Vulnerabilidad en Internet Explorer 7

En las últimas horas se ha detectado una vulnerabilidad en el navegador Internet Explorer 7 que está siendo explotada activamente y que permite que un atacante remoto pueda realizar las acciones que desee en el equipo afectado.

La vulnerabilidad ha sido detectada después de las actualizaciones del segundo martes de cada mes y, por el momento, no tiene un parche para solucionarla.

Los detalles de la vulnerabilidad aún se están investigando, pero se sabe que está relacionada con el análisis que se hace en la librería mshtml.dll de determinadas etiquetas, por el momento sólo para etiquetas XML, pero no se descarta que pueda haber más. También se ha comprobado que la vulnerabilidad sólo puede ser explotada si el usuario tiene habilitado JavaScript.

Actualmente todas las direcciones que se han encontrado que explotan esta vulnerabilidad pertenecen a dominios de China .cn y lo que hacen es descargar más programas maliciosos en el equipo.

Recomendamos a todos los usuarios que utilicen como navegador Internet Explorer que sigan estas recomendaciones para evitar verse afectados:

  • No seguir enlaces ni navegar por páginas poco confiables, especialmente si están ubicadas en China.
  • Tener deshabilitado JavaScript para las páginas que no se conozcan.

Leído en Alerta-Antivirus.

También hay otras alternativas (Firefox, Chrome, Flock, Opera, etc)

Actualización urgente a WP 2.6.3

Debido a una importante vulnerabilidad en la librería Snoopy, se recomienda una actualización de WordPress a la versión 2.6.3

Si aún no sabes como actualizar, te recomiendo este post de Helektron, que lo explica perfectamente, con estos pasos:

Pasos para actualizar nuestro WordPress (máxima seguridad)
Se recomienda leer todos los pasos antes de comenzar a actualizar.

1er Paso: Sacar un backup de tu base de datos (Users, Posts, Pages, Links, and Categories). Si no sabes cómo hacerlo, puedes leer este tutorial.

2do Paso: Sacar un backup de todos tus archivos WordPress. Para ello, puedes hacer uso de cualquier cliente FTP de tal manera que puedas copiar todos tus archivos desde el servidor hacia tu PC incluyendo tu archivo .htaccess.

3er Paso: Verificar que ambos backups hayan sido creados correctamente y estén completos. Esto es súmamente importante.

4to Paso: Desactivar todos los plugins desde su panel de administración ya que durante el proceso de actualización se podrían generar algunos conflictos, así que mejor es desactivarlos.

5to Paso: Verificar que los 4 pasos anteriores se han llevado a cabo con éxito. Cualquier problema consultar aquí.

6to Paso: Descarga y extrae el paquete de WordPress http://wordpress.org/download/

7mo Paso: Borrar los viejos archivos de WordPress, teniendo en cuenta lo siguiente:

NO BORRAR

  • El archivo Wp-config.php;
  • La carpeta wp-content; (excepto: wp-content/cache y wp-content/plugins/widgets);
  • La carpeta wp-images;
  • La carpeta wp-includes/languages/ si utilizas un archivo de idioma
  • El archivo .htaccess
  • El archivo robots.txt
  • SI BORRAR
    Todos los demás archivos que no sean los de arriba. Esto quiere decir:

  • Las demás carpetas wp-* y los archivos readme.html, wp.php, xmlrpc.php, y license.txt (recuerda! excepto los mencionadas arriba);
  • wp-content/cache;
  • wp-content/plugins/widgets;
  • wp-includes;
  • wp-admin;
  • 8avo Paso: Sube los nuevos archivos que descargaste en el paso 6 a la misma carpeta donde se encuentraba tu antiguo WordPress.

    9no Paso: Ejecuta el programa de actualización de WordPress escribiendo en tu browser lo siguiente: http://www.tudominio.com/wp-admin/upgrade.php y sigues las instrucciones que aparecen en pantalla.

    10mo Paso: Aprovecha aquí para activar los plugins necesarios (Panel de Administración->Plugins) y algún nuevo theme si lo deseas.
    Wordpress.org te brinda una lista de plugins compatibles para descargar desde aquí y una lista de themes o plantillas compatibles también que puedes descargar desde aquí.

    11avo Paso: Activar los plugins y seleccionar tu nuevo theme si es que descargaste y subiste varios. Eso es todo!

    Peligro con las DNS

    Hace unos días se supo que se había detectado un grave fallo en las DNS, y que muchos servidores eran vulnerables.

    Para saber si las DNS de tu equipo son del grupo de vulnerables, puedes chequearla desde aqui.

    Claro que te tienes que fiar de que si te dicen que la tuya es vulnerable, la que te dan no lo es 😉

    Infección masiva de páginas web

    INTECO alerta que en los últimos días se han detectado ataques masivos contra sitios web con el objetivo de manipular su funcionalidad y contenido. Una vez comprometidas, las paginas Web manipuladas redirigirán a sus visitantes a sitios web maliciosos expresamente diseñados para descargar e instalar todo tipo de códigos maliciosos en el ordenador que podrán permitir al atacante su control.

    INTECO alertó en anteriores ocasiones la existencia de este tipo de ataques para comprometer los sitios web. Se trata de ataques de tipo inyección SQL, aprovechando una errónea programación del código de las páginas en servidores WEB.

    Estos ataques masivos, que en esta ocasión particular aprovechan una vulnerabilidad provocada por una errónea programación del código ASP (Active Server Pages) en servidores IIS (Internet Information Server), están apoyados en herramientas automáticas con las que logran infectar gran número de sitios web en poco tiempo. El número total de páginas comprometidas a día de hoy ronda los 1’5 millones, aunque muchas de ellas ya han sido o están siendo corregidas.

    Recomendamos a todos los webmasters que tengan sus páginas ASP alojadas en servidores IIS comprobar, lo antes posible, si sus páginas web han podido verse afectadas. Un síntoma claro de la infección puede ser la existencia de código javascript externo desconocido y que apunte a alguno de los dominios indicados en el siguiente listado:

    PDF-Listado de los posibles dominios maliciosos-

    De cara a los usuarios de Internet, para evitar infecciones, INTECO aconseja seguir las recomendaciones básicas que siempre debemos adoptar para prevenir incidentes de seguridad:

    • Utilizar software de seguridad como antivirus, cortafuegos, antiespias, etc.
    • Tener actualizadas todas las aplicaciones de nuestro sistema, sobre todo sistema operativo y navegador, con los últimos parches de seguridad.
    • Utilizar por defecto cuentas limitadas de usuario -no de administrador- con lo que limitaremos en gran medida los efectos de una posible infección.

    Usuarios con conocimientos técnicos más avanzados pueden optar por deshabilitar el javascript en el navegador de manera temporal o instalar alguna extensión, como NoScript, que permita tener un control más exhaustivo sobre la ejecución de secuencias de comandos.

    Inteco está colaborando con los ISPs, Agentes Registradores del «.es» y otras entidades para minimizar el impacto y alcance del incidente.

    Actualizado: Microsoft confirma que es una vulnerabilidad que se aprovecha de una mala programación de código ASP, no es una vulnerabilidad propia del IIS. Los usuarios de IIS no tienen por qué verse afectados por la misma si bien deberán comprobar que no se les ha realizado una inyección de código malicioso en su sitio web.

    Múltiples vulnerabilidades en PHP 5.2.x

    Se han encontrado múltiples vulnerabilidades en PHP 5.2.x, algunas de ellas son de impacto desconocido y otras podrían ser explotadas por un atacante remoto para saltarse ciertas restricciones de seguridad.

    * Una vulnerabilidad está causada por un error en el manejo de variables y podría ser explotada por un atacante remoto para sobrescribir valores en httpd.conf por medio de la función ini_set().

    * La segunda vulnerabilidad está causada por un error al procesar archivos .htaccess y podría ser explotada por un atacante remoto para saltarse la directiva disable_functions si modifica la directiva php.ini mail.force_extra_parameters por medio de un archivo .htaccess.

    * Otra vulnerabilidad está causada por varios errores de límite en las funciones fnmatch(), setlocale(), y glob() que podrían ser explotados por un atacante remoto para provocar desbordamientos de búfer.

    * La última vulnerabilidad está causada por varios errores en las funciones htmlentities y htmlspecialchars que no aceptan secuencias multibyte parciales.

    Se recomienda a actualizar a la versión 5.2.5 disponible aqui:
    Via Hispasec 

    Ejecución de código a través de mfc42.dll y mfc42u.dll en Windows XP

    Se han publicado los detalles de una vulnerabilidad en librerías de Microsoft Windows XP que podría permitir a un atacante ejecutar código arbitrario. El fallo, en principio, puede ser aprovechado a través de otros programas (todavía desconocidos) que tengan acceso a las librerías.

    Investigadores de GoodFellas Security Research Team han hecho públicos los detalles de una vulnerabilidad en dos librerías del sistema, mfc42.dll y mfc42u.dll. En concreto, en ellas se puede encontrar la función FindFile de la clase CFileFind que sufre de un desbordamiento de memoria intermedia que podría permitir a un atacante inyectar y ejecutar código arbitrario si es capaz de aprovechar el fallo pasándole un argumento muy largo a la función.

    Para poder aprovechar la vulnerabilidad, el atacante debería utilizar programas que hagan uso de esas funciones y le envíen parámetros, es decir, se conviertan en vectores de ataque. Hasta ahora, se conoce que HP All-in-One Series Web Release versión 2.1.0 y HP Photo & Imaging Gallery versión 1.1 pueden permitir aprovechar el fallo. En realidad cualquier aplicación que use esa API y permita manipular el primer parámetro puede causar el desbordamiento y explotar el fallo.

    Según su descubridor, advirtió a Microsoft del problema el pasado 21 de junio. Sin respuesta satisfactoria, ha decidido hacer público su descubrimiento. Por ahora se sabe que las versiones de MFC42.dll 6.2.4131.0 y MFC42u.dll 6.2.8071.0 que se encuentra en un XP SP2 actualizado son vulnerables.

    Tratándose de librerías que son usadas habitualmente por aplicaciones, el impacto es cuando menos difuso debido a que aún no está claro cuántos programas “en el mercado” hacen uso de estas librerías y en concreto de esas funciones. En cualquier caso sería posible crear software específico que aprovechara el fallo. Los programadores que hagan uso de estas funciones en su código deben asegurarse de que se comprueba la longitud del parámetro afectado, puesto que la librería en sí no lo hace y es esta la causa del problema.

    El control ActiveX hpqutil.dll versión 2.0.0.138 resulta por ahora vector de ataque seguro. Para ellos se puede activar el kill bit, que evita que Internet Explorer tenga acceso a la librería. Su ClassID es F3F381A3-4795-41FF-8190-7AA2A8102F85. O mejor aún, usar las zonas de Internet para que cualquier página no confiable no sea capaz de hace uso de ActiveX.

    Via Hispasec

    Vulnerabilidad en Microsoft Windows

    c9803.jpg

    Leo en Hispasec lo siguiente:

    Existe un problema de validación de entrada en las librerías DirectX de Microsoft que podrían permitir a un atacante ejecutar código arbitrario en el sistema víctima. Aunque el problema ha sido solucionado, Microsoft no ha publicado boletín de seguridad al respecto.

    DirectX es una colección de APIs creadas para facilitar tareas relacionadas con la programación de juegos en Windows. El kit de desarrollo de DirectX (SDK) y el EndUser Runtime se distribuyen gratuitamente por Microsoft y también adjunto a muchos programas que lo utilizan.

    El fallo se da en la forma en la que se abren formatos de imagen Targa comprimidos con RLE (run-length encoding). No se comprueba si se ha sobrepasado el límite del búfer reservado para datos como la anchura, altura y profundidad de color, almacenados en la imagen. Si la codificación especifica más datos de los que han sido reservados, ocurre un desbordamiento de heap.

    Las librerías DirectX SDK de Microsoft de febrero de 2006 son vulnerables, también DirectX End User Runtime de febrero de 2006 y DirectX 9.0c End User Runtime y anteriores.

    El fallo fue notificado a Microsoft en agosto de 2006. El investigador español Rubén Santamarta lo ha reportado a iDefense a través del programa Vulnerability Contributor Program. DirectX no sufría de un problema de seguridad de gravedad similar desde julio de 2003.

    El fallo ha sido corregido en la versión de junio de 2007 de SDK y End User Runtime, descargable desde aqui.

    DirectX Software Development Kit

    Cabe preguntarse que si lo sabían desde hace casi un año, ¿como es que lo arreglan ahora?, ¿a que se debe tanto retraso?

    Tres importantes vulnerabilidades en PHP 5.x

    Leo en Hispasec:

    Se han descubierto tres vulnerabilidades en php que podrían ser aprovechadas por un atacante para eludir restricciones de seguridad, causar denegaciones de servicio o ejecutar código arbitrario.

    * Un desbordamiento de entero en la función chunk_split que podría ser aprovechado por un atacante para comprometer un sistema vulnerable.

    * Un bucle infinito en la función imagecreatefrompng que podría ser aprovechado por un atacante para causar una denegación de servicio.

    *Un error en la función realpath que podría ser aprovechado por un atacante para eludir las restricciones open_basedir y safe_mode.

    Estas vulnerabilidades afectan a la versión 5.2.2 y anteriores.

    Se recomienda actualizar a la versión 5.2.3 disponible para su descarga desde aqui

    Varias vulneralidades en Samba 3.x

    Leo en Hispasec esta noticia:

    Se han descubierto varias vulnerabilidades en Samba. Que podrían ser aprovechadas por un atacante para obtener una escalada de privilegios, o para comprometer un sistema vulnerable.

    Samba es una implementación Unix «Open Source» del protocolo SMB/NetBIOS, utilizada para la compartición de archivos e impresora en entornos Windows. Gracias a este programa, se puede lograr que máquinas Unix y Windows convivan amigablemente en una red local, compartiendo recursos comunes. Incluso es factible utilizar un servidor Samba para, por ejemplo, actuar como controlador de un dominio Microsoft Windows.

    * Un error en smbd a la hora de traducir los SID podría permitir a un atacante realizar operaciones en el protocolo SMB/CIFS con privilegios de root. Para ello el atacante debería tener las credenciales de un usuario.

    * Varios errores en el análisis ndr. Un atacante podría aprovechar esto para causar un desbordamiento de heap a través de peticiones ms-rpc especialmente manipuladas y conseguir ejecutar código arbitrario. Para que el ataque tuviese éxito, el atacante debería tener las credenciales de un usuario.

    * Un error de entrada al actualizar la contraseña de un usuario. Un atacante podría aprovechar este error para ejecutar comandos shell arbitrarios a través de una llamada ms-rpc especialmente manipulada.
    Para que un atacante pudiera aprovechar esto la opción username map script debería estar habilitada en smb.conf, y para que pudiera aprovecharlo a través de un servidor de impresión y archivos, el atacante debería tener las credenciales de un usuario.

    Estos errores se han solventado en la versión 3.0.25. Se recomienda actualizar a esta versión disponible desde aqui
    http://us1.samba.org/samba/download/ Se han descubierto varias vulnerabilidades en Samba. Que podrían ser aprovechadas por un atacante para obtener una escalada de privilegios, o para comprometer un sistema vulnerable.

    Samba es una implementación Unix «Open Source» del protocolo SMB/NetBIOS, utilizada para la compartición de archivos e impresora en entornos Windows. Gracias a este programa, se puede lograr que máquinas Unix y Windows convivan amigablemente en una red local, compartiendo recursos comunes. Incluso es factible utilizar un servidor Samba para, por ejemplo, actuar como controlador de un dominio Microsoft Windows.

    * Un error en smbd a la hora de traducir los SID podría permitir a un atacante realizar operaciones en el protocolo SMB/CIFS con privilegios de root. Para ello el atacante debería tener las credenciales de un usuario.

    * Varios errores en el análisis ndr. Un atacante podría aprovechar esto para causar un desbordamiento de heap a través de peticiones ms-rpc especialmente manipuladas y conseguir ejecutar código arbitrario. Para que el ataque tuviese éxito, el atacante debería tener las credenciales de un usuario.

    * Un error de entrada al actualizar la contraseña de un usuario. Un atacante podría aprovechar este error para ejecutar comandos shell arbitrarios a través de una llamada ms-rpc especialmente manipulada.
    Para que un atacante pudiera aprovechar esto la opción username map script debería estar habilitada en smb.conf, y para que pudiera aprovecharlo a través de un servidor de impresión y archivos, el atacante debería tener las credenciales de un usuario.

    Estos errores se han solventado en la versión 3.0.25. Se recomienda actualizar a esta versión disponible desde aqui

    Más información:

    Samba SAMR Change Password Remote Command Injection Vulnerability

    CVE-2007-2444: Local SID/Name translation bug can result in user privilege elevation

    CVE-2007-2446: Multiple Heap Overflows Allow Remote Code Execution


    CVE-2007-2447: Remote Command Injection Vulnerability