Mostrando mensaje 403     < Anterior | Siguiente > Responder a este mensaje Asunto: VSantivirus No. 1354 Año 8, domingo 21 de marzo de 2004 Fecha: Domingo, 21 de Marzo, 2004  07:22:04 (-0300) Autor: VSAntivirus.com <vsantivirus @...........com> VSantivirus No. 1354 Año 8, domingo 21 de marzo de 2004 _____________________________________________________________ El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ 1 - Ejecución de código en productos ISS vía ICQ 2 - W32/Witty.A. Infecta equipos con BlackICE _____________________________________________________________ 1 - Ejecución de código en productos ISS vía ICQ _____________________________________________________________ http://www.vsantivirus.com/vul-iss-pam-icq.htm Ejecución de código en productos ISS vía ICQ Por Angela Ruiz angela@videosoft.net.uy Una vulnerabilidad crítica ha sido descubierta en el componente PAM (Protocol Analysis Module), compartido por todos los productos de ISS (Internet Security Systems). ISS desarrolla diversos productos de seguridad como BlackICE y RealSecure. El Protocol Analysis Module (PAM), facilita el análisis sintáctico de los protocolos de red para realizar comprobaciones adicionales y detección de ataques. ICQ es una popular aplicación de mensajería instantánea desarrollada por ICQ Inc., una subsidiaria de America Online (AOL). Para identificar ataques que apuntan al software de mensajería instantánea, PAM analiza sintácticamente varios de esos protocolos, incluyendo ICQ. Una rutina del PAM que monitorea las respuestas de ICQ Server, contiene una serie de vulnerabilidades basadas en desbordamientos de pila. La pila (stack), es el espacio de memoria reservada para almacenar las direcciones de retorno en la ejecución de cada rutina y otra información importante para la ejecución de los programas. Un desbordamiento de búfer (recibir más datos de los esperados), puede ocasionar que la pila se sobrescriba en partes críticas de la memoria del programa. Todos los productos de ISS, asumen una solicitud de un servidor ICQ, cuando la fuente de un paquete UDP entrante, es el puerto 4000. Si la rutina incorporada del componente PAM recibe una determinada respuesta (SRV_META_USER), los datos como nombre de usuario (nickname), primer y último nombre y dirección electrónica, se guardan en diferentes búferes. Cuando la rutina maneja estos datos, cada uno de estos búferes es copiado en forma temporal, en otro de 512 bytes dentro de la pila, sin ninguna clase de comprobación de la validez de su contenido. El ataque puede ser implementado a través de la creación de dos clases de paquetes especialmente modificados para provocar que el stack y por lo tanto la memoria del programa, puedan ser corrompidos, con la posibilidad de ejecución de código. Ya existe por lo menos un gusano que se vale de este fallo, (W32/Witty.A, http://www.vsantivirus.com/witty-a.htm). Por la naturaleza del protocolo UDP, la mayoría de los productos de identificación son incapaces de mantener registros o el estado del flujo de paquetes durante una conexión, y por ello este fallo puede ser explotado con un solo datagrama falsificado. En las pruebas realizadas, se pudieron comprometer con éxito, instalaciones protegidas con BlackICE con la configuración "paranoid" habilitada, y las protecciones de aplicaciones también habilitadas, aún con soporte para compartir archivos y entornos de redes deshabilitados. Como el motor de BlackICE y el de RealSecure escuchan constantemente por paquetes recibidos del emisor, la vulnerabilidad puede ser explotada simultáneamente a través de cada host vulnerable dentro de una red, publicando un único datagrama UDP modificado. Son vulnerables los siguientes productos y todas sus versiones anteriores: BlackICE Agent for Server 3.6 ecf BlackICE PC Protection 3.6 ccf BlackICE Server Protection 3.6 ccf Proventia A Series XPU 22.11 Proventia G Series XPU 22.11 Proventia M Series XPU 1.9 RealSecure Desktop 3.6 ecf RealSecure Desktop 7.0 ebl RealSecure Guard 3.6 ecf RealSecure Network 7.0, XPU 22.11 RealSecure Sentry 3.6 ecf RealSecure Server Sensor 6.5 for Windows SR 3.10 RealSecure Server Sensor 7.0 XPU 22.11 El vendedor ha realizado parches para todos sus productos, los que están disponibles en el siguiente enlace: http://www.iss.net/download/ * Más información: Vulnerability in ICQ Parsing in ISS Products http://xforce.iss.net/xforce/alerts/id/166 ISS PAM ICQ Server Response Processing Vulnerability http://www.eeye.com/html/Research/Advisories/AD20040318.html * Créditos: Riley Hassell y Barnaby Jack (eEye Digital Security) (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ 1 - W32/Witty.A. Infecta equipos con BlackICE _____________________________________________________________ http://www.vsantivirus.com/witty-a.htm Nombre: W32/Witty.A Tipo: Gusano de Internet (BlackICE) Alias: Witty, WORM_WITTY.A, W32.Witty.Worm, Plataforma: Windows 32-bit Fecha: 20/mar/04 Tamaño: 1,025 bytes Este gusano se ejecuta en memoria, y se propaga a través de sistemas que utilizan una versión vulnerable de BlackIce, utilizando el tráfico de red. No hace uso del correo electrónico, ni se copia a su mismo en el sistema infectado. Tampoco modifica el registro, aunque puede realizar accesos directos al disco duro para grabar datos al azar. Se aprovecha de una vulnerabilidad en el componente PAM (Protocol Analysis Module), compartido por todos los productos de ISS (Internet Security Systems), incluido BlackICE. Este protocolo facilita el análisis sintáctico de los protocolos de red para realizar comprobaciones adicionales y detección de ataques, entre ellos el protocolo de ICQ Instant Messaging. Más información en el siguiente enlace: Ejecución de código en productos ISS vía ICQ http://www.vsantivirus.com/vul-iss-pam-icq.htm El gusano se propaga a través de paquetes UDP enviados desde el puerto 4000, a otros puertos seleccionados al azar. En cada bucle, puede enviarse a si mismo a más de 20,000 máquinas remotas utilizando direcciones IP generadas al azar. El gusano puede acceder físicamente al disco duro y realizar ciertas acciones, sin embargo, no se copia a si mismo en el disco, en ningún momento, actuando solo en la memoria. Debido a esto, un examen rutinario de archivos con un antivirus, no siempre será capaz de detectar una infección. Cuando un paquete malicioso llega a una máquina vulnerable (que utilice BlackICE como cortafuegos), el gusano se ejecuta inmediatamente en memoria, y comienza a propagarse hacia otras víctimas. El gusano escribe 64 KB del contenido actual de la memoria, directamente al disco duro y en forma totalmente aleatoria, sobrescribiendo cualquier clase de datos existentes en esos lugares. Luego, reinicia su propagación, en un bucle sin fin, que durará mientras pueda permanecer activo en memoria. Esto provoca que el contenido del disco duro pueda quedar corrupto. Este peligro es mayor mientras más tiempo permanezca activo el gusano. Algunas pruebas indican que luego de 10 minutos, una máquina puede sufrir tales daños en los archivos del sistema, que no podrá reiniciarse. Los archivos dañados deberán ser reemplazados desde un respaldo, ya que son sobrescritos (no pueden ser reparados). Está afectada la versión 3.6.ccf y anteriores de BlackICE. Se sugiere bloquear los accesos de entrada y salida al puerto UDP/4000. Este puerto es utilizado por ICQ, y otros programas. El gusano puede utilizar también solicitudes a los puertos UDP 161 y 162, además de 53. El código del gusano contiene el siguiente texto: (^.^) insert witty message here (^.^) ISS ha anunciado a sus clientes sobre la naturaleza destructiva de este gusano, al mismo tiempo que reitera que son vulnerables todos los usuarios de sus productos que no hayan actualizado los mismos. * Reparación manual 1. Descargue la actualización para BlackICE desde el sitio de ISS: http://blackice.iss.net/update_center/index.php 2. Quite cualquier cable que conecte su PC a una red o a Internet. 3. Salga de Windows y apague su PC para borrar el gusano de la memoria. 4. Aguarde 30 segundos o más, y vuelva a encenderla. 5. Ejecute un scandisk completo de sus discos duros. 6. Aplique o instale la actualización descargada antes. 7. Conecte su PC a la red. * Información adicional * Mostrar las extensiones verdaderas de los archivos Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así: 1. Ejecute el Explorador de Windows 2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'. 3. Seleccione la lengüeta 'Ver'. 4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar. 5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar. En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'. En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'. 6. Pinche en 'Aplicar' y en 'Aceptar'. * Limpieza de virus en Windows Me y XP Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos: Limpieza de virus en Windows Me http://www.vsantivirus.com/faq-winme.htm Limpieza de virus en Windows XP http://www.vsantivirus.com/faq-winxp.htm (c) Video Soft - http://www.videosoft.net.uy (c) VSAntivirus - http://www.vsantivirus.com _____________________________________________________________ Pautas generales para mantenerse alejado de los virus _____________________________________________________________ Recuerde estas pautas para mantener alejado de su computadora cualquier riesgo de virus o troyanos: 1) Use regularmente un programa antivirus (nosotros siempre recomendamos no confiar en uno solo, pero usar más de uno no significa que debamos tenerlos a todos instalados, simplemente ejecutamos esos antivirus en su opción de escaneo, sobre la carpeta que contenga los archivos a revisar). Y por supuesto, de nada vale usar algún antivirus si no lo mantenemos actualizado con los upgrades, updates o add-ons correspondientes. Actualmente, las actualizaciones son diarias (AVP, Panda y otros) o al menos semanales. No existen los "virus demasiados nuevos y sin antídotos", la reacción de las casas de antivirus es inmediata en todos los casos. Pero mejor pregúntese, si la suya también lo es a la hora de actualizarse. 2) No abrir ningún mensaje ni archivo recibido a través del correo electrónico de fuentes desconocidas o muy poco conocidas. En el caso de personas conocidas, se deben igualmente tomar las precauciones correspondientes. Asegurarse con esa persona del envío ("Melissa" y otros pueden ser enviados por conocidos que ignoran estar mandando el virus en sus mensajes), y nunca ejecutarlos, sino guardarlos en una carpeta temporal y pasarle a esa carpeta dos o tres antivirus actualizados antes de tomar la opción de ejecutarlos (.EXE) o abrirlos (.DOC, .RTF, etc.). Pero ante cualquier duda, simplemente se debe optar por borrar el mensaje (y archivos adjuntos). Como se dice vulgarmente, "la confianza mata al hombre", en este caso a la PC. 3) Estar informado de cómo operan los virus, y de las novedades sobre estos, alertas y anuncios críticos, en sitios como el nuestro. 4) No bajar nada de sitios Web de los que no tenga referencias de seriedad, o que no sean medianamente conocidos. Y si se bajan archivos, proceder como los archivos adjuntos. Copiarlos a una carpeta y revisarlos con dos o tres antivirus actualizados antes de optar por ejecutarlos o abrirlos. _____________________________________________________________ Sobre este boletín _____________________________________________________________ La distribución de este boletín es gratuita, y está amparada bajo los derechos de Copyright registrados por Video Soft (también los artículos publicados directamente en nuestra página). Si usted desea usar esta información en cualquier medio escrito o electrónico, puede hacerlo sin solicitarnos el permiso respectivo, con la única condición de mencionar su origen, y remitirnos un e-mail o ejemplar con la ubicación donde se haga referencia al material usado que haya sido sacado de este boletín o de la página de VSAntivirus. Video Soft, Video Soft BBS, VSAntivirus y VSAyuda son marcas registradas. Los artículos de otros autores han sido incluidos de acuerdo a la política de Copyright adoptada por cada uno de ellos, y su inclusión en nuestro boletín se rige por dichas políticas, sin embargo, para su uso en otro medio, se deberá solicitar la debida autorización.- _____________________________________________________________ Visite diariamente nuestra página. Puede bajar de allí las versiones de evaluación actualizadas de los antivirus más usados o que consideramos por nuestra experiencia más confiables. El criterio de selección solo pasa por nuestra experiencia diaria con usuarios y clientes, a los que asesoramos y damos servicio técnico. _____________________________________________________________ Cualquier duda o comentario sobre esta lista de correo, envíe un e-mail a cualquiera de estas direcciones: jllopez@nativo.com videosoft@videosoft.net.uy _____________________________________________________________ VSANTIVIRUS - Sitio oficial: http://www.vsantivirus.com _____________________________________________________________ Altas: http://listas.vsantivirus.com/lista/vsantivirus/alta Bajas: http://listas.vsantivirus.com/lista/vsantivirus/baja También puede enviar un mensaje vacío a estas direcciones: Altas: vsantivirus-alta@listas.vsantivirus.com Bajas: vsantivirus-baja@listas.vsantivirus.com _____________________________________________________________ VSANTIVIRUS - http://www.vsantivirus.com - Es un servicio de VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy _____________________________________________________________ VSantivirus No. 1354 Año 8, domingo 21 de marzo de 2004