Se ha anunciado una vulnerabilidad en el reproductor de Cisco WebEx, que podría permitir a un atacante remoto ejecutar código arbitrario en los sistemas afectados.

WebEx es un sistema para la realización de reuniones online como si se llevaran a cabo de forma presencial, con la posibilidad de compartir documentos, ofrecer presentaciones, mostrar productos y servicios, etc.

El problema reside en el tratamiento de archivos ARF específicamente creados, de tal forma que podrían provocar un desbordamiento de búfer basado en pila en el sistema atacado. Esto podría permitir a un atacante la ejecución de código con los permisos del usuario.


Se publicó una actualización para el problema, por lo que se recomienda actualizar todos los reproductores de WebEx.


Más información:

Cisco WebEx Player ARF String Parsing Remote Code Execution Vulnerability
Zero Day Initiative

Se han detectado recientemente dos vulnerabilidades en el kernel Linux, en su rama 2.6.x que podrían permitir a atacantes locales provocar una denegación de servicio u obtener acceso a información en memoria.


El primero de los fallos se da a la hora de limpiar la memoria en la función 'drm_ioctl' del fichero 'drivers/gpu/drm/drm_drv.c' del controlador DRM (Direct Rendering Manager). Un atacante local podría aprovechar esto para obtener acceso a direcciones de memoria basadas en pila anteriormente liberadas, mediante el envío de llamadas al sistema especialmente manipuladas y con acceso al servidor X.


El segundo problema es un desbordamiento de enteros en la familia de sockets 'AF_CAN', en concreto en los protocolos (Controller Area Network) y BCM (Broadcast Manager). Esto podría ser aprovechado por un atacante local para elevar privilegios a través del envío de paquetes CAN especialmente manipulados.


Se recomienda aplicar las contramedidas especificadas en el apartado de más información.


Más información:


Can: add limit for nframes and clean up signed/unsigned variables


Drm: stop information leak of old kernel stack 1.


Drm: stop information leak of old kernel stack 2.

Microsoft confirma un grave problema de seguridad "compartido" con cientos de aplicaciones de terceros


HD Moore, líder del proyecto Metasploit, destapaba hace algunos días un problema de seguridad en decenas de aplicaciones de terceros cuando eran ejecutadas sobre Windows. Aunque la raíz del problema es, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft ha publicado un aviso de seguridad con instrucciones para mitigar el fallo.


Moore identificaba el fallo mientras estaba investigando el grave problema en archivos LNK que fue conocido en Windows hace algunos días. A su vez Acros, una compañía de seguridad eslovena, hablaba de una vulnerabilidad en iTunes por la que, si se abría un archivo asociado a iTunes desde una ubicación remota, iTunes podría llegar a cargar más DLLs desde esa ubicación. HD Moore comenzó a buscar más aplicaciones que se comportasen de este modo.


Así, el problema está en múltiples aplicaciones de terceros (y propias) para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a "encontrar" primero las librerías de los atacantes y ejecutarlas. Al principio Moore identificó unas cuarenta aplicaciones, pero en estos momentos se conocen cientos. El número, además, será mayor con el tiempo.


Todas estas herramientas no han seguido ciertas recomendaciones de seguridad a la hora de ser programas. Por tanto, un atacante podría llegar a ejecutar código si incita al usuario a abrir con una aplicación vulnerable un archivo desde una ubicación remota (compartida a través de WebDAV, SMB) o incluso una llave USB.


La novedad es que el archivo abierto no tiene por qué contener ningún exploit. La única condición es que el atacante pueda escribir una librería en la misma ruta donde se encuentra el archivo que se quiere abrir, y el programa vulnerable se encargará de cargarla.


Este tipo de ataques son denominados "binary planting", "DLL preloading" o "DLL Hijacking" y pueden verse como una nueva variante de los ataque de ruta (PATH): a no ser que se especifique exactamente la ruta de los binarios, no se sabe qué se está ejecutando; bien porque exista un archivo con un mismo nombre en un directorio, bien porque se encuentre en el PATH de sistema o, como en este caso, bien porque la aplicación llame a DLLs que no son las legítimas.


