Octubre del 2005
Microsoft demanda a distribuidores de correo basura mediante "Spam Zombies"
El 50% del spam (correo basura) recibido por un usuario normal suele provenir de un computador hogareño que ha sido convertido en un "spam zombie".
Un "spam zombie" es un PC que está conectado a Internet que ha sido infectado y se conecta con los "controladores zombie" a efectos que le den instrucciones sobre que hacer.
Estos "spam zombies" son utilizados por los spammers para enviar correo basura sin revelar su dirección IP. Los spammers proveen el contenido de spam a los PC zombies y de ese modo estos PCs infectados envían el correo basura a sus víctimas sin que el usuario del PC convertido en zombie se entere de ello.
Microsoft dijo que ha realizado demandas "John Doe" (que se hacen cuando se desconoce a las personas/organizaciones a quien acusar), en contra de operadores de 13 organizaciones distribuidoras de spam que utilizan ilegalmente computadores "zombie" para enviar su spam.
Microsoft rastreó las operaciones de spam infectando en forma intencional un PC con código malicioso, que se sabía que tornaba computadores desprotegidos en zombies.
La compañía dijo que en un período de 20 días, este PC infectado recibió mas de 5 millones de conexiones que resultaron en requerimientos de envío de 18 millones de mensajes de correo basura. Estos requerimientos contenían anuncios de mas de 13000 dominios distintos.
Esto fue solo con un computador. Actualmente existen reportes sobre miles de spam zombies funcionando.
Microsoft dijo haber puesto en cuarentena este PC Zombie para prevenir el envío del correo basura.
Con la información obtenida de este PC Zombie Microsoft utilizará herramientas específicas a efectos de descubrir quien está detrás de las direcciones IP utilizadas para enviar requerimientos a la PC Zombie.
Referencias:
Spam Kings Blog:
Microsoft's decoy zombie
SANS - Internet Storm Center :
Microsoft attacks Zombi Masters
|
Servidores DNS: vulnerables a ataques
Los usuarios de Internet están en riesgo de sufrir un fraude debido a que el 20% de los servidores DNS están ejecutando software desactualizado y un 75% son vulnerables a envenenamiento de cache.
Varios servidores DNS están configurados en forma incorrecta o corriendo software desactualizado, dejándolos vulnerables a ataques maliciosos, de acuerdo a un informe publicado el lunes.
"The Measurement Factory", una firma sobre desempeño de Internet, advirtió que el software "Internet Systems Consortium's BIND", que lleva a cabo la función de resolución de dominios, está desactualizado en un quinto de los servidores DNS, los cuales sostienen Internet mediante la traducción de nombres de dominio en direcciones IP.
Los servidores DNS que ejecuten versiones de BIND inferiores a la 9 están abriendo las puertas a ataques del tipo pharming a través del envenenamiento de cachés DNS, afirmó "The Measurement Factory".
El envenenamiento de la caché DNS consiste en el hackeo de los servidores DNS y el reemplazo de las direcciones numéricas (IP) de los sitios web legítimos con las direcciones de sitios maliciosos.
Pharming es una nueva variante del Phishing (cuando se ataca a la víctima con enlaces enviados por email de sitios que pretenden ser otro). El ataque pharming consiste en el envenenamiento de los DNS para que el navegador del usuario sea llevado a un sitio malicioso que suplanta al legítimo.
Artículo completo (en inglés):
DNS servers 'vulnerable to attack'
Tom Espiner, ZDNet UK
http://news.zdnet.co.uk/0,39020330,39233366,00.htm
|
Cuelgue remoto de Internet Explorer 6.0 (mshtmled.dll)
Según Tom Ferris, existe una vulnerabilidad en Internet Explorer 6.0 bajo Windows XP SP2 con J2SE Runtime Environment (Java de Sun) instalado, la cual permite a un atacante ocasionar que el navegador deje de responder.
El fallo reside en mshtmled.dll (6.00.2900.2753 (xpsp_sp2_gdr.050902-1326) y versiones anteriores) que Internet Explorer 6.0 utiliza para editar HTML.
Ferris dice que el problema aparentemente es debido a un puntero nulo (puntero que contiene un valor que no representa una dirección de memoria)
El siguiente código reproduce el problema descripto.
<FRAMESET >
<FRAME SRC=AAAA >
<EMBED NAME=SP STYLE= >
<APPLET HSPACE=file: >
Notar que es necesario que J2SE Runtime Environment (Java de Sun Microsystems) esté instalado para generar el fallo.
Tiempos de divulgación:
Reportado: 14 de agosto de 2005
Respuesta de Microsoft: desconocida
Divulgación pública: 24 de octubre de 2005
Reporte Original:
Internet Explorer 'mshtmled.dll' 6.0 Denial Of Service
http://www.security-protocols.com/advisory/sp-x20-advisory.txt
Prueba de Concepto:
http://www.security-protocols.com/poc/sp-x20.html
|
Multiples vulnerabilidades en Skype
Se han descubierto múltiples vulnerabilidades en Skype, las cuales podrían ser explotadas por atacantes remotos para ejecutar código arbitrario u ocasionar un DoS (Denegación de Servicio).
El primer fallo es debido a errores de desbordamiento de buffer al procesar URL's del tipo "callto://" o "skype://" especialmente alteradas, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario en el sistema de la víctima.
La segunda vulnerabilidad es debida a un error de desbordamiento de buffer al importar archivos VCARD no estándar, lo cual podría ser explotado por un atacante remoto convenciendo a la víctima para que importe un archivo VCARD malicioso y ejecutar código arbitrario.
El tercer fallo es debido a un error no especificado en una rutina de manejo de tráfico de red, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario u ocasionar un DoS.
Productos afectados:
Skype para Windows Release 1.4.*.83 y anteriores
Skype para Mac OS X Release 1.3.*.16 y anteriores
Skype para Linux Release 1.2.*.17 y anteriores
Skype para Pocket PC Release 1.1.*.6 y anteriores
Solución:
Actualizar a la versión más reciente de Skype
http://www.skype.com/download/
Créditos:
Vulnerabilidades reportadas por Mark Rowe, Joe Moore e Imad Lahoud.
Referencias:
FrSIRT/ADV-2005-2197
Skype Multiple URI and VCARD Handling Buffer Overflow Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2197
SECUNIA ADVISORY ID: SA17305
Skype Multiple Buffer Overflow Vulnerabilities
http://secunia.com/advisories/17305/
|
Yahoo resuelve un agujero de seguridad en su WebMail
Yahoo ha parcheado un agujero de seguridad en su servicio de correo webmail que dejaba una puerta abierta para ataques del tipo phishing, robo de cuentas, y otros más.
El fallo, conocido como vulnerabilidad del tipo XSS (cross site scripting), existía porque el webmail de yahoo no detectaba ciertas etiquetas de script en combinación con ciertos caracteres especiales, de acuerdo a lo informado por SEC Consult que realizó un reporte sobre el problema el pasado viernes.
Esto dejaba a usuarios de WebMail que utilizan Internet Explorer 6 vulnerables a ataques del tipo XSS y robo de cookies.
Se dan 5 ejemplos en el reporte original.
Según el punto de vista de SEC Consult existen muchas otras aplicaciones vulnerables a este tipo especial de problema donde las vulnerabilidades del cliente y el servidor se pueden combinar.
Recomendación para usuarios de webmail:
No utilizar Internet Explorer.
