El troyano URLZone desarrolla técnicas “anti-mulas”

En el mundo del malware, las mulas son las personas que se dedican a realizar el trabajo sucio: mover el dinero desde la cuenta bancaria víctima hacia la suya, y de ahí a través de traspaso de dinero en efectivo, el dinero viaja a los verdaderos atacantes (cerebros de la
operación) mientras ellos se quedan con un pequeño porcentaje y corren todo el riesgo. URLZone ha desarrollado un método para evitar que los investigadores atrapen a estas mulas, y pasar así todavía más
desapercibidos: Usan cuentas de mulas reales durante su comportamiento “habitual”, pero, si notan que están siendo monitorizados, engañan automáticamente a los investigadores realizando transacciones legítimas a cuentas de conocidos de las víctimas que, lógicamente, en realidad no son mulas.

El llamado URLZone está siendo muy especial, por lo innovador de algunas técnicas con las que se protege. Hace algunos días nos llamaba la atención que el troyano fuese capaz de recordar el balance anterior de su víctima, y falsearlo en la cuenta una vez ha sido robado. Así, el usuario no percibe que está siendo víctima de fraude. No puede detectar la falta de dinero en su cuenta a menos que analice un extracto por algún otro medio que no sea su propio ordenador troyanizado, o le sea devuelto algún recibo.

URLZone es una evolución de la familia de los Silentbankers que, como característica principal, realiza las transacciones de forma automática.
Habitualmente las contraseñas robadas va a parar a manos de los atacantes y las transacciones ilegítimas son realizadas “a mano” desde otro ordenador. Con URLZone, las transacciones a muleros se hacen de forma automática desde el ordenador de la víctima sin que este lo sepa, lo que complica por ejemplo el demostrar jurídicamente que no ha sido la víctima la que ha realizado la transacción.

Como la mayoría de las empresas que estudiamos malware, RSA FraudAction Research Lab ejecuta en un entorno lo más real posible un troyano, y estudia su comportamiento. Observaron que en su laboratorio, como es habitual, el troyano realiza transacciones de forma automática. Pero, y aquí está lo relevante, comprobaron que las cuentas a las que se hacían transferencias eran cuentas de personas reales, conocidas o no, pero siempre a las que el usuario víctima ya habían realizado transacciones previamente. Esto quiere decir que, cuando el troyano se sabe “monitorizado”, no usa las cuentas de muleros sino que almacena en una base de datos (probablemente junto con el balance anterior de la
víctima) cuentas habitualmente utilizadas por el usuario para realizar transferencias “falsas” cuando le vigilan.

Cuando URLZone detecta que no está en su botnet “legítima”, o sea, la red de sistemas infectados que reciben órdenes de uno o varios sistemas centrales, modifica su comportamiento para eludir a los investigadores.
Si es instalado en un laboratorio, y la red central no “conoce” a ese sistema, simulará un comportamiento extraño, en el que toda persona que haya recibido dinero de la cuenta de la víctima, parecerá que es el mulero de turno. De paso, ocultan así las cuentas de los muleros reales, y perseguir el dinero se convierte en una tarea todavía más compleja.

Todo esto se controla desde el servidor central. Tiene un protocolo especial de comunicación con las víctimas y si, por cualquier razón, sospecha que uno de los sistemas infectados no es una víctima real, sino que ha sido infectado en un sistema de laboratorio, en vez de desconectar o no hacer nada (así actúan la mayoría de troyanos hoy día), busca en su base de datos de conocimiento de la víctima y simula transacciones que no harán más que confundir a los investigadores, bancos, víctimas y sobre todo, a las personas que recibirán dinero sin haberlo pedido y serán acusados de mulas ocasionales.

Sin duda, una inteligente vuelta de tuerca más en el mundo del fraude online.

Fuente:Noticias Hispasec

Read More

Nueva versión de Apache Lucene

Existen varios errores en Apache Lucene Java que pueden provocar distintas denegaciones de servicio. Lucene es un API de código abierto para recuperación de información, originalmente implementada en Java aunque también existe en otros lenguajes como Delphi, Perl, C#, C++, Python, Ruby y PHP.

El centro de la arquitectura lógica de Lucene se encuentra el concepto de Documento (Document) que contiene Campos (Fields) de texto. Esta flexibilidad permite a Lucene ser independiente del formato del fichero.

Es útil para cualquier aplicación que requiera indexado y búsqueda a texto completo. Se distribuye bajo la Apache Software License.

Entre los fallos, destacamos:

LUCENE-1611: Existe un error en función IndexWriter que provoca una denegación de servicio por consumo de disco.

LUCENE-1658: Existe un error en la clase MMapDirectory que puede provocar un desbordamiento de buffer. Este error está causado por un bug de Sun.

LUCENE-1681: Un error en las funciones getMinValue, getMaxValue, getAverageValue de cálculo de estadísticas produce un bucle infinito a causa de no incrementar una de las variables internas.

LUCENE-1899: Debido a un error en la asignación de espacio se produce un consumo excesivo de CPU que podría causar una denegación de servicio.

Fuente:Noticias Hispasec

Read More

Vulnerabilidad en el FTP de Microsoft IIS 5 permite ejecución de código

Kingcope (quién también descubrió el reciente fallo Webdav en IIS) ha publicado (sin previo aviso al fabricante) un exploit funcional que permite a un atacante ejecutar código con permisos de SYSTEM en un servidor IIS 5.x (Internet Information Services) siempre que tenga el FTP habilitado y accesible. En la versión 6.x, el exploit sólo permite provocar una denegación de servicio.

Microsoft engloba dentro del “paquete” IIS, entre otros, al conocido servidor web IIS y un servidor FTP que no se instala por defecto en ningún caso. La versión 5.x de IIS se encuentra sólo en servidores Windows 2000. Windows 2003 venía con IIS 6.x y Windows 2008 con la rama 7.x. Estrictamente hablando, no se trata de un 0 day, puesto que el fallo no ha sido detectado en ataques reales a sistemas. No se tiene constancia de que esté siendo aprovechado para vulnerar servidores.

El problema es grave, puesto que permite a cualquier usuario con permisos de escritura en el FTP ejecutar código en el sistema con los máximos privilegios. Básicamente, si el atacante puede hacer un MKDIR por FTP (crear un directorio), el servidor completo podría quedar comprometido si se trata de un IIS 5.x y provocar que deje de responder si es un IIS 6.x. El fallo reside en un desbordamiento de memoria intermedia en el comando NLST del servidor FTP.

El exploit publicado por Kingcope (muy sencillo de usar) crea un usuario con privilegios de administrador, pero offensive-security.com lo ha mejorado para que enlace una consola a un puerto y poder así acceder más fácilmente al servidor comprometido. No era trivial puesto que por la naturaleza del fallo, el espacio para inyectar el shellcode (código máquina que contiene las instrucciones que el atacante ejecuta gracias a la vulnerabilidad) no es demasiado extenso (unos 500 bytes).

Se recomienda a los administradores de servidores Windows con IIS y el servidor FTP habilitado, que eliminen los permisos de escritura a todos lo usuarios que tengan acceso a él. El problema se agrava si el servidor permite escribir a usuarios anónimos. Ya existe un script de nmap que permite buscar servidores con estas características. Microsoft ha reconocido la vulnerabilidad pero aún no ha publicado ninguna nota oficial al respecto.

Fuente:Noticias Hispasec

Read More

Vulnerabilidades de denegación de servicio en Cisco IOS XR

Cisco ha confirmado la existencia de tres vulnerabilidades de denegación de servicio en el software Cisco IOS XR cuando manejan determinadas actualizaciones BGP (Border Gateway Protocol).

El primero de los problemas reside en un error al procesar mensajes de actualización BGP no válidos lo que provocaría un reinicio de la sesión.

Esto podría ser aprovechado por un atacante remoto para causar un ataque de denegación de servicio a través de el envío continuado de mensaje BGP especialmente manipulados.

La segunda vulnerabilidad consiste en una caída del proceso BGP cuando Cisco IOS XR envía un paquete de actualización BGP de gran tamaño.

Por último el proceso BGP se detendrá cuando se construye una actualización BGP con un gran número de Sistemas Autónomos (Autonomous System, AS) al comienzo de la ruta AS.

En todos los casos las vulnerabilidades solo afectan a dispositivos Cisco IOS XR configurados para enrutamiento BGP.

