Boletín 00065 - 31/07/2006

==== 1.- Vulnerabilidad en el servicio “Servidor” de Microsoft Windows ====
Se ha encontrado un problema de seguridad en el servicio Servidor de Windows que puede ser aprovechado por un atacante para provocar una denegación de servicio.  El fallo se debe a un puntero a null en el driver de servidor srv.sys a la hora de manejar mensajes SMB especialmente manipulados.

El problema no tiene relación con el boletín de seguridad MS06-035 publicado por Microsoft en julio. El fallo afecta a zonas de código distintas y, por ahora, Microsoft afirma que no es posible ejecutar código a través de esta vulnerabilidad, sólo provocar una denegación de servicio del sistema causando que deje de responder (pantalla azul de la muerte).

Se ha hecho público un exploit funcional de la vulnerabilidad. No existe parche oficial, se recomienda bloquear el tráfico que provenga de fuentes desconocidas a los puertos 135-139 y 445 o desactivar el servicio si no es imprescindible.

==== 3.- Múltiples vulnerabilidades en WordPress ===
Durante las últimas horas, se ha dado a conocer que los sistemas de gestión de blogs basados en WordPress son vulnerables ante ciertas condiciones de contorno no especificadas.

WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. El proyecto, fundado por Matt Mullenweg, nació a raíz de otro gestor anterior denominado b2/cafelog. Con el permiso de Movable Type, WordPress es, con toda probabilidad, el gestor de blogs más extendido en la blogosfera.

Los problemas documentados no han sido clarificados, quizás con la intención de no servir en bandeja datos a los usuarios maliciosos, para la explotación de los sitios afectados, que se podrían contar por millones. La única información que ha trascendido es que son más de 50 los problemas de seguridad corregidos con la nueva versión 2.0.4, y que son explotables de modo remoto. Lo que confiere, a falta de datos más claros, un estatus de criticidad moderada a este conjunto de problemáticas.

La detección de problemas de seguridad en WordPress se ha convertido en una actividad comunitaria lúdica. A través de los “bug hunts”, se insta a los usuarios a que sometan al gestor a todo tipo de verificaciones, con la finalidad de identificar problemas, que posteriormente derivarán en nuevas versiones parcheadas. Los resultados de estos esfuerzos están enfocados a la obtención de mejores y más seguras versiones, que posteriormente son reutilizadas por los usuarios.

Las versiones afectadas son, en principio la 2.0.3 y todas las anteriores. Se insta, por tanto, a que los usuarios de WordPress hagan uso de la recién liberada versión 2.0.4, para actualizar sus weblogs.

==== 7.- Múltiples vulnerabilidades en IBM Informix Dynamic Server ====
IBM ha puesto a disposición de los usuarios de Informix Dynamic Server una importante actualización de seguridad. IBM Informix Dynamic Server es un servidor estratégico de datos, cuya principal misión es servir al procesamiento de transacciones en redes distribuídas OLTP (online transaction processing). Goza de una reputada trayectoria en factores como el rendimiento y la reducción de tiempos de indisponibilidad. Por lo que es habitual encontrar instalaciones de Informix en entornos corporativos, especialmente en aquellos en los que se penaliza severamente el factor “downtime”, por considerarse inadmisible: banca electrónica, aerolíneas, comercio electrónico a gran escala, etc.

Los problemas solucionados podrían conducir, siempre en ambientes locales, ya que no se ha confirmado la explotabilidad de ninguna de las vulnerabilidades de forma remota, a la denegación de servicio, la revelación de datos sensibles y eventualmente, al acceso indiscriminado al sistema.

A modo de resumen, los problemas solucionados son los siguientes:

* Diversos problemas que pueden conducir al desbordamiento de búfer, como los errores de límites hallados en las funciones BINFO(), FILETOCLOB(), GETNAME(), IFX_FILE_TO_FILE() y LOTOFILE(). El desbordamiento es también factible a través de la introducción de nombres de usuario muy largos, así como explotando la variable de entorno SQLIDEBUG, que puede ser igualmente explotada.

