Boletín 00092 – 18/04/2007

==== 1.- Vulnerabilidad en tratamiento de cursores animados de Windows ====
Microsoft ha confirmado la existencia de una vulnerabilidad en el tratamiento de archivos ANI que afectaría a diversas versiones de Windows (2000 SP4, XP, XP 64 bits, Server 2003, Server 2003 64 bits y Vista).

Un atacante remoto puede crear un documento HTML que referenciase a un archivo ANI especialmente construido que al ser cargado por el navegador ejecutaría de forma silenciosa código arbitrario en el sistema afectado.

Microsoft informa de que los usuarios de Internet Explorer 7 en Windows Vista no se verán afectados debido al modo protegido de dicho navegador.

A falta de un parche oficial que solvente el problema, Microsoft recomienda visualizar los correos en formato de texto plano para mitigar el riesgo por correo electrónico. No se han dado contramedidas para el vector de ataque por web. El filtrado de archivos .ani no es suficiente ya que puede presentarse con otras extensiones.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3079/comentar

Más información:

Microsoft Security Advisory (935423)
Vulnerability in Windows Animated Cursor Handling http://www.microsoft.com/technet/security/advisory/935423.mspx

Laboratorio Hispasec
laboratorio@hispasec.com

==== 2.- Multiples vulnerabilidades en IBM Lotus Domino 6 y 7 ====
http://www.hispasec.com/unaaldia/3078/multiples-vulnerabilidades-ibm-lotus-domino
Se han encontrado varios problemas de seguridad in IBM Lotus Domino y Lotus Domino Web Access que pueden ser aprovechados por atacantes para perpetrar ataques de cross site scripting o provocar una denegacion de servicio.

==== 3.- Cisco VoIP y servidores presence son vulnerables a nuevos ataques ====
http://www.networkworld.com/news/2007/032907-cisco-servers-vulnerable.html
Esta semana Cisco dijo que sus servidores presence y VoIP podrian ser atacados remotamente e inundados con trafico especifico que intentaria causar fallas en estos sistemas.

==== 4.- Múltiples denegaciones de servicio en Cisco Unified CallManager (CUCM)  y Cisco Unified Presence Server (CUPS) ====
Cisco Unified CallManager (CUCM) y Cisco Unified Presence Server (CUPS) contienen múltiples vulnerabilidades que pueden permitir a un atacante provocar una condición de denegación de servicio.

Las vulnerabilidades son:

* Denegación de servicio a través de escaneo de puertos en SCCP/SCCPS.
Si se envían paquetes especialmente manipulados al puerto SCCP, se podría provocar una denegación de servicio. CUPS no se ve afectado por este problema.

* Denegación de servicio a través de ICMP Echo Request. Se puede provocar una denegación de servicio en CUCM o CUPS si se envían una gran cantidad de pings a estos servicios. Sólo se ve afectada CUCM versión 5.0.

* Denegación de servicio en IPSec Manager. Si se envía un paquete UDP especialmente manipulado al servicio IPSec Manager en el puerto 8500, se podría provocar que el servicio dejase de responder. Sólo se ve afectada CUCM versión 5.0.

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/warp/public/707/cisco-sa-20070328-voip.shtml

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3080/comentar

Más información:

Cisco Security Advisory: Multiple Cisco Unified CallManager and Presence Server Denial of Service Vulnerabilities http://www.cisco.com/warp/public/707/cisco-sa-20070328-voip.shtml

Laboratorio Hispasec
laboratorio@hispasec.com

==== 5.- Vulnerabilidades en NSS de Sun Solaris y Java Enterprise System ====
Sun ha reconocido dos vulnerabilidades en Sun Solaris y Sun Java Enterprise System que podrían ser explotadas por usuarios maliciosos para comprometer sistemas afectados.

Las dos vulnerabilidades se han localizado en Network Security Services
(NSS):

* Un error de desbordamiento de entero a la hora de procesar mensajes de servidor SSLv2 puede ser explotado para provocar desbordamientos de búfer con un certificado con clave pública demasiado pequeña para cifrar el ‘Secreto Maestro’.

* Un error de desbordamiento de entero al procesar claves maestras de cliente SSLv2 puede ser explotado para provocar desbordamientos de búfer con parámetros malformados durante la negociación SSLv2.

La explotación con éxito de estas vulnerabilidades permitiría la ejecución de código arbitrario.