Cisco, ha puesto a disposición de sus clientes software para solucionar el problema. Se encuentran disponibles desde:

http://www.cisco.com/public/sw-center/sw-usingswc.shtml

Dada la gran diversidad de versiones del software existentes, se aconseja consultar la tabla de versiones vulnerables y contramedidas en:

http://www.cisco.com/warp/public/707/cisco-sa-20090818-bgp.shtml

Fuente:Noticias Hispasec

Read More

Fallo de seguridad en WordPress permite bloquear el acceso al administrador

Se ha detectado un problema de seguridad en WordPress que permite a un atacante bloquear el acceso al administrador a través de una simple llamada a un parámetro. Afecta a WordPress con versiones menor o igual a 2.8.3. La rama 2.7.x no se ve afectada.

WordPress es un sistema de gestión de blogs, que opera en lenguaje PHP y con soporte de base de datos MySQL, y ofrecido a la comunidad bajo licencia GPL. WordPress es uno de los gestores de blogs más extendido en la blogosfera.

El fallo permite en la práctica bloquear el acceso a un administrador de Wordpres, debido a una falta de comprobación en el código y aprovechando la funcionalidad de confirmación de cambio de contraseña. En estos momentos, http://wordpress.org/ permite ya la descarga de la versión

2.8.4 que no es vulnerable. La versión 2.8.3 apareció hace apenas una semana precisamente para corregir varios fallos de seguridad.

El parche aplicado añade una simple comprobación. En wp-login.php:

if ( empty( $key ) )

pasa a:

if ( empty( $key ) || is_array( $key ) )

El problema era que si el atacante realizaba el ataque, se podría eludir la comprobación de cambio de contraseña que se envía por email cuando se solicita. Así, se podría enviar una contraseña nueva al correo de la primera cuenta de la base de datos (que suele ser la de administrador) sin necesidad de que el propio administrador confirmara el cambio. Por tanto, se bloquearía temporalmente el acceso al administrador hasta que comprobase la nueva contraseña en su correo. Si el ataque se repite en bucle, el bloqueo podría ser más o menos permanente.

Fuente:Noticias Hispasec

Read More

Vulnerabilidad de elevación de privilegios en IBM AIX

IBM ha confirmado la existencia de una vulnerabilidad en AIX 5.3 y 6.1 que soluciona un fallo que podría permitir a un atacante local elevar sus privilegios en los sistemas afectados.

El problema reside en el tratamiento de las variables de entorno _LIB_INIT_DBG y _LIB_INIT_DBG_FILE en un componente de depuración de la librería XL C++ runtime. Esto podría permitir a un atacante local elevar sus privilegios mediante la ejecución de programas enlazados con la librería XL C++ runtime que tengan el bit setuid activo.

Las actualizaciones publicadas están disponibles desde:

http://aix.software.ibm.com/aix/efixes/security/libc_fix.tar

Fuente:Noticias Hispasec

Read More

Elevación de privilegios en el kernel Linux 2.6.x

Se ha encontrado una vulnerabilidad en el kernel de Linux 2.6 que podría permitir a un atacante local elevar sus privilegios en los sistemas afectados.

El fallo se debe a un error a la hora de manejar el parámetro clock id con valor CLOCK_MONOTONIC_RAW en la función “clock_nanosleep” de kernel/posix-timers.c que puede provocar una referencia a puntero nulo.

Esto podría permitir a un atacante provocar una denegación de servicio y potencialmente elevar privilegios.

Se ha publicado una corrección en forma de código disponible en:

http://git.kernel.org/linus/70d715fd0597f18528f389b5ac59102263067744

Fuente: Noticias Hispasec

Read More

Actualización de seguridad para Apple Mac OS X v10.5.8

Apple ha lanzado recientemente una nueva actualización de seguridad para su sistema operativo Mac OS X que solventa 18 vulnerabilidades que podrían ser aprovechadas por un atacante local o remoto con diversos efectos.

