29 de septiembre de 2006

Nuevas vulnerabilidades en Internet Explorer y PowerPoint

Coincidencia o no, apenas unas horas después de que Microsoft publicarasu parche oficial que corrige la vulnerabilidad VML, ha aparecido unanueva forma de ejecutar código arbitrario de forma inadvertida para elusuario de Internet Explorer. Por si fuera poco, simultáneamenteMicrosoft ha confirmado una grave vulnerabilidad en PowerPoint.

En julio de 2006, HD Moore se propuso hacer pública una vulnerabilidadcada día que afectase a navegadores. Debido a su partición en elproyecto Metasploit, dice poseer una amplia colección de errores, ybautizó a ese mes como el de los bugs en navegadores. Eligió y publicóuna muestra cada uno de sus 31 días. Aunque no se centró en InternetExplorer, sí que es cierto que la mayoría le afectaban. Muchos no eranmás que "simples" formas de hacer que el navegador mordiese el polvo(dejase de responder o acaparase todos los recursos), pero otros quedaron como posibles métodos de ejecución de código.

El día 17 de julio publicó un fallo relacionado con el método setSlice()del navegador que fue calificado en un principio como denegación deservicio. Sin embargo, el día 27 de septiembre aparece una forma deaprovecharlo para ejecutar código. No deja de ser más que destacable la"casualidad" de que surja un nuevo agujero de seguridad en InternetExplorer horas después de que oficialmente se cierre otro. Hace ya mesesque Microsoft no hace más que sofocar fuegos (más o menos a tiempo,siempre discutible) para que se prenda otra llama que permita nuevosataques. Parece como si los atacantes esperasen pacientemente a que secorrija una vulnerabilidad, aprovechándola al máximo, para echar mano deotra y volver a infectar sistemas.

También como "casualidad" (por la coincidencia en el tiempo), Microsoftha publicado un aviso de seguridad oficial en el que afirma que existeuna vulnerabilidad en PowerPoint (en todas sus versiones, incluso paraMac) que permite la ejecución de código arbitrario. Este fallo se estáaprovechado activamente para la instalación de malware. Despuésde algunos errores cometidos por casas antivirus, en los que secalificaba como "0 day" vulnerabilidades con cierta solera, esta vezparece que sí, que el peligro es real y no existe parche.

En realidad, no existe parche oficial para ninguna de estasvulnerabilidades. Para Internet Explorer, se recomienda desactivar laejecución de componentes ActiveX en el navegador, si es posible usaralternativas (cada vez más necesario) o utilizar la aplicación conmínimos privilegios. Para PowerPoint, igualmente cabe la posibilidad deusar alternativas (OpenOffice.org se presenta como perfecta candidata),la edición Viewer de PowerPoint para abrir documentos no solicitados osospechosos o también protegerlo con mínimos privilegios. En ambos casossiempre es necesario mantener un sistema antivirus actualizado.

En estos momentos, para Microsoft existen cuatro vulnerabilidades más o menos recientes y que permiten ejecutar código (y además se estáhaciendo). Una en Word (conocida públicamente desde el día 5 deseptiembre), dos en Internet Explorer (una desde el 13 de septiembre y la que acabamos de describir) y otra en PowerPoint (también reciéndescubierta).

Con esta tendencia, Microsoft se enfrenta a un grave problema y todavíale queda un duro trabajo por hacer. Los usuarios finales yadministradores sufren las consecuencias, y debe ser más que complejo yagotador el poder llevar la cuenta de las aplicaciones vulnerables, lascontramedidas efectivas y los fallos corregidos. Sin duda ellos sellevan la peor parte.

Más información:

MoBB #18: WebViewFolderIcon setSlice

Vulnerability in PowerPoint Could Allow Remote Code Execution

19/09/2006 Contramedidas prácticas para las últimas vulnerabilidades deMicrosoft

Sergio de los Santos ssantos@hispasec.com

28 de septiembre de 2006

El precio de VERIZON DOMINICANA

En estos últimos días, hemos visto la tremenda campaña publicitaria que tiene VERIZON DOMINICANA para promover su grandiosa y tan esperada por los usuarios “facturación al segundo” y todos se preguntaran ¿por que lo pongo entre comillas si realmente se factura al segundo? Lo que pasa es que el gracioso segundo que te facturan es a RD$0.18 lo que significa que el nuevo precio del minuto es de RD$10.80, no se realmente si es que a esta gente no les interesa el mercado local o es que ellos creen que a nosotros nos gusta lo mas caro, pero definitivamente que esto es algo incomprensible.

Analicemos bien las cosas antes de caer en nuevos ganchos propagandísticos.

