Detalles sobre el troyano multimedia GetCodec

Andrea se conecta ansiosa al eMule para descargar el último capítulo de Prison Break que se estrenó hace una hora en Estados Unidos. “¡Perfecto! ¡Un usuario conectado compartiendo el archivo!”. La descarga se completa y se dispone a verlo sin más dilación “qué extraño, Windows Media Player solicita la descarga de un codec, bueno, estará codificado con algo nuevo, no pasa nada, aceptar”. A las pocas semanas Andrea se encuentra en una comisaría poniendo una denuncia porque le han sacado todos los ahorros de su cuenta bancaria.

¿Has reproducido con Windows Media Player algún archivo de audio o video últimamente? Podrías estar infectado.

A finales de Julio hubo bastante revuelo con la aparición de un nuevo troyano que afectaba a archivos multimedia. Este malware, que muchas casas antivirus han denominado GetCodec, emplea una técnica de infección que no había sido vista hasta el momento.

El troyano se ha detectado propagándose encubierto como cracks en páginas de warez y cracks. Es totalmente silencioso, lo cual induce a pensar que tan sólo se trata de otro crack corrupto más. Tras su ejecución, el troyano busca todos aquellos archivos con extensiones .MP2 .MP3 .WMA .WMV .ASF. El formato ASF es un formato propietario de Microsoft empleado por Windows Media Player que permite introducir secuencias ejecutables en flujos de audio/video. El troyano aprovecha esta propiedad para introducir en los archivos multimedia de la víctima una secuencia que solicita la descarga de un codec falso desde un Sitio Web. Éste codec es a su vez otro troyano, aunque la técnica podría emplearse para servir cualquier tipo de contenido.

Este método de infección también funciona con los archivos MPx porque el troyano los convierte primero a formato ASF para después inyectarles el código malicioso. De forma que un archivo con extensión .MP3 puede estar infectado.

El espécimen modifica la configuración del usuario de tal forma que este nunca llega a notar que sus archivos multimedia han cambiado, sin embargo, todo aquel que no esté infectado e intente reproducirlos sí notará el cambio. Cuando se reproduce un archivo multimedia infectado, en una máquina limpia, Windows Media Player despliega una ventana solicitando la descarga de un codec falso. Este codec puede ser cualquier otro tipo de malware. Al aceptar la descarga se produce la infección.

Tal y como se puede intuir, estas características lo hacen ideal para la propagación vía redes P2P, unidades compartidas e intercambio de medios de almacenamiento. Tomando como ejemplo las redes P2P, cualquier usuario infectado estará actuando como servidor del malware. Otro usuario que descargue sus archivos multimedia se verá infectado si no es lo suficientemente cuidadoso.

Desde Hispasec, nuestro compañero Marcin Noga ha realizado un análisis de ingeniería inversa del troyano con el fin de detallar su mecanismo de infección. El documento se puede encontrar en las siguientes URLs:

(Español) http://www.hispasec.com/laboratorio/AnalisisGetCodec.pdf
(Inglés) http://www.hispasec.com/laboratorio/GetCodecAnalysis.pdf

De igual forma, Marcin ha desarrollado una herramienta para limpiar la infección en todas aquellas máquinas que se han visto afectadas, eliminando el código malicioso de los archivos multimedia infectados. La herramienta puede ser descargada desde:

http://www.hispasec.com/laboratorio/MulTrojDisinfector.exe

Hashes
MD5…: 914adbbfaae6f87a6f758bf4ba1efd6d
SHA1..: 0861ed42ffc175c668f53050e22baa38d2c5ba04

Hasta el momento los archivos de audio y video habían sido relativamente inofensivos a no ser que estuvieran intencionadamente malformados para causar la explotación de un reproductor vulnerable. Los usuarios de a pie parecen seguir teniendo la idea equivocada de que tan sólo los archivos ejecutables son peligrosos, como siempre, todo se resume a una cuestión de concienciación. Esperamos que los documentos producidos por el laboratorio de Hispasec ayuden en esta labor de concienciación y educación.

Emiliano Martínez Contreras
emartinez@hispasec.com

Compártelo

La versión 4.4.9 de PHP solventa múltiples vulnerabilidades

Han sido descubiertas varias vulnerabilidades en PHP 4.4.x que podrían permitir a un atacante remoto acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.

PHP es un lenguaje interpretado de propósito general ampliamente usado, que está diseñado para desarrollo web y puede ser embebido dentro de código HTML. PHP está orientado a la creación de páginas web dinámicas, ejecutándose en un servidor web (server-side scripting), de forma que primero se toma el código en PHP como entrada y se devuelven las páginas web como salida.

A continuación se detallan los problemas de seguridad corregidos en la última versión:

* La primera vulnerabilidad consiste en múltiples errores en la librería PCRE (Perl Compatible Regular Expressions) que podrían ser aprovechados para acceder a información sensible, causar una denegación de servicio o comprometer un sistema vulnerable.

* La segunda vulnerabilidad está causada por un error no especificado en la función “imageloadfont”. Un atacante remoto podría provocar que el sistema dejase de responder mediante el uso de una fuente no válida.

* La tercera vulnerabilidad consiste en un error no especificado en la extensión “curl” relacionado con el manejo de la función “open_basedir”.

* La última vulnerabilidad está causada por un fallo de desbordamiento en la función “memnstr” que podría ser aprovechado por un atacante para ejecutar código arbitrario.

Las vulnerabilidades están confirmadas para la versión 4.4.8 y todas las anteriores.

Se recomienda actualizar a la versión 4.4.9 o superior, disponible desde:
http://www.php.net/downloads.php

Más información

PHP 4 ChangeLog version 4.4.9
http://www.php.net/ChangeLog-4.php#4.4.9

Pablo Molina
pmolina@hispasec.com

Compártelo

Actualización acumulativa para Microsoft Internet Explorer

Dentro del conjunto de boletines de seguridad de julio publicado el pasado martes por Microsoft y del que ya efectuamos un resumen, se cuenta el anuncio (en el boletín MS08-045) de una actualización acumulativa para Internet Explorer; que además solventa cinco nuevas vulnerabilidades descubiertas en las versiones 5.01, 6 y 7 del navegador.

Los nuevos problemas corregidos son:

* Tres de los problemas se producen cuando Internet Explorer intenta acceder, en ciertas circunstancias, a memoria no inicializada. Esto puede provocar una corrupción de memoria que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

* Otro problema reside en que el navegador intenta acceder a un objeto que ha sido borrado o que no está inicializado, provocando una corrupción de memoria que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario con los permisos del usuario, por medio de una página web especialmente manipulada.

* Por último, un problema de seguridad causado por un error al validar los argumentos cuando Internet Explorer intenta procesar la previsualización de un archivo a imprimir. Esto podría ser aprovechado por un atacante remoto para ejecutar código arbitrario por medio de una página web especialmente manipulada.

Éste parche de seguridad reemplaza a otro previo (MS08-031) para todas las plataformas.

Se recomienda instalar la actualización a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de las actualizaciones.

Más Información:

Boletín de seguridad de Microsoft MS08-045
Actualización de seguridad acumulativa para Internet Explorer (953838)
http://www.microsoft.com/spain/technet/security/bulletin/ms08-045.mspx

Microsoft Internet Explorer XHTML Rendering Memory Corruption Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-050/

Microsoft Internet Explorer Table Layout Memory Corruption Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-08-051/

Laboratorio Hispasec
laboratorio@hispasec.com

Compártelo

Twitter le pone límites al “Follow SPAM”

Una de las formas más utilizadas para realizar SPAM en Twitter es haciendo uso del “follow”; para quienes no conozcan Twitter uno puede seguir a otros usuarios para recibir sus actualizaciones y en el momento que hacemos esto dicho usuario se entera por un aviso del sistema, con lo que es normal que muchos de estos usuarios nos devuelvan la gracia siguiéndonos para recibir nuestras actualizaciones.

Ahora, tomemos el caso de un spammer que quiere distribuir algún sitio malicioso (ya sea para propagar malware o vender fármacos), en el mercado se consiguen aplicaciones a bajo costo que se encargan de recorrer las redes de contactos dentro de Twitter siguiendo (haciendo follow) al usuario que se cruce en el camino.

El caso “Osen Komura”

Osen K. es un falso perfil creado en Twitter por el rumano Stefan Tanase como un experimento social. En Febrero de 2008 creó la cuenta “Osen” y en un mes alcanzo el número 40,623 en following (personas que sigue), de los cuales 8,463 lo han aceptado y actualmente están siguiendo sus actualizaciones, es decir un 20 %+ de los usuarios han caído en la trampa. Stefan Tanase es un investigador de la empresa de seguridad Kaspersky.

Twitter está trabajando contra el SPAM

Para contrarrestar un poco el rápido crecimiento de bots haciendo “follow” masivamente a usuarios reales de Twitter, es que se ha puesto un límite. No se podrá seguir a más de 2000 perfiles a menos que nuestro número de seguidores sea algo similar. Desde el blog prometen seguir mejorando sus sistema para erradicar a los usuarios maliciosos.

Encontrar spammers en nuestra red de contactos

Twitter Twerp Scan es un servicio que nos permite escanear a nuestros contactos en Twitter para encontrar a aquellos con perfiles sospechosos, como ser usuarios con un ratio followers-to-following mayor a 1:5 (por ejemplo), es decir que de cada 1 usuario que nos sigue, seguimos a otros 5.

Enlaces relacionados:

Making Progress on Spam
http://blog.twitter.com/2008/08/making-progress-on-spam.html

How to Get More Twitter Followers: Some Methods That Work
http://www.doshdosh.com/how-to-get-more-twitter-followers/

Fuente:
http://www.martinaberastegue.com/spam/twitter-le-pone-limites-al-follow-spam.html

Compártelo

La última versión de Ruby corrige múltiples fallos de seguridad

Han sido descubiertas varias vulnerabilidades en Ruby 1.8 y 1.9 que podrían permitir a un atacante remoto saltarse restricciones de seguridad, envenenar la caché DNS o causar una denegación de servicio.

Ruby es un lenguaje de programación interpretado y reflexivo que combina una sintaxis inspirada en Python y Perl con características de programación orientada a objetos similares a Smalltalk. Ruby interpreta el código en una sola pasada y su implementación oficial es distribuida bajo una licencia de software libre.

Los problemas de seguridad corregidos en la última versión son los siguientes:

* La primera vulnerabilidad consiste en varios errores al implementar ciertas restricciones correspondientes a los de niveles de seguridad. Esto podría ser aprovechado para llamar a la función untrace_var, realizar operaciones con los logs del sistema o modificar “$PROGRAM_NAME” desde el nivel de seguridad 4; O para llamar a otras funciones no seguras desde los niveles 1, 2 y 3.

* La segunda vulnerabilidad está causada por un error en la función WEBrick::HTTPUtils.split_header_value al usar expresiones regulares. Un atacante remoto podría provocar un consumo excesivo de recursos de la CPU mediante una petición HTTP especialmente manipulada, causando una denegación se servicio.

* Existe un error en DL (librería para Ruby que provee un interfaz para dynamic linker) que podría ser aprovechado por un atacante remoto para saltarse restricciones de seguridad y llamar a funciones potencialmente peligrosas.

* La cuarta vulnerabilidad está causada porque resolv.rb no aplica suficiente entropía a la hora de elegir los números de puerto usados en consultas DNS, lo que podría ser aprovechado por un atacante remoto para envenenar la caché DNS. El parche se encarga de implementar una de las contramedidas recomendadas para el problema descubierto por Kaminsky, añadiendo mayor aleatoriedad a la elección de los puertos para hacer mas difícil un posible ataque.

Todas las vulnerabilidades están confirmadas para las versiones 1.8.5, 1.8.6-p286,1.8.7-p71, 1.9 r18423 y para las versiones anteriores.

Se recomienda actualizar a las siguientes versiones no vulnerables:

Para la rama 1.8.6 actualizar a la versión 1.8.6-p287, disponible desde:
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.6-p287.tar.gz

Para la rama 1.8.7 actualizar a la versión 1.8.7-p72, disponible desde:
ftp://ftp.ruby-lang.org/pub/ruby/1.8/ruby-1.8.7-p72.tar.gz

Para la rama 1.9 la última revisión está disponible a través del repositorio SVN.

Más información

Multiple vulnerabilities in Ruby
http://www.ruby-lang.org/en/news/2008/08/08/multiple-vulnerabilities-in-ruby/

Pablo Molina
pmolina@hispasec.com

Compártelo

Microsoft: Resumen de Boletines de Seguridad para el mes de agosto de 2008

La empresa Microsoft ha publicado 11 boletines de seguridad correspondientes al mes de agosto, 6 de ellos calificados como “críticos” y los 5 restantes como “importante”.

Resumen
A continuación se presenta un resumen de los boletines publicados:

MS08-041: CRITICO Una vulnerabilidad en el control ActiveX para el Snapshot Viewer de Microsoft Access podría permitir la ejecución remota de código arbitrario.

MS08-042: IMPORTANTE Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código arbitrario.

MS08-043: CRITICO Vulnerabilidades en Microsoft Excel podrían permitir la ejecución remota de código arbitrario.

MS08-044: CRITICO Vulnerabilidades en Microsoft Office podrían permitir la ejecución remota de código arbitrario.

MS08-045: CRITICO Actualización acumulativa para Internet Explorer.

MS08-046: CRITICO Una vulnerabilidad en Microsoft Windows Image Color Management System podría permitir la ejecución remota de código arbitrario.

MS08-047: IMPORTANTE Una vulnerabilidad en IPsec Policy Processing podría permitir la revelación de información confidencial.

MS08-048: IMPORTANTE Actualizaciones de seguridad para Outlook Express y Windows Mail.

MS08-049: IMPORTANTE Una vulnerabilidad en Event System podría permitir la ejecución remota de código arbitrario.

MS08-050: IMPORTANTE Una vulnerabilidad en Windows Messenger podría permitir la divulgación de información confidencial.

MS08-051: CRITICO Una vulnerabilidad en Microsoft PowerPoint podría permitir la ejecución remota de código arbitrario.

Versiones Afectadas
Para cada uno de los boletines mencionados, se ven afectados los siguientes productos:

MS08-041:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2 y Microsoft Office 2003 Service Pack 3
Snapshot Viewer para Microsoft Access (Microsoft está trabajando en la actualización de seguridad para este producto)

MS08-042:
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office 2003 Service Pack 3

MS08-043:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System
2007 Microsoft Office System Service Pack 1
Microsoft Office Excel Viewer 2003
Microsoft Office Excel Viewer 2003 Service Pack 3
Microsoft Office Excel Viewer
Microsoft Office Compatibility Pack para Word, Excel, y PowerPoint 2007 File Formats
Microsoft Office Compatibility Pack para Word, Excel, y PowerPoint 2007 File Formats Service Pack 1
Microsoft Office SharePoint Server 2007
Microsoft Office SharePoint Server 2007 Service Pack 1
Microsoft Office SharePoint Server 2007 x64 Edition
Microsoft Office SharePoint Server 2007 x64 Edition Service Pack 1
Microsoft Office 2004 for Mac
Microsoft Office 2008 for Mac

MS08-044:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office Project 2002 Service Pack 1
Microsoft Office Converter Pack
Microsoft Works 8

MS08-045:
Internet Explorer 5.01 and Internet Explorer 6 Service Pack 1:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4

Internet Explorer 6:
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems and Windows Server 2003 con SP2 para Itanium-based Systems

Internet Explorer 7:
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 with SP2 para Itanium-based Systems
Windows Vista y Windows Vista Service Pack 1
Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para Itanium-based Systems
Windows Server 2008 para 32-bit Systems**
Windows Server 2008 para x64-based Systems**
** La instalación “core” de Windows Server 2008 NO se encuentra afectada.

