miércoles, 7 de diciembre de 2011

El "inseguro" mes de Noviembre

Imágen obtenida de aikidojapon.com

Este ya extinto mes de Noviembre, se ha presentando bastante "movido" con respecto al tema de la seguridad. Nada nuevo, en un año en el que hemos tenido noticias de seguridad bastante "sonadas" tanto en entornos Microsoft Windows como en entornos Linux y que ha dejado la sensación general, más que nunca, de que el tópico de: "Ningún entorno es 100% seguro", quizás debería ser cambiado a: "Ningún entorno es 100% seguro... ni lo será jamás".
Porque, aunque conozcamos las debilidades y fortalezas de cada uno de los sistemas operativos que gobiernan nuestras máquinas y, en base a ello, intentemos optimizar nuestra infraestructura, "errar es de humanos" y por tanto, ningún código fuente será jamás 100% seguro, quizás, ni tan siquiera lo sea en un 50%. Y para muestra, repasemos algunas de las vulnerabilidades que nos hemos ido encontrando durante este mes (Fuente: Hispasec):Read More




Elevación de privilegios en Apache

A primeros de mes, la web http://www.halfdog.net publica una vulnerabilidad en Apache que afecta a todas las versiones desde la 2.2.20. Esta vulnerabilidad, posibilita a un atacante con cuenta en la máquina, la elevación de privilegios.
La vulnerabilidad en cuestión, se encuentra en una función del fichero "server/util.c" al ser llamada por el módulo "mod-setenvif". El atacante podría, mediante un fichero .htaccess modificado, ejecutar código en la máquina, con los mismos privilegios que el servidor Apache.
Eso sí, para ello, el atacante debería tener permisos para crear un fichero .htaccess y que el módulo en cuestión esté siendo usado por Apache.
Es de suponer, que no cualquier usuario tendría permisos para poder crear un fichero .htaccess, por ejemplo en un entorno corporativo o en entornos de hosting compartido, donde este fallo podría ser, cuanto menos, bastante "comprometedor".
A día de hoy, no existe todavía una solución a este problema. Es más, el código asignado a este fallo de seguridad: CVE-2011-3607 está todavía "pendiente de aprobación", tal y como se puede consultar en la página: http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2011-3607. Sin embargo, se puede evitar "momentáneamente" de varias formas:
- No usando el módulo en cuestión.
- Impedir el uso de ficheros .htaccess mediante la instrucción "AllowOverride None".

Microsoft y Duqu.

Debido a un fallo en el tratamiento de algunas fuentes True Type, podemos conseguir que una aplicación eleve privilegios y consiga control total del sistema. Así es como Duqu, un malware que al parecer viene escondido en un fichero Word, podría conseguir los privilegios que necesita para quedarse de "ocupa" en nuestro sistema Windows.
Microsoft ha aconsejado bloquear el acceso a la librería t2embed.dll como medida para protegernos.
Para ello, aconseja que se aplique el "Fix it" que se puede descargar desde: http://support.microsoft.com/kb/2639658 .
¿Es necesario aplicar este "parche" de forma urgente?. Radicalmente: sí, principalmente porque todavía no existe parche "oficial" por parte de Microsoft y porque el problema no es ya que ejecute código, sino que además lo hace con los máximos privilegios y por lo tanto el daño que puede causar, sobretodo en un entorno corporativo, es más que destacable.
Se puede saber más sobre esta vulnerabilidad en: http://technet.microsoft.com/en-us/security/advisor/2639658 .

PhpMyAdmin y la lectura de ficheros

Desde hispasec (una de las empresas más prestigiosas en España en cuanto a temas de seguridad se refiere), se hacen eco de una brecha de seguridad en PhpMyAdmin descubierto por 80sec y publicada a través de una web china de publicación de exploits, llamada Wooyong.org.
Esta vulnerabilidad podría permitir a un atancante con permisos para creación de bases de datos, leer ficheros arbitrarios del servidor donde está alojada la aplicación. Esto, probablemente, en un servidor "particular" no sea especialmente grave, pero la cosa cambia si se trata de un sistema de hosting compartido.
Eso sí, el atacante debe estar autenticado en PhpMyAdmin, disponer de permisos para la creación de bases de datos e importar el archivo XML que se ha proporcionado como prueba de concepto que demuestra la vulnerabilidad y que en la etiqueta "ENTITY" especifica la ruta al fichero al que se desea tener acceso. Esto mostraría el contenido del fichero del servidor elegido dentro del mensaje de error que devuelve.
El problema está confirmado para la versión 3.4.7, aunque tal y como dicen desde hispasec, es probable que afecte a otras.