Créditos:
SEC-Team
Reporte original:
SEC-CONSULT Security Advisory 20051021-0
title: Yahoo/MSIE XSS
program: Yahoo Webmail in combination with MSIE 6.0
http://www.sec-consult.com/212.html
Referencias:
Yahoo fixes Web mail security flaw
By Joris Evers, CNET News.com
http://news.zdnet.com/2100-1009_22-5907383.html
|
Posible problema con parche de Microsoft (MS05-050)
Quienes hayan descargado e instalado en forma manual el parche para la vulnerabilidad en DirectShow (MS05-050) debieran verificar que hayan utilizado la actualización de seguridad correcta.
Microsoft ha publicado recientemente un artículo en su Knowledge Base:
The computer may not be updated after you install the "Security Update for DirectX 7.0 for Windows 2000 (KB904706)" on a Windows 2000-based computer that is running DirectX 8 or DirectX 9
En español:
"El computador podría no estar actualizado luego que usted haya instalado la 'actualización de seguridad para DirectX 7.0 para Windows 2000 (KB904706)' en un computador con Windows 2000 que esté ejecutando DirectX 8 o DirectX 9".
Según Microsoft esto aplica a:
- Sistemas con Microsoft Windows 2000
- En el computador está instalado Microsoft DirectX 8.0 o DirectX 9.0
Esto es debido a un parche incorrecto descargado e instalado en el sistema. Quienes hayan actualizado mediante el sitio Windows Update debieran estar correctamente protegidos. Para verificar si el sistema está correctamente parcheado, hay que verificar el numero de versión de Quartz.dll . Los pasos están detallados en el mencionado artículo 909596 de Microsoft KB. Existe una versión en español de ese artículo gracias al servicio de traducción automática de Microsoft: http://support.microsoft.com/?scid=kb%3Bes%3B909596&x=3&y=11(Notar que la traducción automática no es del todo correcta) Referencias: SANS Internet Storm Center Handler's Diary October 22nd 2005: Possible Problem with MS05-050 Patch
|
Publicado exploit para vulnerabilidad Plug & Play (MS05-047)
|
Disponible Netscape Browser 8.0.4
Esta nueva version del navegador Netscape resuelve las vulnerabilidades que afectaban a la version anterior, basada en Firefox 1.0.6.
Mejoras/parches en esta versión:
- Actualizaciones de seguridad y resolucion de Bugs incluidos en Firefox 1.0.7
- Mejorado el manejo de proxies
- Flash 8 está incluido y resuelve una variedad de "crashes" o fallos del navegador.
Descarga (enlaces directos a instaladores):
Instalador "on-line" (requiere conexion a Internet para instalar):
nsb-setup.exe (298 Kb)
Instalador "Off-Line" (ideal para descargar con gestor de descarga):
nsb-install-8-0.exe (14 Mb)
Sitio de descarga oficial
http://browser.netscape.com/ns8/download/default.jsp
|
Vulnerabilidad XSS en lector de feeds RSS de Mi Yahoo!
Titulares en RSS (Beta) de Mi Yahoo! es un servicio que permite el acceso a feeds RSS con solo añadir el módulo correspondiente a nuestra página personalizada en my.yahoo.com mediante este enlace: http://add.my.yahoo.com/rss
Jeremy Moeder reporta una vulnerabilidad del tipo XSS (cross site scripting) en el lector de feeds RSS vía web de Yahoo!
El problema es que el lector RSS de Yahoo permite agregar un feed o canal RSS a la página del usuario de My Yahoo sin validar correctamente el archivo xml a efectos de asegurarse que no contenga código malicioso.
Un sitio malicioso podría tener un botón como este con un enlace a un archivo XML malicioso como este:
http://add.my.yahoo.com/rss?url=http://www.alljer.com/yahoo.xml (*)
el cual podría estar camuflado con JavaScript para que se vea como enlace a un feed, por ejemplo de CNN. El enlace malicioso podría ser hecho para que parezca mostrar titulares reales, o eventualmente tomar titulares de un feed RSS de CNN y reemplazar los links con código malicioso.