Dada la diversidad de versiones y plataformas afectadas se recomienda consultar el aviso de seguridad de Sun donde se detallan los parches
publicados:
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102856-1

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3081/comentar

Más información:

Security Vulnerabilities in the Network Security Services (NSS) May Affect SSL Clients and SSL Servers
http://sunsolve.sun.com/search/document.do?assetkey=1-26-102856-1

Laboratorio Hispasec
laboratorio@hispasec.com

==== 6.- Avalancha de parches para la vulnerabilidad en ficheros ANI ====
McAfee dio a conocer el pasado día 28 de marzo una grave vulnerabilidad en Microsoft Windows que permitía a atacantes ejecutar código de forma totalmente silenciosa. Poco después, se hacía público un exploit y los acontecimientos se han precipitado. Hasta tres parches no oficiales se han publicado y el oficial de Microsoft se adelanta para salir el día 3 de abril, rompiendo su ciclo habitual de los segundos martes de cada mes.

Microsoft confirmaba la existencia de la vulnerabilidad el día 31 de marzo. Se trata de un fallo en el tratamiento de archivos ANI que afecta a casi todas las versiones recientes de Windows: 2000 SP4, XP SP2, XP 64 bits, Server 2003, Server 2003 64 bits y Vista. El problema se basaba en una vulnerabilidad ya conocida y solventada (al parecer no del todo), calificada con el boletín MS05-002 por Microsoft y descubierta inicialmente por eEye.

El ataque se llevaría a cabo a través de documentos HTML, imágenes JPG, o ficheros ANI propiamente que referenciasen a un archivo ANI especialmente construido. Al ser cargado por el navegador, ejecutaría de forma silenciosa código arbitrario en el sistema afectado. Los usuarios de Internet Explorer 7 en Windows Vista no se verán afectados debido al modo protegido de IE7. Tampoco prosperarían ataques a través de Microsoft Outlook 2007.

eEye publican el mismo día 28 un parche no oficial. Esta primera aproximación no ataca realmente a la vulnerabilidad. Simplemente evita que los cursores animados se carguen fuera del directorio de sistema.
Así, las páginas que intentaran aprovecharse de esto no podrían ejecutar sus cursores, pero un exploit especialmente preparado podría eludir este parche. Poco después, la organización ZERT publica una nueva actualización no oficial que sí ataca de raíz el fallo, evitando que cualquier exploit funcione y finalmente ejecute código arbitrario.

Cuestión de horas después, Microsoft anuncia oficialmente que sacará el día 3 de abril un parche fuera del ciclo habitual de los segundos martes de cada mes. En su propio blog, indica por qué tanta “velocidad” en su actuación, cosa que seguro “se estará preguntando la gente”. Explica que los ataques se han incrementado durante el fin de semana, que existe exploit público y que en realidad, estaban investigando el fallo desde finales de diciembre de 2006. De hecho, pensaban sacar el parche para este problema el día 10 de abril, en su ciclo habitual, pero dadas las circunstancias se adelanta una semana.

Por último, en lo que se ha convertido en una verdadera avalancha de soluciones, una tercera entidad privada saca un nuevo parche de emergencia que se engancha a la API vulnerable protegiéndola. Se trata de X-Solve, una compañía de Taipei (Taiwán) que entra por primera vez en escena en el campo de los parches no oficiales.

Los parches no oficiales están de moda, y no es nada nuevo. Simplemente, cabe recordar lo que ya escribíamos en este mismo espacio hace justo un
año: “Es posible que nos hallemos ante una nueva tendencia en la que compañías y empresas de seguridad se adelantan a la propia Microsoft con la intención de obtener reconocimiento, prestigio, visitas y popularidad. Al margen de la eficacia de estos parches y de la libre decisión de usarlos o no, lo indudable es que estas maniobras estimulan a Microsoft de forma indirecta para la publicación de un parche oficial y provocan una importante presión mediática en la compañía, en cuya política de publicación de seguridad prima la calidad (dedican mucho más tiempo a pruebas que al desarrollo) antes que la velocidad de publicación.”

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3082/comentar

Más información:

An Emergent Patch for Windows Vulnerability
http://x-solve.com/blog/?p=125

Latest on security update for Microsoft Security Advisory 935423 http://blogs.technet.com/msrc/archive/2007/04/01/latest-on-security-update-for-microsoft-security-advisory-935423.aspx

ZERT Patches ANI 0day
http://blogs.securiteam.com/index.php/archives/863

Windows .ANI Processing
http://research.eeye.com/html/alerts/zeroday/20070328.html

(29/03/2006) La parte no oficial de Microsoft
http://www.hispasec.com/unaaldia/2713

Sergio de los Santos
ssantos@hispasec.com

===== 7.- El boletín MS07-017 de Microsoft soluciona varios problemas de seguridad ====
El boletín de actualización MS07-017 de Microsoft, publicado fuera del ciclo habitual, soluciona hasta siete problemas de seguridad en motor GDI (Graphics Device Interface) de Windows. Además, y como impulsor de la publicación temprana, corrige el grave fallo en el tratamiento de cursores animados.