Windows arrastró este histórico error durante mucho tiempo. Pero una de las (muchas) mejoras de seguridad introducidas desde Windows XP SP1, es que por defecto, se mejora el orden de la búsqueda de librerías con el parámetro SafeDllSearchMode activado... pero el problema se da cuando las librerías no existen en el sistema y no se especifica ruta completa... el programa va a buscarlas en remoto y el atacante podría cargar así las que quisiera.


Microsoft ha creado una guía de buenas prácticas para programadores y sobre cómo cargar de forma segura librerías dinámicas, disponible desde:
Dynamic-Link Library Security (Windows)


El problema es muy grave, puesto que resulta utópico creer que el increíble número de aplicaciones vulnerables solucionarán este fallo en un periodo de tiempo razonable. Así que Microsoft anuncia contramedidas para mitigar el fallo.


No se trata de una solución en forma de parche, puesto que bloquear por completo un comportamiento adquirido durante años por los programadores, solo podría causar problemas. De hecho, la introducción de SafeDllSearchMode hace 8 años "ya" podría considerarse como la solución. En todo caso, en el aviso se dan instrucciones precisas a los administradores para deshabilitar la carga insegura de librerías por aplicación o globalmente. También se recomienda, si no es necesario, detener el servicio "Cliente web" del sistema.


Por su parte, HD Moore ha publicado una herramienta para determinar si una aplicación hace uso de este tipo de técnicas y, por tanto, es susceptible de ser usada como vector de ataque. En estos momentos, están apareciendo aplicaciones vulnerables por decenas.


Además, varios programas propios de Microsoft son también vulnerables, como Office, Mail. Y ya están apareciendo exploits públicos que permiten aprovechar el fallo con todo tipo de aplicaciones, por ejemplo, al abrir un inocente archivo Office desde una unidad remota.


Más información:


Application DLL Load Hijacking


Insecure Library Loading Could Allow Remote Code Execution


Microsoft Security Advisory (2269637): Insecure Library Loading Could Allow Remote Code Execution

Era cuestión de tiempo que una plataforma como Android, con una cuota cada vez más amplia en el mercado de los smartphones, dejara de ser ignorada por los creadores de malware. No obstante, sin explosión mediática, ya se tenía conocimiento de spyware en casos puntuales y pruebas de concepto como el rootkit presentado en la última edición de la conferencia BlackHat.


El recién bautizado SMS.AndroidOS.FakePlayer.a, con 13Kb de peso, se dedica una vez instalado en el sistema a enviar SMS indiscriminadamente números con tarificación especial. Cobrados a algo más de 4 euros el mensaje. En principio sólo parece afectar a Rusia aunque no se descarta que aparezcan versiones adaptadas a otros países.


Llega con la forma de un reproductor multimedia y cuando se instala pide permiso para efectuar operaciones de acceso a la tarjeta de memoria, envío de SMS y consulta de datos sobre el dispositivo. Autorizaciones sospechosamente poco relacionadas con la prometida funcionalidad de reproducción multimedia.


A pesar de las advertencias del sistema, este tipo de solicitudes podrían ser ignoradas por el usuario medio que no suele reparar y pensárselo mucho antes de pulsar el "Aceptar" del cuadro de diálogo.


El troyano llegó por primera vez a VirusTotal.com el 4 de agosto, sin ser detectado por ningún antivirus. Poco después fue detectado por este orden, por Dr. Web, Kaspersky y VBA32, todos de factura rusa.


