VSantivirus No. 801 - Año 6 - Martes 17 de setiembre de 2002

VSantivirus No. 801 - Año 6 - Martes 17 de setiembre de 2002

VSantivirus No. 801 - Año 6 - Martes 17 de setiembre de 2002
_____________________________________________________________

El boletín diario de VSANTIVIRUS - http://www.vsantivirus.com
VIDEO SOFT (Maldonado, Uruguay) - http://www.videosoft.net.uy
_____________________________________________________________

1 - Las 20 vulnerabilidades más críticas en Internet
2 - Parche para Windows XP sin necesidad de Service Pack 1
3 - Señuelos que atrapan a los más jóvenes
_____________________________________________________________

1 - Las 20 vulnerabilidades más críticas en Internet
_____________________________________________________________

http://www.vsantivirus.com/20vul.htm

Las 20 vulnerabilidades más críticas en Internet
(Resumen del artículo publicado por The SANS Institute)

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

The SANS Institute (System Administration, Networking, and
Security Institute) y el FBI, han venido publicando una
extensa lista con las veinte vulnerabilidades más explotadas
en la mayoría de los ataques a sistemas computacionales vía
Internet.

Recientemente, se ha publicado una actualización de su
versión original (en inglés). En los enlaces que se ofrecen
al final, pueden encontrarse las versiones de otros idiomas,
incluido el español, aunque en este caso, sin actualizar. El
listado completo, incluye soluciones y sugerencias de cada
vulnerabilidad.

Estos 20 artículos incluyen conocidas vulnerabilidades tanto
en Windows, como en Unix, las que son explotadas a menudo por
atacantes y programas malévolos, como virus y troyanos.

"La mayoría de los ataques exitosos a los sistemas de
computadoras vía Internet se deben a la explotación de
algunas de las fallas de seguridad aquí expuestas", afirman
voceros del SANS.

* Rasgos de seguridad más comunes

Entre los errores de seguridad más comunes, está el de
instalar cualquier software del sistema sin quitar los
servicios innecesarios, ni instalar todos los parches de
seguridad recomendados.

También la falta de contraseñas, o el uso de estas con pocos
caracteres, es un problema de seguridad enorme para cualquier
corporación. También deberían evitarse las contraseñas
predefinidas o por defecto.

Demasiados puertos abiertos para que algún usuario pueda
conectarse a su PC es contraproducente. Las recomendaciones
obvias son cerrar todos los puertos y luego solo abrir los
que realmente se necesiten.

* Medidas de Seguridad elementales

Utilice contraseñas más fuertes. Escoja aquellas que sean
difíciles o imposible de suponer.

Póngale contraseñas diferentes a cada una de las cuentas.
Realice respaldos regulares de datos críticos. Estos
respaldos deben hacerse por lo menos una vez al día en el
caso de usuarios o empresas pequeñas. Para organizaciones más
grandes y complejas, deben realizarse respaldos completos por
lo menos una vez a la semana, y respaldos incrementales todos
los días.

Utilice un antivirus monitoreando toda actividad de archivos,
actualizándolo periódicamente (sugerido una vez a la semana,
lo ideal es diariamente).

Utilice cortafuegos como barrera entre su computadora e
Internet. Los cortafuegos normalmente son productos de
software. Ellos son esenciales para aquéllos que poseen
enlaces de banda ancha con conexiones las 24 horas (DSL,
cable módem, etc.), y muy recomendados para todos los que
utilicen Internet, aún a través de la línea telefónica.

No deje que las computadoras sigan ON-LINE cuando no están en
uso. Físicamente desconéctelas de la conexión de Internet si
fuera necesario.

No abra bajo ningún concepto, adjuntos en el correo
electrónico que venga de extraños, sin importar lo que
mencione su asunto o el archivo adjunto. Sospeche siempre de
cualquier adjunto de alguien conocido, que le envía un
adjunto que usted no solicitó. Esa persona podría estar
infectada, y enviar el correo infectado sin siquiera
percatarse del error. Sospeche de cualquier adjunto no
esperado, de alguien que usted conoce porque se puede haber
enviado sin el conocimiento de esa persona desde una máquina
infectada.

Baje e instale regularmente los parches necesarios a medida
que estos vayan apareciendo.

En concreto, estas pocas vulnerabilidades son la base de la
mayoría de los ataques exitosos, que suelen aprovecharse de
las brechas más conocidas con las herramientas de ataque más
efectivas y fáciles de conseguir. La mayoría de los
atacantes, simplemente se aprovecha de quienes no actualizan
su software, casi siempre por pereza.

Según el FBI y SANS, la oportuna instalación de parches
largamente anunciados, hubiera prevenido la mayoría de los
ataques exitosos.

Para que esta omisión no sea por ignorancia, la presente
lista debería servir de claro punto de referencia.

* Vulnerabilidades que afectan a todos los sistemas

1. Instalaciones por defecto de sistemas y aplicaciones

La mayoría del software, incluyendo sistemas operativos y
aplicaciones, viene con scripts de instalación o programas de
instalación. La meta de estos programas de instalación es
dejar los sistemas operativos lo más rápido posible, con la
mayor parte de funciones disponibles o habilitadas, y con la
ayuda de muy poco trabajo por parte del administrador. Para
lograr esta meta, los scripts típicamente instalan más
componentes de los que se necesitan en realidad. La filosofía
de los fabricantes es que resulta mejor habilitar funciones
que no son utilizadas que hacer que el usuario instale
funciones adicionales a medida que las vaya requiriendo. Esta
aproximación, aunque conveniente para el usuario, genera la
mayoría de las vulnerabilidades de seguridad debido a que los
usuarios no mantienen activamente o aplican los parches a los
componentes de software que utilizan. Más aún, muchos
usuarios no son conscientes de lo que está realmente
instalado en sus propios sistemas, dejando peligrosos
programas de demostración en ellos por el simple hecho de que
no saben que están ahí.

Aquellos servicios a los que no se les han aplicado los
parches proveen rutas para que los atacantes puedan tomar el
control de las máquinas.

Con respecto a los sistemas operativos, las instalaciones por
defecto casi siempre incluyen extraños servicios con sus
correspondientes puertos abiertos. Los atacantes se
introducen en estos sistemas por medio de dichos puertos. En
la mayoría de los casos, cuantos menos puertos se hallen
abiertos, menos alternativas tiene un atacante para
comprometer su red. Con respecto a las aplicaciones, las
instalaciones por defecto usualmente incluyen programas o
scripts de demostración que no son realmente necesarios. Una
de las vulnerabilidades más serias en los servidores Web son
los scripts de ejemplo; los atacantes usan estos scripts para
comprometer el sistema u obtener información acerca de éste.
En la mayoría de los casos el administrador del sistema
comprometido no se dio cuenta siquiera de que estos scripts
de ejemplo se encontraban instalados. Los scripts de ejemplo
son un problema porque por lo general no son sometidos al
mismo proceso de control de calidad que otros programas. De
hecho, están sorprendentemente mal escritos en la mayoría de
los casos. La revisión de errores es habitualmente olvidada
por lo que ofrecen un terreno abonado para ataques del tipo
desbordamiento de buffer.

Tenga siempre presente que gran parte de las extensiones de
terceros para servidores de páginas Web vienen o incluyen
archivos de ejemplo, muchos de los cuales son extremadamente
peligrosos.

2. Cuentas sin contraseña o contraseñas débiles

La mayoría de los sistemas se encuentran configurados para
usar contraseñas secretas como primera y única línea de
defensa. Los nombres de usuario (user IDs) son relativamente
fáciles de conseguir y la mayoría de las compañías tienen
accesos telefónicos que se saltan el cortafuegos. Es por esto
que si un atacante puede determinar el nombre de una cuenta y
su contraseña correspondiente, él o ella pueden entrar en la
red. Dos grandes problemas lo constituyen las contraseñas
fáciles de adivinar y las contraseñas por defecto, pero aún
así, uno mucho mayor son las cuentas sin contraseña. En la
práctica, todas las cuentas con contraseñas débiles,
contraseñas por defecto o contraseñas en blanco deben de ser
eliminadas de su sistema.

Adicionalmente, muchos sistemas contienen cuentas que vienen
incluidas o cuentas por defecto. Estas cuentas generalmente
tienen la misma contraseña para todas las instalaciones del
software. Los atacantes habitualmente buscan estas cuentas ya
que son bien conocidas por su comunidad. Por esta razón,
cualquier cuenta preexistente o por defecto, debe ser
identificada y eliminada del sistema.

Resulta afectado cualquier sistema operativo o aplicación en
los cuales los usuarios se autentifiquen por medio de un
nombre de usuario y una contraseña.

3. Respaldos (backups) incompletos o inexistentes

Cuando ocurre un incidente (y va a ocurrir en casi todas las
organizaciones), la recuperación requiere respaldos
actualizados y métodos probados para restaurar la
información. Algunas organizaciones hacen respaldos diarios,
pero nunca verifican que éstos se encuentren realmente
funcionando. Otros definen políticas de respaldo, pero no
políticas o procedimientos de restauración. Tales errores son
usualmente descubiertos después de que un atacante ha entrado
en los sistemas y ha destruido o arruinado la información.

Un segundo problema que afecta a los respaldos es la
insuficiente protección física del medio de respaldo. Los
respaldos contienen la misma información sensible que reside
en los servidores, y debe, por lo tanto, ser protegido de la
misma forma.