Microsoft ha aprovechado para corregir en este boletín varios fallos en su sistema gráfico. El parche correspondiente al boletín MS07-017 corrige estas vulnerabilidades:

* Un fallo que se debe a un manejo incorrecto de la memoria reservada para el kernel de Windows por el Windows Graphics Rendering Engine a la hora de procesar ficheros WMF y EMF. Esto podría ser aprovechado para ejecutar código con privilegios elevados.

* Un fallo debido a un error de desbordamiento de memoria en pila a la hora de manejar cursores mal formados. Esto podría ser aprovechado para ejecutar código arbitrario.

* Un fallo a la hora de procesar datos en imágenes WMF puede permitir a atacantes realizar una denegación de servicio.

* Existe un desbordamiento de memoria intermedia en GDI a la hora de interpretar imágenes en formato EMF. Esto podría ser aprovechado por atacantes para ejecutar código arbitrario con privilegios elevados.

* Un fallo en GDI (Graphics Device Interface) a la hora de procesar tamaños de ventanas puede ser aprovechado por atacantes locales para elevar privilegios.

* Un fallo de desbordamiento de memoria intermedia en GDI (Graphics Device Interface) a la hora de manejar parámetros relacionados con el color leídos por ciertos tipos de imágenes, podría ser aprovechado por atacantes para ejecutar código arbitrario con privilegios elevados.

* Un fallo en TrueType Font Rasterizer cuando llama a un puntero a una función no inicializada a la hora de procesar fuentes modificadas, puede ser aprovechado por atacantes para elevar privilegios.

Es posible que a partir de la publicación del parche para otros fallos hasta ahora no públicos, aparezcan nuevas amenazas en forma de exploits que aprovechen estas vulnerabilidades. Se recomienda aplicar el parche de inmediato para los sistemas afectados.

Las actualizaciones están disponibles en las siguientes direcciones o a través de Windows Update:

Windows 2000 Service Pack 4:
http://www.microsoft.com/downloads/details.aspx?FamilyId=92F20599-3E7B-4217-91E6-FDCFB4C56856&displaylang=es

Windows XP Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=F82EA184-945F-4B78-9463-10AC20A75020&displaylang=es

Windows XP Professional x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EA5E1B87-4DB5-4B1A-891E-29C6BD6C0184&displaylang=es

Windows XP Professional x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=EA5E1B87-4DB5-4B1A-891E-29C6BD6C0184&displaylang=es

Windows Server 2003:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9F73A782-DEAF-46E0-B3E0-79042FF39979&displaylang=es

Windows Server 2003 Service Pack 1:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9F73A782-DEAF-46E0-B3E0-79042FF39979&displaylang=es

Windows Server 2003 Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=9F73A782-DEAF-46E0-B3E0-79042FF39979&displaylang=es

Windows Server 2003 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7BA63879-4FC7-4A5C-B9B5-F98C5CDC6840&displaylang=es

Windows Server 2003 con SP1 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7BA63879-4FC7-4A5C-B9B5-F98C5CDC6840&displaylang=es

Windows Server 2003 con SP2 para Itanium:
http://www.microsoft.com/downloads/details.aspx?FamilyId=7BA63879-4FC7-4A5C-B9B5-F98C5CDC6840&displaylang=es

Windows Server 2003 x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3276DD11-4E2F-4183-A542-82AC3C6D9754&displaylang=es

Windows Server 2003 x64 Edition Service Pack 2:
http://www.microsoft.com/downloads/details.aspx?FamilyId=3276DD11-4E2F-4183-A542-82AC3C6D9754&displaylang=es

Windows Vista:
http://www.microsoft.com/downloads/details.aspx?FamilyId=D8B0E65C-5B41-46EB-92DF-0B062CFCDEEC&displaylang=es

Windows Vista x64 Edition:
http://www.microsoft.com/downloads/details.aspx?FamilyId=FB0FF2B5-05FE-4158-B4B7-DA0D7F82C04B&displaylang=es

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3085/comentar

Más información:

Microsoft Security Advisory (935423)
Vulnerability in Windows Animated Cursor Handling http://www.microsoft.com/technet/security/advisory/935423.mspx

Vulnerabilities in GDI Could Allow Remote Code Execution (925902) http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

Laboratorio Hispasec
laboratorio@hispasec.com

==== 8.- Denegación de servicio en Windows Vista por problema en driver ATI Radeon ====
Se ha descubierto un problema en Microsoft Windows Vista que puede ser explotado por usuarios locales maliciosos para provocar denegaciones de servicio.