Kilo y medio de Vulnerabilidades en Mozilla Firefox y Thunderbird

Hasta 9 vulnerabilidades se contabilizan entre Mozilla Firefox y Thunderbird y que permitirían desde la revelación de información sensible hasta realizar elevación de privilegios pasando por casi cualquier otro tipo que se nos ocurra: denegación de servicios, ataques Cross-Site Scripting, etc...
Las vulnerabilidades afectarían a las versiones 3.x a 7.x de Firefox y las versiones 3.x y de la 5.x a la 7.x de Thunderbird. Es decir, prácticamente a todas las versiones de estos productos de los últimos 12 meses o más.
Dichas vulnerabilidades, no obstante, ya se encuentran corregidas en las últimas versiones disponibles de ambos productos de la factoría Mozilla (lo que sin duda es una buena noticia, ante todas las vulnerabilidades que están en el "pendiente" de otras empresas).

Fallo de las políticas de seguridad de AppLocker en Windows Server 2008 y Windows 7

Applocker es una característica de las últimas versiones de Microsoft Windows tanto para escritorio como para servidor que permite, mediante políticas, evitar la ejecución de software no deseado y/o desconocido. Podéis saber más acerca de AppLocker, visitando la web de Technet: http://technet.microsoft.com/en-us/library/dd723678(WS.10).aspx .
Pues bien, el fallo, permite a un usuario "burlar" esas políticas de seguridad previamente fijadas y ejecutar aplicaciones no permitidas, a traves de macros (de Office, por ejemplo) o mediante scripts especialmente manipulados.
Para solventar el problema provisionalmente (una vez más), Microsoft ha publicado un parche temporal, que se puede descargar desde: http://support.microsoft.com/hotfix/KBHotfix.aspx?kbnum=2532445&kbln=en-us .
Este parche temporal, es solamente recomendable según recomendaciones (valga la redundancia) de Microsoft en el caso de que nuestros sistemas protejan con AppLocker la ejecución de ficheros y que, consiguientemente, se vean realmente afectados. En caso contrario: esperar la solución final en una próxima entrega de actualizaciones de seguridad.

Múltiples vulnerabilidades en Adobe Flash Player y su fin en los móviles.

El 13 de Noviembre, nos enteramos de que Adobe anunciaba el fin del desarrollo de Flash Player para dispositivos móviles, así como la resolución de múltiples vulnerabilidades.

En la versión 11.1, se han solucionado nada menos que 11 vulnerabilidades que podrían ser aprovechadas por un atacante remoto para, potencialmente, ejecutar código arbitrario (dado que Flash permite desarrollar contenido multimedia e interactivo para Internet).

Una de ellas, concretamente la CVE-2011-2458, podría permitir a un atacante remoto eludir las políticas de seguridad "cross-domain" a través de una página web especialmente manipulada y afecta solamente al navegador Internet Explorer.

El resto de las vulnerabilidades, afectan a Flash Player para las plataformas Microsoft, Macintosh, Linux, Solaris y Android.

Así mismo, Adobe ha anunciado que dejará de desarrollar Flash Player para dispositivos móviles en favor de HTML5, aunque aseguran que seguirán dando soporte y corrigiendo fallos de seguridad en las versiones destinadas a estos dispositivos. ¿Será que esperan a pesar de no seguir desarrollando nuevas versiones encontrarse con muchos fallos?. Esperemos que no o que, al menos, no sean demasiado graves.

iTunes 10.5.1 corrige una vulnerabilidad conocida.... ¡¡desde 2.008!!.

Con la publicación de esta nueva versión de iTunes, nos encontramos que ¡¡por fín!! se deciden a solucionar una vulnerabilidad en el proceso de actualización conocida nada menos que desde 2.008.

La forma de arreglar el fallo ha sido tan sencilla como añadir conexión segura a la hora de comprobar las actualizaciones válidas. Esto es, autenticando al servidor a través de HTTPS. En OS X se incluyen otras "defensas en profundidad".

Y lo peor de todo, es que todavía existen muchos programas que continúan con estos errores en el delicado proceso de actualización.

La historia se remonta, como ya hemos dicho a 2008, cuando Francisco Amato de Infobyte descubre un problema de falta de comprobación en la actualización de un gran número de programas muy conocidos y crea una herramienta llamada "Evilgrade" para "envenenar" el proceso de actualización de múltiples programas (en la versión 2.0 de 2.010 el número de programas con el fallo era de 63 y entre ellos estaba OpenOffice, Java (JRE), Notepad++, Winamp, etc...) que carecían de las comprobaciones de seguridad necesarias. De tal forma que se permitía instalar cualquier binario en el sistema cuando una de estas aplicaciones se actualizaba o comprobaba una actualización.

Solucionado "0-day" que afecta a los servidores DNS BIND 9.

El ISC (Internet System Consortium) ha publicado un parche que corrige una vulnerabilidad 0-day de denegación de servicio en el servidor DNS BIND 9 (uno de los servidores DNS más extendidos, de código libre y publicado bajo licencia BSD).

La vulnerabilidad, como se puede suponer desconocida hasta el momento, fue reportada por varias organizaciones independientes al ISC como un error que afectaba a las consultas recursivas y que provocaba el almacenamiento de un registro DNS no válido.Si ese registro es consultado posteriormente (o sea, se intenta resolver de nuevo) el proceso entra en un estado de error de aserción (assert) y muere.