* Ejecución arbitraria de comandos, a través de los procedimientos de exportación “dbexp” e importación “dbimp” de bases de datos en “sysmaster”. Es posible la ejecución también a causa de una errónea permisividad en la directiva “SET DEBUG FILE”, destinada a la asignación de ficheros para el depurado.

* Otros errores indeterminados y no del todo aclarados, que pueden conducir a la denegación de servicio y la elevación de privilegios.

Dentro de estos errores misceláneos, se ha descubierto que bajo ciertas condiciones, incluso los usuarios no autorizados pueden crear bases de datos, siendo posible también que las contraseñas de usuario queden almacenada en la memoria compartida, sin ningún tipo de cifrado.

El ramillete de sistemas y versiones afectadas es muy dispar, se han declarado como vulnerables las versiones 7.3, 9.4 y 10.0, con independencia de la plataforma en la que corran. El fabricante confirma que las versiones citadas son vulnerables en entornos AIX, HP-UX, Linux, Solaris y Windows.

Los usuarios de Informix Dynamic Server deben actualizar a las versiones 7.31.xD9, 9.40.xC8, o 10.00.xC4, según corresponda.

El paquete libTIFF contiene una librería de funciones, cuya misión es la manipulación de imágenes TIFF (Tagged Image File Format) en entornos del tipo UNIX-like. Existen también binarios para sistemas Windows.

Los problemas, descubiertos por Tavis Ormandy, del equipo de seguridad de Google, podrían facilitar enormemente la denegación de servicio e incluso el compromiso de los sistemas vulnerables; para lo cual bastaría con someter al mismo a la manipulación de una imagen TIFF especialmente conformada con fines maliciosos. Los errores detectados son:

* Diversos desbordamientos de búfer basados en stack.
* Un desbordamiento de heap en el decodificador JPEG puede sobrepasar el tamaño de búfer con más datos de los esperados.
* Un desbordamiento de heap en el decodificador PixarLog puede ser explotado por atacantes para provocar la ejecución de código arbitrario.
* Una vulnerabilidad de desbordamiento de heap se ha localizado en el decodificador NeXT RLE.
* Se ha descubierto un bucle infinito en el que una variable de 16 bit sin signo se usaba para iterar sobre un valor de 32 bit.
* Diversas operaciones aritméticas sin comprobaciones de seguridad, incluyendo una en el tratamiento de desplazamientos usados para directorios TIFF.
* Un error en el soporte de etiquetas personalizadas libtiffs puede resultar en el comportamiento anormal de la aplicación, ceses inesperados de la ejecución o incluso potencialmente en la ejecución de código arbitrario.

Las referencias CVE relacionadas con este problema son CVE-2006-3459, CVE-2006-3460, CVE-2006-3461, CVE-2006-3462, CVE-2006-3463,
CVE-2006-3464 y CVE-2006-3465.

La opción más sensata que se presenta a los usuarios es actualizar. Si estas actualizaciones no se encontrasen disponibles para su distribución, es prudente no abrir imágenes TIFF hasta disponer de los parches correctores. Salvo indicación contraria de los distintos fabricantes, y habida cuenta del elevado número de ramas en activo del producto, deben considerarse vulnerables todas las versiones 3.x previas a los parches recientemente emitidos.

==== 10.- Actualización de PHP 4 para solventar diversos problemas de seguridad ====
Se ha publicado una versión nueva de PHP 4 debido a que se han solventado algunos problemas de seguridad detectados en versiones anteriores a la 4.4.3.

* La nueva versión no permite el uso de ciertos caracteres en nombres de sesión
* Se ha solventado un problema de desbordamiento de búfer en la función wordwrap()
* Se evita el salto a directorios padre usando el segundo parámetro de la función tempnam()
* Se ha mejorado la comprobación safe_mode para la función error_log()
* Se ha corregido una vulnerabilidad XSS dentro de la función
phpinfo()
* Se ha corregido la validación de desplazamientos y tamaños de parámetros en la función substr_compare()

==== 11.- Denegación de servicio en Microsoft Windows por tratamiento de WMF ====
Se ha descubierto una vulnerabilidad en diversas versiones de Microsoft Windows que puede ser explotada por usuarios maliciosos para provocar denegaciones de servicio.

