Boletín 00064 - 31/07/2006

Lo que hasta ahora parecía solo posible en las películas de cine, empieza a ser estudiado como una posible amenaza: engañar los sistemas de identificación biométricos mediante suplantación. La suplantación biométrica no es ninguna novedad. De hecho, cualquiera que haya visto películas donde intervienen sistemas informáticos casi seguro que ha visto algún ejemplo. Desde los más clásicos (cortar el dedo para acceder a los sistemas protegidos mediante huella digital o grabar la contraseña en una cinta magnetofónica) a los más ’sofisticados’ de utilizar una lentilla para imitar el iris.

En el pasado algunas de estas ‘hazañas cinematográficas’ han sido realizadas en entornos de laboratorio. Ya hace años se demostró como muchos sistemas de reconocimiento de huella digital podían ser fácilmente suplantados (afortunadamente no era necesario cortar el dedo del usuario; un molde del dedo realizado con gelatina era más que suficiente).

No obstante, el último aviso sobre la posibilidad de realizar una suplantación biométrica ha venido de la laboratorio de biometría de Deloitte & Touch: no es necesario el dedo, basta con disponer de la huella digital, algo que solemos dejar en virtualmente cualquier sitio.
Para protegerse ante esta amenaza, algunos sistemas lectores verifican que la huella suministrada tiene pulso, evitando así la lectura de dedos y huellas artificiales.

Por ahora son únicamente pruebas de concepto a nivel de laboratorio:
recoger una huella digital y utilizarla para suplantar a un usuario a través de un lector biométrico. No obstante, cabe recordar que los sistemas biométricos no son habitualmente utilizados por lo que los incentivos para los atacantes son reducidos. Ahora bien, la utilización de un sistema de protección biométrico también suele ser un indicador que allí hay algo de valor.

La lección importante que debe aprenderse de esto es que la biometría trata con un elemento que no es secreto: hay elementos visibles que pueden ser registrados (cara, iris…); la voz puede grabarse; por allí donde pasamos solemos dejar muestras de ADN y huellas digitales.
En consecuencia, la biometría es un mal sustituto de los sistemas de identificación, pero puede ser útil en sistemas de autenticación de doble factor: no sólo es necesario demostrar que el dedo es nuestro, también deberemos asegurar que sabemos algo, como una contraseña o un PIN.

==== 4.- Revelación de información a través del servidor web en FireWall-1/VPN-1 ====
Se ha encontrado una posible vulnerabilidad en FireWall-1/VPN-1 por la que un atacante remoto puede ver ficheros arbitrarios del sistema víctima. El programa no comprueba correctamente la entrada proporcionada por el usuario en el servidor web embebido que se ejecuta en el puerto 18264 a través de TCP. Un atacante remoto podría realizar una petición que contuviese caracteres hexadecimales especialmente manipulados y ver así archivo en el sistema víctima.

Check Point ha informado que este problema ha sido corregido en la versión FireWall-1 R55W HFA03.

En un artículo, firmado por Claudiu Dumitru y publicado en viruslist.com, se ha desgranado el número de vulnerabilidades encontradas en los primeros seis meses de 2006 y comparado con el primer semestre de 2005. Este año, se han descubierto 60 vulnerabilidades, mientras que en 2005 fueron 51. Aunque a muchos sorprenda la cantidad de vulnerabilidades, cabe recordar que en todo software se descubren gran cantidad de fallos mensualmente, aunque los medios generalistas no redacten noticias con ellos. En cualquier caso, como siempre, lo interesante no está en los números totales (que suelen esgrimirse con intenciones tendenciosas), sino en los detalles escondidos detrás de estas cifras.

Lo que más llama la atención es el ligero cambio de tendencia en el sistema de Apple, en paralelo con el que ya ha sido observado estos meses en el sistema operativo de Microsoft. Entre enero y junio de 2005, de los 51 errores, se encontraron 38 que estaban relacionados estrictamente con el sistema operativo Mac OS, mientras que este año sólo son 24. El incremento de vulnerabilidades lo han sufrido las aplicaciones. Safari, iTunes, QuickTime, el cliente de correo y otros programas instalados por defecto, han elevado sus fallos hasta 36, mientras que en 2005 sólo se encontraron 13 vulnerabilidades en ellos.

Queda claro que la fijación de investigadores y otras personas relacionadas con la seguridad se ha centrado en la búsqueda de errores en aplicaciones que rodean al sistema operativo, en detrimento de problemas en el sistema en sí, habitualmente menos accesible desde el exterior (muchos de los problemas del sistema operativo son aprovechables sólo de forma local y a través de cuentas legítimas). Los fallos en aplicaciones populares permiten ser aprovechados de forma anónima y remota con el envío de archivos especialmente manipulados, lo que facilita la tarea de comprometer un sistema aunque requiera de cierta interacción de la víctima.

Esta misma tendencia que centra sus esfuerzos en la búsqueda de errores no ya en el propio sistema operativo, sino en aplicaciones habitualmente instaladas sobre él, es la que ha estado sufriendo Microsoft en los últimos meses. Se ha observado un espectacular incremento de vulnerabilidades en Office e Internet Explorer que han salido a la luz en forma de “0 day” (vulnerabilidades públicas sin parche). Mientras, errores en el sistema operativo han sido relativamente escasos y hechos públicos a través de un boletín con su respectivo parche.

La nueva tendencia puede responder a los esfuerzos por asegurar los sistemas operativos que todos los fabricantes han puesto en marcha, y a la necesidad de criminales y mafias de abrir nuevas vías para la introducción de malware a través de Internet. Esta nueva vía de aprovechar vulnerabilidades que surge también en los productos de Apple, permite barajar la posibilidad de MacOS X como un sistema cada vez más popular y objetivo de malware, aunque a corto plazo es poco probable que esto ocurra.

En este sentido, el único “susto” que sufrieron los usuarios de Mac pasó con más bombo que gloria en forma de gusano llamado Leap.A. El troyano apareció en febrero y gozó de cierta popularidad pero, entre otras razones, su torpe programación impidió una difusión más allá de la anécdota.

Aun así Stephen Toulouse, jefe de comunicaciones sobre respuestas de seguridad de Microsoft, publicó en su blog personal una nota donde de manera informal, lanzaba consejos a su rival Apple. A finales de marzo, con el asunto de Leap.A todavía candente, hablaba de ataques masivos contra el sistema de la manzana y de la necesidad inminente de un antivirus para sus usuarios. Aconsejaba también a Apple tomar otro rumbo con respecto a su política de publicación de boletines e información sobre vulnerabilidades (que consideraba escasa). Aseguraba además que en los próximos años Mac OS experimentaría un aumento considerable de amenazas especialmente dirigidas a ellos. Toulouse ya comparaba lo que Apple está experimentando hoy con los cada vez más habituales ataques a Windows que requieren interacción por parte del usuario. Reconocía haber aprendido la lección en ese sentido para ofrecer a sus clientes información clara y orientación preceptiva de forma rápida.

En cualquier caso, al margen de polémicas, quizás Mac OS pague el precio de una creciente fama y sufra las mismas tendencias que Microsoft con respecto a vulnerabilidades y malware. Por supuesto, al menos por ahora y durante una buena temporada, a una escala infinitamente menor.

==== 6.- Múltiples vulnerabilidades en Mozilla Firefox, Thunderbird y SeaMonkey ====
Se han identificado múltiples vulnerabilidades en Mozilla Firefox, SeaMonkey y Thunderbird que pueden acarrear diferentes problemas de seguridad, muchos de ellos críticos. Los fallos, hasta catorce, son descritos a continuación:

* Un error a la hora de asignar valores especialmente manipulados a través de Java en el objeto window.navigator. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario a través de la visita a una página.

* Una corrupción de memoria a la hora de manejar eventos XPCOM concurrentes. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario a través de la visita a una página o de un correo.

* Un error a la hora de acceder a métodos DOM nativos que puede ser aprovechado por atacantes para tener acceso a cookies y otra información sensible.

* Un error a la hora de borrar variables temporales usadas en la creación de nuevos objetos Function, que puede ser aprovechado por atacantes para comprometer el sistema a través de la visita a una página o correo.

* Un error de desbordamiento de heap a la hora de procesar adjuntos en formato Vcard. Es posible ejecutar código arbitrario si contiene un campo base64 especialmente formado.

* Un error a la hora de borrar objetos temporales. Un atacante puede aprovechar este problema para ejecutar código arbitrario a través de la visita a una página o de un correo.

* La referencia JavaScript a los objetos frame y window no se elimina debidamente cuando se borra la referencia al contenido. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario a través de la visita a una página o a través de un correo.

* Un desbordamiento de enteros a la hora de procesar cadenas muy largas pasadas al método toSource, que puede ser aprovechado para ejecutar código arbitrario.

* Un error en el constructor Object, que puede aprovecharse para comprometer un sistema a través de una página o correo.

* Una escalada de privilegios a la hora de manejar scritps Proxy AutoConfig (PAC) especialmente manipulados. Esto puede permitir a atacantes remotos eludir restricciones de seguridad.

* Errores en los permisos UniversalBrowserRead y UniversalBrowserWrite pueden ser aprovechados por scripts para elevar privilegios e instalar programas arbitrarios en sistemas vulnerables.

* Un error a la hora de procesar objetos XPCNativeWrapper especialmente manipulados permite a atacantes perpetrar ataques de cross site scripting.

* Un error a la hora de manejar URIs de chrome puede ser aprovechado por atacantes para ejecutar scripts arbitrarios con privilegios elevados.

* Varios errores de corrupción de memoria pueden ser aprovechador para comprometer el sistema a través de una página especialmente manipulada.

Las versiones vulnerables son:

En Mozilla Firefox, 1.5.0.4 y anteriores.
En Mozilla Thunderbird, 1.5.0.4 y anteriores.
En Mozilla SeaMonkey, 1.0.2 y anteriores.

Se recomienda actualizar los sistemas a la versión 1.5.0.5 de Firefox y Thunderbird y 1.0.3 de SeaMonkey que solventa estos errores. Si se tienen configuradas las actualizaciones automáticas, la aplicación descargará automáticamente esta versión a partir de hoy.

==== 8.- Denegación de servicio a través de protocolo TCP en Sun Solaris 8, 9 y 10 ====
Se ha encontrado un fallo por el que un usuario remoto privilegiado podría crear un “ACK storm” o “ACK flood” a través de conexiones TCP y provocar así una denegación de servicio por consumo de recursos.

Un “ACK storm” ocurre cuando se envían secuencias de paquetes TCP con numeración incorrecta. Las respuestas y envíos erráticos por parte de cliente y servidor agotan los recursos y provocan que deje de responder.

La aplicación de los parches limita el número de respuestas a paquetes TCP especialmente formados, previniendo este tipo de ataque.

Se recomienda aplicar, según versión y plataforma:

==== 9.- Denegación de servicio a través de Rewrite en Apache Server 1.x y 2.x ====
Se ha encontrado una problema de seguridad en Apache HTTP Server que puede ser aprovechado por atacantes remotos para comprometer un sistema vulnerable.

El fallo se debe a un error off-by-one en mod_rewrite, y puede ser aprovechado para provocar un desbordamiento de memoria intermedia del tipo one-byte.

Si se explota este problema el servidor podría dejar de responder o permitir la ejecución de código arbitrario bajo ciertas circunstancias (depende de las opciones con las que el servidor fue compilado).

También se deben dar estas condiciones:
* Deben existir reglas Rewrite por las que se controle el comienzo de una URL.

* Las reglas RewriteRule no deben incluir las flags Forbidden (F), Gone (G), o NoEscape (NE).

Se recomienda actualizar a las versiones 1.3.37, 2.0.59, o 2.2.3.

==== 10.- Denegación de servicio en el protocolo IKE de productos Cisco ====
Se ha encontrado una vulnerabilidad en el protocolo IKE (Internet Key Exchange) que permite provocar una denegación de servicio por consumo de recursos. Si se consigue aprovechar la vulnerabilidad, un atacante podría impedir que usuarios legítimos negociasen una conexión segura.

Según Cisco, esta vulnerabilidad no está asociada a ningún fabricante concreto, sino que es específica del protocolo IKE version 1. Afecta a sistemas que lo implementen, y en Cisco son: PIX y en appliances de seguridad ASA, Cisco IOS software, y concentradores VPN 3000 Series.