Los respaldos deben ser realizados al menos diariamente. El
requerimiento mínimo en la mayoría de las organizaciones es
realizar un respaldo completo una vez a la semana y respaldos
incrementales todos los días. Debe verificarse al menos una
vez al mes el soporte del respaldo mediante la restauración
en un servidor de prueba que permita ver si la información se
está respaldando correctamente. Este es el requerimiento
mínimo. Algunas compañías realizan respaldos totales o
completos varias veces al día. La mejor solución de respaldo
es uno total y redundante a prueba de fallos (failover) - una
solución que es requerida para sistemas financieros y de
comercio electrónico críticos y de tiempo real, sistemas que
controlan infraestructura crítica y algunos sistemas del
Departamento de Defensa.

4. Gran número de puertos abiertos

Tanto los usuarios legítimos como los atacantes se conectan a
los sistemas por medio de puertos. Cuantos más puertos se
encuentren abiertos más formas hay para que alguien se
conecte. Por lo tanto, es importante mantener abiertos sólo
los puertos imprescindibles para que el sistema funcione
correctamente. El resto de los puertos deben ser cerrados.

5. Insuficiente filtrado de los paquetes con direcciones de
inicio y destino inadecuadas

La falsificación de direcciones IP es un método comúnmente
utilizado por los atacantes para cubrir sus huellas cuando
atacan a una víctima. Por ejemplo, el popular ataque "smurf"
hace uso de una característica de los enrutadores (routers)
para enviar una secuencia de paquetes a miles de máquinas.
Cada paquete contiene una dirección IP de origen que es
suplantada de una víctima. Las máquinas a las que estos
paquetes falsificados son enviados inundan a la máquina
víctima generalmente deteniendo sus servicios o bien
deteniendo los servicios de una red completa. Utilizar un
mecanismo de filtrado sobre el tráfico que entra en la red
(ingress filtering) y el que sale (egress filtering) le
ayudará a lograr un alto nivel de protección.

6. Registro de eventos (logging) incompleto o inexistente

Una de las máximas de la seguridad es, "la prevención es
ideal, pero la detección es fundamental". Mientras usted
permita fluir el tráfico entre su red y la Internet, la
probabilidad de que un atacante llegue silenciosamente y la
penetre está siempre latente. Cada semana se descubren nuevas
vulnerabilidades y existen muy pocas formas de defenderse de
los ataques que hagan uso de las mismas. Una vez que usted ha
sido atacado, sin registros (logs) hay muy pocas
probabilidades de que descubra qué hicieron realmente los
atacantes. Sin esa información su organización debe elegir
entre recargar completamente el sistema operativo desde el
soporte original y luego esperar que los respaldos se
encuentren en buenas condiciones, o bien correr y asumir el
riesgo que representa seguir utilizando un sistema que un
atacante controla.

Usted no puede detectar un ataque si no sabe qué está
ocurriendo en la red. Los registros le proporcionan los
detalles de lo que está ocurriendo, qué sistemas se
encuentran bajo ataque y qué sistemas han sido comprometidos.

El registro debe ser realizado de forma regular sobre todos
los sistemas clave, y deben ser archivados y respaldados
porque nunca se sabe cuándo se pueden necesitar. La mayoría
de los expertos recomiendan enviar todos los registros a un
recolector central que escribe la información en un soporte
que sólo admita una escritura, con el fin de que el atacante
no pueda sobrescribir los registros para evitar la detección.

7. Programas CGI vulnerables

La mayoría de los servidores Web, incluyendo IIS de Microsoft
y Apache, permiten el uso de programas CGI (Common Gateway
Interface) para proporcionar interactividad a las páginas
web, habilitando funciones tales como recolección de
información y verificación. De hecho, la mayoría de los
servidores web vienen con programas CGI de ejemplo
preinstalados. Desgraciadamente demasiados programadores de
CGIs pasan por alto el hecho de que sus programas
proporcionan un vínculo directo entre cualquier usuario en
cualquier parte de Internet y el sistema operativo en la
máquina que se encuentra ejecutando el servidor Web. Los
programas CGI vulnerables resultan especialmente atractivos
para los intrusos ya que son relativamente fáciles de
localizar y de operar con los mismos privilegios y poder que
tiene el software del servidor Web. Es de sobra conocido el
hecho de que los intrusos abusan de los programas CGI para
modificar páginas Web, robar información de tarjetas de
crédito e instalar puertas traseras que les servirán para
posteriormente tener acceso a los sistemas comprometidos.
Cuando el sitio web del Departamento de Justicia de los
Estados Unidos fue vulnerado, una auditoría exhaustiva
concluyó que un fallo en un programa CGI fue la ruta más
probable para perpetrar el ataque. Las aplicaciones en los
servidores web son igualmente vulnerables a amenazas creadas
por programadores descuidados o no muy bien instruidos. Como
regla general, los programas de ejemplo deben ser siempre
eliminados de los sistemas de producción.

* Vulnerabilidades más críticas en sistemas Windows

8. Vulnerabilidad Unicode (Salto de directorio en servidores
Web - Web Server Folder Traversal)

Unicode proporciona un número único para cada carácter, sin
importar cuál sea la plataforma, cuál sea el programa o cuál
sea el lenguaje. El estándar Unicode ha sido adoptado por la
mayoría de los fabricantes, incluyendo Microsoft. Mediante el
envío a un servidor IIS de una URL creada cuidadosamente con
secuencias inválidas de Unicode UTF-8, un atacante puede
forzar a que el servidor literalmente entre y salga de
cualquier directorio y ejecute scripts de forma arbitraria.
Este tipo de ataque es conocido como el ataque de salto de
directorio (Directory Traversal Attack)

Los equivalentes en Unicode de / y de \ son %2c y %5c
respectivamente. De todas formas, también se puede
representar estos caracteres usando secuencias de
sobredimensión ("overlong"). Estas secuencias son
representaciones Unicode técnicamente inválidas que son más
largas de lo que realmente se requiere para representar el
carácter. Tanto / como \ pueden ser representados con un solo
byte. Una representación "overlong", como por ejemplo %c0%af
representa el carácter / mediante el uso de dos bytes. IIS no
fue escrito ni diseñado para realizar un chequeo de seguridad
en secuencias de sobredimensión. Por esta razón, si se envía
una secuencia sobredimensionada de Unicode en una URL se
evitan los chequeos de seguridad de Microsoft. Si la petición
se realiza desde un directorio marcado como ejecutable, el
atacante puede ejecutar los archivos ejecutables en el
servidor. Puede encontrar información adicional acerca de la
amenaza de Unicode en:

http://www.wiretrip.net/rfp/p/doc.asp?id=57&face=2

9. Desbordamiento de Buffer en extensiones ISAPI

El Microsoft Internet Information Server (IIS) es un servidor
Web que se encuentra en la mayoría de los sitios basados en
Microsoft Windows NT y Microsoft Windows 2000. Cuando se
instala IIS, se instalan también automáticamente varias
extensiones ISAPI. ISAPI, que significa Interfaz de
Programación de Aplicaciones para Servicios de Internet,
permite que los programadores puedan extender las capacidades
de un servidor mediante el uso de DLLs. Varias de las DLLs,
como idq.dll, contienen errores de programación que causan
que éstas realicen un chequeo incorrecto de límites. En
particular no bloquean entradas inaceptablemente largas. Los
atacantes pueden enviar información a estas DLLs, en lo que
se conoce como un ataque por desbordamiento de buffer, y
tomar control de un servidor IIS.

10. Exploit para RDS del IIS (Servicios de información remota
Microsoft)

Microsoft Internet Information Server (IIS) es un servidor
Web que se encuentra en la mayoría de los sitios basados en
Microsoft Windows NT y Windows 2000. Es posible explotar
fallos de programación en los servicios RDS de IIS con el fin
de ejecutar comandos remotos con atributos administrativos.

Habitualmente resultan afectados los sistemas Microsoft
Windows NT 4.0 con Internet Information Server que tengan el
directorio virtual /msadc asociado.

11. NETBIOS - recursos compartidos en red no protegidos

El protocolo SMB (Server Message Block), también conocido
como CIFS (Common Internet File System), permite habilitar la
compartición de recursos a través de la red. Muchos usuarios
permiten el acceso a sus discos con la intención de facilitar
el trabajo en grupo con sus colaboradores. Sin saberlo, están
abriendo sus sistemas a cualquier atacante al permitir el
acceso, tanto de lectura como de escritura, a otros usuarios
de la red. Como ejemplo sirva el caso de una institución del
gobierno de los Estados Unidos dedicada al desarrollo de
software para planificación de misión. Los administradores,
con el objetivo de que algunas personas de otro centro del
gobierno pudieran tener acceso a ellos, compartieron sus
archivos con permisos de lectura para todo el mundo. En tan
sólo dos días, algunos atacantes descubrieron las particiones
compartidas y robaron el software de planificación de misión.

Habilitar la propiedad de compartir archivos en máquinas
Windows las hace vulnerables tanto al robo de información
como a ciertos tipos de virus que se propagan con rapidez.
Las máquinas Macintosh y UNIX son también vulnerables a
ataques de este tipo si los usuarios habilitan la
compartición de archivos.