El problema se debe a un error en el tratamiento de signos localizado en la librería DDL cliente de GDI (gdi32.dll) a la hora de procesar archivos de tipo WMF. Un atacante puede explotar esto para tirar una aplicación que use dicha librería (por ejemplo. el explorador de Windows) si consigue engañar a la víctima para que visualice un WMF malicioso.

La vulnerabilidad ha sido confirmada en un Windows XP SP2 totalmente parcheado, y no se descarta que afecte a otras versiones de Windows.

Hasta que se publique un parche oficial que solvente este problema, se recomienda no abrir archivos WMF que no provengan de fuentes de confianza.

==== 12.- Doce boletines de seguridad de Microsoft en agosto ====
Como cada segundo martes de mes, Microsoft ha publicado sus ya habituales boletines de seguridad. Y una vez más se demuestra que para la seguridad no existen vacaciones de verano, en este mes de agosto se han anunciado doce nuevos boletines (MS06-040 al MS06-051). Según la propia clasificación de Microsoft nueve de los nuevos boletines presentan un nivel de gravedad “crítico” y los otros tres reciben la calificación de “importante”.

Es por tanto, importante conocer la existencia de estas actualizaciones, evaluar el impacto de los problemas y aplicar las actualizaciones en la mayor brevedad posible. Este es un boletín de urgencia en el que describimos superficialmente cada uno de los nuevos boletines de seguridad de Microsoft. En los próximos días publicaremos otros boletines donde analizaremos más detalladamente las actualizaciones más importantes.

* MS06-040: Evita una vulnerabilidad en el servicio Server que puede ser explotada por usuarios maliciosos para comprometer sistemas afectados. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado como “crítico”.

* MS06-041: Se trata de una actualización para evitar dos vulnerabilidades en Winsock y el servicio cliente DNS que pueden ser explotadas por usuarios maliciosos para comprometer los sistemas afectados. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado como “crítico”.

* MS06-42: Actualización acumulativa para Microsoft Internet Explorer que además soluciona ocho nuevas vulnerabilidades que podrían permitir la ejecución remota de código arbitrario. Según la calificación de Microsoft está calificado como “crítico”. Afecta a Internet Explorer
5.01 e Internet Explorer 6.

* MS06-043: Evita una vulnerabilidad de ejecución remota de código en Outlook Express 6 para Windows XP y Windows Server 2003. También recibe una calificación de “crítico”.

* MS06-044: Se trata de una actualización para Windows 2000 debido a que se ha detectado una vulnerabilidad de cross-site scripting con redirección que puede ser explotada por usuarios remotos para lograr la ejecución de código. Recibe el nivel de “Crítico”.

* MS06-045: En este boletín se anuncian los parches de actualización necesarios para solventar una vulnerabilidad con los GUID de carpetas que permitiría que podrían permitir la ejecución remota de código arbitrario. Afecta a Windows 2000, Windows XP y Windows Server 2003.
Está calificado como “importante”.

* MS06-046: Destinado a solucionar un error de desbordamiento de búfer en el control ActiveX HTML Help. Afecta a Windows 2000, Windows XP y Windows Server 2003. Está calificado como “crítico”.

* MS06-047: Soluciona una vulnerabilidad en diferentes versiones de Office y Works Suite en Visual Basic for Applications que puede ser explotada para lograr la ejecución remota de código arbitrario. Está calificado como “crítico”. Office 2000, Project 2000, Access 2000, Office XP, Project 2002, Visio 2002, Microsoft Works Suites (2004,
2005 y 2006), Visual Basic for Applications SDK 6.x.

* MS06-048: Corrige dos vulnerabilidades en Power Point que podrían permitir la ejecución remota de código. Afecta a Office 2000, 2003 y XP; y a PowerPoint 2000, 2002 y 2003. Microsoft lo califica como “crítico”.