El problema se debe a un error no especificado en el driver de modo kernel de ATI Radeon (atikmdag.sys) en ciertas configuraciones de sistema. Esto puede ser utilizado por un atacante para provocar el cese de la ejecución del sistema al realizar acciones como permitir la funcionalidad slideshow en ciertos directorios o al cargar o salir de ciertos juegos.

A falta de parche oficial, se recomienda no utilizar la funcionalidad slideshow o simplemente utilizar un driver diferente.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3086/comentar

Más información:

Microsoft Windows Vista ATI Radeon Kernel Mode Driver Denial of Service Vulnerability http://www.frsirt.com/english/advisories/2007/1160

Laboratorio Hispasec
laboratorio@hispasec.com

==== 9.- Ejecución de código arbitrario en Yahoo Messenger 8 ====
Se ha identificado un fallo en en Yahoo Messenger que puede ser aprovechado por atacantes para ejecutar código arbitrario en el sistema de la víctima.

El fallo se debe a un desbordamiento de memoria intermedia en el control ActiveX AudioConf en la librería yacsom.dll a la hora de procesar argumentos muy largos que se le pasen el método createAndJoinConference.
Esto puede ser aprovechado por atacantes remotos para ejecutar código arbitrario si una víctima visita una página especialmente manipulada.

Se recomienda actualizar a la última versión desde:
http://messenger.yahoo.com

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3087/comentar

Más información:

Yahoo! Messenger AudioConf ActiveX Control Buffer Overflow Vulnerability http://www.zerodayinitiative.com/advisories/ZDI-07-012.html

Laboratorio Hispasec
laboratorio@hispasec.com

==== 10.- Diversas vulnerabilidades en Kerberos ====
Se han descubierto diversas vulnerabilidades en krb5 que pueden permitir a un atacante remoto

Se ha encontrado un fallo en la forma en la que se manejan los nombres de usuario en el demonio telnet de MIT krb5. Un atacante remoto podría tener acceso de root sin necesidad de contraseña.

También existen encontrado desbordamientos de memoria intermedia en KDC y kadmin server daemon.

Y por último se ha encontrado un fallo de “double-free” en la librería GSSAPI, que puede permitir la ejecución de código arbitrario.

Se han publicado parches (en código fuente) para la corrección de estos problemas, disponibles desde las direcciones:
http://web.mit.edu/kerberos/advisories/2007-003-patch.txt
http://web.mit.edu/kerberos/advisories/2007-002-patch.txt
http://web.mit.edu/kerberos/advisories/2007-001-patch.txt
Las distribuciones Linux más populares ya han publicado paquetes que incluyen estas actualizaciones.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3089/comentar

Más información:

MITKRB5-SA-2007-003
double-free vulnerability in kadmind (via GSS-API library) http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-003.txt

MITKRB5-SA-2007-002
KDC, kadmind stack overflow in krb5_klog_syslog http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-002-syslog.txt

MITKRB5-SA-2007-001
telnetd allows login as arbitrary user
http://web.mit.edu/kerberos/advisories/MITKRB5-SA-2007-001-telnetd.txt

Critical: krb5 security update
http://rhn.redhat.com/errata/RHSA-2007-0095.html

[ MDKSA-2007:077 ] – Updated krb5 packages fix vulnerabilities http://archives.mandrivalinux.com/security-announce/2007-04/msg00005.php

Ubuntu Security Notice USN-449-1. krb5 vulnerabilities
http://www.ubuntu.com/usn/usn-449-1

[SECURITY] [DSA 1276-1] New krb5 packages fix several vulnerabilities http://lists.debian.org/debian-security-announce/debian-security-announce-2007/msg00032.html

MIT Kerberos 5: Arbitrary remote code execution http://www.gentoo.org/security/en/glsa/glsa-200704-02.xml

Laboratorio Hispasec
laboratorio@hispasec.com

==== 11.- Windows victima de nuevo ataque de dia cero ====
http://www.seguridad.unam.mx/noticias/?noti=2568
Microsoft esta previniendo de un ataque que esta siendo utilizado para explotar una vulnerabilidad no corregida en archivos de los cursores animados de Windows (.ani).

==== 12.- Cinco boletines de seguridad de Microsoft en abril ====
Tal y como adelantamos, este martes Microsoft ha publicado cinco boletines de seguridad (MS07-018 al MS07-022) dentro de su ciclo habitual de actualizaciones. Esta ha sido la segunda actualización del mes, después de que el día 3 de abril se publicara el parche de emergencia para la vulnerabilidad en ficheros ANI dentro del boletín MS07-017.

Según la propia clasificación de Microsoft cuatro de los nuevos boletines presentan un nivel de gravedad “crítico”, mientras que un último recibe la calificación de “importante”.

* MS07-018: Evita dos vulnerabilidades en Microsoft Content Management Server que podrían permitir la ejecución remota de código.Está calificado como “crítico”.

* MS07-019: Se trata de una actualización para evitar una vulnerabilidad en el servicio Universal Plug and Play de Microsoft que podría permitir a un atacante ejecutar código arbitrario. Afecta a Windows XP y está calificado como “crítico”.

* MS07-020: Esta actualización resuelve vulnerabilidad en Microsoft Agent que podría permitir la ejecución remota de código y obtener completo control del sistema. Según la calificación de Microsoft está calificado como “crítico”. Afecta a Windows 2000, Windows XP y Windows Server 2003. El problema reside en la forma en la que Microsoft Agent trata URLs especialmente manipuladas.

* MS07-021: Esta actualización resuelve tres vulnerabilidades en el CSRSS (Client/Server Run-time Subsystem) que pueden permitir a un atacante ejecutar código arbitrario. Recibe una calificación de “crítico”. Afecta a Windows 2000, Windows XP y Windows Server 2003.

* MS07-022: Se trata de una actualización para una vulnerabilidad en el kernel de Microsoft Windows que podría permitir a un atacante local elevar sus privilegios en el sistema. Afecta a Windows 2000, Windows XP y Windows Server 2003 y recibe el nivel de “importante”.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades, incluida la previamente publicada de los cursores animados (y su alta propagación de código malicioso para explotarla), se recomienda la actualización de los sistemas con la mayor brevedad posible.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3091/comentar

Más información:

Resumen del boletín de seguridad de Microsoft de abril de 2007 http://www.microsoft.com/spain/technet/security/Bulletin/ms07-apr.mspx

Boletín de Seguridad de Microsoft MS07-018 Vulnerabilidades en Microsoft Content Management Server podrían permitir la ejecución remota de código (925939) http://www.microsoft.com/spain/technet/security/Bulletin/MS07-018.mspx

Boletín de Seguridad de Microsoft MS07-019 Una vulnerabilidad de Plug and Play universal podría permitir la ejecución remota de código (931261) http://www.microsoft.com/spain/technet/security/Bulletin/MS07-019.mspx

Boletín de Seguridad de Microsoft MS07-020 Una vulnerabilidad en Microsoft Agent podría permitir la ejecución remota de código (932168) http://www.microsoft.com/spain/technet/security/Bulletin/MS07-020.mspx

Boletín de Seguridad de Microsoft MS07-021 Vulnerabilidades en CSRSS podrían permitir la ejecución remota de código (930178) http://www.microsoft.com/spain/technet/security/Bulletin/MS07-021.mspx

Boletín de Seguridad de Microsoft MS07-022 Una vulnerabilidad en el kernel de Windows podría permitir la elevación de privilegios (931784) http://www.microsoft.com/spain/technet/security/Bulletin/MS07-022.mspx

Antonio Ropero
antonior@hispasec.com

==== 13.-  Oracle publicará parches para 37 problemas de seguridad el próximo 17 de abril ====
Oracle ha anunciado que en su ciclo habitual trimestral de publicación de parches, el próximo 17 de abril se corregirán 37 problemas de seguridad en sus productos.

Para la próxima CPU (Critical Patch Update) de Oracle, se solucionarán
37 problemas de seguridad en total. 13 de estos parches estarán destinados a corregir fallos en Oracle Database, producto “estrella” de la compañía. Dos para Oracle Enterprise Manager. Uno para Oracle Workflow Cartridge y otro para el componente Ultra Search (incrustado en Oracle Database).

De estos fallos mencionados, tres de ellos son especialmente graves, pues no necesitarán autenticación para ser aprovechados. Dos estarán destinados a instalaciones cliente de Oracle Database. Además, 11 serán para Oracle E-Business Suite, 5 para Oracle Application Server y el resto para PeopleSoft y las herramientas JD Edwards Enterprise.