La vulnerabilidad afecta a las versiones: 9.4-ESV, 9.6-ESV, 9.7.x y 9.8.x. El error es explotable en remoto y no precisa de autentación previa.

Y aunque los parches están disponibles en la página web del fabricante, concretamente en estas direcciones:


Y como es obvio y así lo recomiendan desde ISC la mejor solución es la actualización, en caso de que no fuera posible, se podría reducir o eliminar la exposición a esta vulnerabilidad mediante configuración adicional en el fichero named.conf.

Dicha configuración adicional, se puede consultar en la página: https://deepthought.isc.org/article/AA-00549

Joomla! se actualiza y soluciona dos fallos de seguridad.

Se publican dos nuevas versiones de Joomla!, concretamente la 1.5.25 y la 1.7.3 que solucionan dos graves fallos de seguridad.

Joomla!, como ya sabrá una gran parte de nuestros lectores, es un sistema de gestión de contenidos y framework muy popular para la realización de portales web.

La primera vulnerabilidad corregida es común a ambas versiones y es realmente peligrosa, ya que permite predecir una contraseña cuando es regenerada por el sistema.

El segundo fallo solamente afecta a las versiones 1.7.x y 1.6.x y se trata de un cross-site scripting provocado por un error en el filtrado de parámetros que recibe la aplicación, de tal forma que se puede ejecutar código javascript a través de una url (dirección web) especialmente diseñada.


Por último, voy a detenerme en tres noticias que me parecen realmente "preocupantes" en cuanto al tema de seguridad se refiere:

Un parche de Apache 2.x no soluciona realmente una vulnerabilidad.

A principios de Octubre se descubre una vulnerabilidad de Apache 2.x que permitiría a un atacante acceder a partes de la red del servidor no habilitadas en un principio al público, a través de un fallo en la directiva "RewriteRule" del módulo "mod_proxy".

Pues bien, resulta que el parche anterior no soluciona totalmente la vulnerabilidad encontrada ya que no se comprobaron las URI basadas en esquemas, de tal forma que se podría seguir accediendo a partes sensibles de la red interna del servidor si las reglas del proxy inverso no se encuentran bien configuradas.

Lo mejor de todo esto es que se ha publicado un parche... ¡¡atención!!... temporal, para esta "nueva" vulnerabilidad a la que se le ha asignado el identificador CVE-2011-4317.

Vulnerabilidad en el Centro de Software de Ubuntu permitiría falsificar aplicaciones.

Canonical, desarrolladora de Ubuntu, ha corregido una vulnerabilidad presente en su Centro de Software, destinado a la descarga, instalación y gestión centralizada de aplicaciones por parte del usuario.

La vulnerabilidad, debida a la incorrecta validación de los certificados (otra vez los dichosos certificados) al realizar conexiones seguras, permitiría falsificar aplicaciones, facilitando que un usuario descargara e instalara aplicaciones especialmente modificadas haciéndolas pasar por oficiales de Ubuntu.

¿Os suena de algo?.... ¿A que sí?... ¡¡Exacto!!, precisamente algo parecido a lo que ha solucionado Apple con el iTunes 10.5.1.

Las versiones afectadas, según la página web oficial de Ubuntu sobre esta vulnerabilidad, son la 11.10, 11.04 y 10.10. Las tres cuentan ya con el parche correspondiente para corregir la vulnerabilidad.

Malware y Certificados Digitales.

¿A que es raro una noticia de fallos de seguridad relacionada con Certificados Digitales, a que sí?. Pues hombre... últimamente son más habituales de lo que sería recomendable. Al final, hasta usando los certificados vamos a estar "acojonados" navegando por Internet, pero... es lo que hay.

En fin, a lo que íbamos... que continúa el problema con los certificados, ahora en forma de malware, robos y factorización.

Tanto es así, que Microsoft invalidaba en Noviembre dos nuevos certificados de la compañía "Digicert Sdn. Bhd" (Digicert Malasia), una entidad de certificación subordinada de Entrust y GTE CyberTrust. De hecho, se ha añadido a la (modificada ya por tercera vez en 2.011) lista de certificados no confiables en la mayoría de los navegadores (¿lo habrá actualizado también Apple esta vez en su navegador y sus dispositivos a la misma vez o esperará varios meses antes de hacerlo como sucedió en anteriores ocasiones exponiendo así a sus usuarios a este problema?).

Sin embargo, en esta ocasión, el problema no fue el robo como en los casos de Comodo y DigiNotar, sino que se habían emitido 22 certificados con claves de 512 bits (relativamente sencillas de "reventar" con los equipos que contamos hoy en día), en lugar de los 2048 o 4096 bits de longitud que normalmente se están usando en las claves RSA.


En fin, esto es todo. Por supuesto ha habido bastantes más fallos de seguridad y vulnerabilidades pero este ha sido un "resumen" bastante extenso de algunas de ellas.

Esperemos que el mes de Diciembre no sea tan "prolífico" en este sentido y nos haga sentir un poquito más seguros.

No hay comentarios:

Publicar un comentario