MS08-046:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 con SP2 para Itanium-based Systems

MS08-047:
Windows Vista y Windows Vista Service Pack 1
Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para Itanium-based Systems
Windows Server 2008 para 32-bit Systems**
Windows Server 2008 para x64-based Systems**
** La instalación “core” de Windows Server 2008 NO se encuentra afectada.

MS08-048:
Microsoft Windows 2000 Service Pack 4
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 con SP2 para Itanium-based Systems
Windows Vista y Windows Vista Service Pack 1
Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para Itanium-based Systems
Windows Server 2008 para 32-bit Systems**
Windows Server 2008 para x64-based Systems**
** La instalación “core” de Windows Server 2008 NO se encuentra afectada.

MS08-049:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 con SP2 para Itanium-based Systems
Windows Vista y Windows Vista Service Pack 1
Windows Vista x64 Edition y Windows Vista x64 Edition Service Pack 1
Windows Server 2008 para Itanium-based Systems
Windows Server 2008 para 32-bit Systems**
Windows Server 2008 para x64-based Systems**
** La instalación “core” de Windows Server 2008 NO se encuentra afectada.

MS08-050:
Windows Messenger 4.7:
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems y Windows Server 2003 con SP2 para Itanium-based Systems

Windows Messenger 5.1:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2 y Windows XP Service Pack 3
Windows XP Professional x64 Edition y Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 con SP1 para Itanium-based Systems and Windows Server 2003 con SP2 para Itanium-based Systems

MS08-051:
Microsoft Office Suites and Components:
Microsoft Office 2000 Service Pack 3
Microsoft Office XP Service Pack 3
Microsoft Office 2003 Service Pack 2
Microsoft Office 2003 Service Pack 3
2007 Microsoft Office System
2007 Microsoft Office System Service Pack 1

Other Office Software:
Microsoft Office PowerPoint Viewer 2003
Microsoft Office Compatibility Pack para Word, Excel, y PowerPoint 2007 File Formats
Microsoft Office Compatibility Pack para Word, Excel, y PowerPoint 2007 File Formats Service Pack 1

Microsoft Office para Mac:
Microsoft Office 2004 para Mac

Detalle
MS08-041: Una vulnerabilidad en un control ActiveX para el Snapshot Viewer para Microsoft Access podría ser explotada por un atacante construyendo una página web especialmente modificada. Esto podría permitir la ejecución de código arbitrario cuando un usuario visualiza la página web modificada. De esta forma el atacante podría obtener los permisos del usuario logueado.

MS08-042: Una vulnerabilidad en Microsoft Word podría permitir la ejecución remota de código arbitrario si un usuario abre un archivo especialmente modificado.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-043: Cuatro vulnerabilidades en Microsoft Office Excel podrían permitir la ejecución remota de código arbitrario si un usuario abre un archivo especialmente modificado.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-044: Cinco vulnerabilidades podrían permitir la ejecución remota de código arbitrario si un usuario visualiza con Microsoft Office un archivo de imagen especialmente modificado. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-045: Seis vulnerabilidades podrían permitir la ejecución de código arbitrario si un usuario utilizando Internet Exlorer visualiza una página web especialmente modificada. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-046: Una vulnerabilidad en el sistema Microsoft Image Color Management (ICM) podría permitir la ejecución remota de código arbitrario, en el contexto del usuario actual.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-047: Una vulnerabilidad en la forma en que se aplican ciertas reglas del protocolo Windows Internet Protocol Security (IPsec) podría hacer que el sistema ignore ciertas políticas de IPsec y transmita paquetes en texto plano. Esto podría hacer que se divulgara información que debería transmitirse cifrada. Un atacante podría visualizar y modificar el contenido de los paquetes transmitidos en plano.

MS08-048: Una vulnerabilidad en Outlook Express y Windows Mail podría permitir la divulgación de información confidencial si un usuario utilizando Internet Explorer visualiza una página web especialmente modificada. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

MS08-049: Dos vulnerabilidades en Microsoft Windows Event System podrían permitir la ejecución remota de código arbitrario.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos.