A pesar de ser un número abultado, 37 parches de seguridad en Oracle suponen una drástica reducción en el número de problemas a los que se enfrenta Oracle habitualmente de forma trimestral. Por ejemplo, en su ciclo anterior de enero se anunciaron algo más de 50 parches. En octubre, publicaron más de 100 fallos.

Esta es la segunda vez que Oracle anuncia con antelación algunos detalles de lo que publicarán el día de parcheo. Decidió tomar esta estrategia (en clara analogía con la que sigue Microsoft) en enero de 2007. Esto supuso un paso más en su nueva apuesta por mejorar la estrategia de seguridad de la empresa. Un primer acercamiento fue el unificar los parches de forma mensual, luego trimestral, más tarde incluir más y mejor información en sus boletines y por último anunciar con cierta antelación detalles sobre lo que será publicado el día que se liberen las actualizaciones. Aun así, Oracle necesitará de mucho tiempo para limpiar una imagen muy deteriorada con respecto a la seguridad.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3092/comentar

Más información:

Oracle Critical Patch Update Pre-Release Announcement – April 2007 http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpuapr2007.html

Oracle Update to Fix 37 Security Flaws
http://www.eweek.com/article2/0,1759,2113043,00.asp

==== 14.- Ejecución de código arbitrario a través de RPC en servidor DNS de  Microsoft Windows ====
Este es un boletín con carácter de urgencia debido a la gravedad del fallo. Se ha encontrado una vulnerabilidad en el sistema DNS de Microsoft Windows que puede ser aprovechada por atacantes remotos para ejecutar código en el sistema.

El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas enviadas a un puerto entre el 1024 y 5000. Esto puede ser aprovechado por usuarios no autenticados para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Sólo se ven afectados los sistemas que ejecuten este servicio (DNS), que suele ser la gama “server” de Microsoft. Desde algunas fuentes afirman que ya se están produciendo ataques intentando aprovechar el fallo.

Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:
“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters”
se debe añadir un valor DWORD llamado “RpcProtocol” con el valor 4.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3093/comentar

Más información:

Microsoft Security Advisory (935964)
http://www.microsoft.com/technet/security/advisory/935964.mspx

Laboratorio Hispasec
laboratorio@hispasec.com

==== 15.- Apple soluciona fallas de seguridad en AirPort Extreme Base Station ====
http://www.seguridad.unam.mx/noticias/?noti=2574
Apple ha solucionado dos fallas de seguridad en AirPort Extreme Base Station que intrusos podrian explotar para burlar las restricciones de seguridad y acceder a datos importantes.

==== 16.- Múltiples vulnerabilidades en Cisco Wireless LAN Controller y  Cisco Lightweight Access Points ====
Se han encontrado múltiples vulnerabilidades en Cisco Wireless LAN Controller y Cisco Lightweight Access Points.

* WLC utiliza cadenas de comunidad SNMP por defecto conocidas.

* WLC puede dejar de responder ante tráfico Ethernet especialmente manipulado.

* Múltiples vulnerabilidades en Network Processing Unit (NPU) permiten a atacantes no autenticados provocar denegaciones de servicio a través de paquetes SNAP y tráfico 802.11 especialmente manipulado.

* Contraseña por defecto en Cisco Aironet 1000 Series y 1500 Series permite a un atacante acceder al sistema si tiene acceso físico al dispositivo.

* Existe un problema en la comprobación de checksum que hace que las ACL no se mantengan tras un reinicio.

Hardware Vulnerable:
*Wireless LAN Controllers
*Cisco 4400 Series Wireless LAN Controllers *Cisco 2100 Series Wireless LAN Controllers *Cisco Wireless LAN Controller Module *Wireless Integrated Switches and Routers *Cisco Catalyst 6500 Series Wireless Services Module (WiSM) *Cisco Catalyst 3750 Series Integrated Wireless LAN Controllers *Cisco Wireless LAN Controller Module *Cisco Aironet Access Points *Cisco Aironet 1000 Series *Cisco Aironet 1500 Series

Cisco, a través de los canales habituales, ha puesto a disposición de sus clientes software para solucionar el problema.

