Diciembre del 2005

Nuevo exploit para vulnerabilidad en WMF

Por marcelo-ar - 31 de Diciembre, 2005, 19:37, Categoría: General

El SANS ISC informa sobre la existencia de un nuevo exploit para la vulnerabilidad en el procesamiento de archivos WMF.
Este nuevo exploit genera archivos con una longitud aleatoria y sin extensión WMF, usa JPG, aunque podría ser cualquier otra extensión correspondiente a ficheros de imagen.

Luego de un cierto numero de escaneos mediante el servicio VirusTotal de Hispasec, han concluido que no existe aún firma de virus alguna que lo detecte y según el código fuente, consideran que será dificultoso desarrollar firmas efectivas debido a las estructuras de los archivos WMF.

Ref.:
New exploit released for the WMF vulnerability
http://isc.sans.org/diary.php?storyid=992

FrSIRT - Exploits & Codes
Microsoft Windows Metafile (WMF) "SetAbortProc" Remote Code Execution Exploit
Date : 31/12/2005
http://www.frsirt.com/exploits/20051231.ie_xp_pfv_metafile.pm.php

Mas sobre el IE WMF 0-day exploit: Ataques via popups - Primer Gusano via MSN - Parche no oficial

Por marcelo-ar - 31 de Diciembre, 2005, 18:40, Categoría: General

Es oportuno hacer notar -una vez más- que la explotación exitosa de esta grave vulnerabilidad en el procesamiento de archivos de imagen WMF, dependerá en gran medida del navegador utilizado por el usuario atacado:

  • Basta con acceder a un sitio web malicioso con Internet Explorer para  infectarse en forma inmediata y automática sin necesidad de interacción alguna.
  • Los usuarios de Opera, Firefox, y demás navegadores de la familia Mozilla, no se infectarán por el simple hecho de ver una página web maliciosa, ya que para ésto, antes deberán aceptar descargar o abrir el archivo WMF malicioso desde el cuadro de diálogo que presenta el navegador, y verlo o seleccionarlo desde el explorador de Windows.
    De modo que es altamente recomendable no utilizar el IE (que ejecuta en forma automática el exploit) hasta tanto la vulnerabilidad haya sido parcheada, mientras tanto, navegar con Firefox u Opera y rechazar la descarga de archivos no solicitados desde una página web si nos aparece el cuadro de diálogo correspondiente.
En el blog de F-Secure se informa en este post "WMF, day 3" que:
  • El número de troyanos que utilizan este WMF 0-day exploit se está incrementando rápidamente.
  • La solución temporaria sugerida, consistente en el desregistro de la librería Shimgvw.dll utilizada por el "Visor de imágenes y Fax de Windows", solo detendrá la explotación automática de la vulnerabilidad desde el Internet Explorer y el Explorador de Windows, sin embargo, eso no nos protege en caso de abrir el archivo WMF malicioso directamente desde, por ejemplo, el MS-Paint.
  • También existe riesgo aún al abrir archivos de imagen, cuyo origen no es confiable, con otras extensiones (como p. ej. BMP, GIF, PNG, JPG, JPEG, JPE, JFIF, DIB, RLE, EMF, TIF, TIFF o ICO) ya que podría tratarse de un WMF malicioso renombrado.
    De modo que, por el momento, es recomendable no visualizar ningún archivo de imágen de origen no confiable ya sea con MS-Paint o cualquier otra aplicación para edición/visualización de imagenes.
Otras acotaciones interesantes de un lector del SANS ISC en este post "Musings and More WMF Information":
  • Aún si se desregistra la librería afectada, algunos programas podrían registrarla nuevamente mediante su invocación directa.
  • Es necesario eliminar o renombrar la dll para estar protegido (recordar deshacer esta modificación una vez que este fallo haya sido parcheado).
Medios de ataque:
El principal medio de ataque existoso actual, es a través de la ejecución automática del exploit mediante el navegador Internet Explorer al visitar un sitio malicioso o no malicioso pero que cuenta con anuncios publicitarios de terceras partes, como los generados a traves de popups de Exfol/WebExt, como ocurre por ejemplo con el sitio wallpapers4u.com.
(Ref.: Sunbelt Blog "Exfol/WebExt using WMF exploit on rotational popups")

Primer virus que explota esta vulnerabilidad:
Ya se conoce la existencia del primer gusano que explota esta vulnerabilidad distribuyendose vía MSN Messenger (IM-Worm) mediante un enlace a "http://[....]/xmas-2006 FUNNY.jpg".
Dicho JPG es una página html con enlace a un WMF malicioso.
(Ref.: VirusList.com Blog (de Kaspersky Labs) "More on WMF exploitation")

Parche no oficial (para betatesters):
En este post "Ilfak to the rescue!" del Blog de F-Secure informan que Ilfak Guilfanov ha desarrollado un parche temporario no oficial que no quita ninguna funcionalidad en el sistema (todas las imágenes y vistas en miniaturas funcionarán normalmente).
Este parche ha sido probado en Win XP SP2 y XP 64 bits, pero no ha sido probado en Win 2000.
Ilfak Guilfanov recomienda desinstalar su parche y utilizar el de Microsoft una vez que esté disponible.

Más información y descarga del parche creado por Ilfak Guilfanov:
Hex blog: "Windows WMF Metafile Vulnerability HotFix"
http://www.hexblog.com/2005/12/wmf_vuln.html

[Actualización 31/12/2005, 22:29 Arg.]
Versión 1.1 del parche funciona en Windows 2000
[Actualización 01/01/2006, 15:39 Arg.]
Versión 1.3 del parche: añadido soporte para Windows 2000 SP4

Vulnerabilidad en Windows al procesar archivos de imagen WMF esta siendo explotada (WMF 0-day)

Por marcelo-ar - 28 de Diciembre, 2005, 1:54, Categoría: General

[Nota: Post inicial publicado el 28/12/2005 a las 01:54 a.m. Arg. (GMT -3:00)]
[Última actualización: 30/12/2005, 00:55 a.m. Arg.]
En la lista Bugtraq fue publicado el enlace a un sitio malicioso que explota una nueva vulnerabilidad en el proceso de archivos de imágen WMF.
Dicho sitio descarga el código malicioso y lo ejecuta.
El autor del mensaje comenta que F-Secure detecta el virus, pero Norton Antivirus no lo detecta. [Ver Actualización #6 al final de este post]
Referencias:
Lista de correo Bugtraq
http://www.securityfocus.com/archive/1/420288