26 de septiembre de 2006

Carta de un Ing. Electricista residente en los estados unidos

Queridos todos:

Paso por la terrible pena de informarles, algo que vine a descubrir en los Estados Unidos, pero que tiene que ver con mi País, la Republica Dominicana. Me refiero a lo siguiente:

Cuando me mudé a mi nueva morada, en la ciudad de North Providence, Rhode Island, esta residencia tiene una piscina con un motor de 1 H.P .., 3 habitaciones cada una con su aire acondicionado, 2 y medio baños, una cocina con estufa eléctrica de 12 kilowatts, lavadora y secadora eléctrica, mas toda la iluminación y cada área con abanicos de techos. En otras palabras, esta casa tiene una carga eléctrica conectada mucho mayor que donde yo vivía en Coplan II, Arroyo Hondo. En aquella casa de Santo Domingo, yo tenía instalado, en cada habitación, aires del tipo "Split", que son mucho mas eficientes que los 4 aires de ventana que hay donde vivo actualmente en Providence. Siempre mis lecturas del contador correspondían con la de la facturación mensual, es decir no me hacían trampa con la lectura.

Agárrense ahora:

Cuando me mudé a la residencia que alquilé, lei el contador a mi llegada y la lectura era: 53,928 kilowatts, acumulados. Esta mañana tomé la lectura del contador, pues llevo hoy un mes viviendo en la referida casa, y es: 54,283 Kilowatts. Lo que debo pagar es la diferencia de la lectura actual menos la lectura que había cuando me acababa de mudar.

El resultado: 54,283 KW - 53,928KW= 355 KW, que he consumido durante el mes que acaba de transcurrir.

Tengo que decir que mis hijos prenden sus aires acondicionados, a las 10;30 P.M. y los apagan a las 11;00 AM del otro día, y el aire del área social está prendido desde la mañana hasta que nos vamos a la cama, en la noche.

Cuando vivía en Santo Domingo y prendía los 3 aires Split, a las 11:00PM y los apagaba a las 6:00 AM, los Kilos que consumía oscilaban entre 1560 KW a1620 KW por mes. Allá las únicas cargas considerables eran: los 3 aires acondicionados y la bomba de agua, de 1 H.P., el calentador era solar, la secadora de ropa era de gas, la lavadora era eléctrica, pero no se prendía con la constancia que la usamos aquí en Providence.

Fíjense que en ningún momento he hablado de precio de la energía, porque aquí es mucho más barata: se paga alrededor de 10 centavos de dólar el kilowatt. Lo que quiero es llamar la atención a la energía consumida. Yo viviendo aquí, con más carga instalada, consumo menos energía que la que consumía en Santo Domingo, con menos carga instalada. Estamos hablando de alrededor de 5 veces menos consumo aquí que allá. La única razón para que esto pase es: los contadores tienen que estar arreglados para que giren más rápidos que los de Estados Unidos. Conste, que la marca de los contadores, usados aquí, son iguales a los que se usan en la Republica Dominicana.

Con esta estafa nadie en nuestro país puede echar para delante, mucho menos los industriales podrán competir en el libre mercado extranjero. Sería interesante que los que cobran la energía en mi país me respondieran esta barbaridad. Como es posible que teniendo más carga instalada yo consuma menos que cuando tenía una pequeña carga instalada en mi casa de Arroyo Hondo.
Hagan circular este mensaje para que mis compatriotas por lo menos se enteren de que los engañan de una manera vil.

Que Dios los coja confesados, pues por el camino que vamos no hay muchas esperanzas...

Felton Messina J.
Ing. Electricista.

25 de septiembre de 2006

El pais definido por PEPITO, una realidad

Estaba en la escuela Pepito, cuando el maestro de Civismo les encarga un trabajo...

"Niños la tarea sera investigar como esta constituido nuestro pais. Diganle a sus padres que los ayuden."

Al llegar a su casa Pepito empezo a preguntar:

"Papa, ¿como esta constituido nuestro pais?"

"Ay, que preguntas me haces hijito; te voy a contestar con un ejemplo:
Anota:

-Yo soy el gobierno porque aqui en la casa mando YO.
-Tu mama es la Ley porque hace imponer el orden en la casa.
-Tu abuela es la prensa, porque siempre esta al tanto de los mitotes de la casa.
- La criada es el pueblo, porque es la trabajadora de la casa.
- Tu eres la juventud de hoy...
- y tu hermanito la esperanza del pais.

A media noche, Pepito se levanto a hacer pipi, cuando descubre a su papa con la criada, corre al cuarto de su mami y la encuentra dormida, va con su abuelita y la encuentra distraida con el tejido, regresa a su cuarto y encuentra a su hermanito todo embarrado de popo.

Entonces exclama con asombro:

"¡Ah, ya entendi bien! El gobierno jodiendose al pueblo, la ley dormida, la prensa haciendose pendeja, la juventud de hoy desorientada y la esperanza del pais... ¡¡¡Hecha mierda!!!"

22 de septiembre de 2006

Post de DelGoTo…

De esta noticia Espacio donado...(de nada) que publica nuestro colega Gabriel hay mucho de que hablar y muchos problemas de que opinar, porque uno nunca sabe a ciencia cierta que noticia creer; si recordamos quienes eran las autoridades bancarias al momento del desplome de los bancos (que ya tenían 2 años observando el problema) y quienes eran los anteriores (que dejaron pasar todo el problema y son los actuales) y nos damos cuenta que ninguno esta dentro de los acusados, creo que podemos decir que todo esto de los juicios es una farsa.

Para el buen entendedor pocas palabras…

PD: estaré opinando mas sobre el tema pronto.
Necesito ayuda

Señores, blogueros y/o blogueadores, por favor no sean malos y demen par de trucos y tips de cosas para el blog; por ejemplo no se como ponerle un link a un post mio y cosas asi... espero los comments
"El metro de Santo Domingo"

Una pregunta sobre este tema tan controversial, ¿es la empresa MALESPIN (una de las empresas que tiene a su cargo parte de las construcciones del metro) la misma MALESPIN que estafo al estado con la construccion de la Ave. Jacobo Majluta?
El misterioso caso del "0 day" que nunca llegó a ser

El día 19 de septiembre Symantec anunció una nueva vulnerabilidad desconocida en PowerPoint que permitía la ejecución de código arbitrario y que estaba siendo activamente aprovechada. Ante la avalancha de este tipo de noticias que últimamente azotan a Microsoft, todo apuntaba a que sería un nuevo "0 day", vulnerabilidad sin parche explotada de forma masiva. En esta ocasión las alarmas sonaron de forma precipitada, y sobre todo, antes de un buen análisis del problema.

Symantec anunció que había detectado un nuevo malware, bautizado como Trojan.PPDropper.E que se escondía en archivos PowerPoint e infectaba al que abriese el documento con una versión (en principio se habló de sólo la versión china) vulnerable de Microsoft PowerPoint. Su error fue dar por sentado de que el código aprovechaba una vulnerabilidad no documentada hasta ese momento, para la que no existía parche, y que por lo tanto, todas las versiones de PowerPoint hasta el momento suponían un potencial riesgo.

Varios medios, especializados o no, replicaron automáticamente la noticia del fallo y catalogaron el problema de nuevo "0 day", quizás precipitadamente y sin la confirmación y comprobaciones adecuadas.Parecía oficial, sonaron todas las alarmas, y junto a la (esta vez cierta y verdadera) última vulnerabilidad "0 day" en el componente VML de Internet Explorer que apareció ese mismo día, se predecía una semana negra para los productos de Microsoft.

Pero no. Todo era un incomprensible error de Symantec a la hora de analizar el código que tenía entre manos. Microsoft, tras ser alertada y analizar el problema, ha confirmado oficialmente que no es una nuevavulnerabilidad, sino una ya descubierta y parcheada en marzo de 2006. En concreto, la descrita en el boletín de seguridad MS06-012. Los que tengan instalado ese parche, están protegidos contra este efímero "0day" que nunca llegó a ser.

Tras el anuncio oficial de Microsoft, los medios se retractan, rectifican y actualizan sus alertas, advirtiendo que no hubo más que sensacionalismo y falta de rigor donde debió existir una comedida noticia de seguridad. Algunos, incluso, esconden los enlaces que hacían referencia al fallo bajo la alfombra y ya no son accesibles.

Cabe preguntarse cómo Symantec puede concluir que un fallo así se trata de un problema nuevo, cuando una comprobación en un sistema que ya estuviese actualizado con el boletín MS06-012 hubiese dado una respuesta rápida y concluyente. Un sistema totalmente parcheado sería inmune en las pruebas, y dejaría claro que el problema no es nuevo. Resulta incompresible un despiste de este tipo. Sin embargo no ha sido la única casa antivirus que ha errado en su diagnóstico.

TrendMicro informó el día 19 agosto de un supuesto nuevo tipo de malware que aprovechaba una vulnerabilidad nueva para la que no existía solución. Microsoft desmintió al poco tiempo que se tratara de un nuevo fallo, además de lamentar la actitud de la empresa antivirus por hablar de vulnerabilidades sin ponerse previamente de acuerdo con ellos. Un caso extrañamente similar.

Es posible que, a falta de la eclosión vírica esporádica que sufrían los sistemas Windows cada cierto tiempo, y que ponía a las casas antivirus en portada de todos los medios, estén buscando notoriedad de alguna forma precipitada.

En definitiva, con más o menos vulnerabilidades "0 day", la vida sigue igual y los usuarios en general pueden aprender que hasta los más profesionales se equivocan, y los de Windows en particular preocuparsepor otras vulnerabilidades reales y no parcheadas que a día de hoy existen, tal y como describíamos en el boletín de ayer.

Más información:

Contramedidas prácticas para las últimas vulnerabilidades de Microsoft
http://www.hispasec.com/unaaldia/2887

Trojan.PPDropper.E
http://www.symantec.com/enterprise/security_response/writeup.jsp?docid=2006-091810028-99&tabid=2

Exploit for vulnerability in Chinese version of Microsoft PowerPoint
http://www.symantec.com/enterprise/security_response/weblog/2006/09/exploit_for_unpatched_vulnerab.html

Vulnerability Summary CVE-2006-4854
http://nvd.nist.gov/nvd.cfm?cvename=CVE-2006-4854

Sergio de los Santos ssantos@hispasec.com