Escalada de directorios a través de TFTP en CiscoWorks
CiscoWorks Common Services se ve afectado por una vulnerabilidad que podría permitir a un atacante remoto sin autenticar acceder a diversos archivos del sistema.
CiscoWorks Common Services representa un conjunto común de servicios de administración compartidos por las aplicaciones CiscoWorks. CiscoWorks es una familia de productos basados en estándares de Internet para la administración de redes y dispositivos. Son muchos los productos CiscoWorks que usan y dependen de Common Services.
Cisco ha publicado una actualización para corregir una vulnerabilidad (de la que no ha especificado detalles) en TFTP, del conjunto de servicios de CiscoWorks Common Services. El fallo podría permitir a un atacante remoto no autenticado efectuar un ataque de escalada de directorios y obtener o modificar información sensible y potencialmente causar una denegación de servicio.
La vulnerabilidad solo afecta a CiscoWorks sobre plataformas Microsoft Windows.
Cisco ha publicado la actualización cwcs3.x-win-CSCsx07107-0.zip disponible desde:
http://www.cisco.com/pcgi-bin/tablebuild.pl/cw2000-cd-one
lunes, 25 de mayo de 2009
Gumblar en los medios y en "Google" particular
Gumblar es un espécimen de origen chino que llevaba cierto tiempo circulando, se detectó y comenzó a seguir desde finales de marzo. Los medios se han fijado en él (siempre recordando que la noticia origen es de una casa antivirus) por el preocupante y rápido aumento de infectados que se ha contabilizado en las últimas semanas. Ha llegando a doblar el número de victimas semanalmente; también se le atribuye el 42 por ciento de las nuevas infecciones detectadas en sitios web.
El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.
La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.
En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.
Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en virusTotal.com.
El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.
El comportamiento del ejemplar es interesante. Gumblar se nutre de dos vías diferentes, la principal es infectando un sitio web a través de contraseñas FTP capturadas o explotando vulnerabilidades de servidor conocidas. Una vez consigue acceder al servidor web, inyecta código javascript en las páginas alojadas pero intenta evadir aquellas que son más susceptibles de ser examinadas ocasionalmente por un administrador, como la página principal o un index.html. Adicionalmente, cada vez que el script se inserta, es ofuscado de diferente forma para eludir la identificación mediante firma de los motores de los antivirus.
La segunda vía toma forma cuando el sitio web infectado es visitado. El script es ejecutado por el cliente e intenta explotar en el un abanico de exploits que van desde vulnerabilidades multiplataforma en el reproductor Flash o el lector de archivos PDF Adobe Reader hasta específicas de Internet Explorer. Si consigue su objetivo (entre otras acciones ya comunes entre el malware) instalará un troyano en la máquina del visitante que se dedicará a inspeccionar el tráfico con, a su vez, dos funciones a destacar: examinar el tráfico en busca de contraseñas de servidores FTP para usarlas en nuevas infecciones y la inyección de tráfico cuando el usuario efectúa una búsqueda en Google, mostrándole resultados manipulados que apuntan a sitios fraudulentos. Ser el "Google" particular (e insospechado) de un buen número de "clientes" puede resultar muy lucrativo.
En las últimas infecciones se ha detectado, como no podía ser de otra forma, la instalación de un componente para asociar al nodo infectado a una botnet.
Los dominios principales de los que se sirve el malware son entre otros "gumblar.cn" y "martuz.cn" y han sido bloqueados. Pero el malware descarga otros componentes desde otras localizaciones que todavía siguen activas. Estos binarios tienen un nivel de detección de poco más del 50% de los motores según el análisis en virusTotal.com.
El comportamiento combinado de Gumblar no deja de ser interesante aunque todavía no se conozca la incidencia a largo plazo del espécimen.
viernes, 22 de mayo de 2009
Mac OS X - Falla en Java Sin parchar
Una falla en Java aun permanece sin parchar en OS X.
