Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

LiveUpdate permite la descarga de código hostil
 
VSantivirus No. 459 - Año 5 - Miércoles 10 de octubre 2001

LiveUpdate permite la descarga de código hostil
Por Redacción VSAntivirus

LiveUpdate es la herramienta incluida en la mayoría de los productos de Symantec, y es la que permite descargar las actualizaciones de los mismos (Norton Antivirus, etc.).

Según un reporte de Phenoelit Group (http://www.phenoelit.de), dicha aplicación es vulnerable a un ataque, pudiendo ser usada para descargar cualquier tipo de código hostil (troyanos, virus, etc.), y para obtener el acceso total a la computadora atacada.

Cuando LiveUpdate se ejecuta (manualmente o como tarea programada), busca el servidor update.symantec.com. Un atacante pueda realizar varios ataques posibles con la falla reportada, para devolver información falsa.

Cuando el host de LiveUpdate intenta conectarse al sitio de actualización (update.symantec.com), podría estar conectándose a un servidor FTP implementado por el atacante.

Puede hacérsele creer entonces, que está bajando el archivo LIVETRI.ZIP, normalmente en /opt/content/onramp del servidor, el cual a su vez contiene un archivo llamado LIVEUPDT.TRI, conteniendo una completa lista de todas las actualizaciones de los productos de Symantec.

Si esto es así, al conectarse, LiveUpdate recibirá el archivo especificado en formato ZIP, lo descomprimirá y realizará las acciones especificadas en el archivo con extensión .DIS. Estas acciones incluyen la ejecución de los archivos descargados.

Si estas acciones pueden ser simuladas por el atacante, es fácil deducir que podría ser ejecutado cualquier tipo de programa, incluyendo código malicioso (virus, troyanos, etc.).

Las versiones 1.6 de LiveUpdate utilizan archivos de actualización diferentes, comprimidos con una rutina propia de Symantec, y con firmas criptográficas, impidiendo puedan ser explotadas estas vulnerabilidades del mismo modo.

Sin embargo, se pueden generar archivos lo sumamente grandes como para provocar la caída de un sistema debido al tráfico generado, en el caso de computadoras conectadas a redes empresariales que intenten actualizarse.

Además, como esta versión no usa la firma criptográfica para verificar la lista inicial, LIVEUPDT.TRI, una simple consecuencia del ataque, sería impedir la correcta actualización de los productos, con la falsa sensación de seguridad que esto podría ocasionar en el caso del antivirus, por ejemplo.

A pesar de ello, la solución más inmediata para aminorar los riesgos, es pasarse a la versión 1.6.x de LiveUpdate, debido a que los riesgos son menores en relación a la versión 1.4.

El último LiveUpdate 1.6.x está disponible en http://www.symantec.com/techsupp/files/lu/lu.html

Las próximas versiones, es posible corrijan estas fallas, aunque no hay repuesta oficial de Symantec.

Una comparación con las versiones instaladas, permite decidir si se requiere una actualización.

Versiones afectadas:

Symantec LiveUpdate 1.4
Symantec LiveUpdate 1.6

Referencias:

Phenoelit Advisory <wir-haben-auch-mal-ser-gefunden #0815>
http://www.phenoelit.de/stuff/LiveUpdate.txt


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com 		 

Copyright 1996-2001 Video Soft BBS