnerabilidades distintas. Desde octubre de 2004 no se recordaba un conjunto de vulnerabilidades tan numeroso. Incluso en aquella ocasión, fueron algunas menos las calificadas como críticas.

El aumento de parches no tiene nada que ver con la casualidad. Es posible que esté relacionado con la oferta que desde febrero realiza iDefense a quien descubra una vulnerabilidad crítica en Windows. Ofrece hasta 10.000 dólares, nada más y nada menos. Por si fuera poco, TrippingPoint, otra compañía privada, ofrece 50.000 dólares a quien encuentre fallos críticos no sólo en Windows, sino en “software popular”… Estas dos iniciativas son responsables en total, de seis de las vulnerabilidades descubiertas.

Pero el peligro no se encuentra sólo en el número de vulnerabilidades ni en que los “investigadores” sean motivados para descubrirlas, sino en el cada vez más corto lapso de tiempo que ocurre desde que se hace público un fallo y aparecen exploits para aprovecharlo. Antes de que se hiciesen públicos los boletines, ya se estaban aprovechando activamente tres vulnerabilidades descritas en MS06-021 y MS06-027, todas calificadas como críticas. Para dos vulnerabilidades descritas en el MS06-030, también se han hecho públicos exploits a partir de los boletines.

En total, se habla de que existen códigos públicos o privados para aprovechar hasta 6 de las 21 vulnerabilidades. Todo eso, tan sólo algunas horas después de que aparezcan los boletines y los parches y de que los usuarios puedan actualizarse.

Aunque no todas las vulnerabilidades están siendo aprovechadas en masa, el simple hecho de que existan suponen un grave problema. Como ya hemos repetido en varias ocasiones, el malware puede ser mucho más productivo y duradero si se ataca con él a un número de víctimas reducido. Es ese simple “capricho” circunstancial el que ha librado desde hace algunos años al resto de millones de usuarios de sufrir periódicamente un gusano o virus masivo que afecte a nivel mundial.

En lo referente a los administradores, ya no se puede hablar de ventanas de tiempo ni de periodo de pruebas para aplicar parches. Ya no existe ese intervalo de tiempo en el que los administradores podían permitirse ser vulnerables (porque no se conocía amenaza) en espera de probar los parches y su impacto en el entorno o simplemente para distribuirlos entre un gran número de máquinas. Hoy por hoy, deben actuar lo antes posible y además emprender una importante reforma en el sistema para mitigar el posible impacto de no aplicar parches o hacerlo a destiempo. Esto, en muchos entornos, no es siempre posible y se ven desbordados ante un trabajo a contrarreloj que puede acarrear incompatibilidades.

Y es que el panorama no invita a la relajación ni el despiste. En particular Microsoft advierte sobre la importancia de los boletines MS06-021, MS06-022 y MS06-023, cuyas vulnerabilidades permiten la ejecución de código con sólo visitar una página web con Internet Explorer.

Pero actualizar un sistema Windows tampoco garantiza nada. No pasaron ni 48 horas desde los últimos boletines, y ya ha aparecido un nuevo “0 day” o amenaza sin parche. Igual que se descubrió a mediados de mayo una vulnerabilidad en Microsoft Word que podía ser aprovechada por atacantes para comprometer el sistema, se acaba de hacer pública otra de similares características en Excel. Incluso las dos se han descubierto en parecidas circunstancias. La vulnerabilidad es aprovechada con sólo abrir un archivo XLS con Microsoft Excel. El código ejecutado intenta descargar malware desde una página web e inyecta código en Internet Explorer para saltarse posibles cortafuegos. Microsoft ha confirmado el problema y se está a la espera de más detalles. Para muchos, la sensación de un sistema completamente actualizado y razonablemente seguro se ha esfumado en cuestión de horas.

Este es un ejemplo más de la importancia y valor actual de una vulnerabilidad que permita la ejecución de código en programas populares. Instalar de alguna forma código no deseado en los sistemas operativos, es la piedra angular de las bandas organizadas detrás de los ataques de phishing y demás actividades ilegales, y la ejecución de código se consigue, en su mayoría, a través de las vulnerabilidades.  Es lo que alimenta un negocio muy rentable y de ahí el ansia y la vorágine de información fresca y privilegiada que permita continuar con él.

El análisis, descubrimiento, parcheo y tráfico de vulnerabilidades se está convirtiendo en una carrera cada vez más veloz y vertiginosa en la que a nadie se le perdonará un descuido.

==== 6.- Salto de restricciones de seguridad en Sun Grid Engine ====
Se ha anunciado una vulnerabilidad de seguridad en Sun Grid Engine, que puede ser empleada por atacantes locales para evitar restricciones de seguridad. El problema confirmado en Sun Grid Engine 5.3 y Sun N1 Grid Engine 6.0, en todas las plataformas, puede permitir a un usuario local sin privilegios detener el servicio grid, o hacer uso de él incluso si el acceso fue denegado. La vulnerabilidad está provocada por una autorización y autenticación incompleta cuando se trabaja en modo CSP (Certificate Security Protocol).