* MS06-049: Informa sobre una actualización para Windows 2000 debido a una vulnerabilidad en su kernel que puede ser explotada por usuarios locales para realizar escaladas de privilegios. Según la calificación de Microsoft recibe un nivel de “crítico”.

* MS06-050: En este boletín se presenta una actualización de seguridad para diversas versiones de Windows (2000, XP y 2003) destinados a solventar dos vulnerabilidades detectadas en la Hyperlink Object Library.
Microsoft califica esta actualización como “importante”.

* MS06-051: En este boletín se presentan dos vulnerabilidades en el núcleo de Windows podrían permitir la elevación de privilegios y la ejecución de código. Según la calificación de Microsoft recibe el nivel de “importante”. Afecta a Windows 2000, Windows XP y Windows Server 2003.

Las actualizaciones publicadas pueden descargarse a través de Windows Update y Office Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

==== 13.- Desbordamiento de búffer en ClamAV por error en tratamiento de archivos UPX ====
Se ha descubierto una vulnerabilidad en Clam Antivirus que puede ser explotada por atacantes remotos para provocar denegaciones de servicio o incluso el compromiso de sistemas afectados.

La vulnerabilidad, descubierta por el investigador Damian Put, se debe a un problema en el tratamiento de archivos ejecutables PE empaquetados con UPX.

Clam AntiVirus es un motor antivirus gratuito y de código abierto.
Mayormente utilizada en entornos UNIX, fue diseñada para su uso integrado con servidores de correo, analizando los mensajes que éstos procesan, incluyendo los adjuntos que éstos puedan llevar consigo.

El formato PE (Portable Executable) es el nativo de las plataformas Windows para ejecutables y DLLs. Básicamente, se trata de una estructura de datos que encapsula la información necesaria para que las distintas versiones de Windows puedan ejecutar el código propiamente dicho.

UPX (Ultimate Packer for eXecutables) es un empaquetador de ejecutables Open Source que soporta una buena cantidad de formatos de archivo. Si bien su funcionalidad es neutra, suele ser bastante frecuente encontrar malware empaquetado con diversas versiones de esta potente herramienta.

La vulnerabilidad en sí se debe a un error en la función ‘pefromupx()’, localizado en el archivo fuente ‘libclamav/upx.c’. Esta función es la encargada de extraer el archivo Win32 PE del original empaquetado con UPX. Un error de comprobación de tamaños de variable utilizadas durante este proceso puede ser explotado - mediante la construcción de un archivo UPX especialmente formado a tal efecto - para provocar un desbordamiento de búffer basado en heap. Este desbordamiento puede llevar a una condición de denegación de servicio (cese de la ejecución del servicio en sí) o incluso a la ejecución de código arbitrario en el sistema afectado.

==== 14.- Vulnerabilidades en SAP Internet Graphics Service ====
Según la información suministrada por el investigador Mariano Nuñez Di Croce, el equipo de CYBSEC ha descubierto dos importantes vulnerabilidades en SAP IGS (Internet Graphiscs Service) que han sido confirmadas por el fabricante.

SAP Internet Graphics Service (IGS) es un componente del servidor de aplicaciones SAP Web Application Server, frecuentemente utilizado para poder generar salida gráfica a los parámetros de operación del ERP. Usos habituales de IGS comprenden desde la elaboración de diagramas mediante Chart Engine o Chart Designer hasta casuísticas más especializadas, como los sistemas de información georgráfica, a través de Business Information Warehouse. IGS es también el motor básico para la conversión de formatos de imágenes y gráficos.

En el primer caso, un error de diseño permitiría a los atacantes la conducción de un ataque de denegación de servicio. Para ello bastaría con suministrar al servidor de imágenes una petición HTTP especialmente conformada, lo que podría desembocar en el colapso total del servidor, con los consiguientes perjuicios relacionados con la continuidad.

