RESUMEN DE BUGTRAQ DEL 13-02-2000 AL 21-02-2000

Vulnerabilidades en el Servidor Web Personal de Microsoft FrontPage, en servidores de nombres, en NetBSD, en Ultimate Bulletin Board, e incluso en el nuevo Microsoft Windows 2000.

1. Vulnerabilidad de recursividad inversa de directorios en Microsoft FrontPage PWS
2. Vulnerabilidad de amplificación de trafico y NS Route Discovery en servidores de nombres
3. Vulnerabilidad de SNMP Community con acceso de escritura de múltiples vendedores
4. Vulnerabilidad en NetBSD procfs
5. Vulnerabilidad de symlink en /tmp en SCO Unixware ARCserver
6. Vulnerabilidad de falta de protección del compartido ADMIN$ durante la instalación de Microsoft Windows 2000
7. Vulnerabilidad de ejecución de comandos arbitrarios en Ultimate Bulletin Board
8. Vulnerabilidad en autorun.inf de Microsoft Windows

Resumen de Bugtraq del 13-02-2000 al 21-02-2000

1. Vulnerabilidad de recursividad inversa de directorios en Microsoft FrontPage PWS
BugTraq ID: 989
Remoto: S¡
Fecha de publicaci¢n: 16-02-2000
URL relevante: http://www.securityfocus.com/bid/989
Resumen:

El Front Page Personal Web Server de Microsoft seguir  las cadenas ‘/…./’ en las URLs pedidas, lo que permite a usuarios remotos obtener acceso no autenticado de lectura a archivos y directorios en la misma unidad l¢gica donde se encuentra el contenido de la p gina web. Este m’todo tambi’n permite ver los archivos ocultos, aunque no as¡ el directorio mismo de Front Page. El nombre y ruta del archivo deseado debe ser conocido por el atacante.

2. Vulnerabilidad de amplificaci¢n de trafico y NS Route Discovery en servidores de nombres
BugTraq ID: 983
Remoto: S¡
Fecha de publicaci¢n: 14-02-2000
URL relevante: http://www.securityfocus.com/bid/983
Resumen:

Existe un potencial ataque de denegaci¢n de servicio (de aqu¡ en adelante DoS) en la configuraci¢n por defecto de muchos servidores DNS populares. Si un servidor permite que hosts remotos le pregunten por m quina que no son servidas por ‘l mismo causar  un problema de recursividad, con lo que seria posible causar una amplificaci¢n de trafico. Mientras que el numero de paquetes amplificados por un solo servidor no basta normalmente para causar una negaci¢n de servicio, al explotar la naturaleza jer rquica del DNS se hace posible causar que gran cantidad de tr fico se dirija a un solo sitio.

La vulnerabilidad existe en la manera en que los servidores de nombres se comportan cuando no pueden recibir respuestas por un dominio de un servidor de nombres que ellos consideran autoritario. Cuando un servidor recibe una consulta, t¡picamente este es redireccionado hacia arriba en la cadena de servidores de DNS. Si la consulta no puede ser resuelta porque no existe un servidor a la escucha en el host remoto, cada reenv¡o tratar  de resolver el servidor de nombres. Esto se intenta t¡picamente 3 veces, a los 0, 12 y 24 segundos. En este caso, el tr fico se ve significativamente multiplicado. Al abusar de moltiples servidores de nombres es posible enviar gran cantidad de datos a una red dada, con paquetes de hasta 500 bytes.

3. Vulnerabilidad de SNMP Community con acceso de escritura de moltiples vendedores
BugTraq ID: 986
Remoto: S¡
Fecha de publicaci¢n: 15-02-2000
URL relevante: http://www.securityfocus.com/bid/986
Resumen:

En varios sistemas operativos y dispositivos de red existen comunidades por defecto con acceso de escritura para todos. Al ser posible su escritura por parte de todos, permiten a usuarios remotos configurar propiedades del sistema operativo o dispositivo sin ninguna autorizaci¢n m s que el conocimiento del nombre de comunidad.

Algunas de las comunidades/vendedores por defectos son:
public (ascend,cisco,bay networks (nortel),microsoft,sun,3com, aix)
private (cisco,bay networks (nortel),microsoft,3com, brocade, aix)
write (ascend, muy comun)
«all private» (sun)
monitor (3com)
manager (3com)
security (3com)
OrigEquipMfr (brocade)
«Secret C0de» (brocade)
admin
default
password
tivoli
openview
community
snmp
snmpd
system (aix, otros)
el nombre del router (ej. ‘gate’)

Los ataques pueden resultar en actos como la manipulaci¢n de las tablas de rutado, corrupci¢n de la cache de arp, que luego pueden llevar a m s compromisos. Este tipo de vulnerabilidad es conocida desde hace ya tiempo y en la secci¢n de cr’ditos de la url relevante se encuentra disponible m s informaci¢n al respecto.

Pueden existir m s productos con comunidades que por defecto permitan el acceso de lectura/escritura. Si tiene m s informaci¢n sobre productos que puedan ser vulnerables (informaci¢n m s especifica sobre versiones de firmware o correcciones) env¡e un email a y a .

4. Vulnerabilidad en NetBSD procfs
BugTraq ID: 987
Remoto: No
Fecha de publicaci¢n: 16-02-2000
URL relevante: http://www.securityfocus.com/bid/987
Resumen:

Existe una vulnerabilidad en la implementaron del procfs en NetBSD, en versiones hasta la 1.4.1 (incluida). Un atacante podr¡a manipular archivos en la jerarqu¡a /proc//, espec¡ficamente el archivo ‘mem’, para hacer que un programa setuid ejecute un shell como root.

La funcion procfs_checkioperm() protege los acceso a proc//mem. Sin embargo, las aplicaciones que corren bajo uid 0 pueden escribir al archivo mem. Si un proceso setuid puede ser enga_ado para escribir en este archivo, se hace posible manipularlo para ejecutar un shell con privilegios de root. Un posible m’todo que se explica en el aviso de NetBSD logra esto al abrir /proc//mem, y hacer un dup2() a stdout. Tras hacer un seek (lseek() o fseek(), o cualquier otro m’todo para cambiar el offset en el archivo), el proceso padre ejecutar  un binario setuid. Este programa va a heredar el archivo mem como stdout. Este archivo setuid tiene que ser enga_ado al escribir, por ejemplo, un error o mensaje conteniendo el shell code. Mientras tanto, el padre ejecutar  otro programa setuid, cuya pila ser  sobrescrita por el proceso setuid. Esto a su vez causara que un shell con uid 0 sea ejecutado.

5. Vulnerabilidad de symlink en /tmp en SCO Unixware ARCserver
BugTraq ID: 988
Remoto: desconocido
Fecha de publicaci¢n: 15-02-2000
URL relevante: http://www.securityfocus.com/bid/988
Resumen:

Existe una vulnerabilidad de seguimiento de symlink en el agente ARCserver, que viene con SCO Unixware 7. Al inicializarse, el programa asagent crea varios archivos en /tmp. Estos se crean con mode 777, y puede ser borrados y reemplazados por cualquier usuario del sistema. Si son reemplazados por symlinks, es posible crear archivos en cualquier parte del sistema de archivos con root como propietario. Esto no se puede usar para cambiar los permisos de archivos existentes. Sin embargo, el contenido del nuevo archivo es /usr/CYEagent/agent.cfg. Este archivo es escribible por todos.

6. Vulnerabilidad de falta de protecci¢n del compartido ADMIN$ durante la instalaci¢n de Microsoft Windows 2000
BugTraq ID: 990
Remoto: S¡
Fecha de publicaci¢n: 15-02-2000
URL relevante: http://www.securityfocus.com/bid/990
Resumen:

Durante el procedimiento de instalaci¢n de Windows 2000 se crea el recurso compartido ADMIN$. Sin embargo, el password de Administrator (Administrador) aunque sea modificado no se activa hasta el siguiente reinicio. Por lo tanto, durante este periodo de tiempo es posible para cualquier con acceso de red a la maquina el conectarse al compartido como Administrator sin password.

7. Vulnerabilidad de ejecuci¢n de comandos arbitrarios en Ultimate Bulletin Board
BugTraq ID: 991
Remoto: S¡
Fecha de publicaci¢n: 13-02-2000
URL relevante: http://www.securityfocus.com/bid/991
Resumen:

El software Ultimate Bulletin Board de Infopop (llamado habitualmente UBB) es un paquete escrito en perl para ofrecer mensajer¡a v¡a web. Debido a errores en expresiones regulares que chequean los valores ingresados en formularios, es posible ejecutar comandos arbitrarios en un servidor con UBB. Para escribir datos al sistema de archivos del servidor web donde corre UBB se agrega en ubb_library.pl la variable $ThreadFile al final de un string pasado a open() (como un filepath). Se usan expresiones regulares para asegurarse que los datos variables est n en el formato apropiado:

if ($ThreadFile =  /dddddd.ubb/)

y en la versi¢n comercial:

if ($ThreadFile =  /dd.[m|n|ubb|cgi]/) {

Desafortunadamente, las expresiones regulares no requieren que «.ubb» sea el final de los strings, lo que significa que se pueden incluir datos extra despu’s del «.ubb» y el valor aun coincidir  con las expresiones (if $ThreadFile esta correcto) y se pasar  a open(). El valor de $ThreadFile se obtiene directamente de una variable (llamada ‘topic’) «escondida» en un formulario html. Lo que hace de esto una vulnerabilidad posible de ser explotada remotamente.

8. Vulnerabilidad en autorun.inf de Microsoft Windows
BugTraq ID: 993
Remoto: No
Fecha de publicaci¢n: 18-02-2000
URL relevante: http://www.securityfocus.com/bid/993
Resumen:

La opci¢n Autorun de Windows fue dise_ada para permitir que un ejecutable y un icono sean especificados para un medio removible. Al insertarlo, se mostrar  el icono para esa unidad y se llamar  al ejecutable de forma autom tica. Sin embargo, esta opci¢n tambi’n se aplica a unidades fijas, haciendo su abuso mucho m s f cil.

Cualquier usuario con acceso de escritura al directorio ra¡z de una unidad l¢gica puede instalar un ejecutable y especificarlo en un archivo autorun.inf. Luego, cada vez que se acceda a la unidad, el c¢digo ser  ejecutado con los privilegios del usuario actualmente logueado. Esto se puede usar en ataques de escalada de privilegios.

N¢tese que esto tambi’n afecta a las unidades removibles. Pero el que sea posible especificar un c¢digo que se ejecute de forma autom tica en cualquier unidad local lo hace mucho mas sencillo de explotar.

Hernan Ochoa
hochoa@core-sdi.com
Investigacion y Desarrollo – CoreLabs – Core SDI
http://www.core-sdi.com

http://www.hispasec.com