[Actualización #1]
Se trata de una nueva vulnerabilidad en el proceso de archivos WMF, la cual no es resuelta por la actualización 896424 (MS05-053) descripta en este post, de modo que por el momento no existe parche para la misma.
Referencias:
http://sunbeltblog.blogspot.com/2005/12/new-exploit-blows-by-fully-patched.html

[Actualización #2]

La explotación exitosa de esta grave vulnerabilidad dependerá del navegador utilizado:

  1. Los usuarios de Internet Explorer se infectarán en forma automática (sin interacción alguna) con solo ver una página web maliciosa.
  2. Los usuarios de Mozilla Firefox u Opera no se infectarán en forma automática, ya que antes serán invitados mediante un cuadro de dialogo a descargar, o bien a abrir el archivo WMF malicioso. En caso de descargar o abrir el archivo, se infectarán.
Referencias:
http://www.f-secure.com/weblog/archives/archive-122005.html#00000752

[Actualización #3]

Existen mas de 50 variantes de archivos WMF que se aprovechan del WMF 0-day exploit.
Ver listado de sitios:
Sunbelt Blog: More than 50 WMF variants in the wild using zero day exploit
http://sunbeltblog.blogspot.com/2005/12/more-than-50-wmf-variants-in-wild.html

Dos posibles soluciones temporarias sugeridas:
  1. Desregistrar SHIMGVW.DLL (Ir a Inicio, Ejecutar y escribir "regsvr32 -u %windir%\system32\shimgvw.dll" sin comillas y aceptar)
  2. Asociar los archivos de imágen WMF, por ejemplo, al bloc de notas. De este modo, ese tipo de archivos se abrirá con el bloc de notas, lo cual no es algo "elegante", pero evita la apertura accidental de un archivo WMF malicioso. [Opción 2. no recomendable, ver actualización #5 más abajo]
Referencias:
Sunbelt Blog: Workaround for the WMF exploit
http://sunbeltblog.blogspot.com/2005/12/workaround-for-wmf-exploit.html

[Actualización #4]
Exploit disponible en FrSIRT:
Microsoft Windows / Internet Explorer WMF Remote Code Execution Exploit (0day)
Date : 28/12/2005
http://www.frsirt.com/exploits/20051228.ie_xp_pfv_metafile.pm.php

[Actualización #5]
Cuatro novedades más...

Importante información enviada por David Byrne a Bugtraq:


a) Si el archivo WMF malicioso es renombrado con otra extensión correspondiente a un archivo de gráficos (p. ej: .gif, .jpg, .png, .tif), la librería GDI lo leerá correctamente y se ejecutará el exploit.

http://www.securityfocus.com/archive/1/420378/30/0/threaded

b) La vista previa en miniaturas del explorador de Windows procesará los archivos de imágen en una carpeta aún si el fichero no es abierto, lo cual es suficiente para ejecutar el exploit. Y aún más atemorizante es que no hace falta utilizar la vista de miniatura en el explorador para que esta sea generada, en ciertas circunstancias, basta con seleccionar con un clic simple en el archivo malicioso, para que este se ejecute.

http://www.securityfocus.com/archive/1/420379/30/0/threaded


Websense Security Labs Blog:
Video con la filmación de un sistema atacado con el WMF 0-day exploit:
http://www.websensesecuritylabs.com/images/alerts/wmf-movie.wmv

Post en Microsoft Security Response Center Blog reporta "Posible vulnerabilidad en Windows"...
¿¿¿Posible vulnerabilidad??? ;-)
http://blogs.technet.com/msrc/archive/2005/12/29/416569.aspx

Los usuarios de Google Desktop deberán tener especial cuidado
, ya que este software realiza una llamada API al componente vulnerable SHIMGVW.DLL para extraer la información de la imágen a efectos de indexarla, lo cual es suficiente para invocar la ejecución del exploit e infectar la máquina.
Ref.:
http://www.f-secure.com/weblog/archives/archive-122005.html#00000753

[Actualización #6]
* Resultados del análisis con distintos antivirus (mediante el servicio VirusTotal de Hispasec) del exploit inicial de "uni on seek. com/ d/t 1/ wmf_exp. htm" (sitio ya no activo), en este post del Blog de SecuriTeam:
http://blogs.securiteam.com/index.php/archives/163

* Windows 2000 SP4 y Windows 98/Me también están afectados.
Ver listado de productos vulnerables en el reporte de FrSIRT:
FrSIRT/ADV-2005-3086
Microsoft Windows WMF Handling Remote Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2005/3086

Falso MSN Messenger beta 8 es un virus

Por marcelo-ar - 28 de Diciembre, 2005, 1:34, Categoría: General

Actualmente, no existe una beta pública del MSN Messenger 8.
F-Secure informa sobre la existencia de un nuevo virus que viene disfrazado como una beta pública del MSN Messenger 8.
Es posible descargarlo desde un sitio malicioso, y luego de ejecutar el "BETA8WEBINSTALL.EXE" el MSN Messenger del usuario atacado comenzará a enviar enlaces de descarga de este código malicioso a toda su lista de contactos, además de conectar la máquina a un servidor botnet.