Los mecanismos SMB que permiten el compartir archivos en
Windows pueden ser también utilizados por posibles atacantes
para obtener información sensible acerca de dichos sistemas.
A través de conexiones de tipo "sesión nula" ("null session")
con el servicio de sesión de NetBIOS es posible obtener
información sobre usuarios y grupos (nombres de usuario,
fecha de la última sesión, política de contraseñas,
información de acceso remoto RAS), sobre el sistema, y
ciertas claves del registro. Toda esta información es útil
para los crackers porque les ayuda a preparar un ataque
contra el sistema consistente en la predicción de posibles
contraseñas o simplemente la averiguación de las mismas por
la fuerza bruta.

12. Fuga de información a través de conexiones de tipo
"sesión nula"

Una conexión de tipo "sesión nula", también conocida como
"entrada anónima al sistema", es un mecanismo que permite a
un usuario anónimo obtener información (como nombres de
usuario y recursos compartidos) a través de la red, o
conectarse sin autenticarse contra el sistema. Este mecanismo
es usado por aplicaciones como "explorer.exe" para enumerar
los recursos compartidos en sistemas remotos. En Windows NT y
Windows 2000 muchos servicios locales se ejecutan sobre la
cuenta del sistema (SYSTEM), conocida como LocalSystem en
Windows 2000. La cuenta SYSTEM se usa para diversas tareas
críticas para el sistema. Cuando una máquina necesita obtener
datos de sistema de otra, la cuenta SYSTEM abrirá una "sesión
nula" contra la otra máquina.

La cuenta SYSTEM tiene virtualmente privilegios ilimitados y
no tiene contraseña, por lo que no es posible entrar en el
sistema como usuario SYSTEM. SYSTEM necesita en ocasiones
acceder a información tal como recursos compartidos
disponibles, nombres de usuario, etc. en otras máquinas --
una funcionalidad del tipo "Entorno de Red". Dado que no es
posible conectarse a otros sistemas utilizando un
identificador de usuario y una contraseña, utiliza una
"sesión nula" para obtener acceso. Desgraciadamente, un
atacante también puede utilizar la "sesión nula" del mismo
modo.

13. Hashing débil en SAM (LM hash)

A pesar de que la mayor parte de los usuarios de Windows no
tienen necesidad de soporte para LAN Manager, Microsoft
almacena las contraseñas LAN Manager por defecto, tanto en
los sistemas Windows NT como en Windows 2000. Dado que LAN
Manager utiliza un esquema de cifrado mucho más débil que el
resto de los utilizados por Microsoft, las contraseñas LAN
Manager pueden ser descifradas en un corto espacio de tiempo.
Incluso aquellas contraseñas más robustas pueden ser
descifradas en menos de un mes. Las mayores debilidades de
los hashes de LAN Manager son las siguientes:

a. Las contraseñas son truncadas a 14 caracteres.
b. Se añaden espacios a las contraseñas para conseguir que
tengan 14 caracteres.
c. Las contraseñas son convertidas a mayúsculas.
d. Las contraseñas son subdivididas en dos bloques de 7
caracteres cada uno.

Esto significa que un programa que descifre contraseñas tiene
que captar tan solo dos contraseñas de 7 caracteres, sin tan
siquiera tener que probar las letras minúsculas. Además, LAN
Manager es vulnerable a la captura por parte de posibles
crackers de las contraseñas de los usuarios a través de la
red.

* Vulnerabilidades más críticas en sistemas Unix

14. Desbordamiento de Buffer en los servicios RPC

Las llamadas a procedimiento remoto (RPCs) hacen posible que
programas que se encuentran ejecutándose en un sistema
ejecuten a su vez otros programas en un segundo sistema. Este
tipo se servicios son ampliamente utilizados para acceder a
servicios de red tales como el compartir archivos a través de
NFS o NIS. Un gran número de vulnerabilidades causadas por
defectos en los RPC han sido activamente explotadas. Existen
evidencias de que la mayor parte de los ataques distribuidos
de denegación de servicio efectuados durante 1999 y
principios del 2000 fueron lanzados desde sistemas que habían
sido comprometidos debido a vulnerabilidades en los RPC. El
amplio y exitoso ataque sufrido por los sistemas del ejército
de los Estados Unidos durante el incidente "Solar Sunrise",
también hicieron uso de un defecto en los RPC que se hallaba
presente en centenares de sistemas del Departamento de
Defensa.

15. Vulnerabilidades en sendmail

Sendmail es un programa que envía, recibe y redirecciona la
mayor parte del correo electrónico procesado en máquinas UNIX
y Linux. Lo extendido de su uso en Internet lo convierte en
uno de los objetivos prioritarios de los crackers. A lo largo
de los años han sido descubiertos en sendmail diversos
defectos. En uno de los ataques más habituales, el atacante
envía un mensaje falsificado a la máquina que está ejecutando
sendmail, éste lee el mensaje y lo interpreta como un
conjunto de instrucciones mediante las cuales la máquina
víctima envía su archivo de contraseñas a la máquina del
atacante (o a otra víctima) donde las contraseñas pueden ser
descifradas.