Las versiones afectadas son SAP IGS 6.40 con Patchlevel 15 e inferiores, así como SAP IGS 7.00 con Patchlevel 3 e inferiores. Habida cuenta de que IGS es un componente multiplataforma, se confirma el estado de vulnerabilidad en las principales plataformas derivadas de UNIX empleadas con habitualidad para servir vía SAP: AIX 64, HP-UX IA64 64bit, HP-UX PA-RISC 64bit, Linux IA64 64bit, Linux Power 64bit, Linux x86_64 64bit, Linux zSeries 64bit, OS/400 V5R2M0, Solaris SPARC 64bit y TRU64 64bit

Desde la versión 6.30 de SAP Web Application Server, IGS se encuentra activado por defecto en todas las configuraciones base. La posibilidad de ejecutar este ataque de forma remota confiere a la vulnerabilidad un estatus de criticidad elevada.

El segundo problema descubierto permitiría, bajo ciertas condiciones, aprovechar un error de diseño para forzar un desbordamiento de búfer. Las versiones afectadas son las mismas que en el caso anterior, añadiéndose a las plataformas vulnerables las variantes Microsoft: * Windows Server IA32 32bit, Windows Server IA64 64bit y Windows Server x64 64bit.

El impacto de esta vulnerabilidad depende de la plataforma, si bien en ambos casos es extraordinariamente crítico. En derivados UNIX, es posible la ejecución remota de código arbitrario con los privilegios que competen a la cuenta (<SID>adm) de administración, lo que prácticamente pone a los pies de los atacantes la infraestructura completa de SAP. En el caso de Windows los privilegios alcanzados corresponden a una cuenta de sistema LocalSystem, que permite igualmente tomar control ilegítimo de la infraestructura.

Los detalles concretos de ambas vulnerabilidades serán revelados por completo en el plazo de 3 meses, siguiendo así la política de revelación acordada con el fabricante, para tratar de impedir al máximo que los atacantes dispongan de datos suficientes e inmediatos para poder explotar los problemas documentados.

Los administradores SAP deben recurrir, para obtener más información, al boletín emitido por la compañía. La referencia asignada es SAP Note 968423. Es recomendable, dada la criticidad habitual de estos despliegues, efectuar las actualizaciones de la mano del servicio de soporte de la compañía.

==== 15.-  Habemus malware para MS06-040 ====
Esta madrugada del sábado a domingo, antes de que acabe esta segunda semana de mes (la oficial de Microsoft para publicar parches de actualización) ya se han detectado ejemplares de malware que explotan una de las vulnerabilidades solventadas por estos.

El pasado martes, y dentro del marco de su famosa política de publicación mensual de parches, Microsoft publicó una larga lista de boletines que solventaban una lista aún mayor de vulnerabilidades, muchas de ellas clasificadas como críticas. Entre estos boletines nos encontrábamos con uno que, con solo echar un vistazo al contenido, clamaba a gritos ser convertido en vector de ataque para malware: MS06-040.

Este boletín describe una vulnerabilidad en el servicio Server utilizado en los sistemas 2000, XP y 2003. Afectaba a todos ellos, incluso en el caso de XP con su Service Pack 2 instalado, o 2003 con el SP1. Microsoft clasificó la gravedad del impacto sobre todas estas plataformas como crítica, por lo que puede dar a priori una idea de la peligrosidad del asunto.

El servicio Server ofrece un interface RPC (Remote Procedure Call: llamadas a procedimientos remotos) para soporte de impresión de archivos y compartición de pipes con nombre en entornos de red. El problema en sí se debe a un desbordamiento de buffer dentro de este servicio, que en principio podía ser explotado para provocar denegaciones de servicio o incluso para provocar la ejecución remota de código arbitrario.

El propio boletín de Microsoft ya avisaba sobre la especial propensión a sufrir este ataque por parte de plataformas Windows 2000, debido a la naturaleza en sí de la vulnerabilidad. No han pasado más que unos días para ver hecho realidad lo que todos temíamos: ya hay confirmación de la existencia de malware en la red que hace uso de la vulnerabilidad descrita para infectar sistemas afectados.