Dada la diversidad de dispositivos y versiones afectadas se aconseja consultar la tabla de versiones vulnerables y contramedidas en:
http://www.cisco.com/en/US/products/products_security_advisory09186a008081e189.shtml

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3094/comentar

Más información:

Cisco Security Advisory: Multiple Vulnerabilities in the Cisco Wireless LAN Controller and Cisco Lightweight Access Points http://www.cisco.com/warp/public/707/cisco-sa-20070412-wlc.shtml

Laboratorio Hispasec
laboratorio@hispasec.com

==== 17.- Microsoft alerto de falla peligrosa en servidor DNS ====
http://www.seguridad.unam.mx/noticias/?noti=2580
Los intrusos estan tratando de tomar ventaja de una vulnerabilidad divulgada recientemente sobre varios de los productos servidor de Microsoft Corp. que podrian permitir la ejecucion de codigo no autorizado en computadoras afectadas, la compa~ia alerto.

==== 18.- Una falla de seguridad importante fue encontrada en Wi-Fi Linux ====
http://www.vnunet.com/vnunet/news/2187864/major-flaw-found-wi-linux
Una falla de seguridad importante que pone en peligro a usuarios de Wi-Fi en Linux ha sido encontrada en el popular controlador MadWiFi para los chipsets Atheros.

==== 19.- Cisco parcho las vulnerabilidades en software Wi-Fi ====
http://www.zdnetasia.com/news/security/0,39044215,62005580,00.htm
Cisco ha publicado dos grupos de parches para las vulnerabilidades en su software de red inalambrica.

==== 20.- Escalada de privilegios a través de ficheros no especificados en Adobe  ColdFusion MX 7.x ====
Se ha anunciado la existencia de una vulnerabilidad en Adobe ColdFusion MX 7, que podría ser empleada por atacantes locales para conseguir elevar sus privilegios en el sistema.

El problema reside en la aplicación de permisos inseguros a determinados archivos y directorios. Un atacante local podría emplearlo para elevar sus privilegios en el siguiente reinicio de ColdFusion al reemplazar o editar los archivos afectados.

Se recomienda la consulta del boletín de seguridad de Adobe, disponible
en:
http://www.adobe.com/support/security/bulletins/apsb07-08.html
Donde se indica la actualización que se ha publicado para corregir el problema así como la lista de archivos y directorios sobre los que debe aplicarse un cambio de los permisos de forma manual.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3096/comentar

Más información:

Workaround available for Linux and Solaris ColdFusion MX 7 file permissions vulnerability http://www.adobe.com/support/security/bulletins/apsb07-08.html

Adobe Macromedia ColdFusion MX7 Insecure File Permissions Vulnerability http://labs.idefense.com/intelligence/vulnerabilities/display.php?id=510

Laboratorio Hispasec
laboratorio@hispasec.com

==== 21.- Detalles y evolución de la vulnerabilidad RPC/DNS de Microsoft Windows ====
La vulnerabilidad RPC/DNS en Microsoft Windows está dando que hablar por su gravedad y rápida evolución. El pasado día 13 de abril emitíamos un boletín con carácter de urgencia previendo el potencial alcance del problema. Las sospechas se han confirmado y hoy esta vulnerabilidad supone una seria amenaza en muchos entornos.

Microsoft confirmaba a través de una notificación oficial el día 13, la existencia de una vulnerabilidad que estaba siendo aprovechada por atacantes “de forma muy limitada” según la propia compañía. El problema se debe a un desbordamiento de memoria intermedia en la implementación de la interfaz RPC del servidor DNS (Domain Name System) de Windows a la hora de procesar peticiones mal formadas. Esto puede ser aprovechado por atacantes para ejecutar código arbitrario con privilegios de SYSTEM (control total sobre el sistema) si se envía una petición especialmente manipulada al sistema vulnerable.

Esto afectaría a un sistema sólo si mantiene un DNS (típicamente en servidores de Microsoft) y un potencial atacante tuviese acceso a unos puertos específicos. El ataque no sería posible exclusivamente a través de puerto 53, abierto habitualmente al exterior para las consultas DNS, sino que debe apoyarse de la capacidad de administración remota de DNS (a través de RPC) para explotar la vulnerabilidad y ejecutar código.
Microsoft proporcionó un método para eliminar esta funcionalidad y proteger el sistema a falta de parche oficial.

Aun así, varios factores se han añadido a la ecuación para convertir esta vulnerabilidad en un verdadero peligro. Típicamente un controlador de dominio en red interna es también el servidor autorizado DNS del dominio. En una red interna, no suelen protegerse estos controladores tras un cortafuegos, o las reglas de filtrado pueden estar más relajadas. En ese caso, aunque no expuesto al exterior, el servidor podría quedar fácilmente comprometido desde la misma red interna. Si el controlador de dominio queda comprometido, el atacante habría llegado al corazón de una red interna controlada por el directorio activo.