El fallo afecta a las siguientes versiones de Excel: 2003, Viewer 2003, 2002, 2000, 2004 para Mac y v. X para Mac. Para que el error pueda ser aprovechado y un atacante consiga ejecutar código, la víctima deberá abrir con alguna de estas versiones un archivo especialmente manipulado.
Habitualmente, la extensión más “sospechosa” será xls pero también xlt, xla, xlm, xlc, xlw, uxdc, csv, iqy, dqy, rqy, oqy, xll, xlb, slk, dif, xlk, xld, xlshtml, xlthtml y xlv son susceptibles de provocar problemas si son abiertas con Excel.

El archivo especialmente manipulado puede llegar a través de cualquier medio y de cualquier fuente. El hecho de que un correo con remitente conocido adjunte un fichero en Excel no debe suponer que automáticamente se confíe en él. Como con cualquier otro malware, las direcciones de los remitentes pueden ser falsificadas.

El código para aprovechar esta vulnerabilidad (exploit) es público y está a disposición de cualquiera con mínimos conocimientos de programación. Los privilegios que conseguiría el atacante serían los mismos que los del usuario que ha abierto el archivo. Algunas casas antivirus reconocen ya este ataque con diferentes nombres, pero sin duda aparecerán variantes, quizás no detectadas, en los próximos días. Por ahora, su difusión es bastante discreta.

En Excel 2002 y 2003, el programa preguntará si se quiere abrir, salvar o cancelar la acción antes de abrir el archivo manipulado, lo que supone una pequeña forma de mitigar el problema. En Excel 2000 lo abrirá de forma automática. No existe parche oficial, y Microsoft no se ha pronunciado sobre fechas de publicación. Mientras, recomienda mitigar el impacto del problema a través de algunas modificaciones en el registro.

Para Excel 2003, Microsoft recomienda evitar el “modo recuperación” de Excel. Para ello se debe acceder a la siguiente rama del registro:

HKEY_CURRENT_USER/Sofware/Microsoft/Office/11.0/Excel

crear o modificar el valor de “Resiliency” y eliminar la lista ACL (Access Control List) para que nadie pueda acceder a este valor.

El impacto de esta contramedida podría se calificado de medio. Se perderá la funcionalidad de recuperación de documentos Excel corruptos. Después de aplicar esta contramedida Microsoft Excel no intentará reparar documentos corruptos y no se recuperará si se abre un documento mal formado. Si esto ocurre será necesario eliminar los procesos a mano.

Aparte de estas medidas, y a la espera de posibles virus o malware en general que pretendan aprovechar este problema y replicarse a través de correo electrónico, se recomienda limitar o eliminar si es posible los archivos adjuntos en este formato a nivel de servidor perimetral de correo. Además, se deberá impedir que otros componentes de Windows como Outlook o Internet Explorer, ejecuten de forma automática archivos Excel.

Se debe prestar especial atención a este tipo de problemas de seguridad que afectan a un software tan popular, y sobre los que la información suele ser escasa o confusa. Muchos usuarios todavía no conciben que archivos con extensiones históricamente confiables puedan suponer un problema para sus sistemas. Cualquier archivo puede resultar potencialmente peligroso siempre que se combinen adecuadamente las circunstancias. En realidad, sólo es necesario un programa vulnerable que interprete un fichero que sepa aprovechar esa vulnerabilidad. Con esta premisa en mente, cualquier archivo puede resultar fatal mucho más allá de los típicos ejecutables para Windows.

Desde Hispasec se recomienda no abrir correos con adjuntos no solicitados o no confiables, vigilar los privilegios de usuario y, a ser posible, utilizar otras herramientas ofimáticas hasta la aparición del parche.

==== 9.- Desbordamiento de memoria intermedia a través de ficheros MIDI en Winamp 5 ====
Se ha identificado una vulnerabilidad en Nullsoft Winamp que puede ser aprovechada por atacantes remotos para hacerse con un sistema vulnerable.

Winamp es seguramente el reproductor de archivos multimedia más famoso para plataformas Windows. Entre sus cualidades está el soportar múltiples formatos, ser ligero, aceptar infinidad de plug-ins y la posibilidad de descarga de versiones gratuitas.

El fallo se debe a un desbordamiento de memoria intermedia en la librería in_midi.dll, que no maneja adecuadamente cabeceras especialmente formadas de archivos MIDI. Esto podría ser aprovechado por atacantes para hacer que la aplicación deje de responder y posiblemente ejecutar código arbitrario. Para ello un usuario sólo tendría que visitar una página especialmente manipulada que intentase abrir un archivo en formato .mid o ejecutarlo directamente si el atacante lo envía de alguna forma.

Muchos usuarios no tienen conciencia de la importancia de actualizar todo el software que puedan tener instalado en su sistema, independientemente del sistema operativo. Winamp, cada cierto tiempo, sufre de un problema de desbordamiento de memoria en algún formato y puede convertirse en un origen de ataques al sistema tan peligroso como cualquier otro. En la mayoría de las ocasiones, sólo necesita de la ejecución de un archivo con la aplicación vulnerable para ser aprovechado. Su popularidad lo convierte en un jugoso objetivo para atacantes.

El problema se ha confirmado en las versiones 5.1.4 y 4.4.2 aunque otras versiones se pueden ver afectadas.

Se recomienda no confiar en el modo seguro para proteger contra scripts PHP o deshabilitar la función error_log.