16. Debilidades en BIND

El paquete Berkeley Internet Name Domain (BIND) es una de las
implementaciones más utilizadas del Servicio de Nombres de
Dominio (DNS) - el importante sistema que nos permite
localizar los sistemas en Internet por su nombre (por
ejemplo, www.sans.org) sin necesidad de utilizar direcciones
IP - lo que la convierte en uno de los blancos favoritos para
los crackers. De acuerdo con un estudio realizado a mediados
de 1999, nada menos que el 50% de todos los servidores DNS
conectados a Internet estaban utilizando versiones
vulnerables de BIND. En un caso que podría servir como
ejemplo de un ataque clásico a BIND, los intrusos borraron
los logs del sistema e instalaron herramientas que les
permitieron conseguir privilegios de administrador.
Posteriormente compilaron e instalaron utilidades para IRC y
herramientas que les permitieron rastrear más de una docena
de redes de clase B en busca de nuevos sistemas con versiones
vulnerables de BIND. En cuestión de minutos, habían utilizado
el sistema en cuestión para atacar a cientos de sistemas
remotos, obteniendo como resultado nuevos sistemas
comprometidos. Este ejemplo ilustra claramente el caos que
puede producirse como resultado de una sola vulnerabilidad en
un software para la gestión de servicios universales en
Internet como puede ser el DNS. Versiones obsoletas de BIND
pueden también ser vulnerables a ataques de desbordamiento de
buffer que los crackers pueden utilizar para obtener acceso
no autorizado.

17. Los comandos "r"

Las relaciones de confianza son ampliamente utilizadas en el
mundo UNIX, especialmente para la administración de sistemas.
Las empresas habitualmente asignan a un único administrador
la responsabilidad sobre docenas o incluso centenares de
sistemas. Los administradores a menudo utilizan relaciones de
confianza a través del uso de los comandos "r" para poder
saltar de sistema en sistema convenientemente. Los comandos
"r" permiten acceder a sistemas remotos sin tener que
introducir ninguna contraseña. En lugar de solicitar un
nombre de usuario y su contraseña asociada, la máquina remota
autentifica a cualquiera que provenga de direcciones IP
"amigas". Si un atacante consigue el control de cualquier
máquina en una red en la que confiamos, él o ella pueden
acceder al resto de las máquinas que confían en la máquina
comprometida. Los siguientes comandos "r" son a menudo
utilizados:

rlogin – inicio de sesión remoto
rsh – shell remota
rcp – copia remota

18. LPD (demonio del protocolo de impresión remota)

En UNIX, el demonio "in.lpd" proporciona los servicios
necesarios para que los usuarios puedan hacer uso de la
impresora local. LPD espera dichas peticiones escuchando en
el puerto TCP 515. Los programadores que desarrollaron el
código que transfiere trabajos de impresión de una máquina a
otra, cometieron un error que se ha traducido en una
vulnerabilidad de desbordamiento de buffer. Si el demonio
recibe demasiados trabajos de impresión en un corto intervalo
de tiempo, éste morirá o permitirá la ejecución de código
arbitrario con privilegios elevados.

19. Sadmind y Mountd

Sadmind permite la administración remota de sistemas Solaris,
proporcionando un interfaz gráfico para labores de
administración de sistemas. Mountd, por otro lado, controla y
arbitra el acceso a los volúmenes NFS en los sistemas UNIX.
Debido a errores de programación cometidos por los
desarrolladores de estas aplicaciones, existe la posibilidad
de utilizar desbordamientos de buffer en las mismas para
conseguir acceso como super-usuario en los sistemas
afectados. En realidad, este punto es un caso particular del
desbordamiento de buffer en los servicios RPC.

20. Nombres de comunidad SNMP por omisión

El Protocolo Simple de Administración de Red (Simple Network
Management Protocol - SNMP) es ampliamente utilizado por los
administradores de red para supervisar y administrar todo
tipo de dispositivos de red, desde enrutadores hasta
impresoras u ordenadores. El único mecanismo de autenticación
que SNMP usa es un "nombre de comunidad" no cifrado. Si la
falta de encriptación ya de por sí es mala, peor aún es que
la mayor parte de los dispositivos SNMP utilicen como nombre
de comunidad por omisión la palabra "public"; algunos
fabricantes de dispositivos de red más "avezados", utilizan
la palabra "private" para la información más sensible. Los
posibles agresores pueden utilizar esta vulnerabilidad en
SNMP para reconfigurar o incluso desactivar dispositivos
remotamente. La captura del tráfico SNMP, por otra parte,
puede revelar una gran cantidad de información sobre la
estructura de la red, así como de los dispositivos y sistemas
conectados a la misma. Toda esa información puede ser
utilizada por parte de los intrusos para seleccionar blancos
y planear ataques. SNMP no es exclusivo del mundo UNIX. Pero
la mayor parte de los ataques de esta índole se producen
contra sistemas UNIX debido a configuraciones SNMP
deficientes. No se ha apreciado, sin embargo, que esto
suponga un gran problema en los sistemas Windows.

Apéndice - Puertos comúnmente vulnerables

Es una lista de los puertos más comúnmente rastreados o
atacados. Bloquear estos puertos constituye tan sólo un
requisito mínimo necesario para la seguridad perimetral y no
una lista exhaustiva para la configuración del cortafuegos.
Una aproximación mucho mejor es bloquear todos aquellos
puertos que no son utilizados, e incluso cuando esté
convencido de que dichos puertos están siendo bloqueados, aún
debería supervisarlos de cerca para detectar intentos de
intrusión.

Sea consciente de que bloquear estos puertos no puede ni debe
sustituir a una solución exhaustiva de seguridad. Incluso si
los puertos están bloqueados, un atacante que haya conseguido
introducirse en su red a través de otros medios (como por
ejemplo un módem, un troyano en un archivo adjunto de correo
electrónico, o una persona interna a la organización), puede
atacar estos puertos si no son debidamente asegurados en cada
uno de los sistemas dentro de su organización.

Servicios de Inicio de Sesión -- telnet (23/tcp), SSH
(22/tcp), FTP (21/tcp), NetBIOS (139/tcp), rlogin et al
(512/tcp a través de 514/tcp)

RPC y NFS-- Portmap/rpcbind (111/tcp y 111/udp), NFS
(2049/tcp y 2049/udp), lockd (4045/tcp y 4045/udp)

NetBIOS en Windows NT -- 135 (tcp y udp), 137 (udp), 138
(udp), 139 (tcp). Windows 2000 - los puertos anteriores y
además el 445(tcp y udp)

X Windows - del 6000/tcp al 6255/tcp

Servicios de Nombres -- DNS (53/udp) a todas las máquinas que
no sean servidores de nombres, transferencias de zona DNS
(53/tcp) excepto desde servidores secundarios externos, LDAP
(389/tcp y 389/udp)

Mail -- SMTP (25/tcp) a todas las máquinas que no sean
encaminadores de correo externos, POP (109/tcp y 110/tcp),
IMAP (143/tcp)

Web -- HTTP (80/tcp) y SSL (443/tcp) excepto a los servidores
web externos, y también puede bloquear otros puertos altos
que son comúnmente utilizados para la ubicación de servicios
HTTP (8000/tcp, 8080/tcp, 8888/tcp, etc.)

"Pequeños servicios" -- puertos inferiores al 20/tcp y
20/udp, y time (37/tcp y 37/udp)

Otros -- TFTP (69/udp), finger (79/tcp), NNTP (119/tcp), NTP
(123/udp), LPD (515/tcp), syslog (514/udp), SNMP (161/tcp y
161/udp, 162/tcp y 162/udp), BGP (179/tcp), SOCKS (1080/tcp)
ICMP-bloquee los mensajes ICMP "echo request" entrantes (ping
y Windows traceroute), "echo reply" salientes, "time
exceeded", y "destination unreachable" excepto los mensajes
"packet too big" (tipo 3, código 4). (Este punto asume que
está dispuesto a renunciar a los usos legítimos de los
mensajes "ICMP echo request" en aras de evitar el uso
malicioso de los mismos).

* Referencias:

Las 20 vulnerabilidades más críticas en Internet
http://www.sans.org/Top20_Spanish.php

The Twenty Most Critical Internet Security Vulnerabilities
http://www.sans.org/top20.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

2 - Parche para Windows XP sin necesidad de Service Pack 1
_____________________________________________________________

http://www.vsantivirus.com/xpdite.htm

Parche para Windows XP sin necesidad de Service Pack 1

Por Redacción VSAntivirus
vsantivirus@videosoft.net.uy

Para algunos usuarios, la instalación del Service Pack 1 de
Windows XP, ha resultado en un sistema más inestable.

Por otra parte, quienes no lo instalen pueden estar
vulnerables al menos a una grave falla de seguridad que
afecta solo a este sistema operativo, y que permite que
cualquiera pueda borrar archivos de su computadora si se hace
clic sobre un enlace maliciosamente construido, tanto al
visitar un sitio Web maligno, como al recibir un mensaje con
formato HTML (ver "Amenaza de borrado de archivos en Windows
XP", http://www.vsantivirus.com/xp-files-del.htm).

Extrañamente, Microsoft no liberó un parche específico para
dicha falla, sino que la corrección de la misma, solo está
incluida en el SP1 de Windows XP.