MS08-050: Una vulnerabilidad en Windows Messenger podría permitir la divulgación de información confidencial de un usuario logueado. El atacante que explotara exitosamente esta vulnerabilidad podría cambiar el estado del usuario, obtener información de sus contactos, iniciar sesiones de audio y video sin el conocimiento del usuario, capturar el ID del usuario logueado y robar su identidad.

MS08-051: Tres vulnerabilidades en Microsoft Office PowerPoint y Microsoft Office PowerPoint Viewer podrían permitir la ejecución remota de código arbitrario si un usuario abre un archivo especialmente modificado.
El atacante que explote exitosamente esta vulnerabilidad podría tomar control del sistema afectado y luego instalar programas, visualizar, modificar, o borrar datos; o crear cuentas nuevas de usuario con todos los permisos. Aquellos usuarios con cuentas configuradas con menos permisos serán menos impactadas por este ataque que aquellos con cuentas de administración.

Impacto
El impacto de las vulnerabilidades presentadas en cada boletín se incluye en los resúmenes precedentes.

Recomendaciones
Se recomienda aplicar los parches correspondientes al boletín en los sistemas afectados. El proveedor de los sistemas afectados ofrece además diversas herramientas para la automatización del proceso de actualización. Para más información, consulte la información suministrada por el proveedor.

Referencias

Para más información sobre este boletín consultar el alerta original en el sitio:
http://www.microsoft.com/technet/security/bulletin/ms08-aug.mspx

Fuente: ArCert.gov.ar

Compártelo

Ejecución remota de código a través de snoop en Solaris 8, 9 y 10

Sun ha anunciado un fallo en la utilidad de red snoop que podría permitir a un atacante remoto ejecutar código arbitrario en Solaris 8, 9 y 10.

El fallo se produce durante la captura de trafico SMB (Server Message Block) y podría permitir a un atacante remoto ejecutar código arbitrario si envía tráfico especialmente manipulado. El código se ejecutaría con los permisos del usuario que corre snoop o con nobody en el caso de que lo ejecute root.

La vulnerabilidad sólo se produce si no se usa el parámetro -o.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para plataforma Sparc:

Solaris 10 instalar parche 138083-01 o superior.
Solaris 9 instalar parche 112915-05 o superior.
Solaris 8 instalar parche 108964-11 o superior.
OpenSolaris actualizar a compilación snv_96 o superior.

Para plataforma x86:

Solaris 10 instalar parche138084-01 o superior.
Solaris 9 instalar parche 114262-04 o superior.
Solaris 8 instalar parche 108965-11 o superior.
OpenSolaris actualizar a compilación snv_96 o superior.

Más Información:

Security Vulnerability in Solaris snoop(1M) when Displaying SMB Traffic
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240101-1

Laboratorio Hispasec
laboratorio@hispasec.com

Compártelo

Falsa web simula vender boletos para Juegos Olímpicos

El sitio utiliza el nombre beijxxx2008.cn, un claro error tipográfico del sitio oficial de los Juegos Olímpicos.

Websense descubrió un sitio Web falso que vende boletos de entrada a los Juegos Olímpicos de Beijing, a punto de dar inicio este 8 de agosto de 2008.

Para aprovechar la actividad alrededor de la compra de boletos para los juegos, la táctica del sitio fraudulento, es hacer que los usuarios marquen un número telefónico para obtener un código de acceso para un boleto disponible. El supuesto número telefónico, podría ser un generador de ingresos adicionales ya que se le cobra a la gente interesada una tarifa alta por hacer esa llamada.

Los usuarios que proporcionan el código de acceso proporcionado son enviados a otra página Web diseñada para obtener información personal. Ahí se les invita a proporcionar los detalles de sus tarjetas de crédito para pagar una suma relativamente pequeña de 600 renminbi por el boleto (cerca de $87 dólares americanos).

Este sitio de phishing va un paso más adelante que la mayoría de los sitios pues utiliza una “verificación” telefónica. Este nivel más alto de interactividad, lo que le da con la supuesta verificación confianza a los usuarios.

Fuente:
http://www.diarioti.com/gate/n.php?id=18836

Compártelo

Google Gadgets es un coladero para los ataques

Los expertos reunidos en Black Hat creen que los usuarios de Google y sobre todo Gmail son más vulnerables a los ataques a través del “agujero” de Google Gadgets.

“El atacante puede instalar Google Gadgets; puede leer el historial de la víctima después de instalar un gadget malicioso en ciertas circunstancias; puede atacar a otros Google Gadgets; robar los nombres de usuario y contraseñas y mucho más”, explicó Robert Hansen, también conocido como RSnake, fundador de la consultora de seguridad SecTheory, y continuó: “de verdad que no hay límite cuando el navegador es controlado por el atacante. Y este hecho se magnifica porque la gente confía en Google como en un dominio seguro, haciendo que los ataques sean aún más fáciles”.

Hansen comentó que los usuarios más vulnerables son aquellos que utilizan Google y Gmail desde el servicio de correo electrónico basado en Web para registrarse. El ataque se produce a través de usuarios que añaden módulos intencionadamente; un usuario puede ser engañado para que añada un módulo malicioso a su página iGoogle. “Estos usuarios utilizan casi todos JavaScript y navegadores web normales, por lo que resulta difícil reconocerlos”, añadió.

Tom Stracener, analista de seguridad de Cenzic está de acuerdo. Las fórmulas son variadas y va extendiéndose conforme aumenta el número de personas que confían en el sitio de creación de página de inicio de Google, incluido las empresas.

Enlace relacionado:
http://www.infoworld.com/article/08/08/08/Google_Gadgets_an_open_door_for_attack_1.html

Fuente:
http://www.theinquirer.es/2008/08/11/google-gadgets-es-un-coladero-para-los-ataques.html

Compártelo

Falsa web simula vender boletos para Juegos Olímpicos

El sitio utiliza el nombre beijxxx2008.cn, un claro error tipográfico del sitio oficial de los Juegos Olímpicos.

Websense descubrió un sitio Web falso que vende boletos de entrada a los Juegos Olímpicos de Beijing, a punto de dar inicio este 8 de agosto de 2008.

Para aprovechar la actividad alrededor de la compra de boletos para los juegos, la táctica del sitio fraudulento, es hacer que los usuarios marquen un número telefónico para obtener un código de acceso para un boleto disponible. El supuesto número telefónico, podría ser un generador de ingresos adicionales ya que se le cobra a la gente interesada una tarifa alta por hacer esa llamada.

Los usuarios que proporcionan el código de acceso proporcionado son enviados a otra página Web diseñada para obtener información personal. Ahí se les invita a proporcionar los detalles de sus tarjetas de crédito para pagar una suma relativamente pequeña de 600 renminbi por el boleto (cerca de $87 dólares americanos).

Este sitio de phishing va un paso más adelante que la mayoría de los sitios pues utiliza una “verificación” telefónica. Este nivel más alto de interactividad, lo que le da con la supuesta verificación confianza a los usuarios.

Fuente:
http://www.diarioti.com/gate/n.php?id=18836

Compártelo

Ejecución remota de código a través de snoop en Solaris 8, 9 y 10

Sun ha anunciado un fallo en la utilidad de red snoop que podría permitir a un atacante remoto ejecutar código arbitrario en Solaris 8, 9 y 10.

El fallo se produce durante la captura de trafico SMB (Server Message Block) y podría permitir a un atacante remoto ejecutar código arbitrario si envía tráfico especialmente manipulado. El código se ejecutaría con los permisos del usuario que corre snoop o con nobody en el caso de que lo ejecute root.

La vulnerabilidad sólo se produce si no se usa el parámetro -o.

Según versión y plataforma, se recomienda instalar los siguientes parches:

Para plataforma Sparc:

Solaris 10 instalar parche 138083-01 o superior.
Solaris 9 instalar parche 112915-05 o superior.
Solaris 8 instalar parche 108964-11 o superior.
OpenSolaris actualizar a compilación snv_96 o superior.