El día 15, metasploit descubrió un exploit público capaz de aprovechar esta vulnerabilidad. Queda desde entonces abierta para todos la posibilidad de estudiar y experimentar con el fallo. El problema concreto parece estar en la función extractQuotedChar. Los ataques dejan de ser “limitados”.

Además, aparece al poco tiempo un nuevo exploit (programado por Andrés Tarasco y Mario Ballano) que es capaz de aprovechar la vulnerabilidad sin necesidad de tener acceso al rango mencionado en un principio (1024-5000), sino que permitiría ejecutar código a través del puerto 445. Este puerto es usado para el protocolo SMB (Server Message Block) sobre TCP/IP, y se utiliza para el intercambio de ficheros, entre otros fines. Una vez más, este puerto no suele estar expuesto al exterior, pero mantiene e incluso agrava el problema en redes internas, donde estará abierto con casi toda seguridad. Este código también afecta a Windows 2003 con SP2.

Para colmo, se ha detectado un gusano que intenta aprovechar la vulnerabilidad. El nombre elegido es Rinbot, y una vez que logra ejecutar código, se conecta al dominio x.rofflewaffles.us y convierte a su víctima en zombie (parte de una botnet). La detección específica por parte de los antivirus es escasa todavía. Según el SANS, que ha usado VirusTotal para el análisis:

AhnLab-V3 2007.4.14.0 04.16.2007 Win32/IRCBot.worm.199680.I AntiVir 7.3.1.52 04.16.2007 HEUR/Crypted AVG 7.5.0.447 04.16.2007 Win32/CryptExe DrWeb 4.33 04.16.2007 BackDoor.IRC.Sdbot.1299 eSafe 7.0.15.0 04.16.2007 Suspicious Trojan/Worm Fortinet 2.85.0.0 04.16.2007 suspicious Kaspersky 4.0.2.24 04.16.2007 Backdoor.Win32.VanBot.bx
Prevx1 V2 04.16.2007 Malware.Trojan.Backdoor.Gen Symantec 10 04.16.2007 W32.Rinbot.A Webwasher-Gateway 6.0.1 04.16.2007 Heuristic.Crypted

Sospechamos que esta vulnerabilidad provocará un nuevo parche fuera del ciclo habitual de Microsoft. De lo contrario no habría solución oficial hasta al menos el ocho de mayo. Se recomienda deshabilitar la capacidad de manejo remoto sobre RPC para los servidores DNS o bloquear el tráfico entrante no solicitado entre los puertos 1024 y 5000 e incluso 445 si no es necesario.

Para deshabilitar la capacidad de manejo remoto sobre RPC, en el registro, en la rama:

“HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNS\Parameters”

se debe añadir un valor DWORD llamado “RpcProtocol” con el valor 4. Es importante destacar que es necesario reiniciar el servicio DNS para que el cambio surta efecto.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3097/comentar

Más información:

Monday update on Microsoft Security Advisory 935964 http://blogs.technet.com/msrc/archive/2007/04/16/monday-update-on-microsoft-security-advisory-935964.aspx

Situation update on Microsoft Security Advisory 935964 http://blogs.technet.com/msrc/archive/2007/04/15/situation-update-on-microsoft-security-advisory.aspx

Vulnerability in RPC on Windows DNS Server Could Allow Remote Code Execution.
http://www.microsoft.com/technet/security/advisory/935964.mspx

New Rinbot scanning for port 1025 DNS/RPC http://isc.sans.org/diary.php?storyid=2643&rss

DNS Vulnerability being Exploited in the Wild http://www.symantec.com/enterprise/security_response/weblog/2007/04/dns_exploit_time_is_upon_us.html

Sergio de los Santos
ssantos@hispasec.com

==== 22.- Denegacion de servicio en ZoneAlarm 6.5 y anteriores ====
http://www.vsantivirus.com/vul-za-ssdt-150407.htm
Una incorrecta validacion de al menos dos de esas funciones (NtCreateKey y NtDeleteFile), puede permitir el uso de parametros invalidos, ocasionando que el programa deje de responder. El elemento vulnerable es VSDATANT.SYS.

==== 23.- El escaneo de puertos puede presagiar la presencia del exploit Windows DNS Server ====
http://www.networkworld.com/news/2007/041607-port-scans-could-foreshadow-windows.html
Si existe una actividad considerable que tiene como objetivo el puerto TCP 1025 sobre los sistemas Windows puede ser una se~al de que los intrusos estan recolentando datos para un futuro ataque contra servidores sin parchar, alerto Symantec el lunes.