En diciembre del 2008, Sun Microsystem anunciaba una falla en su maquina virtual de Javaque podría ser explotada para ejecutar codigo en computadoras vulnerables.
Aunque el problema ha sido tomado en cuenta en windows y distribuciones principales de Linux, Apple no ha corregido esta vulnerabilidad, aún cuando recientemente a puesto atencion a una principal actualizacion. L afalla esta siendo explotada activamente, y el codigo del ataque que se dirije a usuarios Mac OS X ha sido posteado en un intento por llamar la atencion sobre la vulnerabilidad no parchada. Los uauarios Mac se les recomeinda dehabilitar applets de Java en sus navegadores hasta que que la correcion (fix) este disponible.
Los usuarios Mac frecuentemente asumen que sus maquinas no son vulnerables a ataques, pero la realidad indica otra cosa. Noticias de esta ultima falla de seguridad es otra indicacion que Mac OS X no es invencible a ataques.
Apple se basa en software abierto/terceros, y su inhabilidad para liberar parches oportunamente de manera sincronica con otros distribuidores es una gran amenaza de que es mitigado por la obsuridad de la plataforma.
Una empresa moderna de software de hoy día no puede darse el lujo de esperar varios meses para liberar un parche para una vulnerabilidad publicamente conocida. Microsoft ha aprendido esta leccion de una fea manera. ( Quizas esté en proceso, pero de los errores pasados se aprende)
En diciembre del 2008, Sun Microsystem anunciaba una falla en su maquina virtual de Javaque podría ser explotada para ejecutar codigo en computadoras vulnerables.
Aunque el problema ha sido tomado en cuenta en windows y distribuciones principales de Linux, Apple no ha corregido esta vulnerabilidad, aún cuando recientemente a puesto atencion a una principal actualizacion. L afalla esta siendo explotada activamente, y el codigo del ataque que se dirije a usuarios Mac OS X ha sido posteado en un intento por llamar la atencion sobre la vulnerabilidad no parchada. Los uauarios Mac se les recomeinda dehabilitar applets de Java en sus navegadores hasta que que la correcion (fix) este disponible.
Los usuarios Mac frecuentemente asumen que sus maquinas no son vulnerables a ataques, pero la realidad indica otra cosa. Noticias de esta ultima falla de seguridad es otra indicacion que Mac OS X no es invencible a ataques.
Apple se basa en software abierto/terceros, y su inhabilidad para liberar parches oportunamente de manera sincronica con otros distribuidores es una gran amenaza de que es mitigado por la obsuridad de la plataforma.
Una empresa moderna de software de hoy día no puede darse el lujo de esperar varios meses para liberar un parche para una vulnerabilidad publicamente conocida. Microsoft ha aprendido esta leccion de una fea manera. ( Quizas esté en proceso, pero de los errores pasados se aprende)
Java Flaw Still Unpatched in OS X
Java Flaw Still Unpatched in OS X
In December 2008, Sun Microsystems warned of a flaw in its Java virtual machine that could be exploited to execute code on vulnerable computers.
Although the problem has been addressed in Windows and major Linux distributions, Apple has not issued a fix for the vulnerability, despite having recently issued a major security upgrade. The flaw is being actively exploited, and attack code that specifically targets the flaw in Mac OS X has been posted in an attempt to draw attention to the unpatched vulnerability. Mac users are urged to disable Java applets in their browsers until a fix is made available.
Mac users too often assume that their machines are not vulnerable to attacks, but reality dictates otherwise. News of this latest security flaw is yet another indication that Mac OS X is by no means invincible to attacks.
Apple's reliance on third party / open source software, and it's inability to release timely patches in sync with other vendors is a big threat currently only mitigated by the obscurity of the platform.
A modern day software company just can't afford to wait months to release a patch for a publicly known vulnerability. Microsoft learned this lesson the hard way.
In December 2008, Sun Microsystems warned of a flaw in its Java virtual machine that could be exploited to execute code on vulnerable computers.