Mediante la explotación exitosa de este fallo por parte de un atacante remoto podría ser posible robar las cookies del usuario víctima, y por ende, acceder a su cuenta en Yahoo!
Según el autor, este tipo de vulnerabilidad podría ser aún mas peligrosa de ser explotada en combinación con vulnerabilidades conocidas de ciertos navegadores al procesar AJAX (Asynchronous JavaScript and XML) para crear un "Gusano XSS" (como el reciente gusano XSS AJAX "Samy" que afectó recientemente al sitio myspace.com) para realizar un ataque masivo del tipo Phishing en contra de usuarios de Yahoo!.
Jeremy Moeder dice que intentó contactar a Yahoo por este problema de seguridad el 21 de septiembre y luego el 12 de octubre sin obtener respuesta.
El autor del reporte comenta que fue capaz de realizar un ataque XSS similar en My.Msn.Com el cual fue luego resuelto. También verificó que con el lector de feeds de Google no es posible un ataque como este.
El feed RSS malicioso, capturas de pantalla y mas detalles en el reporte original.
Referencias:
Yahoo RSS XSS Vulnerability
http://seclists.org/lists/bugtraq/2005/Oct/0205.html
(*) Actualización: Corregida URL exploit de ejemplo por el autor
Yahoo RSS XSS Vulnerability (Correction)
http://seclists.org/lists/bugtraq/2005/Oct/0199.html
|
eEye reporta una vulnerabilidad critica en Windows Media e Internet Explorer
eEye Digital Security reporta una vulnerabilidad de gravedad crítica que afecta a Windows Media Player e Internet Explorer, cuya explotación exitosa podría permitir la ejecución de código arbitrario en forma remota.
Como es habitual, eEye no divulga detalles de la vulnerabilidad descubierta a efectos de darle tiempo a Microsoft para que la resuelva y no pueda ser explotada por atacantes maliciosos.
Referencias:
eEye Upcoming Advisories (EEYEB-20051017)
http://eeye.com/html/research/upcoming/20051017.html
|
Reportada vulnerabilidad inexistente en Firefox 1.0.7 (DoS)
Inusual trascendencia tuvo una noticia sobre un bug en Firefox 1.0.7 por el simple hecho de haber sido publicada en slashdot.
El "Mozilla (Firefox <= 1.0.7) (Thunderbird <= 1.0.6) Denial of Service Exploit" publicado en www.milw0rm.com sección [ dos ] ocasiona que el consumo de CPU se incremente drásticamente con el consecuente congelamiento de Firefox 1.0.7 debido a un error al procesar este sencillo código html inválido:
<html><body><strong>Mozilla<sourcetext></body></html>
La explotación de este bug no permite ejecutar código arbitrario y tiene como única consecuencia el cuelgue del navegador. Más que un exploit para un agujero de seguridad se lo puede calificar de "crasher".
Firefox 1.5 Beta2, SeaMonkey 1.0 alfa y demás navegadores de la familia basados en Gecko 1.8/1.9 no están afectados por este bug.
Referencias:
Slashdot: Mozilla Firefox 1.0.7 DoS Exploit
Prueba de concepto:
http://www.milw0rm.com/exploit.php?id=1253
Atención: esta URL ocasiona el fallo de Firefox 1.0.7 o Mozilla 1.7.12, pegar en barra de direcciones bajo propio riesgo.
Bugzilla Bug 210658
hanging with html elements: parsererror, sourcetext
|
Extension WebMail incompatible con Thunderbird 1.0.7
La extension WebMail para Thunderbird permite acceso pop a cuentas de Hotmail, Yahoo.com, Lycos, y Mail.Com.
Debido a un parche para un bug trivial en la version 1.0.7 de Thunderbird, esta extensión ya no funciona correctamente.
Considerando que Thunderbird 1.0.7 resuelve un problema de seguridad que solo se presenta en Linux, los usuarios de Windows podrán hacer un "downgrade" a Thunderbird 1.0.6 a efectos de seguir usando esta excelente extensión, o bien probar suerte con Thunderbird 1.5 Beta2.
Thunderbird 1.0.6, versión español Argentina (es-AR)
Thunderbird Setup 1.0.6.exe
Thunderbird 1.0.6, versión inglés U.S. (en-US)
Thunderbird Setup 1.0.6.exe
Extension WebMail para Thunderbird (no sirve para Mozilla Suite ni SeaMonkey)
http://webmail.mozdev.org/index.html
Known Vulnerabilities in Mozilla Products:
Fixed in Thunderbird 1.0.7
Referencias:
Lista de correo WebMail
|
Nueve boletines de seguridad de Microsoft (11/10/2005)
|
WinRAR 3.51 resuelve dos vulnerabilidades
Secunia Research ha descubierto dos vulnerabilidades en WinRAR, las cuales pueden ser explotadas para comprometer el sistema de un usuario.
1) Existe un error de formato de string al desplegar un mensaje de diagnóstico de error que informa al usuario de un nombre de archivo inválido en un archivo codificado UUE/XXE. Esto puede ser explotado para ejecutar código arbitrario cuando se decodifica un archivo UUE/XXE malicioso.
2) Un error de límite en la librería UNACEV2.DLL puede ser explotado para ocasionar un desbordamiento de buffer basado en el stack. Esto posibilita la ejecución de código arbitrario al extraer un archivo ACE malicioso conteniendo un fichero con un nombre de archivo demasiado extenso.
Las vulnerabilidades han sido confirmadas en la versión 3.50 de WinRAR.
Versiones anteriores de WinRAR también podrían estar afectadas.
Solución:
Actualizarse a la versión 3.51 (también disponible en español)
http://www.rarlabs.com/download.htm
Créditos:
Tan Chew Keong, Secunia Research.
Reporte del fabricante (RARLAB):
http://www.rarlabs.com/rarnew.htm
Reporte Secunia Research:
http://secunia.com/secunia_research/2005-53/advisory/
Referencias:
Secunia Advisory: SA16973
WinRAR Format String and Buffer Overflow Vulnerabilities
|
Vulnerabilidad critica en Kaspersky Antivirus al procesar archivos CHM
Se ha detectado otra vulnerabilidad crítica en varios productos antivirus Kaspersky, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario u ocasionar un DoS (Denegación de Servicio).
La vulnerabilidad es debida a un desbordamiento de heap al procesar archivos CHM malformados, lo cual podría ser explotado por atacantes remotos para ejecutar código malicioso, por ejemplo, mediante el envío de un archivo CHM especialmente alterado a la víctima.
Nota: según el reporte de iDEFENSE se ha verificado la posibilidad de ejecutar código arbitrario en plataformas Linux, pero no se ha verificado que ésto sea posible en plataformas Microsoft Windows, sin embargo, Kaspersky Antivirus fallará al intentar escanear archivos luego de haber encontrado un archivo CHM corrupto.
Productos afectados:
Kaspersky Personal version 5.0.227
Kaspersky Anti-Virus On-Demand Scanner for Linux version 5.0.5
F-Secure Anti-Virus for Linux version 4.50
Solución:
La posible explotación de esta vulnerabilidad ha sido minimizada mediante la inclusión de definiciones de virus específicas para este fallo, en julio de 2005.
Créditos:
Vulnerabilidad reportada a iDEFENSE por un usuario que desea permanecer anónimo
Tiempos de divulgación:
20/06/2005 Notificación inicial al fabricante
05/10/2005 Respuesta inicial del fabricante
10/10/2005 Divulgación pública
Referencias:
FrSIRT Advisory : FrSIRT/ADV-2005-2027
Kaspersky Anti-Virus CHM File Handling Buffer Overflow Vulnerability
Reporte iDEFENSE:
Kaspersky Anti-Virus Engine CHM File Parser Buffer Overflow Vulnerability
|
Traspaso de multiples antivirus mediante archivos comprimidos alterados
Secubox Labs reporta una vulnerabilidad, mediante la cual es posible que ciertos archivos especialmente alterados conteniendo virus puedan traspasar el escaneo del sistema antivirus sin ser detectados.
