Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

Controlado desde el
19/10/97 por NedStat

Ejecución de código en productos ISS vía ICQ
 
VSantivirus No. 1354 Año 8, domingo 21 de marzo de 2004

Ejecución de código en productos ISS vía ICQ
http://www.vsantivirus.com/vul-iss-pam-icq.htm

Por Angela Ruiz
angela@videosoft.net.uy


Una vulnerabilidad crítica ha sido descubierta en el componente PAM (Protocol Analysis Module), compartido por todos los productos de ISS (Internet Security Systems). ISS desarrolla diversos productos de seguridad como BlackICE y RealSecure. 

El Protocol Analysis Module (PAM), facilita el análisis sintáctico de los protocolos de red para realizar comprobaciones adicionales y detección de ataques.

ICQ es una popular aplicación de mensajería instantánea desarrollada por ICQ Inc., una subsidiaria de America Online (AOL). Para identificar ataques que apuntan al software de mensajería instantánea, PAM analiza sintácticamente varios de esos protocolos, incluyendo ICQ.

Una rutina del PAM que monitorea las respuestas de ICQ Server, contiene una serie de vulnerabilidades basadas en desbordamientos de pila. La pila (stack), es el espacio de memoria reservada para almacenar las direcciones de retorno en la ejecución de cada rutina y otra información importante para la ejecución de los programas. Un desbordamiento de búfer (recibir más datos de los esperados), puede ocasionar que la pila se sobrescriba en partes críticas de la memoria del programa.

Todos los productos de ISS, asumen una solicitud de un servidor ICQ, cuando la fuente de un paquete UDP entrante, es el puerto 4000. Si la rutina incorporada del componente PAM recibe una determinada respuesta (SRV_META_USER), los datos como nombre de usuario (nickname), primer y último nombre y dirección electrónica, se guardan en diferentes búferes.

Cuando la rutina maneja estos datos, cada uno de estos búferes es copiado en forma temporal, en otro de 512 bytes dentro de la pila, sin ninguna clase de comprobación de la validez de su contenido.

El ataque puede ser implementado a través de la creación de dos clases de paquetes especialmente modificados para provocar que el stack y por lo tanto la memoria del programa, puedan ser corrompidos, con la posibilidad de ejecución de código. Ya existe por lo menos un gusano que se vale de este fallo, (W32/Witty.A, http://www.vsantivirus.com/witty-a.htm).

Por la naturaleza del protocolo UDP, la mayoría de los productos de identificación son incapaces de mantener registros o el estado del flujo de paquetes durante una conexión, y por ello este fallo puede ser explotado con un solo datagrama falsificado.

En las pruebas realizadas, se pudieron comprometer con éxito, instalaciones protegidas con BlackICE con la configuración "paranoid" habilitada, y las protecciones de aplicaciones también habilitadas, aún con soporte para compartir archivos y entornos de redes deshabilitados.

Como el motor de BlackICE y el de RealSecure escuchan constantemente por paquetes recibidos del emisor, la vulnerabilidad puede ser explotada simultáneamente a través de cada host vulnerable dentro de una red, publicando un único datagrama UDP modificado.

Son vulnerables los siguientes productos y todas sus versiones anteriores:
  • BlackICE Agent for Server 3.6 ecf
  • BlackICE PC Protection 3.6 ccf
  • BlackICE Server Protection 3.6 ccf
  • Proventia A Series XPU 22.11
  • Proventia G Series XPU 22.11
  • Proventia M Series XPU 1.9
  • RealSecure Desktop 3.6 ecf
  • RealSecure Desktop 7.0 ebl
  • RealSecure Guard 3.6 ecf
  • RealSecure Network 7.0, XPU 22.11
  • RealSecure Sentry 3.6 ecf
  • RealSecure Server Sensor 6.5 for Windows SR 3.10
  • RealSecure Server Sensor 7.0 XPU 22.11

El vendedor ha realizado parches para todos sus productos, los que están disponibles en el siguiente enlace:

http://www.iss.net/download/


Más información:

Vulnerability in ICQ Parsing in ISS Products
http://xforce.iss.net/xforce/alerts/id/166

ISS PAM ICQ Server Response Processing Vulnerability
http://www.eeye.com/html/Research/Advisories/AD20040318.html


Créditos:

Riley Hassell y Barnaby Jack (eEye Digital Security)




(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2004 Video Soft BBS