F-Secure identifica a este virus como Virkel.F

Fuente:
Blog F-Secure: You don't want to download MSN Messenger beta 8
http://www.f-secure.com/weblog/archives/archive-122005.html#00000751

Microsoft Internet Explorer: Lider en Inseguridad

Por marcelo-ar - 27 de Diciembre, 2005, 2:56, Categoría: General

El Browser Security Test es un test online que chequea la existencia de múltiples problemas de seguridad o vulnerabilidades que afectan a los navegadores Internet Explorer, Mozilla y Opera.
Actualmente detecta 40 vulnerabilidades conocidas, a cuyo listado se puede acceder desde este enlace "What Do We Test"

En base a las estadísticas del año 2004 y comparando la exposición a fallos de seguridad de Internet Explorer, Mozilla y Opera, se observó que durante el 98% del año, Internet Explorer fue vulnerable a -al menos- una vulnerabilidad que permitía la ejecución de código arbitrario en forma remota, mientras que Mozilla Firefox para Windows solo fue vulnerable durante un 7% del año y Opera un 17%.
El artículo completo (en inglés) esta aquí:
http://bcheck.scanit.be/bcheck/page.php?name=STATS2004

Estos son los comentarios de Bruce Schneier en su blog, cuyo post titula "Internet Explorer Sucks" (Internet Explorer apesta).
La versión en español del post mencionado, está disponible en Kriptópolis:
Bruce Schneier: "Internet Explorer apesta"

Publicado exploit para vulnerablilidad en phpBB <= 2.0.17

Por marcelo-ar - 26 de Diciembre, 2005, 1:03, Categoría: General

Se ha hecho público un exploit para una de las vulnerablidades aqui descriptas en phpBB.
Esta vulnerabilidad está siendo actualmente explotada.

Solución:
Actualizar a phpBB version 2.0.18 :
http://www.phpbb.com/downloads.php

Referencias:
FrSIRT - Exploits & Codes
phpBB <= 2.0.17 "signature_bbcode_uid" Remote Command Execution Exploit
Date : 24/12/2005
http://www.frsirt.com/exploits/20051224.r57phpbb2017.pl.php

SANS ISC:
phpBB <= 2.0.17 exploit code in the wild
http://isc.sans.org/diary.php?storyid=961

Otras referencias:
Secunia Advisory:  SA17366
phpBB Multiple Vulnerabilities
http://secunia.com/advisories/17366/

FrSIRT/ADV-2005-2250
phpBB Remote Command Execution and SQL Injection Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2250

Felicidades :-)

Por marcelo-ar - 24 de Diciembre, 2005, 17:30, Categoría: General

                 *                 
/:\
\:/"./-
,\o:/.::/'
_":'*"'|"\:"_
_:W"_:'_:""w;/_
,-\w::--/\:|:/-,
/;;":\:.|\::W \::\-
-:|:-+-_::_:|_\:/':_/_
,"_:+-_O_:::|:""_\_:__
\_:/::\___|:"W ::/"__::/\/
-\:\_:/:\::_|:::/::/\/\::/\::,
/::0/:/"\:|__/:W/__:\__o:\:/-/
:; -o:\::/\:\|\:W/:::\_:: /-::\_
\_:o"_/:\__/::\"_:\_"/\_/\:::\_w
_:\__/::\_:":_"__/:\_\_::\_/:_.
'";:\_:_:\ /_:_\"/o:Ww:"'
'";:|""|/ ""
|""|
__/|""|\__
\_::::::_/
\______/

¡Feliz Navidad!


Tomado de:
http://www.knowmadz.org/gallery/ascii/tree.htm


Buffer overflow en Symantec AntiVirus al descomprimir archivos RAR (solucion parcial)

Por marcelo-ar - 22 de Diciembre, 2005, 1:37, Categoría: General

Se ha identificado una vulnerabilidad de gravedad crítica en varios productos Symantec AntiVirus, la cual podría ser explotada por atacantes remotos para ejecutar código arbitrario en un sistema vulnerable.

La vulnerabilidad es ocasionada debido a un error de límite en "Dec2Rar.dll" al copiar datos en base al campo longitud (length field) en los sub-bloques de los encabezados del archivo RAR.
Esto puede ser explotado para ocasionar un desbordamiento de buffer basado en el heap, y podría permitir la ejecución de código malicioso cuando el antivirus intenta descomprimir un archivo RAR especialmente alterado a efectos de escanearlo.

La vulnerabilidad ha sido reportada en Dec2Rar.dll versión 3.2.14.3 y afecta potencialmente a todos los productos de Symantec que utilicen esa librería.

Recomendación:
No escanear archivos .RAR con los productos afectados.

Solución:
Según informa el SANS Internet Storm Center, aparentemente, Symantec ha resuelto el problema temporariamente mediante la inclusión de firmas de virus específicas, de modo que esta vulnerabilidad no sea explotable mientras trabajan en el parche definitivo:
Bloodhound.Exploit.55
Descubierto: 20 de diciembre 2005
Ultima actualización: 21 de diciembre 2005, 01:48:25 PM
Bloodhound.Exploit.55 es una detección heurística para un archivo RAR malformado. Esta vulnerabilidad es potencialmente explotable para ocasionar un ataque DoS.

[Actualización 23/12/2005, 02:34 a.m.]
Se confirma lo informado por el SANS ISC.
Symantec publicó un reporte sobre este problema con un listado de los productos afectados, e informa que las firmas de virus que proveen detección heurística de potenciales exploits están disponibles mediante "Live Update" desde el pasado 20 de diciembre:
Symantec AntiVirus Decomposition Buffer Overflow
http://securityresponse.symantec.com/avcenter/security/Content/2005.12.21b.html

Créditos:
Vulnerabilidad descubierta por Alex Wheeler

Referencias:

Secunia Advisory: SA18131
Symantec AntiVirus RAR Archive Decompression Buffer Overflow
http://secunia.com/advisories/18131/

Bugtraq: Symantec Antivirus Library Remote Heap Overflows
From: <list_at_rem0te.com>
Date: Tue, 20 Dec 2005 13:58:55 +0000
http://seclists.org/lists/bugtraq/2005/Dec/0237.html

SANS ISC: Handler's Diary December 21st 2005
Symantec AV RAR library vulnerability
http://isc.sans.org/diary.php?storyid=949

Disponible SeaMonkey 1.0 Beta

Por marcelo-ar - 20 de Diciembre, 2005, 3:30, Categoría: General

Ya está disponible SeaMonkey 1.0 Beta, basado en Gecko 1.8 (el mismo motor de Firefox 1.5).
Algunos cambios y novedades desde SeaMonkey 1.0 Alfa: Nuevo logo, arrastrar-y-soltar para tabs (pestañas), autoscroll, la habilidad de regresar a la pestaña anteriormente seleccionada luego de cerrar la actual y una gran cantidad de bugs resueltos.

Se preveé la versión final de SeaMonkey 1.0 para el mes de Enero de 2006.

Descarga SeaMonkey 1.0 Beta:
http://www.mozilla.org/projects/seamonkey/releases/

Referencias:
SeaMonkey 1.0 Beta Released

Nota: Los que usan la impresionante extensión MultiZilla para SeaMonkey (y Mozilla Suite) ya disponen desde hace años de esas nuevas prestaciones mencionadas (arrastrar-y-soltar de tabs + autoscroll) y muchas, muchas más!
Desgraciadamente, Multizilla no está disponible para Firefox, aunque es posible agregar algunas de las prestaciones de Multizilla en Firefox instalando no menos de cinco (o más) extensiones.

MultiZilla (versiones especificas para Mozilla Suite y SeaMonkey):
http://multizilla.mozdev.org/

XSS y revelación de ruta de instalación en phpBB <= 2.0.18

Por marcelo-ar - 20 de Diciembre, 2005, 3:18, Categoría: General

phpBB es un paquete gratuito y Open Source (de código fuente abierto) para la fácil creación de foros, altamente personalizable y con una interface amigable. Está basado en el lenguaje PHP para servidores.

Maksymilian Arciemowicz ha descubierto algunos problemas de seguridad en phpBB, los cuales podrían ser explotados por gente maliciosa para llevar a cabo ataques XSS (cross site scripting) o revelar información sensible.

El primer problema es debido a un error de validación al procesar un mensaje especialmente alterado, lo cual podría ser explotado por atacantes remotos para ocasionar la ejecución de código JavaScript arbitrario en el navegador del usuario que está visualizando el post malicioso.
La explotación exitosa de este problema, requiere que "Allow HTML" esté habilitado, lo cual no es así en la configuración por defecto.

El segundo problema es debido a un error de validación de entrada en el script "admin/admin_disallow.php" al procesar un parámetro "setmodules" especialmente alterado, lo cual podría ser explotado por atacantes para averiguar la ruta de instalación.

Productos afectados:
phpBB version 2.0.18 y anteriores.

Solución:
Al momento de publicar esta noticia no se conoce la disponibilidad de una versión parcheada.

Recomendación:
El administrador del foro deberá asegurarse que "Allow HTML" esté desactivado ("General Admin", "Configuration", y bajo "User and Forum Basic Settings" en "Allow HTML" seleccionar "No").

Reporte original:
phpBB 2.0.18 XSS and Full Path Disclosure
http://securityreason.com/securityalert/269

Referencias:
FrSIRT/ADV-2005-2991
phpBB Cross Site Scripting and Full Path Disclosure Vulnerabilities
http://www.frsirt.com/english/advisories/2005/2991

Secunia Advisory: SA18125
phpBB "Allow HTML" Script Insertion Security Issue
http://secunia.com/advisories/18125/

Falso parche de McAfee es un troyano

Por marcelo-ar - 15 de Diciembre, 2005, 3:43, Categoría: General

Websense® Security Labs™ informa que ha recibido reportes sobre un email fraudulento disfrazado como un parche para productos McAfee. Los usuarios reciben un mensaje de correo con instrucciones, a efectos de que hagan clic en un enlace para que descarguen e instalen un falso parche de McAfee. Este parche dice bloquear un inexistente virus Kongo31.XRW. El enlace incluido en el mensaje de correo, dirigirá a los usuarios a un sitio fraudulento que emula la apariencia del sitio real de McAfee.
El parche alojado en el sitio web fraudulento, es un Troyano que descarga código malicioso (Trojan Downloader).
El sitio malicioso, esta alojado en Estados Unidos, y estaba activo en el momento en que fue publicado el alerta.
Ver captura del sitio malicioso en el reporte de Websense® Security Labs™:

Malicious Website / Malicious Code:   Fake McAfee Patch
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=370

Internet Explorer 7 utilizará el icono RSS de Firefox

Por marcelo-ar - 15 de Diciembre, 2005, 3:38, Categoría: General

El Microsoft Team RSS Blog anunció que, a efectos de alentar la consistencia entre navegadores, Internet Explorer 7 utilizará el mismo icono de RSS de Mozilla Firefox para representar Feeds RSS en aquellas páginas que dispongan de estos:



El Microsoft Team RSS agradeció al equipo de Mozilla por permitirle utilizar este icono.

Referencias:
Blogzilla: IE7 RSS icon to use Firefox RSS icon
Microsoft Team RSS Blog: Icons: It"s still orange

Multiples vulnerabilidades en Internet Explorer (MS05-054)

Por marcelo-ar - 14 de Diciembre, 2005, 4:00, Categoría: General

Se han identificado múltiples vulnerabilidades en Internet Explorer, las cuales pueden ser explotadas por atacantes remotos para ejecutar código arbitrario o revelar información sensible.

1) Un error de diseño en el procesamiento de atajos de teclado para ciertos cuadros de seguridad puede ser explotado, por ejemplo, para demorar la aparición del cuadro de diálogo de descarga de archivos mediante un ciclo que ocasione un consumo excesivo de recursos, y engañar al usuario para que oprima una tecla de modo que ejecute el archivo.

2) Un error de diseño en el procesamiento de clicks del mouse en una nueva ventana del navegador y la predictibilidad de la posición del cuadro de diálogo de descarga de archivos, podría ser explotado para engañar al usuario y que oprima el botón para ejecutar el archivo.
Esto podría ser explotado logrando que el cuadro de diálogo de descarga de archivos sea desplegado detrás de una nueva ventana del navegador, y luego engañando al usuario para que haga doble clic en cierta área específica de la nueva ventana, lo cual resultará en la selección no intencional del botón correspondiente a la ejecución del archivo a descargar.

3) Un error existente en el IE cuando se utiliza un servidor proxy https que requiere que el cliente utilice Autenticación Básica, lo cual podría permitir a atacantes la lectura de estas direcciones web en texto simple enviado desde el navegador al servidor proxy.

4) Un error de corrupción de memoria al instanciar ciertos objetos COM (Avifil32.dll, Comsvcs.dll, Mshtmled.dll, Ole2disp.dll, Oleaut32.dll, Outllib.dll, Quartz.dll, Repodbc.dll, y Shell.dll) como controles ActiveX, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario.

