16 de abril de 2012

EJECUCIÓN DE CÓDIGO REMOTO EN SAMBA


Anunciada grave vulnerabilidad en Samba que podría permitir la ejecución remota de código como usuario root a través de una conexión anónima (sin autenticar).

Samba es un software libre que permite compartir ficheros e impresoras entre cliente y servidor con diferentes sistemas operativos, tales como DOS, Microsoft Windows, OS/2, Linux, o MacOS, mediante el protocolo SMB/CIFS.

El error ha sido descubierto por el investigador Brian Gorenc y una persona anónima de Zero Day Initiative (ZDI) quienes, además, han demostrado su explotabilidad mediante una prueba de concepto.

La vulnerabilidad está causada por un error en el generador de código utilizado para empaquetar y desempaquetar las llamadas de procedimiento remoto (RPC) a través de la red.

Se ha asignado el identificador CVE-2012-1182 a esta vulnerabilidad. Su gravedad es máxima, y recuerda a vulnerabilidades de otro tiempo, donde resultaban más comunes fallos de este tipo en una red mucho más insegura. El fallo se encuentra en el código desde la versión 3.0.25 de Samba, de mayo de 2007. Lo que significa que lleva cinco años en el código fuente del programa.

Recomendaciones:

Para aquellos dispositivos o servidores que no puedan actualizar de inmediato.
  • Es posible utilizar la opción "host allow" en el fichero de configuración smb.conf para restringir los clientes que pueden acceder, o hacerlo a través de un cortafuegos adicional.
Actualizaciones:
  • Para solucionar la vulnerabilidad, Samba ha lanzado las versiones 3.4.16, 3.5.14, y 3.6.4, así como parches para otras versiones más antiguas. Se pueden descargar desde la página oficial.
Más información:

"root" credential remote code execution.
http://www.samba.org/samba/security/CVE-2012-1182

Samba Security Releases
http://www.samba.org/samba/history/security.html

Fuente: Hispasec

DETECTADO TROYANO QUE ROBA INFORMACION DESDE LAS PULSACIONES DEL TECLADO

El virus regularmente envía a un servidor remoto la información robada al que accede el ciberdelincuente obteniendo datos como contraseñas, números de tarjeta de crédito o números PIN

El Instituto Nacional de Tecnologías de la Comunicación (Inteco) detectó la presencia de un troyano para la plataforma Windows denominado «Wetoxy», que captura las pulsaciones del teclado del equipo infectado permitiendo a los atacantes remotos recopilar información confidencial del usuario, tales como contraseñas, números de tarjeta de crédito o números PIN, entre otros.

Operativa seguida pòr el troyano
  • Este troyano tiene una funcionalidad por la que todo lo que teclea el usuario del equipo se almacena en un fichero.
  • Periódicamente, este fichero es enviado a un servidor remoto, controlado por el ciberdelincuente donde éste obtiene los datos robados.

Fuente: www.abc.es