5 de noviembre de 2011

VULNERABILIDAD EN “Apache “

Publicada en la página web http://www.halfdog.net/ una vulnerabilidad en Apache que afecta a la versión 2.2.20 y anteriores que permitiría elevar privilegios a un atacante con cuenta en la máquina.
Detalles de la vulnerabilidad:
  • La vulnerabilidad se encontraría en la función 'ap_pregsub' del fichero 'server/util.c' al ser llamada por el módulo 'mod-setenvif'.
  • Causaría un desbordamiento de enteros por el que un atacante local podría ejecutar código empleando para ello un fichero .htaccess especialmente manipulado.
  • Los privilegios bajo los que se ejecutaría el código serían los mismos que el servidor Apache (habitualmente "nobody", "www", etc.). En entornos de hosting compartido, esto podría ocasionar numerosos problemas.
  • Con el ataque se podrían conseguir desde ralentizar el servidor y provocar una denegación de servicio, hasta la ejecución de código con los privilegios del servidor.
  • El atacante debe tener disponer de los permisos necesarios para crear un fichero .htaccess especialmente manipulado y el módulo mod_setenvif debe estar siendo usado por Apache.
Recomendaciones:
Aunque no existe solución oficial por el momento podrían aplicarse dos soluciones temporales para minimizar el daño
  1. La primera de ellas sería deshabilitar el módulo implicado.
  2. La segunda pasaría por imposibilitar el uso de ficheros .htaccess en aquellos directorios en los que los usuarios tuviesen permisos de escritura empleando para ello la secuencia "AllowOverride None".
Más información:
Integer Overflow in Apache ap_pregsub via mod-setenvif
http://www.halfdog.net/Security/2011/ApacheModSetEnvIfIntegerOverflow/

Fuente: Hispasec

MICROSOFT EXPLICA COMO PROTEGERSE DE “DUQU”

Microsoft publicó un boletín sobre qué vulnerabilidad aprovecha Duqu y cómo protegerse. Se trata de una elevación de privilegios en el sistema, a causa de un error en el tratamiento de ciertos tipos de fuentes.
Detalles de la vulnerabilidad:
  • El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. Así, Duqu podría conseguir los permisos necesarios para incrustarse en Windows.
Recomendaciones de Microsoft:
  • El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida, para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas.
  • Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%\system32\ en versiones de 32 bits y "%windir%\syswow64\ en versiones de 64 bits.
Modos de aplicar las contramedidas:
1. A través del menú contextual de seguridad del archivo (en varios pasos: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo "Todos")

2. Por medio de la línea de comandos:
Para XP y 2003:
cacls "%windir%\system32\t2embed.dll" /E /P todos:N
Para 7 y Vista:
icacls.exe "%windir%\system32\t2embed.dll" /deny todos:(F)
teniendo en cuenta que antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:
Takeown.exe /f "%windir%\system32\t2embed.dll"
3. Otra posibilidad, es aplicar el "Fix it" de Microsoft (un programa que automáticamente realiza estos cambios). Disponible desde: http://support.microsoft.com/kb/2639658


Más información:

Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege
http://technet.microsoft.com/en-us/security/advisory/2639658

Fuente: Hispasec