Ha sido Swa Frantzen, handler del Internet Storm Center de SANS, el encargado de avisar de la presencia de este malware que, en esta ocasión, viene en forma de bot que de momento se ha visto con el nombre ‘wgareg.exe’ y con un valor hash md5 de 9928a1e6601cf00d0b7826d13fb556f0.

Frantzen utilizó nuestro servicio VirusTotal para comprobar que tal se estaban portando las soluciones antivirus para detectar esta amenaza. Tras enviarlo al servicio, comprobó que sólo 9 de los 27 motores incluidos en el servicio eran capaces de detectarlo, y todos ellos mediante heurísticas.

No hay que confiarse de todas formas sobre este perfil, ya que la gente de LURHQ ha comentado que han detectado la existencia de una variante diferente, con nombre ‘wgavm.exe’ y valor hash md5 de 2bf2a4f0bdac42f4d6f8a062a7206797 que también está haciendo de las suyas. Dado que usa los mismos servidores de control que el anteriormente nombrado, se sospecha que esta otra variante es una versión precursora de la detectada con nombre ‘wgareg.exe’.

Este malware está diseñado para formar parte de una red de bots de los utilizados para, por ejemplo, realizar ataques de denegación de servicio distribuidas (DDoS). Se cree que es una evolución de Mocbot, ejemplar que apareció a finales del año pasado y que explotaba la vulnerabilidad del servicio PNP descrita en el boletín MS05-039. Esta nueva versión es controlada también desde servidores IRC localizados en China. Al igual que los profesionales del Phishing, los creadores de este ejemplar de malware aprovechan la falta de cooperación de las entidades de dicho país a la hora de actuar contra sitios que hospedan contenido malicioso.

No podemos dejar de remarcar la importancia de mantener los sistemas parcheados de forma adecuada, no sólo como protección puntual contra este tipo de amenazas, sino como algo que debe formar parte de las buenas prácticas de seguridad en cualquier entorno corporativo o casero. Los creadores de malware aprovechan la desidia de los administradores y usuarios a la hora de aplicar esta regla para infectar decenas de miles de ordenadores con sus creaciones.

Es muy importante también aplicar una política de defensa en profundidad a la hora de utilizar tecnologías antivirus en entornos corporativos. La planificación y aplicación de políticas y procedimientos sólidos y coherentes con cada entorno particular es uno de los puntos importantes que destacamos durante nuestras actividades de auditoría y consultoría en este campo. Es recomendable, por ejemplo, el uso de al menos dos soluciones antivirus de casas diferentes para complementar las capacidades de ambas y así minimizar en lo posible el riesgo de una infección dentro de las redes.

Para luchar contra esta amenaza en concreto, también existen firmas de SNORT que detectarían la presencia de la amenaza en entornos infectados. Hay ya unas escritas y disponibles para su uso, y que pueden ser encontradas en el enlace que incluimos al pie de este una-al-día, concretamente en el aviso de LURHQ.

==== 16.- Ejecución de código arbitrario en HP OpenView Storage Data Protector ====
Se ha encotrado una vulnerabilidad en HP OpenView Storage Data Protector que puede ser aprovechada por atacantes no autorizados para comprometer un sistema vulnerable. HP OpenView Storage Data Protector es un software utilizado principalmente en empresas para la creación y recuperación de copias de seguridad y respaldos. Consta de un servidor central y un agente de backup instalado en los sistemas que van a ser respaldados, y es en este último componente donde se da el problema.

El problema se debe a un fallo combinado de error del mecanismo de autenticación y no validación de los mensajes enviados a los agentes. A la hora de comunicarse con el servidor central de bakcup (Cell Backup), se utiliza un protocolo propietario. Si se manipulan convenientemente algunos campos de este protocolo, es posible enviar comandos arbitrarios a los agentes sin necesidad de autenticación. Los comandos serían ejecutados en los clientes con los privilegios del programa agente.

A no ser que el agente esté expuesto al exterior (situación poco probable), el problema sólo es aprovechable desde una red interna local.

El problema se ha confirmado en las versiones 5.1 y 5.5 de OpenView Storage Data Protector sobre HP-UX, IBM AIX, Linux, Microsoft Windows y Solaris.