El archivo malicioso que traspase el escaneo del antivirus, no representa un riesgo real, ya que debe ser extraído del archivo RAR, luego de lo cual, será detectado correctamente.
A diferencia de Winzip o BitZipper, los cuales no permiten la apertura del archivo alterado, WinRAR lo abrirá y lo extraerá.
Los formatos posibles son:
*.RAR, *.ZIP, *.CAB, *.ARJ, *.LZH, *.ACE, *.TAR, *.GZ (GZIP)
*.UUE, *.BZ2, *.JAR, *.ISO, *.7Z, *.Z
Pruebas de concepto: se ha utilizado el string de prueba Eicar
Descarga Prueba de concepto 1:
http://shadock.net/secubox/demo/SecuBox_AVPoC1.rar
Descarga Prueba de concepto 2:
http://shadock.net/secubox/demo/SecuBox_AVPoC2.rar
El archivo malicioso debe comenzar con un encabezado MZ falso.
(mas detalles en el reporte original de Secubox Labs)
Nota 1: Para BitZipper & WinZip el archivo esta corrupto
Nota 2: Algunos productos (p. ej. Avast), detectan la prueba de concepto 2 pero no la 1.
Productos afectados:
* Kaspersky Antivirus
* BitDefender Antivirus
* NOD32 Antivirus
* F-Prot Antivirus
* Avast Antivirus
* McAfee Antivirus
* Sophos Antivirus
* Symantec Antivirus
* Dr.Web Antivirus
* Avira Antivirus
* Norman Virus Control Antivirus
* Fortinet Antivirus
* VBA32 Antivirus
* Rising Antivirus
* AntiVir Antivirus
* eTrust-Iris Antivirus
* ArcaVir Antivirus
* eTrust-Vet Antivirus
* UNA Antivirus
* TheHacker
[+] Probablemente otros más .....
Productos no afectados:
* Grisoft AVG AntiVirus
* Ikarus AntiVirus
* ClamAV Antivirus
* Panda Antivirus
* CAT Quick Heal
Descubierto por: fRoGGz
Creditos: SecuBox Labs
Calificado como: Medianamente crítico
Chequeado en : Windows 2000 SP2 & SP4
Chequeado con: Jotti Online Antivirus Scanner
Chequeado con: VirusTotal Online Antivirus Scanner
Chequeado con: Command line freeware UnRAR v3.50
Referencias:
SecuBox Labs: Multiple Antivirus detection bypass by special crafted archive
Actualización (A):
Agregada Prueba de concepto 3:
http://shadock.net/secubox/demo/SecuBox_AVPoC3.cab
Se agregan a la lista de productos afectados:
* Ikarus AntiVirus
* ClamAV Antivirus
* Panda Antivirus
* CAT Quick Heal
Unico producto que detecta las primeras 3 pruebas de concepto:
* Grisoft AVG AntiVirus
Actualización (B):
Agregada Prueba de concepto 4:
http://shadock.net/secubox/demo/SecuBox_AVPoC4.arj
Unico producto que detecta las primeras 4 pruebas de concepto:
* Grisoft AVG AntiVirus
Actualización (C):
Agregada Prueba de concepto 5:
http://shadock.net/secubox/demo/SecuBox_AVPoC5.arj
Ninguno de los antivirus testeados detecta la totalidad de los archivos Pruebas de concepto.
Ver el detalle de cada test en el reporte original de SecuBox Labs
Muchas gracias a fRoGGz por avisar de la actualización del reporte.
|
Otros mensajes en Octubre del 2005
|
El Blog
Alojado en
|
