Grave vulnerabilidad en PCAnywhere


Se ha publicado una vulnerabilidad en PCAnywhere que permite ejecutar código en el sistema donde esté corriendo la aplicación. Esto es especialmente grave puesto que la aplicación, por diseño, está pensada para ser accesible en remoto.





PCAnywhere es una popular aplicación comercial de control remoto creada por la empresa Symantec que permite a los usuarios administrar un ordenador a distancia. Esto es especialmente útil para situaciones donde el acceso físico no sea posible, para tareas de soporte en remoto, etc., por lo que suele estar accesible en redes abiertas. En el servidor, el proceso escucha por defecto en el puerto TCP 5631.

En el servidor, los procesos de conexión los maneja el componente awhost32. En este proceso existe un fallo a la hora de validar o filtrar los datos de acceso introducidos por el usuario, lo que permite un desbordamiento de memoria intermedia. Si se envían peticiones especialmente manipuladas, se podría ejecutar código arbitrario en el equipo con privilegios de SYSTEM (los máximos en Windows).

Symantec conocía el problema desde agosto de 2011, aunque a pesar de su gravedad se ha hecho público ahora. Fue reportado de forma privada a través de ZDI, y ahora han coordinado una solución. Aunque en teoría el gravísimo problema fuese conocido solo por el descubridor, ZDI (que "compró" la vulnerabilidad al descubridor) y por Symantec, esto siempre conlleva riesgos. Durante cinco meses, se puede desde filtrar la información hasta ser descubierta por cualquier otro investigador de forma independiente, y quizás con otras intenciones.

El fallo recuerda al que sufrió VNC en mayo de 2006. No se trataba entonces de un problema de desbordamiento de memoria intermedia, pero permitía eludir la autenticación en el servidor. Aun hoy se pueden encontrar muchos servidores con versiones no corregidas de este programa.

Los administradores de PCAnywhere que no hayan modificado el puerto por defecto, restringido el rango de direcciones que pueden conectarse, protegido el proceso con DEP, ASLR, o tomado otras consideraciones de seguridad básicas, tienen un grave problema hasta que actualicen. El fallo ya ha sido corregido y se recomienda actualizar a la última versión disponible lo antes posible.

Más información:

Security Advisories Relating to Symantec Products - Symantec pcAnywhere Remote Code Execution, Local Access File Tampering

http://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=2012&suid=20120124_00

Symantec PCAnywhere awhost32 Remote Code Execution Vulnerability
http://www.zerodayinitiative.com/advisories/ZDI-12-018/

Fuente:
Por
Daniel Vaca
Sergio de los Santos

http://www.hispasec.com



Otras noticias de interés:

Microsoft solucionará 49 vulnerabilidades!
Si ya los usuarios no tenían suficiente con los 23 parches que arregló Adobe esta última semana, ahora deberán concentrarse en su sistema operativo, ya que en su ciclo habitual de actualizaciones que publica Microsoft los segundos martes de cada ...
Generación de contraseñas robustas
He encontrado en el sitio elladodelmal.com un excelente post sobre Generación de contraseñas, el cual paso a compartir con ustedes:...
Curso Nivel I PHP en Caracas - Venezuela (18 y 19 abril 2009)
PHP de Venezuela ha abierto inscripciones para el curso de Nivel I de PHP & Mysql...
OpenOffice la alternativa Libre del MSOffice
Cerca del 90% del mercado de la productividad ofimática responde a Microsoft Office. No obstante, OpenOffice.org intenta hacerle frente a un precio imbatible, y con un rendimiento y unas características que para nada se reflejan en el valor nulo de...
Windows 2000 corriendo sobre XBox.
Los chicos de Xbox Linux Project han conseguido correr Windows 2000 dentro de la popular consola de Microsoft, por supuesto via Linux ;-). ...
Entrevista: J4iber y Hanowar, los Latin American Defacers
Hablan los autores del ataque al website de la ONIDEX y otros 23 sitios del gobierno Venezolano J4iber: Mi misión es hacer que los webmasters estén mas pendientes de sus webs / Hanowar: Decidimos no atacar más para evitar que sea visto como al...
Vulnerabilidad en las versiones anteriores a la 5.0.9 de Net-SNMP
Se ha descubierto una vulnerabilidad en el paquete Net-SNMP (versiones anteriores a la 5.0.9 ) en sistemas Linux. La explotación de esta vulnerabilidad puede permitir que un atacante remoto consiga información sobre el sistema....
aMSN 0.93 Liberado
Finalmente se ha liberado AMSN 0.93. Se han realizado muchos cambios y correcciones, se han añadido algunas interesantes nuevas características y, a pesar de que muchos usuarios no se den cuenta, se han limpiado y reescrito grandes partes del códi...
Múltiples vulnerabilidades en RealPlayer 10.x y 11.x
Se han encontrado múltiples vulnerabilidades de desbordamiento de búfer en RealPlayer 10.x y 11.x que podían ser explotadas por un atacante remoto para causar una denegación de servicio en Internet Explorer u otra aplicación que haga uso del con...
Botnets peer-to-peer, las inmortales
La semana pasada el FBI se hizo con la botnet Coreflood una importante red de ordenadores zombis que se había utilizado para robar información personal por valor de cientos de miles de dólares. Sin embargo, la captura se basó en una debilidad imp...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • grave
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pcanywhere
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidad
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra