martes, octubre 23, 2007

Core Security Technologies descubrió una vulnerabilidad en el software de mensajería instantánea de AOL

Millones de usuarios utilizando este servicio son vulnerables a distintos métodos de ataques de alto riesgo.

Core Security Technologies, proveedor de CORE IMPACT -el producto más exhaustivo para evaluar la seguridad a nivel corporativo-, publicó una advertencia de seguridad revelando una vulnerabilidad que podría impactar a los millones de usuarios registrados del servicio de mensajería instantánea de América Online (AOL), AIM.

Investigadores de CoreLabs, el brazo dedicado a investigación de Core Security, descubrieron que explotando esta vulnerabilidad, un atacante podría ejecutar, de manera remota, código en una computadora y explotar bugs (o errores) de Internet Explorer sin la intervención del usuario. Específicamente, esta vulnerabilidad afecta a:
AIM 6.1 (y 6.2 beta) – la última versión de la aplicación de mensajería instantánea de AOL, que permite a sus usuarios comunicarse en tiempo real mediante texto, voz y video por Internet.
AIM Pro – la versión empresarial de AOL para usuarios de empresas, que incluye integración de funcionalidades de seguridad adicionales con email de clientes y otras aplicaciones productivas.
AIM Lite – una aplicación desarrollada por AOL que es utilizada para testear nueva tecnología y está disponible al público en la forma de un “cliente liviano de mensajería instantánea”.
“Esta vulnerabilidad plantea un significativo riesgo de seguridad para los millones de usuarios de AIM”, expresó Iván Arce, CTO de Core Security Technologies. “Nuestra compañía ha alertado a AOL sobre esta amenaza y ha entregado detalles técnicos completos sobre esta vulnerabilidad, para que puedan atenderla en sus productos. Desde que los notificamos, esta vulnerabilidad ha aparecido en varios sitios web públicos de búsqueda de errores. Por lo tanto, consideramos que es necesario brindar detalles precisos sobre este tema para clarificar inmediatamente, y permitir que los usuarios y organizaciones que utilizan AIM sean concientes de la amenaza, evalúen el riesgo y tomen las medidas adecuadas para asegurarse de estar protegidos”.

Los usuarios de AIM utilizando software cliente vulnerable deberían cambiarse a las versiones no vulnerables: AIM versión 5.9, la última versión del cliente AIM 6.5 (todavía beta) o AIM Express basado en Web.

Especificaciones de la Vulnerabilidad:
CoreLabs descubrió una vulnerabilidad en AIM 6.1 (y 6.2 beta), AIM Pro y AIM Lite, que expone estaciones de trabajo que corren estos clientes y a sus usuarios a diversos vectores de ataques de alto riesgo. Todos los clientes vulnerables de AIM incluyen soporte para tipos de mensajes mejorados que permiten a los usuarios utilizar HTML para personalizar mensajes de texto con formatos de fuente y color específicos.

Para renderizar este contenido de HTML, los clientes vulnerables de AIM utilizan un control embebido en Internet Explorer. Dado que estos clientes no limpian todo ingreso de datos de contenido potencialmente malicioso de manera adecuada antes de que sea renderizado, un atacante podría insertar código HTML malicioso como parte de un mensaje de mensajería instantánea para explotar errores de Internet Explorer sin la interacción del usuario, o apuntar a debilidades de configuración de seguridad de Internet Explorer.

Al explotar esta vulnerabilidad, los investigadores de CoreLabs descubrieron que los equipos corriendo AIM eran susceptibles a los siguientes métodos de ataque:

Ejecución directa remota de comandos arbitrarios sin la intervención del usuario.
Explotación directa de bugs de Internet Explorer sin que el usuario intervenga. Por ejemplo, explotando bugs que normalmente requieren que el usuario haga clic en una URL proveída por el atacante pueden ser explotadas directamente usando este vector de ataque.
Inyección directa de código de scripting en Internet Explorer, por ejemplo, inyección remota.
Código JavaScript en el control de IE embebido del cliente AIM.
Creación remota de una instancia de controles Active X en la correspondiente zona de seguridad.
Ataque de cross site request forgery y manipulación de token y cookie utilizando HTML embebido.

Para protegerse contra potenciales ataques, Core Security recomienda que los usuarios descarguen una versión no vulnerable de AIM, como Classic AIM 5.9 o la versión beta del próximo lanzamiento 6.5.3.12, o usen el servicio de AOL AIM Express basado en la Web hasta que el problema sea solucionado por AOL.

AOL ha reconocido la situación y recomienda que los usuarios de AIM migren a la última versión del cliente beta de AIM, que se encuentra en beta.aol.com.

Para mayor información sobre esta vulnerabilidad y los sistemas afectados visite
http://www.coresecurity.com/?action=item&id=1924

Acerca de CoreLabs
CoreLabs, el centro de desarrollo de Core Security Technologies, está a cargo de anticipar las necesidades y requerimientos futuros para tecnologías de seguridad de la información. La investigación es llevada a cabo en diversas áreas importantes de la seguridad de las computadoras, incluyendo vulnerabilidades de sistemas, simulación y planeamiento de ciber ataques, auditoría de código fuente y criptografía. Los resultados de estos esfuerzos abarcan la formalización del problema, identificación de vulnerabilidades, soluciones originales y prototipos para nuevas tecnologías.

CoreLabs publica regularmente advertencias de seguridad, papers técnicos, información de proyectos y herramientas de software compartidas de uso público en http://www.coresecurity.com/corelabs/


Acerca de Core Security Technologies
Core Security Technologies desarrolla soluciones estratégicas que ayudan a las organizaciones alrededor del mundo, preocupadas por la seguridad informática, a desarrollar y mantener un proceso proactivo para asegurar sus redes. El producto insignia de la compañía, CORE IMPACT, es el primero en automatizar las prácticas de tests de intrusión para evaluar amenazas específicas de la seguridad de la información. IMPACT evalúa las vulnerabilidades de los servidores, de las estaciones de trabajo y de las aplicaciones de los usuarios, incluyendo navegadores y clientes de mail. Esto permite a las organizaciones determinar si sus inversiones actuales en seguridad están detectando y previniendo ataques.

Core Security Technologies potencia su solución de tecnología líder con servicios de consultoría en seguridad “World Class”, incluyendo tests de intrusión, auditoría de seguridad de software y capacitación. Core Security Technologies tiene su centro de investigación y desarrollo en Buenos Aires, Argentina, y su oficina comercial en Boston, MA Estados Unidos.

Para mayor información: (+5411) 5556-2673 / www.coresecurity.com

No hay comentarios.: