Marcelo.ar

Martes 13 para usuarios del AVG Free (user32.dll - Trojan horse Generic9.TBN)

marcelo-ar — 2007-11-15T01:52:00-03:00

El pasado martes 13 de noviembre de 2007, muchos usuarios del AVG fueron damnificados por un error en la actualización de su virus database.
Debido a eso, el AVG daba erróneamente como infectado (falso positivo) al archivo user32.dll con "Trojan horse Generic9.TBN" motivo por el cual, quienes seleccionaban la opción de enviar a cuarentena o limpiar el mencionado archivo, en la práctica, se quedaban sin Sistema Operativo, debido a que Windows no podría reiniciar correctamente sin éste.

El problema parece haber sido resuelto con la actualización del martes 13 por la tarde, pero quienes se quedaron sin S.O. por la mañana debido al update defectuoso, quizás nunca se enteren del motivo.

En este post de Taringa! hay soluciones para los usuarios afectados por el update defectuoso del AVG.
El post mencionado, en realidad es un 'copiar & pegar' (sin citar la fuente) de este post del blog de un usuario afectado, pero lo cito debido a que hay buenos comentarios de algunos usuarios, por ejemplo, el de "nanubcn" que aporta una solución.

Espero que no hayan habido muchos damnificados por esta nueva negligencia por parte de Grisoft, que dicho sea de paso, en su foro del AVG Free, apenas hay un post mencionando este problema, que solo parece haber afectado a usuarios de Windows en Español:
http://forum.grisoft.cz/freeforum/read.php?4,109767

[Actualización 16/11/07, 01:05 am]
Según lo que se comenta en este foro, queda prácticamente confirmado que el problema solo se presentó en versiones de Windows XP en español.
La actualización del AVG que generó el problema fue la AVI 269.15.30/1127, disponible el 12 de Nov 2007 10:41 pm, y (aparentemente), fue resuelto con la actualización AVI 269.15.31/1128, disponible el 13 de Nov 2007 12:20 pm.
En ese mismo foro, en el post nro 4 se da otra posible solución con los pasos a seguir (en español), para resolver el problema.

Ref.:
http://weblog.dhispano.com/2007/11/avg-me-ha-detectado-un-virustrojan.html
http://weblog.dhispano.com/2007/11/trojan-horse-generic9tbn-otra-solucin.html
http://www.psicofxp.com/forums/seguridad-informatica.47/565740-se-me-reinician-dos-pcs.html
http://www.bloodzone.net/forums/showthread.php?p=503950
http://www.forospyware.com/t127375.html
http://blog.pablomedrano.com.ar/?p=26

Problemas con parche de Microsoft (Hhctrl.ocx - user32.dll)

marcelo-ar — 2007-04-04T04:23:00-03:00

El SANS ISC ha recibido muchos emails durante el día, provenientes de usuarios que están experimentando problemas ocasionados por el parche de Microsoft 925902 (MS07-017).

Uno de los problemas, que se presenta cuando Realtek HD Audio Control Panel (Rthdcpl.exe) está instalado, ha sido confirmado por Microsoft y ha provisto este articulo y este parche para quienes experimenten el siguiente mensaje de error:

Rthdcpl.exe - Reasignación no válida de DLL del sistema.

La DLL de sistema user32.dll se ha reasignado en la memoria. La aplicación no funcionará correctamente. La reasignación ocurrió porque la DLL C:\Windows\system32\HHCTRL.OCX ocupa un intervalo de direcciones reservado para las DLL del sistema de Windows.
Debe ponerse en contacto con el fabricante que proporciona la DLL para obtener una nueva.

Otros posibles problemas han sido reportados y estan siendo investigados.

Ref.:
SANS Internet Storm Center
Microsoft Patch Maybe Causing Some Problems
http://isc.sans.org/diary.html?storyid=2565

Multiples vulnerabilidades en AVG Anti-Virus <= 7.1.406 al procesar archivos CAB, DOC, RAR y EXE

marcelo-ar — 2006-11-14T23:59:00-03:00

Se han identificado múltiples vulnerabilidades en AVG Anti-Virus, las cuales podrían ser explotadas por atacantes remotos para ocasionar un DoS (denegación de servicio) o comprometer el sistema vulnerable.

1) Un error de desborde de entero al procesar archivos CAB puede ser explotado para ocasionar un desbordamiento de buffer basado en el heap mediante un archivo CAB especialmente alterado.

2) Un error no especificado al procesar archivos RAR puede ser explotado para ocasionar un desbordamiento de buffer basado en el heap mediante un archivo RAR especialmente alterado.

3) Un error de variable no inicializada existente durante el proceso de archivos CAB.

4) Un error de division por cero al procesar archivos .DOC podría ocasionar en ciertos casos una Condición DoS (Denegación de Servicio) mediante un archivo .doc especialmente alterado.

5) Un error no especificado durante el proceso de archivos ejecutables (.exe).

La explotación exitosa de estas vulnerabilidades podría ocasionar el fallo del software o la ejecución de código arbitrario.

Estas vulnerabilidades han sido reportadas en las versiones anteriores a la 7.1.407

Solución:
Actualizar a la versión más reciente del AVG, o bien chequear que se utiliza la versión 7.1.407 (disponible desde el pasado 20 de septiembre) o posterior.

Créditos:
Vulnerabilidades descubiertas por Sergio "shadown" Alvarez y n.runs.

Ref.:

Secunia Advisory: SA22811
AVG Anti-Virus Multiple File Parsing Vulnerabilities
http://secunia.com/advisories/22811/

FrSIRT/ADV-2006-4498
AVG Anti-Virus File Parsing Code Execution and Denial of Service Vulnerabilities
http://www.frsirt.com/english/advisories/2006/4498

Grisoft: Program update AVG 7.1.407
http://www.grisoft.com/doc/36365/lng/us/tpl/tpl01

Grave Vulnerabilidad en Internet Explorer permite ejecutar código arbitrario (WebViewFolderIcon)

marcelo-ar — 2006-09-29T04:30:00-03:00

H D Moore ha descubierto una vulnerabilidad de gravedad extremadamente crítica en Microsoft Internet Explorer.

La vulnerabilidad es debida a un error de desbordamiento de buffer al procesar un objeto "WebViewFolderIcon" con un método "setSlice()" especialmente alterado.
Esto puede ser explotado para ocasionar una corrupción de memoria al visitar un sitio web malicioso.
La explotación exitosa de esta vulnerabilidad permite la ejecución de código arbitrario.

Nota: Se ha hecho público un exploit funcional.

Solution recomendada por FrSIRT:
Setear el kill bit para CLSID {e5df9d10-3b52-11d1-83e8-00a0c90dc849} :
http://www.frsirt.com/IE-WebViewFolderIcon-Killbit.reg

Otras recomendaciones:
- Desactivar ActiveX para todos los sitios, excepto para los los de confianza.
- No usar Internet Explorer, reemplazarlo por Opera, Mozilla Firefox, o alguno basado en éste último.

Créditos:
Vulnerabilidad reportada por H.D. Moore

Ref.:
http://secunia.com/advisories/22159/
http://www.frsirt.com/english/advisories/2006/2882
http://browserfun.blogspot.com/2006/07/mobb-18-webviewfoldericon-setslice.html

Vulnerabilidad en Microsoft PowerPoint permite ejecutar código arbitrario

marcelo-ar — 2006-09-29T04:24:00-03:00

Se ha reportado una vulnerabilidad calificada como extremadamente crítica en Microsoft PowerPoint.

La vulnerabilidad es debida a un error no especificado al procesar documentos PowerPoint que contengan una cadena (string) malformada.
Esto puede ser explotado para corromper la memoria del sistema y permitir la ejecución de código arbitrario al abrir un documento PowerPoint malicioso.

Nota: esta vulnerabilidad está siendo actualmente explotada por Trojan.Controlppt.W y Trojan.Controlppt.X (también conocido como PPDropper.F y Exploit-PPT.d).

Productos afectados:
Microsoft PowerPoint 2000
Microsoft PowerPoint 2002
Microsoft PowerPoint 2003
Microsoft PowerPoint 2004 para Mac
Microsoft PowerPoint 2004 v. X para Mac

Recomendación:
Utilizar PowerPoint Viewer 2003 para abrir y ver estos archivos:

Ref.:
http://secunia.com/advisories/22127/
http://www.frsirt.com/english/advisories/2006/3794
http://www.microsoft.com/technet/security/advisory/925984.mspx

Desbordamiento de buffer en Vgx.dll permite ejecutar código arbitrario con Internet Explorer

marcelo-ar — 2006-09-20T03:02:00-03:00

Se ha descubierto una vulnerabilidad calificada como Altamente Crítica en Microsoft Windows, la cual podría ser explotada por atacantes remotos para tomar el control completo del sistema afectado.

El fallo es debido a un error de desbordamiento de buffer en la librería de renderizado Microsoft Vector Graphics (Vgx.dll) al procesar ciertos documentos VML (Vector Markup Language) especialmente alterados, lo cual podría ser explotado por atacantes remotos para ocasionar una condición de Denegación de Servicio (DoS) o ejecutar código arbitrario con solo convencer al usuario atacado para que visite una página web maliciosa con Internet Explorer o bien al leer un mensaje html especialmente alterado en un cliente de correo como el Outlook Express (y otros que dependan del IE para mostrar este tipo de mensajes con formato).

La vulnerabilidad ha sido confirmada en un sistema Windows XP SP2 completamente parcheado.

Esta vulnerabilidad está siendo actualmente explotada por sitios maliciosos.

Solución:
No existe parche para esta vulnerabilidad

Recomendaciones de Microsoft:
- Desregistrar Vgx.dll
- Desactivar ActiveX en las zonas Internet e Intranet Local
- Configurar Outlook Express para leer los mensajes en texto plano

Otras recomendaciones:
No utilizar Internet Explorer, en su reemplazo elegir alguno de los siguientes:
- Mozilla Firefox
- SeaMonkey
- K-Meleon
- Netscape
- Flock
- Opera

Créditos:
Vulnerabilidad decubierta por estar siendo actualmente explotada "in the wild".
Exploit prueba de concepto provisto por Sunbelt Software

Ref.:
http://www.frsirt.com/english/advisories/2006/3679
http://www.microsoft.com/technet/security/advisory/925568.mspx
http://secunia.com/advisories/21989/

Firefox 1.5.0.7 resuelve múltiples vulnerabilidades

marcelo-ar — 2006-09-15T00:32:00-03:00

Mozilla Firefox 1.5.0.7 resuelve en total siete vulnerabilidades (cuatro calificadas como críticas, dos moderadas y una de baja gravedad).
La mayor parte de estas vulnerabilidades también afectan a SeaMonkey (ex-Mozilla Suite) y al cliente de correo Thunderbird.

Se recomienda actualizar a las versiones parcheadas:

Firefox 1.5.0.7 (todos los idiomas)
http://www.mozilla.com/firefox/all.html

Thunderbird 1.5.0.7 (todos los idiomas)
http://www.mozilla.com/thunderbird/all.html

SeaMonkey 1.0.5
http://www.mozilla.org/projects/seamonkey/

Ref.:
Known Vulnerabilities in Mozilla Products
http://www.mozilla.org/projects/security/known-vulnerabilities.html

Resueltas múltiples vulnerabilidades en Adobe Macromedia Flash Player

marcelo-ar — 2006-09-13T01:00:00-03:00

Se han identificado múltiples vulnerabilidades en el reproductor Adobe Macromedia Flash Player, las cuales podrían ser explotadas por atacantes remotos para traspasar restricciones de seguridad o tomar por completo el control de un sistema afectado.

El primer fallo es debido a errores de validación de entrada al manejar cadenas generadas en forma dinámica demasiado extensas, lo cual podría ser explotado por atacantes remotos para ejecutar comandos arbitrarios mediante una página web maliciosa.

El segundo problema es debido a un error existente en la opción "allowScriptAccess", lo cual podría ser explotado por sitios web maliciosos para traspasar restricciones de seguridad y llevar a cabo ataques del tipo cross domain scripting.

La tercer vulnerabilidad es debida a un error en la forma en que el control ActiveX es invocado por los productos Microsoft Office, lo cual podría ser explotado por atacantes para ejecutar código arbitrario, sin requerir interacción por parte del usuario, cuando se abre un documento Office malicioso.

Productos afectados:
Adobe Macromedia Flash Player, versiones anteriores a la 9.0.16.0
Adobe Macromedia Flash Player, versiones anteriores a la 8.0.33.0
Adobe Macromedia Flash Player, versiones anteriores a la 7.0.68.0
Adobe Macromedia Flash Player, versiones anteriores a la 7.0.66.0
Adobe Macromedia Flex, versiones anteriores a la 7.0.65.0

Solución:
Actualizar a las versiones parcheadas.

Descarga de la versión mas reciente de Flash Player (9.0.16.0):
http://www.adobe.com/go/getflashplayer/
El sitio detecta automáticamente la versión correcta a descargar según el navegador utilizado.

Los usuarios de sistemas operativos que no soportan Flash Player 8 o superior (Microsoft Windows 95, Microsoft Windows NT, etc.) podrán actualizarse a "Flash Player 7r68" desde este enlace:
http://www.adobe.com/go/d9c2fe33

Existe una versión específica para Internet Explorer y otra para los navegadores Firefox y Opera.
Los usuarios de SeaMonkey, K-Meleon, Firefox, u Opera deberán descargar e instalar la versión para Netscape.

Es aconsejable verificar que se utiliza una versión no vulnerable desde este enlace:
http://www.adobe.com/products/flash/about/
o ...
http://www.adobe.com/shockwave/welcome/

En caso de utilizar más de un navegador, realizar la verificación para cada uno de ellos.

Créditos:
Vulnerabilidades reportadas por Stuart Pearson (Computer Terrorism UK Ltd), Dejun Meng y Debasis Mohanty.

Ref.:
http://www.frsirt.com/english/advisories/2006/3573
http://www.adobe.com/support/security/bulletins/apsb06-11.html

Vulnerabilidad en Microsoft PowerPoint permite ejecutar código arbitrario (mso.dll - 0 day)

marcelo-ar — 2006-07-15T01:35:00-03:00

Se ha identificado una vulnerabilidad de gravedad crítica en Microsoft PowerPoint, la cual podría ser explotada por atacantes remotos para tomar el control completo de un sistema afectado.

La vulnerabilidad es debida a un error de corrupción de memoria en la librería "mso.dll" durante el proceso de un documento PowerPoint malformado, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario con solo convencer a un usuario para que abra un documento *.ppt especialmente alterado.

Importante: Se trata de una vulnerabilidad "0 day", es decir, desconocida hasta la fecha, para la cual aún no existe parche y que está actualmente siendo explotada por Trojan.PPDropper.B

Algunos de los Productos afectados:
- Microsoft PowerPoint 2000
- Microsoft PowerPoint 2002
- Microsoft PowerPoint 2003
- Microsoft Office 2000
- Microsoft Office XP
- Microsoft Office 2003

Nota: aún no se sabe con certeza, por ejemplo, si la utilidad "PowerPoint Viewer" está o no afectada

Recomendación:
No abrir documentos PowerPoint (*.ppt, etc.) no solicitados o de origen no confiable.

Ref.:
FrSIRT/ADV-2006-2795
Microsoft PowerPoint Presentation Handling Client-Side Memory Corruption Vulnerability
http://www.frsirt.com/english/advisories/2006/2795

Secunia Advisory: SA21040
Microsoft PowerPoint Unspecified Code Execution Vulnerability
http://secunia.com/advisories/21040/

Más información (en inglés):

SANS - Internet Storm Center
0-day exploit for Microsoft PowerPoint
http://isc.sans.org/diary.php?storyid=1484

Securiteam Blog
Microsoft PowerPoint 0-day Vulnerability FAQ
http://blogs.securiteam.com/index.php/archives/508

SOPHOS
Chinese words of love exploit PowerPoint day zero flaw
http://www.sophos.com/pressoffice/news/articles/2006/07/chinesewords.html

Microsoft Security Response Center Blog
Information on the recent Powerpoint vulnerability
http://blogs.technet.com/msrc/archive/2006/07/14/441893.aspx

Error de corrupción de memoria en Internet Explorer permite ejecutar código arbitrario(HHCtrl.ocx)

marcelo-ar — 2006-07-04T23:39:00-03:00

Nota: 04/04/2007, 04:52 a.m.
Ver también: Problemas con parche de Microsoft (Hhctrl.ocx - user32.dll)

Se ha descubierto una vulnerabilidad de gravedad crítica en Internet Explorer, la cual podría ser explotada por atacantes remotos para ocasionar el fallo del navegador vulnerable o, potencialmente, tomar el control completo de un sistema afectado.

El fallo es debido a un error de corrupción de memoria en el control ActiveX HTML Help (hhctrl.ocx) al procesar una propiedad "Image" especialmente alterada, lo cual podría ser explotado por atacantes remotos para ocasionar una condición de Denegación de Servicio (DoS) o ejecutar código arbitrario con solo convencer al usuario atacado para que visite una página web maliciosa.

Esta vulnerabilidad ha sido confirmada en Windows XP SP2 con Internet Explorer 6.0, con todos sus parches al día. Otras versiones también podrían estar afectadas.

Recomendación:
Desactivar ActiveX para todos los sitios, excepto para los de confianza.

Solución:
Al momento de publicar esta entrada no existe parche para esta vulnerabilidad.

Créditos:
HD Moore
http://browserfun.blogspot.com/

Ref.:
Secunia Advisory: SA20906
Internet Explorer HTML Help ActiveX Control Memory Corruption
http://secunia.com/advisories/20906/

FrSIRT/ADV-2006-2635
Microsoft Internet Explorer HTML Help Control "HHCtrl" Memory Corruption Vulnerability
http://www.frsirt.com/english/advisories/2006/2635

Reporte original:
MoBB #2: Internet.HHCtrl Image Property
http://browserfun.blogspot.com/...

Vulnerabilidad en Opera <= 8.54 permite ejecutar código arbitrario al procesar archivos jpeg

marcelo-ar — 2006-06-22T23:38:00-03:00

Se ha descubierto una vulnerabilidad en el navegador Opera, cuya explotación exitosa podría permitir la ejecución de código arbitrario.

La vulnerabilidad es debida a un incorrecto procesamiento de archivos de imágen JPEG.
Si en un archivo JPEG se especifican valores correspondientes a alto y ancho demasiado extensos, se producirá un desbordamiento de entero que podría ocasionar que Opera asigne memoria insuficiente para la imágen. Esto conducirá a un desbordamiento de buffer cuando dicha imágen sea cargada en memoria, posibilitando la ejecución de código arbitrario.

Productos afectados:
Opera 8.54 y anteriores

Solución:
Actualizar a Opera 9.00 (o superior)
http://opera.com/download/

Créditos:
Vulnerabilidad reportada por Chris Ries

Tiempos de divulgación:
Reportada al fabricante: 25/4/2006
Vulnerabilidad resuelta: 20/6/2006

Ref.:
Bugtraq: VigilantMinds Advisory: Opera JPEG Processing Integer
Overflow Vulnerability (VMSA-20060621-01)
http://seclists.org/lists/bugtraq/2006/Jun/0576.html

Cuelgue remoto en Opera 9.00

marcelo-ar — 2006-06-22T23:34:00-03:00

Se ha reportado una vulnerabilidad en Opera 9.00 , mediante la cual un atacante remoto puede ocasionar una condición de Denegacion de Servicio (DoS)

Un usuario remoto malicioso puede crear un documento HTML con una etiqueta HREF especialmente alterada, que al ser cargado por el navegador vulnerable, ocasionará el fallo o cuelgue del mismo.

Exploit de demostración (ocasiona el fallo de Opera 9.00):
http://www.critical.lt/research/opera_die_happy.html

Nota: Las versiones de Opera anteriores a la 9.00 no están afectadas por este fallo, aunque si lo están por otra vulnerabilidad que permite la ejecución de código arbitrario mediante archivos JPEG maliciosos (sobre la cual informo en otro post del día de hoy), cosa que no se ha demostrado que sea factible mediante la vulnerabilidad aquí descripta, de modo que es altamente recomendable actualizar a la versión 9.x mas reciente.

Créditos:
Povilas Tumenas (también conocido como "N9")

Ref.:
SecurityTracker Alert ID: 1016359
Opera Memory Error in Processing Long HREF Tags Lets Remote Users Deny Service
http://securitytracker.com/id?1016359

SecurityFocus
Opera Malicious HTML Processing Denial of Service Vulnerability
http://www.securityfocus.com/bid/18585/discuss

Bugtraq: Opera 9 DoS PoC
http://seclists.org/lists/bugtraq/2006/Jun/0548.html

Cuelgue remoto en Yahoo! Messenger

marcelo-ar — 2006-06-22T23:29:00-03:00

Se ha descubierto una debilidad en Yahoo! Messenger, la cual puede ser potencialmente explotada por atacantes remotos para ocasionar una condición de Denegación de Servicio (DoS).