Para plataforma x86:

Solaris 10 instalar parche138084-01 o superior.
Solaris 9 instalar parche 114262-04 o superior.
Solaris 8 instalar parche 108965-11 o superior.
OpenSolaris actualizar a compilación snv_96 o superior.

Más Información:

Security Vulnerability in Solaris snoop(1M) when Displaying SMB Traffic
http://sunsolve.sun.com/search/document.do?assetkey=1-66-240101-1

Laboratorio Hispasec
laboratorio@hispasec.com

Compártelo

Vulnerabilidades en los procesadores Intel podrían comprometer el sistema

El investigador ruso Kris Kaspersky planea demostrar en una conferencia de seguridad el próximo mes de octubre, vulnerabilidades de los procesadores de Intel que permitirían realizar ataques remotos y tomar el control del equipo, independientemente del sistema operativo que se esté utilizando.

El pasado viernes el especialista señaló que ha estado en comunicación con Intel desde hace un mes y la empresa está centrando su atención en 2 fallas críticas que permitirían ejecutar código arbitrario de forma remota, sin embargo el investigador asegura que existen otros errores no críticos y la empresa por el momento no tiene planes para solucionarlos.

Kaspersky (no la empresa de seguridad Kaspersky Lab) tiene previsto realizar una prueba de concepto y demostrar cómo utilizar código JavaScript o paquetes TCP/IP para efectuar ataques y comprometer los sistemas, sin importar la plataforma en que se basen. Para evitar el caos y los ataques masivos no revelará las partes críticas de su código, sin embargo presentará algunos fragmentos para explicar cómo funciona el ataque.

El especialista también comentó que los errores en los CPUs han contribuido a dañar los discos duros de los equipos sin que los usuarios pudieran detectarlo. De ser demostrados los errores descubiertos, todas las computadoras desde personales hasta servidores, podrían estar en peligro.

Según Kaspersky, “es posible solucionar la mayoría de los bugs e Intel ofrece soluciones para los principales proveedores de BIOS”, es decir, el software que controla las funciones más básicas de una PC.

Fuente:
http://www.rompecadenas.com.ar/articulos/2045.php

Compártelo

Google Gadgets es un coladero para los ataques

Los expertos reunidos en Black Hat creen que los usuarios de Google y sobre todo Gmail son más vulnerables a los ataques a través del “agujero” de Google Gadgets.

“El atacante puede instalar Google Gadgets; puede leer el historial de la víctima después de instalar un gadget malicioso en ciertas circunstancias; puede atacar a otros Google Gadgets; robar los nombres de usuario y contraseñas y mucho más”, explicó Robert Hansen, también conocido como RSnake, fundador de la consultora de seguridad SecTheory, y continuó: “de verdad que no hay límite cuando el navegador es controlado por el atacante. Y este hecho se magnifica porque la gente confía en Google como en un dominio seguro, haciendo que los ataques sean aún más fáciles”.

Hansen comentó que los usuarios más vulnerables son aquellos que utilizan Google y Gmail desde el servicio de correo electrónico basado en Web para registrarse. El ataque se produce a través de usuarios que añaden módulos intencionadamente; un usuario puede ser engañado para que añada un módulo malicioso a su página iGoogle. “Estos usuarios utilizan casi todos JavaScript y navegadores web normales, por lo que resulta difícil reconocerlos”, añadió.

Tom Stracener, analista de seguridad de Cenzic está de acuerdo. Las fórmulas son variadas y va extendiéndose conforme aumenta el número de personas que confían en el sitio de creación de página de inicio de Google, incluido las empresas.

Enlace relacionado:
http://www.infoworld.com/article/08/08/08/Google_Gadgets_an_open_door_for_attack_1.html

Fuente:
http://www.theinquirer.es/2008/08/11/google-gadgets-es-un-coladero-para-los-ataques.html

Compártelo

Next Page »