Esta es la tercera gran actualización del año (con el código 2009-003/Mac OS X v 10.5.8). Los componentes y software afectados son:

bzip2, CFNetwork, ColorSync, CoreTypes, Dock, Image RAW, ImageIO, Kernel, launchd, login Window, MobileMe, Networking y XQuery.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:http://support.apple.com/downloads/

Fuente:Noticias Hispasec

Read More

Ejecución remota de código a través de libtiff en Solaris

Sun ha anunciado la existencia de diversas vulnerabilidades en LibTIFF de Sun Solaris 8, 9, 10 y OpenSolaris que pueden ser aprovechadas por atacantes para lograr la ejecución de código arbitrario.

La librería LibTIFF usada para leer y escribir imágenes en formato tiff se utiliza habitualmente en sistemas UNIX. Múltiples programas tanto de escritorio como en servidores web hacen uso de ella para permitir el tratamiento de este tipo de imágenes, de ahí el riesgo que generan estas vulnerabilidades.

Existen errores de desbordamiento de memoria intermedia en las funciones “LZWDecode”, “LZWDecodeCompat” y “LZWDecodeVector” de “tif_lzw.c” al decodificar datos comprimidos con LZW. Un atacante remoto podría ejecutar código arbitrario a través de un archivo TIFF especialmente manipulado.

Sun ha publicado las siguientes actualizaciones para corregir este

problema:

Para plataforma SPARC:

Solaris 10 aplicar parche 119900-07 o superior:

http://sunsolve.sun.com/pdownload.do?target=119900-07&method=h

OpenSolaris compilación snv_99 o posterior.

Para plataforma x86:

Solaris 10 aplicar parche 119901-07 o superior:

http://sunsolve.sun.com/pdownload.do?target=119901-07&method=h

OpenSolaris compilación snv_99 o posterior.

Está pendiente la publicación de parches para Solaris 8 y Solaris 9.

Fuente:Noticias Hispasec

Read More

Microsoft publicará seis boletines de seguridad el próximo martes

En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan seis boletines de seguridad. Tres de las actualizaciones afectan a Windows en general, una a Publisher, una a ISA Server y otra Virtual PC (Server). Parece que corregirá los dos “0 days” activos que mantiene.

Si en junio se publicaron doce boletines que parchearon hasta 31 vulnerabilidades diferentes, este mes Microsoft prevé publicar seis actualizaciones el martes 14 de julio. Tres boletines son críticos, y el resto importantes. De los tres boletines dedicados a Windows, las versiones de XP se llevan la peor parte, pues se ven afectados por todos. Vista y 2008, sin embargo, solo se ven afectados por uno de estos boletines.

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool.

Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

La buena noticia es que en que se confirma que en esta tanda se solucionará la vulnerabilidad CVE-2009-1537, un problema de ejecución de código en DirectShow que Microsoft reconoció a finales de mayo. Sobre la otra vulnerabilidad que está siendo aprovechada por atacantes,

CVE-2008-0015 (“0 day” destapado hace unos días) Microsoft dice que “nuestros ingenieros han trabajado las 24 horas del día para producir una actualización” y “creen que estará lista con la calidad apropiada”

para el martes. Teniendo en cuenta que conocían la vulnerabilidad desde la primavera de 2008, da la impresión de que realmente han realizado en unos días (desde que se hizo pública) el esfuerzo de todo un año.

Microsoft ha reconocido que mientras “estudiaba a fondo” la vulnerabilidad, los atacantes lo descubrieron de forma paralela y comenzaron a explotarla. Son los riesgos de investigar durante más de un año la solución de un desbordamiento de memoria intermedia sin que interfiera en otros elementos del sistema operativo. Es demasiado tiempo, una ventana de riesgo excesivamente amplia. Existen investigadores a tiempo completo, dedicados a la creación de malware, que descubrirán el fallo tarde o temprano. Cuanto más tiempo pase, más posibilidades de que lo hagan. ¿Cuántas vulnerabilidades están siendo aprovechadas sin que lo detectemos mientras estudian una solución? Este problema puede ocurrir con cualquier pieza de software, pero con este incidente Microsoft ha dado a entender que mientras no salten a la luz, la espera puede alargarse considerablemente y no se sienten tan presionados como para solucionarlos lo antes posible, o no les imprimen la prioridad que los problemas se merecen. Si la excusa para el letargo es que “existen otros problemas de seguridad más urgentes que atender”, el consuelo es mínimo.

Los parches anunciados están sujetos a cambios, en cualquier caso, con lo que no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Fuente:Noticias Hispasec

Read More