Forum: HispaMSX BBS

=?iso-8859-1?q?una-al-dia_=2801/12/2008=29_=BFEs_cierto_que_Microsoft_h

From noticias@hispasec.com@2:341/201.99 to All on Tue Dec 2 05:35:00 2008

----------------------------SPOT--------------------------
SERVICIOS ANTIPHISHING y ANTITROYANOS DE HISPASEC SISTEMAS

Hispasec Sistemas ofrece sus servicios antifraude, antiphishing y
antitroyanos, dirigidos a entidades bancarias y sitios de comercio
electr�nico.

M�s informaci�n en:
http://www.hispasec.com/corporate/antiphishing.html

info@hispasec.com Telf. 902 161 025 ----------------------------SPOT--------------------------

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-d�a 01/12/2008
Todos los d�as una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

�Es cierto que Microsoft ha corregido ahora una vulnerabilidad de
hace siete a�os? (I)
-----------------------------------------------------------------

Mucho est� dando que hablar el bolet�n MS08-68 de Microsoft. Se dice que
por fin, ha corregido una vulnerabilidad conocida desde hace siete a�os.
Pero esto, como cualquier simplificaci�n, no es del todo cierto. No es
una vulnerabilidad como tal, ni ha sido corregida por completo, porque
no se puede. Vamos a intentar aclarar algunos asuntos en dos entregas.

El protocolo NTLM

Es un protocolo de autenticaci�n basado en un intercambio
desaf�o-respuesta, usado por Microsoft desde hace muchos a�os. Sirve
para autenticar a un ordenador que quiere, por ejemplo, acceder a una
unidad compartida de una red en otro sistema, sin que la contrase�a
viaje en texto claro. Durante el protocolo de autenticaci�n, se
intercambian tres (tipos de) mensajes desaf�o-respuesta.

* Mensaje 1: El cliente le cuenta al servidor los distintos tipos de caracter�sticas de cifrado y otros par�metros, para que los dos sepan
qu� es lo que pueden soportar y esperar uno del otro.

* Mensaje 2: Este es el que devuelve el servidor al cliente que se
quiere autenticar. En �l viaja el desaf�o, que no es m�s que un trozo de
datos aleatorios con el que el servidor desaf�a al cliente: "Si sabes
manipular este trozo de datos correctamente con tu contrase�a, entonces
s� que eres quien dices ser".

* Mensaje 3: En �l se encuentran las respuestas que ha calculado el
cliente, esto es, el c�lculo de la combinaci�n contrase�a-desaf�o con el
que el cliente pretende autenticarse.

Hay que destacar que el protocolo NTLM se usa para SMB (compartici�n de archivos) principalmente, pero tambi�n puede usarse para autenticaci�n
HTTP, POP3, SMTP... es importante porque el uso combinado de dos
protocolos sirve para otros tipos de ataque que veremos en la pr�xima
entrega.

El problema

El protocolo NTLM fue bien acogido y muy implantado en sistemas de todo
tipo. Pero en 2001 se public� un ataque que se aprovechaba de este
dise�o, y que resultaba inherente al protocolo. No se trata de una vulnerabilidad sino de un fallo de dise�o, y esto, virtualmente, lo hace insalvable. Un protocolo no puede cambiar de la noche a la ma�ana, y
menos cuando lleva tantos a�os implantado.

El mecanismo de autenticaci�n de NTLM garantiza la confidencialidad de
la contrase�a gracias al uso de un desaf�o, pero no es posible para el
cliente verificar el origen de este desaf�o ni la integridad del
paquete. Un servidor SMB creado por el atacante podr�a proporcionar al
cliente un desaf�o obtenido en otra conexi�n, y utilizar el resultado de
la autenticaci�n para autenticarse en esa otra conexi�n. Ni siquiera
tiene la necesidad de conocer la contrase�a en texto claro.
Simplificando, se trata de "enga�ar" a un cliente para que cifre un
desaf�o y usar su respuesta para autenticarte en otro sistema como si
fueras el cliente enga�ado. Para enga�arlo s�lo es necesario montar un
servidor SMB por ejemplo y que la v�ctima se conecte. Se retiene la
conexi�n y se realiza el ataque cuando se obtenga la respuesta.

Esta vulnerabilidad es conocida como "replay attack". Sin saber la
contrase�a de la v�ctima, se puede deambular por una red accediendo a
los recursos como si se fuese el sistema atacado, replicando la
respuesta al desaf�o. En 2001, Sir Dystic (miembro de The Cult of the
Dead Cow) public� la primera herramienta capaz de realizar ataques de
"replay attack" contra el protocolo NTLM, llamada SmbRelay. Era muy
inestable y s�lo v�lida para NT. M�s adelante existi� una herramienta
m�s sofisticada llamada SmbRelay2. Bas�ndose en el mismo fallo, se puede
hablar del "reflection attack", que implica usar el desaf�o de la
v�ctima para devolv�rselo firmado por ella misma y entrar en su sistema
con las credenciales del usuario (pero sin saberlas). En vez de
utilizarlas para acceder a otro recurso de red, se usan para entrar en
el sistema que ha "picado" con el ataque.

�Qu� ha hecho Microsoft durante estos siete a�os para atajar estos
problemas? �Est� totalmente corregido este fallo con esta actualizaci�n?
Lo veremos en la pr�xima entrega.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3691/comentar

M�s informaci�n:

Microsoft Security Bulletin MS08-068 -- Important http://www.microsoft.com/technet/security/bulletin/ms08-068.mspx

Andr�s Tarasc�
http://www.tarasco.org/security/smbrelay/paper_smbrelay_ES.pdf

Sergio de los Santos
ssantos@hispasec.com

Tal d�a como hoy:
-----------------

01/12/2007: Actualizaci�n del kernel para productos Red Hat Enterprise Linux 5.x
http://www.hispasec.com/unaaldia/3325

01/12/2006: Parche acumulativo para Mac OS X corrige hasta 31 vulnerabilidades
http://www.hispasec.com/unaaldia/2960

01/12/2005: Escalada de privilegios en Cisco Security Agent 4.x para Windows
http://www.hispasec.com/unaaldia/2595

01/12/2004: Vulnerabilidades en navegador Netscape 7 para Sun Solaris 7, 8 y 9
http://www.hispasec.com/unaaldia/2230

01/12/2003: Gusano invisible a filtros y antivirus perimetrales
http://www.hispasec.com/unaaldia/1863

01/12/2002: Nuevo resumen trimestral del CERT
http://www.hispasec.com/unaaldia/1498

01/12/2001: Vulnerabilidad WU-FTPD
http://www.hispasec.com/unaaldia/1133

01/12/2000: "Santa": los gusanos hacen su agosto en navidad
http://www.hispasec.com/unaaldia/768

01/12/1999: Otro problema de seguridad en el servidor POP3 de Qualcomm, solucionado
http://www.hispasec.com/unaaldia/400

01/12/1998: NT no se libra del 2000
http://www.hispasec.com/unaaldia/35

-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2008 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)

Who's Online
Recent Visitors
- Guest
  from Polaris, Alpha Centauri via Telnet
- Volcanicsugar39
  from Coatzintla Veracruz Mexico via Telnet
- Guest
  from Amf via Telnet
- Guest
  from Eindhoven, Nl via Telnet

System Info

Sysop:	Karloch
Location:	Madrid, Spain
Users:	75
Nodes:	8 (0 / 8)
Uptime:	24:14:52
Calls:	1,495
Calls today:	2
Files:	17,895
D/L today:	428 files (15,368K bytes)
Messages:	65,841

=?iso-8859-1?q?una-al-dia_=2801/12/2008=29_=BFEs_cierto_que_Microsoft_h

Who's Online

Recent Visitors

System Info