SET 39 Call For Papers

¿Eres un hacker? Si deseas pasar a formar parte de la historia del hacking hispano, colabora con la próxima edición de SET 39 enviándonos un artículo. No esperes más, esta es tu oportunidad de demostrar lo que sabes. Ayúdanos a construir una revista de hackers para hackers. SET Staff

Bugs para todos los gustos

      4221

Autor: Madfran
-[ 0x08 ]--------------------------------------------------------------------
-[ Bugs para todos los gustos ]----------------------------------------------
-[ by madfran ]------------------------------------------------------SET-26--

CINCO MESES DE BUGS


INTRODUCCION

Realmente no se la causa ni motivo, pero lo cierto es que desde hace casi un 
anyo, me dedico a coleccionar las noticias y anuncios de seguridad que van 
apareciendo en la red (hay manias peores). Al archivar el ultimo bloque de 
papelotes y reprimiendo el impulso de hacer una gigantesca bola de papel con 
ellos, me he preguntado. Por que no escribir un mini articulo acerca de todo 
este maremagnum? Pues ni corto ni perezoso aqui me teneis explotando el tema 
de los exploits.


UN POCO DE ESTADISTICA

Desde Mayo de este anyo (2002 del calendario Gregoriano), me he divertido
(bueno seamos sinceros, mas bien me he aburrido mortalmente) en tomar nota
de todas las noticias de seguridad que caian en mis pecadoras manos por medio
de los canales oficiales de distribucion de noticias de seguridad. Cuando me
refiero a los canales oficiales, estoy hablando de los medios de comunicacion
normales y no de los boca a boca underground que tanto abundan en la red.

La consecuencia de mi particular forma de trabajar, es que no todos las 
vulnerabilidades y noticias de seguridad estan aqui reflejadas, pero van a 
servir de base de datos de apoyo para los razonamientos y elucubraciones que 
bullen en mi cabeza. 

A continuacion pedazo tochisimo de listado con un resumen de toda la informacion
recopilada.

Microsoft SQL server
			Ataque por gusano al puerto 1433
			La cuenta de admin (sa) sin pasword instalado por 
			defecto permite ejecutar ordenes arbitrarias se SQL

Internet Explorer de Microsoft
			12 vulnerabilidades despues de un parche que corregia 
			6 anteriores. Entre algunas de ellas la mas inocente
			permite leer archivos arbitrarios en el disco del 
			usuario

IBM DB2
			Desbordamiento de buffer. Permite obtencion de root. El
			desbordamiento se encuentra en db2ckpw, que forma parte
			del mecanismo de autentificacion.

Excel XP Microsoft
			Permite ejecucion de codigo arbitrario. Se debe a la
			incorporacion de nuevas tecnologias como XML y XSLT,
			que realmente sirven para poco.

Ipswitch Imail 7.1
			Servidor de correo bajo Windows 2000 y XP, con 
			desbordamiento de bufer. Permite obtencion de root. 
			Aqui la historia viene de un problema en el servicio
			LDAP que permite acceso remoto.

Apache 1.3.24
			Procesamiento de peticiones erroneas codificadas de 
			forma troceada (chunked encoding). Denegacion del 
			servicio si trabaja bajo linux y ejecucion de codigo
			arbitrario si se encuentra bajo Windows 2000 o NT

RAS phonebook de Microsoft
			Desbordamiento de buffer. Codigo arbitrario con 
			privilegios de administrador. Afecta a Windows 2000,
			XP y NT 4.0.

SQL server 2000 Microsoft
			Desbordamiento de buffer. Codigo arbitrario con
			privilegios de administrador. El componente afectado es
			el SQLXML que permite a Server 2000 procesar consultas
			basadas en XML.

Kazaa
			Problemas de configuracion por defecto. Posible lectura
			de cualquier archivo del disco. Problema debido a la
			falta de claridad de la informacion suministrada
			durante el proceso de instalacion.

Oracle Net Listener
			Desbordamiento de buffer. Ejecucion de codigo con 
			derechos del usuario actual debido a la erronea gestion
			de las peticiones encapsuladas en paquetes TNS.

Oracle 9i Application server
			Desbordamiento de buffer. Ejecucion de codigo con 
			derechos restringidos en Unix y de administrador en
			windows. El metodo setauth, no controla correctamente
			el parametro rwcgi60.

Internet Explorer de Microsoft
			Ejecucion de codigo arbitrario a partir de la 
			habilitacion de listas de carpeta en sitios ftp. El
			problema reside en el archivo FTP.HTT.