Although the problem has been addressed in Windows and major Linux distributions, Apple has not issued a fix for the vulnerability, despite having recently issued a major security upgrade. The flaw is being actively exploited, and attack code that specifically targets the flaw in Mac OS X has been posted in an attempt to draw attention to the unpatched vulnerability. Mac users are urged to disable Java applets in their browsers until a fix is made available.
Mac users too often assume that their machines are not vulnerable to attacks, but reality dictates otherwise. News of this latest security flaw is yet another indication that Mac OS X is by no means invincible to attacks.
Apple's reliance on third party / open source software, and it's inability to release timely patches in sync with other vendors is a big threat currently only mitigated by the obscurity of the platform.
A modern day software company just can't afford to wait months to release a patch for a publicly known vulnerability. Microsoft learned this lesson the hard way.
miércoles, 20 de mayo de 2009
Vulnerabilidad en Microsoft IIS 6.0
Quizás tecnicamente no sea un virus...pero lo cierto es que la falla del Microsoft IIS 6.0 heredó las fallas de su antecesor. Cuantas veces no hemos escuchado que se han descubierto fallas que afectaban a versiones anteriores de un software, y que algunas se vuelven "0-day". Esta tambien por ejemplo la falla del telnet en Solaris, por mencionar algunas. ¿Cual es entonces el problema?. A mi parecer, y sin ser éste muy técnico, al Control de Versiones, a los parches mal parchados o que se "olvidaron", por que la nueva version se escribe desde cero, o por que nuevas características se han incluido, y de ahi me paso a lo que siempre he renegado, la mas facil utilizacion del usuario..poner en bandeja de plata todo...para que con un simple click se haga todo, no más tiempo "perdido". La complejidad del software tambien juega un papel muy importante. Bueno, despues de todo: "La seguridad es teórica".
miércoles, 13 de mayo de 2009
Vulnerability in Windows 7 Release Candidate
Vulnerability in Windows 7 Release Candidate
A flaw has been found in the most recent Windows 7 Release Candidate; Microsoft has issued a hotfix for the vulnerability. The flaw affects the 32-bit (x86) English-language version of Windows 7 build 7100. The problem is that "the folder that is created as the root folder of the system drive is missing entries in its security descriptor." This could cause "applications that reference folders under the root" to fail to install or uninstall successfully and "applications that reference these folders may fail."
Knowledge Base : http://support.microsoft.com/kb/970789
A flaw has been found in the most recent Windows 7 Release Candidate; Microsoft has issued a hotfix for the vulnerability. The flaw affects the 32-bit (x86) English-language version of Windows 7 build 7100. The problem is that "the folder that is created as the root folder of the system drive is missing entries in its security descriptor." This could cause "applications that reference folders under the root" to fail to install or uninstall successfully and "applications that reference these folders may fail."
Knowledge Base : http://support.microsoft.com/kb/970789
sábado, 9 de mayo de 2009
Windows 7 Release Candidate - Puntos a favor y en contra
Algunos puntos en desacuerdo en la implementacion de Windows 7 Release Candidate, son por no implementar ciertos cambios que deberían mejorar la seguridad. La esperanza que se tenía de Windows 7, es que se cambiara la practica de ocultar por default la extension de los archivos en Explorer, peroesta nueva version aun oculta las extensiones. El problema es que la mayoría de las configuraciones en los equipos no establecen esta directiva, por lo tanto los atacantes pueden usar esta caracteristica para hacer que un archivo, por ejemplo archivo.txt.exe, sea vista como un archivo inofensivo, archito.txt. Y como otro punto en desacuerdo en notar, la Version de Windows 7 (AutoPlay), deshabilita todas las unidades extraibles de ejecutar la caracteristica del autorun, pero no lo hace para unidades de CD/DVD. Por cierto, tambien no lo hace para particiones adicionales del disco ( ntfs/fat32).
Suscribirse a:
Entradas (Atom)