Esta debilidad es ocasionada debido a un error en el manejo de ciertos mensajes. Esto puede ser explotado para ocasionar el fallo del cliente Yahoo! Messenger de otro usuario mediante el envío de un mensaje especialmente alterado que contenga ciertos caracteres "no ASCII".

Ejemplo:
Ver reporte original

Esta debilidad ha sido confirmada en la versión 7.5.0.814. Otras versiones también podrían estar afectadas.

Recomendación:
Configurar Yahoo! Messenger para que ignore usuarios no incluidos en la lista del mensajero.

Créditos:
Descubierto por Ivan Ivan

Ref.:
Secunia Advisory: SA20773
Yahoo! Messenger Denial of Service Weakness
http://secunia.com/advisories/20773/

Yahoo messenger bug
http://www.security.nnov.ru/Ndocument274.html

Ejecución de codigo arbitrario con hipervínculos en documentos MS Office (hlink.dll)

marcelo-ar — 2006-06-20T23:30:00-03:00

Se ha identificado una vulnerabilidad de gravedad crítica en Microsoft Windows.

La vulnerabilidad es debida a un error de desbordamiento de buffer en la librería de hipervínculos "hlink.dll" que no maneja correctamente un enlace demasiado extenso en, por ejemplo, un documento Excel, lo cual podría ser explotado por atacantes remotos para ejecutar código arbitrario con solo convencer a un usuario para que haga clic en un hipervínculo especialmente alterado de un documento Excel malicioso.

Nota: Existe un exploit "prueba de concepto" disponible.

Solución:
Aún no existe parche para esta vulnerabilidad.

Recomendación:
No abrir documentos no confiables de Microsoft Office.
No seguir enlaces desde documentos de Microsoft Office.

Productos afectados:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows XP Service Pack 1
Microsoft Windows XP Service Pack 2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows Server 2003
Microsoft Windows Server 2003 Service Pack 1
Microsoft Windows Server 2003 (Itanium)
Microsoft Windows Server 2003 SP1 (Itanium)
Microsoft Windows Server 2003 x64 Edition

Microsoft Excel 2003
Microsoft Excel Viewer 2003
Microsoft Excel 2002
Microsoft Excel 2000
Microsoft Office 2000
Microsoft Office 2003
Microsoft Office XP

Créditos:
Vulnerabilidad reportada por kcope

Ref.:
Secunia Advisory: SA20748
Microsoft Office Long Link Buffer Overflow Vulnerability
http://secunia.com/advisories/20748/

FrSIRT/ADV-2006-2431
Microsoft Windows Hyperlink Library Long Link Handling Buffer Overflow
Vulnerability
http://www.frsirt.com/english/advisories/2006/2431

Vulnerabilidad crítica en Winamp <= 5.21 al procesar archivos MIDI

marcelo-ar — 2006-06-20T03:09:00-03:00

Se ha descubierto una vulnerabilidad de gravedad crítica en el reproductor multimedia Winamp de Nullsoft.

La vulnerabilidad es debida a un error de desbordamiento de buffer en la librería "in_midi.dll" que no maneja correctamente los encabezados de archivos MIDI, lo cual podría ser explotado por atacantes remotos para ocasionar el fallo de la aplicación o ejecutar código arbitrario con solo convencer al usuario atacado para que visite una página web maliciosa o que abra un archivo ".mid" especialmente alterado.

Esta vulnerabilidad fue reportada al fabricante el pasado 19 de abril.

Productos afectados:
Winamp 5.21 y anteriores

Solución:
Actualizarse a Winamp 5.22 o superior.
Descarga de la Version Free y Pro:
http://www.winamp.com/player/index.php

Créditos:
Fortinet Security Research Team

Ref.:
http://www.frsirt.com/english/advisories/2006/2422
http://www.fortinet.com/FortiGuardCenter/advisory/FG-2006-16.html