Existe en la mencionada página de nuestro sitio, una solución
alternativa, que está relacionada con el borrado manual del
archivo conflictivo.

Sin embargo, para aquellos que no se sientan tan cómodos
siguiendo esas instrucciones, o deseen una solución más
automática, Steve Gibson, experto en seguridad y
desarrollador de diversas aplicaciones gratuitas para
solucionar este tipo de problema crítico, ha lanzado XPdite,
una herramienta totalmente gratuita que soluciona el problema
de Windows XP sin necesidad de usar SP1.

El pequeño programa (solo 30 Kb), reemplaza el archivo
vulnerable con uno seguro proveniente del Service Pack 1.

Uno de los problemas ocasionados con el SP1 es el relacionado
con el reconocimiento de identidad. Otros, han visto
desaparecer iconos de su escritorio, o se han enfrentado con
un serio problema de conexión a Internet si utilizan ADSL u
otro tipo de banda ancha.

Pero sobre todo, a la mayoría de los usuarios que solo poseen
conexión a Internet vía módem, les resulta excesivo (y
costoso), la descarga de más de 135 megas de información. Y
aún lo sigue siendo si solo bajan lo mínimo, que son 30
megas.

En todo caso, para corregir la que tal vez sea la falla más
importante de Windows XP, sin instalar el Service Pack 1,
solo es necesario descargar y ejecutar el archivo aquí
mencionado:

http://grc.com/files/XPdite.exe (30 Kb)

* Más información:

Amenaza de borrado de archivos en Windows XP
http://www.vsantivirus.com/xp-files-del.htm

XPdite
http://grc.com/xpdite/xpdite.htm

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________

3 - Señuelos que atrapan a los más jóvenes
_____________________________________________________________

http://www.vsantivirus.com/17-09-02.htm

Señuelos que atrapan a los más jóvenes

Videojuegos y salvapantallas: señuelos utilizados por los
virus para engatusar a los más jóvenes

Por Panda Software (*)

Conscientes del interés que Internet suscita entre los niños
y adolescentes, los autores de virus han creado ejemplares
que emplean como disfraz las principales aficiones de los más
jóvenes y se aprovechan, además, de su descuido y
despreocupación al navegar por la Red.

Entre los "ganchos" más recientes utilizados por los códigos
maliciosos, dirigidos a los mencionados destinatarios,
destacan las descargas de "divertidos" videojuegos o de
atractivos elementos (salvapantallas, fondos de escritorio,
etc.), y las alusiones al fútbol, tal y como ponen de
manifiesto los ejemplos que se mencionan a continuación.

- W32/Kazoa se difunde -mediante la aplicación para
intercambiar ficheros denominada "Kazaa"-, empleando como
señuelo nombres de conocidos juegos de ordenador, películas o
archivos de música.

- W32/Zoek envía mensajes de correo con el asunto: "Maxima
Screensaver!", para incitar a los usuarios a visitar una
dirección de Internet en la que podrán descargar un
salvapantallas. Sin embargo, en realidad, en la mencionada
página lo que realmente se descargarán es este código
malicioso.

- Freedesktop se presenta con la apariencia de una dirección
web en un archivo denominado "www.freedesktopthemes.com".
Mediante este "disfraz" intenta embaucar al usuario,
haciéndole creer que si pincha en el citado fichero
conseguirá fondos de escritorio para su equipo. Sin embargo,
si se pulsa sobre el archivo lo que realmente ocurre es que
Freedesktop se envía a todas las entradas de la libreta de
direcciones de Windows y de los programas de correo
electrónico que estén instalados en el equipo. Al mismo
tiempo, busca la ubicación del servidor de correo que el
usuario emplee habitualmente para establecer una conexión
directa y enviarse de forma masiva.

- BAT/Newo y WorldCup (VBS/Chick.F) se propagan por correo
electrónico en mensajes relativos al mundial del fútbol
disputado recientemente en Corea y Japón.

El hecho de que los códigos maliciosos como los antes
mencionados vayan dirigidos a los más jóvenes -que cada vez
pasan más tiempo conectados a Internet sin tomar medidas de
seguridad, bien por desconocimiento o por descuido, pone de
manifiesto la necesidad de que cuenten con el asesoramiento
adecuado. Éste, sumado a la puesta en práctica de acciones
para proteger los equipos (como rechazar archivos que no se
han solicitado cuando participan en chats, o evitar la
descarga de programas de lugares no seguros), les permitirá
disfrutar de todas las opciones que la Red de Redes pone a su
alcance sin correr riesgos innecesarios.

(*) Artículo proporcionado por María Jesús Villagrán
mjvillagran@pandasoftware.com.uy
PANDA SOFTWARE URUGUAY

(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com
_____________________________________________________________