5) Un error de corrupción de memoria al procesar páginas html malformadas conteniendo llamadas especialmente alteradas a objetos JavaScript "window()" y eventos "onload", lo cual podría ser explotado por atacantes remotos para tomar el control completo de un sistema afectado con solo convencer a la víctima para que visite una página web maliciosa.
Nota: Esta última vulnerabilidad estuvo siendo explotada activa y exitosamente por los creadores de malware.

Solución:
Aplicar los parches.

Microsoft Security Bulletin MS05-054
Cumulative Security Update for Internet Explorer (905915)
http://www.microsoft.com/technet/security/bulletin/ms05-054.mspx

Versión en español:
Boletín de seguridad de Microsoft MS05-054
Actualización de seguridad acumulativa para Internet Explorer (905915)
http://www.microsoft.com/spain/technet/seguridad/boletines/MS05-054-IT.mspx

Créditos:
1) Andreas Sandblad, Secunia Research
2) Jakob Balle, Secunia Research
4) Will Dormann, CERT/CC
5) Benjamin Tobias Franz (no mencionado en el boletín de Microsoft)

Referencias:
Secunia Advisory: SA15368
Microsoft Internet Explorer Multiple Vulnerabilities
http://secunia.com/advisories/15368/

FrSIRT/ADV-2005-2867
Microsoft Internet Explorer Command Execution Vulnerabilities (MS05-054)
http://www.frsirt.com/english/advisories/2005/2867

FrSIRT/ADV-2005-2509
Microsoft Internet Explorer "window()" Code Execution Vulnerability
http://www.frsirt.com/english/advisories/2005/2509

Posible malware distribuido mediante popups de FastClick.Net

Por marcelo-ar - 13 de Diciembre, 2005, 2:09, Categoría: General

En el blog de SecuriTeam informan que otro de los así llamados "proveedores de contenido" parece estar utilizando código malicioso para propagar sus anuncios. Este contenido provisto por FastClick traspasa a los bloqueadores de popups más populares en sus configuraciones por defecto (IE Win XP SP2, Firefox, Google Toolbar, etc.), y además podría existir código malicioso dentro de sus scripts.

De momento, y a la espera de más información, se recomienda bloquear FastClick.com y FastClick.net mediante el archivo HOSTS o filtrado de IP entre otros métodos.

Por ejemplo, para bloquear FastClick.com y FastClick.net mediante el hosts, basta con agregar -entre otras- unas entradas como estas:

127.0.0.1  fastclick.com
127.0.0.1  www.fastclick.com
127.0.0.1  fastclick.net
127.0.0.1  www.fastclick.net

En este sitio "Blocking Unwanted Parasites with a Hosts File" se ofrece un archivo hosts que incluye esos y muchos otros sitios más, que se puede descargar en formato zip o txt:

hosts.txt (quitar extensión TXT para poder utilizarlo)
http://www.mvps.org/winhelp2002/hosts.txt

hosts.zip
http://www.mvps.org/winhelp2002/hosts.zip

Gracias a ese archivo hosts, además del contenido malicioso, se logra bloquear banners, ads publicitarios, cookies, web bugs, etc.

Nota: recordar que el hosts no tiene extensión y según la versión de Windows, va en...

Windows 95/98/Me=  c:|windows
Windows NT/2000/XP Pro=  c:|winnt|system32|drivers|etc
Windows XP Home=  c:|windows|system32|drivers|etc

Aclaración: El editor de texto de ZoomBlog no me permite colocar la barra invertida, por eso la reemplacé por el caracter "|".

Referencias:

Blogs SecuriTeam: Possible FastClick Malware
http://blogs.securiteam.com/index.php/archives/138

A Troubleshooting Guide to Windows XP
http://www.mvps.org/winhelp2002/

Nueva version 0.5.11 de Adblock Plus para Mozilla Firefox

Por marcelo-ar - 13 de Diciembre, 2005, 2:05, Categoría: General

Ya está disponible una nueva versión de esta excelente extensión para Mozilla Firefox, que nos permite bloquear todos esos molestos ads publicitarios.

Novedades:
1. Soporte para Netscape y Flock
2. Nuevo atajo de teclado "ctrl+shift+n" para acceder a los filtros relacionados con el sitio.

Varios parches, entre los cuales se resuelve un problema en la rutina de desinstalación de Mozilla Suite para utilizar ExtensionUninstaller API

Adblock Plus 0.5.11 Released!
Mon Dec 12, 2005 6:10 am
http://p2.forumforfree.com/adblock-plus-0511-released-vt312-adblockplus.html

Publicado exploit para grave vulnerabilidad en Firefox 1.0.4 [InstallVersion.compareTo()]

Por marcelo-ar - 13 de Diciembre, 2005, 1:56, Categoría: General

Se ha hecho público un exploit para una vulnerabilidad ya parcheada que afectaba a Firefox 1.0.4.

Breve descripción de esta vulnerabilidad:
Un error de validación en la función "InstallVersion.compareTo()" al manejar objetos especialmente alterados, podría ser explotada por atacantes remotos para ejecutar código arbitrario o realizar ataques DoS.

La vulnerabilidad afectaba a los siguiente productos:
* Mozilla Firefox 1.0.4 y anteriores
* Mozilla Suite 1.7.8 y anteriores
* Thunderbird 1.0.2 y anteriores

Versiones no afectadas:
* Mozilla Firefox 1.0.6 y posteriores
* Mozilla Suite 1.7.10 y posteriores
* Thunderbird 1.0.5 y posteriores

Referencias:
Mozilla Firefox "InstallVersion.compareTo()" Remote Buffer Overflow Exploit
Date : 12/12/2005
http://www.frsirt.com/exploits/20051212.fireburn.php

Flamante vulnerabilidad 0-day en Microsoft Excel se remataba en eBay

Por marcelo-ar - 10 de Diciembre, 2005, 2:47, Categoría: General

Se ha reportado una vulnerabilidad en Microsoft Excel.
Esta vulnerabilidad fue anunciada en el sitio de subastas eBay.

El usuario de eBay identificado como "fearwall", dice que esta "flamante vulnerabilidad" fue descubierta el 6 de diciembre de 2005 y los detalles de la misma fueron enviados a Microsoft, que como respuesta, le informaron que se pondrían a trabajar en ello.
El descubridor de la vulnerabilidad, asume que el parche para la misma no estará disponible dentro de los próximos meses ;-) , de modo que no fue capaz de encontrar un uso adecuado a este "producto secundario" para desarrolladores de Microsoft, por lo tanto, decidió ponerlo a disposición de los interesados mediante su subasta en eBay, por el módico valor inicial de un centavo (un valor que se estima razonable para cualquier producto de Microsoft).
Asimismo, promete destinar un porcentaje de esta venta a varios proyectos de software open source (de código fuente abierto).

Oferta especial:
Los representantes de Microsoft obtendrán un 10% de descuento sobre el precio final.
Para calificar en esta oferta, el interesado deberá proveer una dirección de correo electrónico @microsoft.com y deberá mencionar el código de descuento "LINUXRULZ" (sin comillas) durante el chequeo. :-D

Descripción de la vulnerabilidad (traducción del texto tomado de eBay):

Microsoft Excel no lleva a cabo una correcta validación de datos al procesar archivos de documentos. Como resultado de ésto, es posible pasarle un valor de contador extenso a la función msvcrt.memmove() lo cual ocasiona que áreas críticas de memoria sean sobrescritas, incluído el espacio correspondiente al stack (pila). Esta vulnerabilidad puede usarse para comprometer el PC de un usuario. Es factible la manipulación de datos en el documento para ocasionar que código a elección del atacante sea ejecutado al abrir un archivo malicioso mediante MS Excel. El código del exploit no está incluido en el remate (subasta).
...
Que será entregado (sin gastos adicionales):

El ganador del remate deberá proveer una dirección de email que acepte adjuntos .xls. Dos adjuntos serán enviados a dicha dirección de correo: un archivo es el documento original de MS Excel, y el otro es una copia del mismo modificado a efectos de demostrar la vulnerabilidad. La demostración simplemente genera una excepción ocasionando el fallo de Excel. No lleva a cabo ninguna acción maliciosa. Una descripción detallada de la misma se proveerá en el cuerpo del mensaje. En ese momento, podrá clamar para usted mismo ser EL ÚNICO EN EL MUNDO en poseer el conocimiento sobre esta vulnerabilidad. Wow! Imagine eso!
....

Hasta aquí, la traducción de los detalles más relevantes de esta subasta. :-)

Para terminar, el vendedor (o descubridor de la vulnerabilidad) aclara que el uso de esa información no deberá utilizarse con propósitos maliciosos, de acuerdo a lo establecido en los términos y condiciones.

Lamentablemente, eBay, por considerar que violaba sus políticas en contra de promover actividades ilegales, decidió retirar el mencionado "producto" de la subasta cuando éste había alcanzado el valor de aproximadamente 60 dólares, de modo que ya no existe la página en la cual se lo describía, incluida una foto.
Por suerte, un usuario de Full-disclosure tuvo la feliz idea de hacer una copia de la página antes de que fuera retirada por eBay, la cual está disponible en esta dirección:

http://heapoverflow.com/ebay_joke.htm

Un vocero de Microsoft ha confirmado que el reporte de esta vulnerabilidad es real, ya que miembros del Microsoft Security Response Center (MSRC) lo están investigando.

Créditos:
fearwall

Referencias:

[Full-disclosure] 0-day for sale on ebay
http://seclists.org/lists/fulldisclosure/2005/Dec/0353.html

Re: [Full-disclosure] 0-day for sale on ebay
http://seclists.org/lists/fulldisclosure/2005/Dec/0388.html

eBay: Brand new Microsoft Excel Vulnerability
(enlace original de la página removida por eBay)
http://cgi.ebay.com/ws/eBayISAPI.dll?ViewItem&item=7203336538

eBay pulls vulnerability auction
Robert Lemos, SecurityFocus 2005-12-09
http://www.securityfocus.com/news/11363

Microsoft Excel Unspecified Memory Corruption Vulnerability
http://www.securityfocus.com/bid/15780/discuss

Vulnerabilidad inexistente en Firefox (history.dat)

Por marcelo-ar - 9 de Diciembre, 2005, 2:23, Categoría: General

La Fundación Mozilla emitió un comunicado con referencia al exploit publicado que ocasiona el fallo de Firefox mediante la manipulación del archivo "history.dat".

Según la Fundación Mozilla, este fallo no es tal, ya que al iniciar el navegador, luego de leer la información del "history.dat" alterado por el exploit, éste no fallará sino que tomará más tiempo del normal en iniciarse, lo cual puede llevar varios minutos en un computador lento.
La demora al iniciar persistirá hasta tanto el archivo history.dat sea removido o eventualmente expire.

Según las investigaciones realizadas, no encuentran bases para que se afirme que variantes de este tipo de ataque puedan ocasionar un fallo explotable, sobre el cual no se ha presentado ninguna evidencia.

Para terminar, afirman que no existe riesgo alguno para los usuarios, excepto la aparente falta de respuesta del navegador al iniciar.

Comunicado de la Fundación Mozilla:
Long-title temporary startup unresponsiveness
(Falta de respuesta temporaria al iniciar por título extenso)
http://www.mozilla.org/security/history-title.html

Evidentemente, no se trata de una Denegación de Servicio (DoS) o de una vulnerabilidad explotable.
A idéntica conclusión llegó con anterioridad SecuriTeam luego de investigar el problema, e incluso critican a SecurityFocus por divulgar información inexacta y colaborar a que los medios reporten esto como una vulnerabilidad:

SecuriTeam Blogs: Information Concerning Reported FireFox Vulnerability
http://blogs.securiteam.com/index.php/archives/134

DoS en Firefox 1.5 (history.dat)

Por marcelo-ar - 8 de Diciembre, 2005, 1:02, Categoría: General

Ayer se hizo público un exploit que ocasiona una condición de Denegación de Servicio en Firefox 1.5, utilizando un simple código.

El problema reside en el archivo "history.dat", que como su nombre lo indica, Firefox utiliza para almacenar el historial de navegación.
El exploit crea una entrada excesivamente extensa que Firefox almacena en el archivo history.dat, el cual se ubica en el profile o perfil del usuario.
Debido al history.dat ya dañado, en el próximo y sucesivos intentos de iniciar el navegador, Firefox fallará, hasta tanto el archivo dañado sea eliminado del profile, o bien se inicie Firefox con otro profile.

El autor del exploit indica que los usuarios atacados con este exploit luego de visitar una página web maliciosa, normalmente no podrán o no sabrán como reiniciar el navegador, ocasionando entonces una condición de denegación de servicio (DoS).
También indica que sería posible modificar el exploit para llevar a cabo la ejecución de código arbitrario, cosa que por el momento no se ha demostrado que sea posible.

Solución temporaria:

Crear un archivo user.js con esta línea:

user_pref("capability.policy.default.HTMLDocument.title.set", "noAccess");

Esta preferencia (no visualizable desde about:config), previene que los scripts fijen el nombre de los documentos o paginas visualizadas.

Nota: El user.js va en el profile, es decir, en la misma carpeta que están ubicados, por ejemplo, bookmarks.html y prefs.js

Quienes quieran verificar el fallo o la correcta aplicación de la solución temporaria, podrán copiar el código del exploit en un editor de texto (como el bloc de notas), y guardarlo con extensión .html, para luego abrirlo desde Firefox.

Verfiqué que la solución temporaria sugerida por Unarmed del foro de MozillaZine funciona correctamente tanto en Firefox 1.0.7 como en Firefox 1.5.

Referencias:

Simple DoS for Firefox 1.5
http://www.securityfocus.com/brief/73

FireFox 1.5 Buffer overflow exploit
http://forums.mozillazine.org/viewtopic.php?t=351648

Firefox <= 1.5 (history.dat) Buffer Overflow Crash PoC
http://www.milw0rm.com/id.php?id=1362

Bugzilla:
Bug 319004 - overlong document.title setting can corrupt history data,
hanging/crashing on subsequent startups
https://bugzilla.mozilla.org/show_bug.cgi?id=319004

Otro problema de seguridad creado por software anticopia en discos de Sony BMG

Por marcelo-ar - 7 de Diciembre, 2005, 14:35, Categoría: General

Sony BMG Music Entertainment y la Electronic Frontier Foundation anunciaron en conjunto el día martes que han encontrado y parcheado, un nuevo problema de seguridad relacionado con el software anticopia incluido en algunos CDs de Sony, denominado "SunnComm MediaMax 5.x" creado por la compañía SunnComm Technologies.

Esta vulnerabilidad podría ser explotada por usuarios locales maliciosos  a efectos de obtener privilegios elevados.
El fallo es debido a un error de validación de acceso en el directorio "SunnComm Shared" que otorga privilegios de Control total a cualquier usuario, lo cual podría ser explotado por usuarios locales maliciosos para sobrescribir o reemplazar programas, como por ejemplo, "MMX.EXE" que será automáticamente ejecutado cuando un usuario inserte un CD de Sony protegido con SunnComm MediaMax.

El cambio de los permisos de acceso en forma manual en el directorio "SunnComm Shared" ha sido reportado como no efectivo, ya que los permisos inseguros serán restablecidos la próxima vez que se inserte un CD protegido con el software SunnComm MediaMax.

Solución:
Actualizar a la versión parcheada:
http://www.sunncomm.com/support/updates/updates.asp

[Actualización 08/12/2005, 01:52 a.m. Arg.]
Al día siguiente de la realización del parche, el Profesor Ed Felten y Alex Halderman identificaron un nuevo problema:

MediaMax Bug Found; Patch Issued; Patch Suffers from Same Bug
Wednesday December 7, 2005 by Ed Felten
http://www.freedom-to-tinker.com/?p=942

De modo que recomiendan a los usuarios de Windows que:
1. No utilicen el parche de MediaMax
2. No utilicen el desinstalador de MediaMax
3. No inserten en su PC un CD de Sony BMG con el software de MediaMax.

Créditos:
Vulnerabilidad reportada por Jesse Burns y Alex Stamos, iSEC Partners

Reportes originales:

Sony:
http://sonybmg.com/mediamax/
http://www.sonybmg.com/mediamax/titles.html

EFF (Electronic Frontier Foundation):
http://www.eff.org/news/archives/2005_12.php#004234
http://www.eff.org/IP/DRM/Sony-BMG/mediamaxfaq.php

iSEC Partners (en formato PDF):
http://www.eff.org/IP/DRM/Sony-BMG/MediaMaxVulnerabilityReport.pdf

Referencias:

SECUNIA ADVISORY ID: SA17933
Sony SunnComm MediaMax DRM Software Insecure Directory Permissions
http://secunia.com/advisories/17933/

FrSIRT/ADV-2005-2783
Sony SunnComm MediaMax DRM Software Access Control Vulnerability
http://www.frsirt.com/english/advisories/2005/2783

New Sony CD security risk found
By John Borland, CNET News.com
http://news.zdnet.com/2100-1009_22-5984764.html

Nota:
Ninguno de los reportes, tanto el original de iSEC Partners, como los de Secunia y FrSIRT indican que esta vulnerabilidad sea explotable en forma remota, y la califican como de gravedad "levemente crítica" y de "bajo riesgo" respectivamente.

Incremento de ataques phishing mediante la alteracion de archivo hosts

Por marcelo-ar - 6 de Diciembre, 2005, 2:37, Categoría: General

Websense® Security Labs™ informa en uno de sus alertas, que han observado un incremento en los ataques del tipo phishing que utilizan modificaciones en el archivo hosts de Windows para embaucar a los usuarios.

Muchos exploits y trucos que apelan a ingenieria social se utilizan para ejecutar código malicioso que añade ciertas entradas al archivo hosts de Windows.

Estas entradas añadidas por el codigo malicioso ejecutado, redirigen el tráfico de la URL legítima de uno o mas bancos, a la dirección IP de un sitio falso creado por el atacante o phisher. La próxima vez que el usuario intente visitar la web del banco blanco del ataque, su navegador será redirigido al sitio del phisher.
Notar que la URL que aparecerá en la barra de direcciones del navegador será la correcta. Una vez que el usuario atacado acceda al sitio malicioso e ingrese mediante el formulario sus datos de acceso, esa información será capturada por el phisher.

En el alerta de Websense® Security Labs™ se muestra un ejemplo del archivo hosts alterado que tiene como blanco de ataque a los bancos HSBC Brazil, Banco Itau, Banco Banespa, y Bradesco.
Estos sitios utilizados en el ataque estan alojados en California, y aún se encontraban en línea al momento de publicar ese alerta.

Alerta de Websense® Security Labs™
Phishing Alert / Malicious Code:   Traffic Redirection
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=363

Nota:
El archivo hosts es una especie de tabla donde cada línea permite relacionar una URL con la IP que le antecede, de modo que no sea necesario una consulta a servidores DNS a efectos de convertir la URL en su correspondiente dirección IP.
El archivo hosts sin extensión alguna, se almacena en distintos directorios según la versión de Windows utilizada:

Windows 95/98/Me
  c:\windows

Windows NT/2000/XP Pro
  c:\winnt\system32\drivers\etc

Windows XP Home
  c:\windows\system32\drivers\etc

Si bien en este caso se explica el uso malicioso del archivo hosts, este también se puede utilizar, por ejemplo, a efectos de agilizar la navegación colocando las IPs correspondientes a sitios frecuentemente visitados, evitando la demora que puede generar la consulta a los servidores DNS que resuelven las direcciones.

Desbordamiento de heap en Quicktime Player 7.0.3 e iTunes 6.0.1 permite ejecutar codigo arbitrario

Por marcelo-ar - 4 de Diciembre, 2005, 18:49, Categoría: General

Tom Ferris reporta una vulnerabilidad crítica en Apple Quicktime Player 7.0.3 e iTunes 6.0.1 en Mac OS X y Windows.
La vulnerabilidad permite a un atacante la sobrescritura segura del área de memoria heap con código arbitrario a efectos de ejecutarlo en el sistema del usuario atacado.

El problema ya fue reportado a Apple, pero Tom Ferris promete publicar los detalles de esta vulnerabilidad crítica una vez que Apple haya realizado un parche para este fallo.

Referencias:
Security-Protocols
Upcoming Release: Apple Quicktime/iTunes Heap Overflow
http://security-protocols.com/modules.php?name=News&file=article&sid=3109

Grave vulnerabilidad en el IE: Podrian producirse infecciones a gran escala

Por marcelo-ar - 4 de Diciembre, 2005, 18:36, Categoría: General

Websense Security Labs informa que han comenzado a observar algunas infecciones de sitios que están utilizando la técnica del "0 day exploit para IE - Javascript Window() Remote Code Execution" para aprovecharse de máquinas vulnerables y ejecutar código malicioso sin intervención del usuario. Esto sumado al incremento de exploits pruebas de concepto publicados, que llevan a cabo acciones mas allá de simplemente ejecutar la calculadora de Windows (como en la prueba de concepto original), les permite inferir que son posibles infecciones generalizadas.

También han observado sitios que están intentando utilizar el exploit para Internet Explorer, pero tienen errores de programación. Algunos de estos sitios son blogs que tienen la funcionalidad de Feeds RSS habilitada.

Referencias:
Websense Security Labs - December 02, 2005
Information Alert: Zero-day IE Exploit Increases
http://www.websensesecuritylabs.com/alerts/alert.php?AlertID=360

Vulnerabilidad en Google Groups permite robar cookies del administrador de una lista de correo

Por marcelo-ar - 4 de Diciembre, 2005, 18:29, Categoría: General

n3td3v reporta una vulnerabilidad del tipo XSS (cross site scripting) en la página de Google Groups destinada a aprobar o rechazar mensajes por parte de moderadores o del administrador de la lista de correo allí alojada.

El envío de un script especialmente alterado a la página de mensajes pendientes puede brindar a un usuario malicioso permisos administrativos en la lista de correo, propios de los moderadores o del administrador, mediante la obtención de su cookie.

Los mensajes pueden aparecer en la página de envíos pendientes del grupo o lista de correo aún si la misma no es moderada, ya que los mensajes que Google considera como sospechosos de spam o phishing, son enviados a la página de envíos pendientes a efectos de que el administrador o los moderadores los aprueben o rechacen.

Créditos:
n3td3v  http://www.geocities.com/n3td3v

Referencias:
Google is vulnerable from XSS attack
Saturday, December 03, 2005
http://n3td3v.blogspot.com/

TrojanDownloader:Win32/Delf.DH explota grave vulnerabilidad en IE JavaScript Window()

Por marcelo-ar - 1 de Diciembre, 2005, 3:10, Categoría: General

TrojanDownloader:Win32/Delf.DH es un troyano que es descargado en forma automática al visitar ciertos sitios web.
La descarga se produce en forma automática mediante la explotación de la grave vulnerabilidad JavaScript Window() que afecta a Internet Explorer, descripta en el Microsoft Security Advisory 911302 y que comento en este post: Realizado exploit para grave vulnerabilidad en Internet Explorer
Una vez ejecutado, este troyano descargará otro de un sitio web.

Dado que aún no existe parche para esta vulnerabilidad en el IE, se recomienda:

  1. No utilizar Internet Explorer
  2. Utilizar Internet Explorer pero inhabilitando ActiveX para todas las Zonas, excepto para los sitios de confianza.
Nota: Yo recomiendo la opción 1. ;-)

Referencias:

SANS ISC: Handler's Diary November 30th 2005
Musings on the Internet Explorer 0-day vulnerability

Microsoft - Malicious Software Encyclopedia:
TrojanDownloader:Win32/Delf.DH

Otros mensajes en Diciembre del 2005

El Blog

Calendario

<<   Diciembre 2005  >>
LMMiJVSD
      1 2 3 4
5 6 7 8 9 10 11
12 13 14 15 16 17 18
19 20 21 22 23 24 25
26 27 28 29 30 31  

Categorías

Alojado en
ZoomBlog

Get Firefox!

Check Page Rank

directorio blogs
eXTReMe Tracker