Hispasecha realizado un pequeño análisis de la muestra disponible desde:
http://www.hispasec.com/laboratorio/troyano_android.pdf


Se da la circunstancia que en el mismo día, la BBC ha publicado un reportaje donde se muestra la creación de una aplicación maliciosa, entre otros smartphones para Android, con funcionalidad de spyware. A pesar de la coincidencia no está relacionado con el descubrimiento de Kaskersky. Se trata de una prueba de concepto para "demostrar lo fácil que es crear aplicaciones maliciosas para un smartphone".


Recordemos el reportaje del mismo estilo de marzo de 2009. En aquella ocasión la BBC diseminó un malware creado para la ocasión que llegó a infectar 20.000 usuarios y crear una botnet con ellos. Con tiempo es de esperar que surja más malware para este tipo de dispositivos que día a día van ganando en usuarios.


Más información:


First SMS Trojan for Android
First SMS Trojan for Android - Securelist


BBC writes smartphone spyware
BBC writes smartphone spyware, and Android malware developments Graham Cluley's blog


Analysis of Trojan-SMS.AndroidOS.FakePlayer.a
Jaime Blasco Blog : /Malware/Analysis_of_Trojan-SMS.AndroidOS.FakePlayer.a.html


Resultados de SMS.AndroidOS.FakePlayer.a en VirusTotal:
VirusTotal - Free Online Virus, Malware and URL Scanner

De acuerdo con el Boletín de seguridad de Adobe APSB10-16, hay vulnerabilidades en Adobe Flash y AIR. Estas vulnerabilidades afectan a Flash Player, AIR, y posiblemente otros productos soportados por Flash. Un atacante remoto podría explotar estas vulnerabilidades para ejecutar código arbitrario.



Fecha de Liberación:  11-Ago-2010

Ultima Revisión:  13-Ago-2010

Fuente:  US-CERT

Riesgo:   *Importante Problema de Vulnerabilidad 

Tipo de Vulnerabilidad:  *Remoto


Ejecución Remota de Código.

Sistemas Afectados:

Adobe AIR <= 2.0.2.12610


Adobe Reader <= 9.3.3


Adobe Reader <= 9.x


AdobeFlash Player <= 10.1.53.64


AdobeFlash Player <= 9.0.277.0



I. SOLUCION


Actualización de Flash y AIR


El boletín de seguridad de Adobe APSB10-16 recomienda actualizar a Flash Player 10.1.82.76 o 9.0.280 y AIR 2.0.3. Esto actualizará el plug-in del navegador y el control ActiveX de Flash, así como el de AIR. Sin embargo, esto no actualiza el soporte Flash en Adobe Reader, Acrobat, u otros productos.


Para reducir la exposición a estas y otras vulnerabilidades de Flash, considerar las siguientes técnicas de mitigación.


- Desactivar Flash en su navegador


- Desinstalar Flash o restringir los sitios que están autorizados a ejecutar Flash. En la medida de lo posible, solamente ejecutar contenido Flash en dominios de confianza. Para obtener más información, vea "Asegurando su navegador web".


Soluciones adicionales están disponibles en la nota de la vulnerabilidad 660993 del US-CERT.


II. DESCRIPCION


El boletín de seguridad de Adobe APSB10-16 describe las vulnerabilidades de Adobe Flash que afectan a Flash Player y AIR. Estas vulnerabilidades también pueden afectar a otros productos que independientemente soportan Flash, como Adobe Reader, Acrobat, Photoshop, Photoshop Lightroom, MX Freehand y Fireworks.


Un atacante podría explotar estas vulnerabilidades convenciendo a un usuario para que abra contenido de Flash especialmente diseñado. Este contenido es comúnmente alojado en una página web, pero también se pueden incrustar en un PDF y otros documentos o proveerse como un archivo independiente.



III. IMPACTO


Si un usuario abre el contenido especialmente diseñado de Flash, un atacante remoto puede ser capaz de ejecutar código arbitrario.


Referencias :


* Boletín de seguridad de Adobe APSB10-16
* Vulnerabilidad del US-CERT VU # 660993

* Asegurando su navegador web