Internet Explorer de Microsoft
			Desbordamiento de buffer en cliente gopher. Cualquier
			codigo con derechos de administrador. El componente de
			Explorer que gestiona el cliente gopher contiene el
			desbordamiento de buffer, cuya explotacion ni siquiere
			requiere la instalacion de un servidor gopher.

eDonkey 2000 v35.16.59
			Programa para compartir ficheros. Desbordamiento de
			buffer con ejecucion arbitraria. El protocolo ed2k 
			llama a un componente gdonkey cuyo parametro es la url
			solicitada. No hay ningun control sobre su contenido.

ASP.NET de Microsoft
			Desbordamiento de buffer en tratamiento de cookies.
			El modo StateServer es el causante esta vez.

ISC BIND 9
			Servidor DNSde Internet Software Consortium. Denegacion
			de servicio. El ataque provoca la caida del servicio 
			named. La rutina afectada es la dns_message_findtype().

Router 3COM OfficeConnet Remote 812 ADSL
			Acceso a puertos tras el router. Los puertos accesibles
			son tanto UDP como TCP. Los firmaware afectados son los
			V1.1.9 y V1.1.7.

Exchange 2000 de Microsoft
			Denegacion de servicios. Debido a la mala 
			implementacion de los RFCs 821 y 82.
			
OpenSSH
			Protocolos SSh. Ejecucion remota. No se publicaron 
			detalles del bug.

Excel y Word de Microsoft
			Ejecucion de script HTML en hojas de estilo XSL en zona
			de seguridad local.

SQL server 2000 de Microsoft
			Desbordamiento de buffer. La funcion OpenDataSource
			combinada con el MS Jet Engine es la causa del problema.

Apache 1.3.26 y 2.0.39
			Ataque a traves de cabeceras incorrectas. Ejecucion de
			codigo bajo privilegios de administrador bajo Windows.

Macromedia Flash
			Vulnerabilidad Cros Site Scripting.

OpenSSH 2.9.9 y 3.3
			Desbordamiento de variable. Ejecucion de codigo con
			privilegios de sistema si se este usando SKEY o 
			BSD_AUTH.


Commerce Server 2000 y 2002 Microsoft
			Desbordamiento de buffer. Vulnerabilidad en filtro ISAPI
			Problema asociado al paquete de instalacion. 

Windows Media Player
			Divulgacion de informacion. Elevacion de privilegios.
			Ejecucion de codigo arbitrario. Se interpretan mal los
			scripts.

Netware DHCP Server
			Denegacion de servicios. Se produce bajo Netware 6.0
			SP 1

SQL Server 2000 Windows
			Desbordamiento de buffer. Elevacion de privilegios por
			asignacion incorrecta de permisos en la llave de 
			registro que almacena la informacion de las cuentas del
			servidor SQL.

CDE ToolTalk (entorno CDE UNIX)
			Ejecucion de codigo arbitrario. Elevacion de privilegios.

Norton Personal Internet Firewall (Symantec)
			Desbordamiento de buffer. Ejecucion de codigo arbitrario.

SQL Server 7.0 Microsoft (Procedimiento de instalacion)
			Deja las contrasenyas en un archivo de texto. El origen
			del desafuero se encuentra en el archivo setup.iss que
			no es correctamente borrado despues de la instalacion.

Servidor JRun 4.0 de Macromedia
			Relevacion de codigo fuente. Solo en entornos Windows
			2000 server con IIS No se procesan correctamente
			caracteres como %3f.jps o ?.jsp.

EA Serve (Sybase), version 4.0
OC4J (ORACLE)
Orion version 1.5.3
JRun (Macromedia) versiones 3.0, 3.1 y 4.0
HPAS (Hewlett Packard) version 3.0
Pramati version 3.0
Jo!
			Vulnerabilidad en versiones para windows de servidores
			de servlets J2EE. Acceso a informacion situada en
			directorio WEF-INF.

Netware FTP SERVER
			Denegacion de servicio. Ocurre bajo Netware 6.0 SP1 con
			actualizacion a NWFTPD.

Internet Informacion Server 4.0 y 5.0
			Ejecucion de codigo via .HTR.

Cisco Secure ACS Unix
			Acceso de informacion de archivos y sistema. El 
			programa Acme.server es el causante del problema.

PHP versiones 4.2.0 y 4.2.1
			Denegacion de servicios y ejecucion de codigo 
			arbitrario. En este caso es la peticion POST quien
			puede emplearse para degradar el sistema.

SQL Server 2000 SP2
			Desordamiento de buffer. Inyeccion de informacion en
			procedimientos existentes. Error en la adjudicacion de 
			permisos de ciertos procedimientos.

Microsoft Exchange 5.5
			Desbordamiento de buffer en codigo IMC. Generacion
			erronea del comando EHLO.

Windows Media Player versiones 6.4, 7.1 y XP
			Solucion a un parche anterior incompleto.

Sun RPC
			Desbordamiento de buffer en la primitiva de filtro
			xdr_array. Ejecucion de codigo arbitrario con 
			privilegios de superusuario.

IPSwitch Imail 6.0
			Denegacion de servicio en windos NT/2000/XP. Servicio
			Web Calendaring.

OpenSSH
			Troyano en distribuciones espureas. Alguien se divirtio
			a modificar los archivos openssh-3.4pl.tar.gz,
			openssh-3.4.tgz, openssh-3.2.2pl.tar.gz e introdujo un
			trayano. El proceso de firma no sirvio para nada.

Eudora 5.x (Qualcomm)
			Desbordamiento de buffer en una construccion MIME
			multiparte. 

Macromedia Flash Player de Macromedia
			Muestra informacion vital a webmaster malicioso.

Apache 2.0 anteriores a versiones 2.0.40
			Afecta a sistemas no Unix. Muestra informacion vital.

OpenSSL
			Desbordamiento de buffer.

Cisco CSS de la serie 11000
			Falta de seguridad en acceso a la administracion via 
			web.

Oracle 9i SQL*NET
			Vulnerables a ataques Cros-Site Scripting.

ToolTalk (en entorno CDE de Unix)
			Denegacion de servicio y ejecucion de codigo arbitrario.
			
XINETD (Linux)
			Posibilidad de matar procesos.

OpenBSD
			Bloqueo de sistema. Sobreescribir memoria. Ejecucion
			de codigo.

WebEasymail v.3.4.2.2
			Denegacion de servicio.

Protocolo SMB de Windows
			Desbordamiento de buffer. Denegacion de servicio. 
			Ejecucion de codigo arbitrario.

Raptor Firewall 6.5.x (Symantec)
			El corta fuegos permite acceder al sistema protegido.

Microsoft Content Management Server 2001
			Desbordamiento de buffer. Acceso a informacion
			restringida. Ejecucion de codigo arbitrario.

Control ActiveX (Certificate Enrollment Control)
			Eliminacion de los certificados diitales almacenados.

Webmin 0.92 y 0.921
			Ejecucion de codigo arbitrario.

mIRC 6.03
			Desbordamiento de buffer.

Facto System CMS
			Inyeccion de instrucciones SQL.

Microsoft Visual FoxPro 6.0
			Lanzamiento remoto de una aplicacion Visual a traves de
			una pagina web o de un correo HTML.

Cisco VPN 3000
			Autentificacion en IPSEC, vulnerabilidad en el cliente
			Windows PPTP...

PGP Corporate Desktop 7.1.1
			Desbordamiento de buffer.

Zmerge (Lotus Notes/Domino)
			Acceso como administrador a todos los usuarios.

Tru64 (Unix de Compaq)
			Denegacion de servicio, desbordamiento de buffer.

PostgreSQL 7.2.2
			Ejecucion de codigo arbitrario.

OpenSSL de Apache
			Conversion de sistema en zombi. 



ANALISIS CASUAL

Por mis manos han pasado 72 referencias (sino me he equivacado al sumar) 
repartidas de la forma siguiente.

Productos Windows	20 acontecimientos
Apache			 4
Oracle			 3
Otros               	49 (si no me he equivocado al restar)


Como puede ver un observador casual, Microsoft gana en las encuestas y no
precisamente por minima ventaja. Pero no nos precipitemos ni hagamos juicios
demasiado superficiales. Es cierto que los productos de windows salen en
todos los numeros y que cuando un producto multi-sistema-operativo se ve
afectado por alguna vulnerabilidad, las consecuencias son normalmente mas 
graves en windows que en otro tipo de sistemas operativos, pero tambien es
cierto que hay mucha gente buscando defectos en Excel y probablemente no hay
nadie buscandole las cosquillas al StarOffice. El motivo es obvio. Si 
encuentras un bug en el Word, las consecuencias son inmediatas :

- Tienes una publicidad enorme (si quieres anunciar tu hallazgo).
- Tienes una cantidad apabullante de posibles victimas (si quieres guardar el
  secreto para un selecto grupo de amigos).

En cambio un error en PsPice, encontrara un eco minimo (tirando a nulo) y las
posibilidades que los podais explotar para atacar el server tras del cual
llevas varios meses, son practicamente nulas.


COMENTARIOS PROPIOS

Lo que voy a escribir forma parte tan solo de mi personal punto de vista, asi
que haced el favor de no atacar a SET si alguien esta en total desacuerdo con
las letras que a continuacion van a formar ciertas frases levemente coherentes.

No creo que los productos Windows sean particularmente malos en cuanto a
seguridad, creo que son simplemente un reflejo de la mediocridad de nuestra
cultura. En nuestra civilizacion occidental, no hay nadie capaz de decir no a
un minimo beneficio y lo malo es que este interes puede ser tanto monetario
como simplemente de prestigio. Pocos escapan a la satisfaccion de ver aparecer
su nombre en los titulos de un programa y comprobar que este se va replicando a
lo largo de la red, si encima te pagan por ello o hay posibilidades de 
conseguir una promocion en tu deplorable empresa, todo arrastra a sacar
productos mal chequeados.

Hubo otras civilizaciones y culturas, en las cuales se trabajaba por el placer
de realizar obras, artefactos o disenyos que eran perfectos en si y por si
mismos, que conseguian gracias a su perfeccion que alguien retribuyera su 
trabajo sea de forma transitoria (mecenazgo), permanente (el sistema esclavista
romano, funcionaba en algunas zonas del imperio de esa forma) o contractual
(los sistemas gremiales fueron consecuencia de este punto de vista).

Solo la avaricia a corto plazo, puede explicar que productos tales como Kazaa,
salgan a la red con majaderias del tipo como que no se sepa exactamente
donde se encuentran los ficheros que se van a compartir. Que no se advierta
claramente que un leve error en la configuracion del programa, puede provocar
que todo el disco de su ordenador, esta disponible a la vista de cualquier 
zangano que se pasee por la red. Este es un caso claro en el cual para evitar
que el programa no funcione 'a la primera' se pierde todo control sobre la
seguridad. O sea que en el fondo se esconde informacion al usuario, que solo es
consciente que el sistema funciona a maravilla para el objetivo de compartir
musica, pero que es un petardo en cuanto a disimular el numero de telefono de
tu ultima/o amante.

Solo este tipo de comportamiento irresponsable, permite que salgan al mercado
presuntos corta-fuegos (Raptor Firewall 6.5.x (Symantec)) que permiten ver lo 
que se encuentra detras de el. Este caso es mas grave si cabe, ya que el
usuario cree encontrarse protegido, cuando lo unico que hace es llamar la
atencion sobre el, ya que es mas facil buscar en la red quien emplea este
o aquel corta-fuegos que buscar a saco quien te va a deja entrar por
despistado.

Las conclusiones particulares de tan singular forma de pensar (la mia), son
que:

- Procuro instalarme programas un poco oscuros. No para evitar que el amigo
  Gates se llene el bolsillo sino para evitar ser blanco de algun gusano 
  disenyado para la ultima version de Excel.
  
- Huyo de cortafuegos locales (prefiero pasar desapercibido), ademas todos 
  sabemos que por cada error de hardware, existen mil de software, o sea que 
  los cortafuegos en version hardware y pensandoselo mucho.

- Intento no instalar cosas inutiles.

En general me da lo mismo que Bill Gates sea el hombre mas rico del mundo. Si
lo es, se debe simplemente a la mediocridad del resto de humanos y de la falta
de criterio propio que normalmente aqueja al usuario medio de cualquier 
artilugio que se encuentra en este mundo (incluida le red). Menos ataques 
infundados o mal construidos contra Microsoft y similares. Si hay algo que no 
nos gusta, pues intentemos hacer cosas mejores. Si no somos capaces, tampoco es 
cuestion de cortarse las venas en la banyera, siempre podemos ayudar a los que 
si tienen las habilidades necesarias y maneras hay muchas. Citemos algunas:

- La primera, mas obvia, pero la menos seguida, es buscar algun substituto al
  programa molesto. (cuanta gente se queja de algo, pero no busca
  alternativas!)
  
- Si lo encuentras, no te quedes clavado a la primera dificultad.

- Intenta reproducir los bugs.

- Informa de ellos al creador del programa.

- Se razonable.

  Solo es una corta reflexion.

  madfran@nym.alias.net


*EOF*