31 de diciembre de 2010

DETECTADO ATAQUE “XSS” EN “WORDPRESS”

Se ha encontrado una vulnerabilidad crítica en la biblioteca HTML de la versión 3.04 del gestor de contenidos.

Los ataques XSS están basados por lo general en la explotación de vulnerabilidades del sistema de validación de HTML incrustado y pueden ser utilizados para robar información de acceso u otros datos comprometidos de los usuarios de una web en particular.

Detalles técnicos:

  • La versión 3.0.4 de WordPress contendría esta brecha que, Matt Wulleweg, uno de los desarrolladores claves de la plataforma, habría definido como ‘crítica’.
  • En concreto, se hallaría en KSES, la biblioteca particular de HTML de WordPress y sería muy similar a la que afectó a los usuarios de Twitter recientemente, según explica ReadWriteWeb.

Recomendaciones:

Los clientes que usen WordPress.com como plataforma para alojar sus páginas o blogs no deberán preocuparse ya que las actualizaciones de seguridad automáticas se les envían de forma automática.

Fuente: ITespresso

DESCUBREN UN TROYANO MUY SOFISTICADO QUE ATACA A DISPOSITIVOS "ANDROID"

Este troyano ha sido descubierto por la firma de seguridad Lookout Mobile Security y responde al nombre de “Geimini” y parace ser que fue creado en China.

Los expertos en seguridad advierten de que “es el malware para Android más sofisticado que se ha descubierto hasta la fecha”

Aunque parece que las probabilidades de resultar infectados son bastante bajas ya que se está distribuyendo a través de tiendas de aplicaciones no oficiales en China.

Detalles técnicos:

“Geimini” tiene la capacidad de funcionar como una botnet, una vez que se instala en el teléfono puede captar información personal del dispositivo y enviarla a servidores remotos y ser controlado de forma remota.

Características:

  • Según explican los expertos en seguridad, el troyano se introduce en los smartphones con Android a través de versiones de aplicaciones legítimas.
  • Al parecer, en la mayor parte de las ocasiones utiliza apps de juegos para camuflarse.

Fuente: The Inquirer

30 de diciembre de 2010

SALTO DE RESTRICCIONES EN “ IBM WebSphere “

Anunciada nueva vulnerabilidad en IBM WebSphere Service Registry and Repository 7.0, que podría ser empleada por usuarios maliciosos para evitar determinadas restricciones de seguridad.

Detalles técnicos:

  • La vulnerabilidad está en una interfaz EJB que no realiza de forma adecuada los controles de validación de acceso.
  • Un atacante podría hacer uso de este problema para evitar el proceso de autenticación y realizar acciones administrativas mediante el uso de la API.

Recomendaciones:

  • Se recomienda actualizar a la versión 7.0.0 Fix Pack 1 (7.0.0.1) ó aplicar el APAR IZ72563 desde el sitio siguiente:

http://www-01.ibm.com/support/docview.wss?uid=swg24026132

Fuente: Hispasec

GRAVE VULNERABILIDAD EN “INTERNET EXPLORER”

Microsoft ha advertido de un importante fallo de seguridad en Internet Explorer que permite a los hackers tomar el control de los ordenadores sin protección.

"Este tipo de vulnerabilidad es el más grave, ya que permite la ejecución remota de código. Significa que el atacante puede ejecutar programas, tales como malware, directamente en el ordenador de la víctima", ha explicado uno de los analistas de Trend Micro, Rik Ferguson.

Detalles técnicos:

  • Todo apunta a que el fallo está originado por el sistema con que el navegador muestra la apariencia de las webs (sistema Cascading Style Sheets).
  • Los hackers podrían utilizar un fallo en ese sistema para introducir su propio código y hacerse con el control del ordenador, pudiendo extraer los datos de los usuarios y realizar acciones remotas.
  • Cualquier persona con IE 6 a 8 puede ser potencialmente afectada.
  • El código para explotar el bug ya ha sido publicado

Recomendaciones:

  • No existe recomendaciones al respecto, pero lo lógico sería proteger el ordenador con antivirus y cortafuegos para seguir utilizándo el Internet Explorer ó dejar de usar el navegador de Microsoft.
  • Desde Microsoft se asegura que están trabajando en solucionar el problema.

Fuente: www.abc.es

"SKYPE" PERMITE VIDEOLLAMADAS EN "IPHONE"

La última versión de Skype de su aplicación para iPhone permitirá videollamadas gratuitas a través de redes 3G y WiFi.


Los usuarios podrán realizar videollamadas de Skype con el iPhone a través de una conexión de datos 3G o WiFi.
  • Con el servicio de videollamadas se pueden hacer y recibir llamadas gratuitas de Skype a Skype, llamar a teléfonos móviles o fijos de todo el mundo a tarifas muy bajas y, ahora también, usar el vídeo con Skype para iPhone.

La nueva aplicación de Skype para iPhone es compatible con:

  • iPhone 4,
  • iPhone 3GS
  • iPod Touch i0S 4.0 o superior.
También se puede recibir vídeo en los dispositivos de la generación de iPod Touch 3 y iPad pero se advierte que es posible que se apliquen cargos adicionales.

Fuente: www.elpais.com

28 de diciembre de 2010

PREDICCIONES DE SEGURIDAD INFORMATICA EN 2011

Los expertos en seguridad predicen un “año negro” para la seguridad de los dispositivos de Apple, que podría verse afectada en mayor medida que los productos de otras marcas.

Principales previsiones de Seguridad para 2011:

  1. McAfee Labs advierte que el malware de Mac aumentará su sofisticación en 2011 y que los ataques pueden conllevar serios problemas ya que dispositivos como el iPad o el iPhone cada vez se usan más en el entorno empresarial.
  2. El resto de objetivos para la “industria del mal” de cara al próximo año serán por ejemplo las URL acortadas que se utilizan para compartir enlaces a través de Twitter. (los usuarios de Twitter se han acostumbrado a hacer clic en ellas sin pensarlo mucho, poniéndoselo muy fácil a los ciberdelincuentes ).
  3. También los servicios de geolocalización al estilo Foursquare se van a convertir en blanco de los ataques ya que facilitan el camino para conocer a las víctimas porque “en sólo unos pocos clics los ciberdelincuentes pueden ver en tiempo real donde se encuentra, qué está diciendo, cuáles son sus intereses, y qué sistemas operativos y aplicaciones está utilizando”.
  4. Por otra parte, el malware se va a cebar también en 2011 con los dispositivos móviles (una tendencia que ya hemos observado). Especialmente vulnerables serán la Google TV y los smartphones en general.
  5. Para terminar, McAfee prevé que en el próximo año saldrán “imitadores de WikiLeaks” y que el ciberactivismo se confirmará como una nueva forma de manifestación política.

Fuente: The Inquirer

EJECUCIÓN DE CÓDIGO ARBITRARIO EN EL EDITOR DE CUBIERTAS DE FAX EN WINDOWS

Anunciada otra vulnerabilidad en Windows, que ahora afecta al editor de páginas de cubierta de fax (Fax Cover Page Editor), que podría permitir a ciberdelincuentes controlar los sistemas afectados.

Detalles técnicos:

  • El fallo consiste en un desbordamiento de memoria intermedia basada en heap en la función 'CDrawPoly::Serialize' localizada en el archivo 'fxscover.exe' que un ciberdelincuente podría aprovechar para ejecutar código arbitrario a través de un fichero Fax Cover Page (.cov) especialmente manipulado.
  • La aplicación vulnerable viene por defecto instalada en Windows XP y Server 2003, también está disponible a través del programa "Windows Fax and Scan" para Vista, Windows Server 2008 y Windows 7.

Recomendaciones:

Como contramedida se recomienda no abrir archivos ficheros Fax Cover Page '.cov' de fuentes no fiables.

Fuente: Hispasec

DESBORDAMIENTO DE BÚFER EN “ SAP Crystal Reports “

Anunciada una vulnerabilidad en SAP Crystal Reports 2008 SP3 Fix Pack v3.2 que permitiría a un atacante remoto la ejecución de código arbitrario en los sistemas afectados.

Detalles técnicos:

El fallo se origina en un desbordamiento de búfer en el control ActiveX "CrystalReports12.CrystalPrintControl.1" (PrintControl.dll) al tratar código HTML específicamente manipulado que un atacante remoto podría utilizar para ejecutar código arbitrario si el usuario afectado visita una página web maliciosa (el código se ejecutará con los privilegios del usuario afectado).

Recomendaciones:

Seguir recomendaciones de la URL correspondiente a la nota de seguridad 1539269 de SAP:

https://websmp130.sap-ag.de/sap/support/notes/1539269

Fuente: Hispasec

25 de diciembre de 2010

Los cibercriminales utilizan un exploit para introducir spam en Google

Los Hackers crean un ingenioso sistema que utiliza un exploit para conseguir introducir spam en las búsquedas de google

La empresa de seguridad informatica Sucuri.net ha desvelado que en los buscadores circula un nuevo exploit que añade un modulo especial a muchos servidores webs Apache, y que podría en algunos casos retornar enlaces que contengan spam.

Detalles técnicos:

El modus operandi de los hackers es relativamente sencillo, ya que para obtener acceso al directorio raíz, emplean un exploit SSH o CMS e instalan un pequeño módulo que vigila el tráfico web que recibe la página y que por desgracia no se puede localizar en el código fuente de la misma.

Webs afectadas por el exploit:

    • www.jmkac.org
    • www.legal-library.co.uk
    • www.thedigest.com
    • www.tumenprogram.org
    • www.uinteramericana.edu
    • www.umoncton.ca
    • www.unionsportsmen.org
    • www.uwest.edu
    • www.wcwonline.org
Fuente: The Inquirer

VULNERABILIDAD DEL SERVICIO “ FTP en IIS 7.x “

El investigador Matthew Bergin ha descubierto una vulnerabilidad en el servicio FTP integrado en la versión 7.5 de IIS en Windows 7 haciendo público todos los detalles técnicos y el exploit.


Detalles técnicos:

  • El fallo se debe a un desbordamiento de memoria intermedia en la función 'OnSendData'.
  • Este fallo podría ser aprovechado por un atacante remoto (sin necesidad de poseer usuario en ese FTP) para causar una denegación de servicio a través de peticiones de usuario especialmente manipuladas.
  • Por tratarse de un desbordamiento de memoria intermedia podría llegar a permitir la ejecución de código arbitrario, pero de momento, no ha sido demostrado que pueda ser explotado con dicho fin.
Software afectado:

Microsoft incluye el "paquete" IIS, en:

  1. El servidor web IIS y un servidor FTP que no se instala por defecto.
  2. La versión 7.5 de IIS se encuentra disponible para Windows 2008 y Windows 7.
Fuente: Hispasec

Vulnerabilidad “día cero” en todas las versiones de Internet Explorer

El investigador de seguridad Shahin Ramezany dijo en un tweet que fue capaz de explotar la vulnerabilidad, que consiste en la forma en que IE maneja Hojas de estilo CSS en Windows 7 y Vista.

  • El Fallo es capaz de superar dos características de seguridad integradas de Windows: Data Execution Prevention (DEP) y Address Space Layout Randomization (ASLR), de acuerdo con Ramezany .
  • Por ahora, Microsoft no tiene planes para emitir un parche fuera de ciclo (es decir, antes del 11 de enero) para esta vulnerabilidad pero recomienda utilizar EMET para tratar de prevenirlo.
Fuente: www.blogantivirus.com

23 de diciembre de 2010

LA GUARDIA CIVIL ESPAÑOLA ADVIERTE DEL INCREMENTO DEL ROBO DE DATOS POR EL BOOM DEL `ECOMMERCE´

El Grupo de Delitos Telemáticos de la Guardia Civil ha constatado un incremento del robo de datos en Internet, siendo “Hotmail, Gmail, Facebook, Twitter, o PayPal” las plataformas más afectadas.

Los agentes aseguran que cada vez se ve menos el phising asociado a datos bancarios, pero los sistemas de prevención del fraude son cada vez más sofisticados.

La clave para engañarnos a través del ecommerce es la suplantación de identidad con los datos personales que obtienen de nuestras cuentas de correo en plataformas como Hotmail o Gmail, de redes sociales como Facebook y Twitter, e incluso de PayPal.

Fuente: www.theinquirer.es

LOS FALLOS DE SKYPE DURARÁN VARIAS HORAS.

Skype confirmó que algunos de sus supernodos que permiten las conexiones entre usuarios, están desconectados lo cual provoca que millones de usuarios en el mundo no tengan servicio.


Skype confirmó inicialmente a través de su cuenta de Twitter los problemas.
  • Skype explicó que algunos de los ordenadores que actúan como supernodos y "que son como directorios telefónicos para Skype", fueron desconectados "por un problema que afecta a algunas versiones de Skype".
  • Peter Parkes, portavoz de Skype, explicó en su blog que los técnicos de la compañía están trabajando para crear nuevos supernodos "tan rápido como pueden" pero advirtió que la solución "puede llevar varias horas".
  • "Algunas funciones, como las videollamadas en grupo pueden necesitar más tiempo para volver a la normalidad", añadió Parkes.
  • La solución del problema puede demorarse varias horas.

Fuente: www.canarias7.es

22 de diciembre de 2010

GOOGLE AVISA EN LOS RESULTADOS DE BÚSQUEDA SI EL SITIO WEB HA SIDO ATACADO

Nueva funcionalidad añadida a Google que detecta si una web ha sido hackeada y avisar a los usuarios antes de que hagan clic en el enlace.

A partir de ahora, mostrará en los resultados una alerta en caso de que el sitio web que aparece en los enlaces haya sido o esté siendo atacado, de la siguiente manera:

  1. Aparecerá el mensaje “This site may be compromised”, justo debajo de la información del sitio.
  2. También, el mensaje permitirá acceder al centro de ayuda de Google para conocer más detalles sobre este hecho.
  3. Además, en caso de que el sitio web atacado esté asociado a una cuenta de Webmaster Tools, el administrador también será avisado de forma automática a través de este servicio.

La información la obtendrá Google por medio de sus robot con diversos métodos de detección de ataques en los sitios web:

  • En caso de detectar un sitio con síntomas de haber sido hackeado, el robot devolverá a los servidores de la compañía una alerta para que sea redirigida a los resultados de las búsquedas.

Fuente: www.eweekeurope.es

21 de diciembre de 2010

ELEVACIÓN DE PRIVILEGIOS DEL “kernel Linux 2.6.x” A TRAVÉS DE “ ACPI “

Dave Jones ha descubierto un fallo en los permisos del fichero '/sys/kernel/debug/acpi/custom_method' que podría permitir a un usuario local llevar a cabo una elevación de privilegios a través de la modificación de las llamadas a métodos ACPI.

ACPI es un estándar que controla el funcionamiento del BIOS y proporciona mecanismos avanzados para la gestión y ahorro de la energía.

Detalles técnicos:

  • El fallo está en "/sys/kernel/debug/acpi/custom_method" archivo que actualmente tiene permisos de escritura para todos los usuarios del equipo.
  • Esto permitiría que elevaran privilegios a root de forma sencilla.

Recomendaciones:

  • Para corregir el fallo basta con cambiar los permisos del fichero habilitando exclusivamente la escritura para el usuario root poniendo en un terminal lo siguiente:

chmod 200 /sys/kernel/debug/acpi/custom_method

El fallo ha sido corregido en el repositorio de código del kernel y su CVE asignado es CVE-2010-434

Fuente: Hispasec

20 de diciembre de 2010

ACTUALIZACION DE APPLE PARA Time Capsule y AirPort Base Station

Publicada actualización de Apple que corrige 5 vulnerabilidades en Apple Time Capsule y AirPort Base Station (802.11n) con firmware con versiones anteriores a 7.5.2, que podrían permitir a un atacante remoto provocar denegaciones de servicio o evitar restricciones de seguridad.

Detalles técnicos:

  1. Error en un desbordamiento de entero en el servicio SNMP, que podría provocar una caída del servicio.
  2. Error en el tratamiento de un gran número de paquetes IPv6 Router Advertisement (RA) y Neighbor Discovery (ND) desde un sistema de la red local, que podría provocar una denegación de servicio.
  3. Error en el tratamiento de tráfico ftp entrante, que podría permitir a un atacante con acceso a escritura en un servidor ftp dentro del NAT provocar que el ALG envíe datos maliciosos a una IP y puerto fuera de la NAT mediante comandos PORT específicamente creados.
  4. Vulnerabilidad de denegación de servicio reside en el tratamiento de paquetes ISAKMP.
  5. Y finalmente un error de implementación en el bridge de red en el tratamiento de respuestas DHCP mal construidas, que podría provocar que un dispositivo vulnerable deje de responder al tráfico de red.

Recomendaiones:

Se recomienda actualizar el firmware a la versión 7.5.2 desde:
http://www.apple.com/support/downloads/

Fuente: Hispasec

19 de diciembre de 2010

PANDA ADVIERTE DE LAS FALSAS TIENDAS ONLINE

Llega la Navidad y una lucrativa oportunidad para los ciberdelincuentes como es la de crear tiendas online falsas que venden cualquier producto a precios atractivos con el objetivo de engañar al incauto usuario en busca de chollos.

  • “Existen hackers especializados en la creación, indexación y posicionamiento de falsas tiendas webs y que los usuarios piensan que han encontrado un chollo en Internet, cuando en realidad están siendo víctimas de un fraude.
  • Una vez hagan el envío del giro, no recibirán el producto ni más noticias de su dinero”, asegura Luis Corrons, director técnico de PandaLabs.

Por eso, PandaLabs recomienda antes de comprar en Internet, asegurase de que la tienda online elegida es legal de la siguiente manera:

  1. Hacer un poco de investigación por la Red para conocer su reputación,
  2. Mirar que su certificado de seguridad sea válido y esté en vigor, que las formas de pago sean seguras (que aparezca el símbolo de un candado en nuestro navegador)
  3. Adquirir productos sólo en webs donde haya un teléfono de atención al cliente, que previamente hayamos comprobado que funciona y que corresponde al servicio publicitado.
  4. Y por supuesto denunciar lo antes posible, en caso de haber sido víctima de este tipo de estafas.
Fuente: www.channelinsider.es

18 de diciembre de 2010

EJECUCIÓN REMOTA DE CÓDIGO EN “BLACKBERRY ENTERPRISE SERVER”

El problema reside en el tratamiento de archivos pdf, algo que viene repitiéndose de forma habitual en los sistemas de Research In Motion (RIM), empresa responsable de BlackBerry.

BlackBerry ha publicado una actualización para corregir una nueva vulnerabilidad en BlackBerry Enterprise Server y BlackBerry Professional, que podría permitir a un atacante remoto ejecutar código arbitrario con enviar un archivo con un adjunto malicioso.

Detalles técnicos:

Los fallos se dan en el servicio de archivos adjuntos de :

  1. BlackBerry Enterprise Server 4.1.3 a 5.0.2 para MS Exchange, Lotus Domino o GroupWise; BlackBerry Enterprise Server Express 5.0.1 o 5.0.2 para MS Exchange;
  2. BlackBerry Enterprise Server Express 5.0.2 para Lotus Domino y BlackBerry Professional Software 4.1.4 para MS Exchange y Lotus Domino.

Este fallo un atacante podría, por medio de un archivo PDF especialmente manipulado, enviado como adjunto de un mensaje que al abrirlo en el dispositivo móvil, se ejecute el código malicioso en el servidor que aloja el servicio de adjuntos.

Recomendaciones

  • Se recomienda actualizar las versiones afectadas para corregir este problema.
  • Dada la diversidad de versiones y sistemas de correo afectados (Microsoft Exchange, IBM Lotus Domino y Novell GroupWise), se recomienda consultar el aviso publicado en:

http://www.blackberry.com/btsc/search.do?cmd=displayKC&docType=kc&externalId=KB24761

Fuente: Hispasec

17 de diciembre de 2010

EL FBI ACUSADO DE ESPIONAJE CON 'PUERTAS TRASERAS' EN UN PROGRAMA DE SEGURIDAD

Un técnico reveló la existencia de un contrato de hace diez años en la empresa que trabajaba para instalar puertas traseras en el programa de seguridad del sistema operativo libre OpenBSD, ( cuyos componentes se utilizan en sistemas Unix )

  • Gregory Perry, antiguo asesor de seguridad de la Administración estadounidense, ha remitido un correo electrónico al principal responsable del desarrollo de OpenBSD, Theo de Radt, quien lo ha hecho público.
  • Gregory Perry era director técnico de la compañía NETSEC, implicada en el desarrollo de OpneBSD. Concretamente participaba en trabajos sobre el IPSec, que aporta mecanismos de seguridad al protocolo de Internet IP.
  • Durante los años 2000 y 2001, el FBI habría pedido a NETSEC la instalación de estas puertas traseras. Perry habría participado en el encargo suscribiendo un compromiso de confidencialidad de 10 años.
  • Cnet, a propósito de esta noticia, repasa los reiterados intentos de la administración estadounidense para conseguir el acceso a archivos protegidos.
  • El último ha sido una propuesta del FBI para que los fabricantes instalaran de oficio estas puertas traseras a cambio de su compromiso de que el empleo de las mismas sólo se produciría por orden judicial en casos criminales o de peligro terrorista.

Fuente: www.elpais.com

16 de diciembre de 2010

MICROSOFT ACABA EL AÑO CON UNA GRAN ACTUALIZACION

Este martes Microsoft ha publicado 17 boletines de seguridad (del MS10-090 al MS10-106) del ciclo habitual de actualizaciones.

Clasificación de los boletines por importancia según Microsoft :

  1. Dos de los boletines tiene un nivel de gravedad "crítico",
  2. Qince presentan un nivel "importante" y
  3. Uno de grado "moderado".

En total se han resuelto 35 vulnerabilidades.

Se han corregido vulnerabilidades de:

  • Ejecución de código en Internet Explorer,
  • Elevaciones de privilegios y denegaciones de servicio en Microsoft Windows
  • Problemas con las fuente OpenType en Windows.
  • Problemas de carga de librerías en Movie Maker, la libreta de direcciones, Internet Connection Signup Wizard, y Windows BranchCache,
  • Y problemas con el Codificador de Windows Media y toda la gama de Office
  • Y se ha corregido un fallo en Exchange servier 2007.

De los boletines publicados se destaca:

  • La actualización acumulativa para Internet Explorer que además corrige siete nuevas vulnerabilidades.
  • También se han corregido todos los problemas que aprovechaba Stuxnet, el malware que en los últimos meses tanto dio que hablar. ( que servía para atentar contra las centrales nucleares)
  • Y también se han centrado en la corrección del fallo de la carga de librerías, anunciado en agosto por HD Moore y que afectaba a múltiples aplicaciones.

Recomendaciones:

  • Por la importancia de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update ó consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.
Fuente: Hispasec

15 de diciembre de 2010

E.E.U.U. CREA EL PRIMER EJERCITO CIBERNETICO RECONOCIDO

E.E.UU. ha comenzado a formar a 30.000 soldados para configurar un cuerpo de expertos que eviten ataques como los sufridos por parte de seguidores de wikiLeaks o las intervenciones en el tráfico de China.

El plan de creación del comando cibernético es un proyecto ya valorado por la administración de George W. Bush y que en el gobierno de Barack Obama se ha concretado en el mencionado anuncio .

Comunicado Oficial:

  • El nuevo general que dirigirá el comando, Keith Alexander, ha asegurado que esta medida no pretende militarizar la red.

Funciones aparentes del comando cibernético:

  1. Formar especialistas que estén prevenidos ante posibles ataques.
  2. Defenderse de futuros ataques, ( en principio descartan realizar ataques).
  3. Garantizar la libertad de acción en el ciberespacio.

Fuente: www.lavanguardia.es

Yahoo, Twitter y Linkedin RECOMIENDAN CAMBIAR CONTRASEÑAS URGENTEMENTE

La medida se toma después de que los datos de más de un millón de miembros de Gawker se publicaran en Internet

  • El ataque a la editorial de Internet Gawker que mantiene una red de blogs y sitios informativos como Gizmodo, Lifehacker y Kotaku se produjo este fin de seman y ha provocado que otros sitios aconsejen a sus miembros el cambio urgente de la contraseña.
  • Ante la convicción de que una misma contraseña es utilizada por el internauta para registrarse y acceder a distintos sitios, Yahoo, Twitter y Linkedin han advertido de lo sucedido a un número indeterminado de sus miembros aconsejando el cambio de contraseña.
  • Lo mismo ha hecho el juego en línea World of Warcraft, con más de 12 millones de suscriptores.
  • La autoría se atribuye al grupo Gnosis que lo habría organizado para protestar por la "arrogancia" del sitio, según algunos mensajes atribuídos al citado colectivo.

Fuente: www.elpais.com

14 de diciembre de 2010

BOLETINES DE SEGURIDAD DE LA FUNDACIÓN MOZILLA

La Fundación Mozilla ha publicado 11 boletines de seguridad (del MFSA2010-74 al MFSA2010-84) que solucionan 13 vulnerabilidades en productos Mozilla (Firefox, Thunderbird y SeaMonkey).

  • Según Mozilla 9 de los boletines presentan un nivel de gravedad "crítico", 1 es de carácter "alto" y otro es considerado como "moderado".
Los boletines publicados son:

  1. MFSA 2010-74: Boletín crítico, que corrige tres problemas de seguridad de la memoria en el motor del navegador.
  2. MFSA 2010-75: Considerado crítico. Desbordamiento de búfer al pasar cadenas de gran tamaño a document.write.
  3. MFSA 2010-76: Boletín crítico, por una vulnerabilidad de escalada de privilegios con window.open y elementos.
  4. MFSA 2010-77: Vulnerabilidad crítica de ejecución remota de código por el uso de etiquetas HTML dentro de árboles XUL.
  5. MFSA 2010-78: Se añade soporte OTS, una librería para la normalización de fuentes descargables.
  6. MFSA 2010-79: Vulnerabilidad crítica por un salto de la seguridad Java al cargar un script LiveConnect.
  7. MFSA 2010-80: Boletín crítico, por una vulnerabilidad de uso después de liberar con nsDOMAttribute MutationObserver.
  8. MFSA 2010-81: Boletín que corrige una vulnerabilidad crítica de desbordamiento de entero en el tratamiento de matrices JavaScript.
  9. MFSA 2010-82: Boletín de gravedad crítica, debido a que la anterior corección al problema CVE-2010-0179, podía ser evitada.
  10. MFSA 2010-83: Vulnerabilidad de gravedad alta por un error que podría permitir la falsificación de la barra de localización.
  11. MFSA 2010-84: Boletín de carácter moderado relacionado con un cross-site scripting en la codificación de caracteres x-mac-arabic, x-mac-farsi y x-mac-hebrew.

Además se han publicado las versiones 3.6.13 y 3.5.16 del navegador Firefox y las versiones 3.1.7 y 3.0.11 de Thunderbird y la 2.0.11 de SeaMonkey; que corrigen todas estas vulnerabilidades, disponibles desde:

http://www.mozilla-europe.org/es/firefox/

http://www.mozillamessaging.com/es-ES/thunderbird/

http://www.seamonkey-project.org/

Fuente: Hispasec

CAÍDA DEL SERVICIO DE AMAZON EN EUROPA

Un fallo hardware en el centro de datos europeo de Amazon ha sido la causa de que el servicio de venta online estuviera caído durante más de media hora y no un ataque por Denegación de Servicio.

  • Como Amazon fue una de las primeras compañías que rompió con Wikileaks, parecía que la caida del servicio de la compañía haber sido provovada por ataques lanzados por la organización ciberactivista Anonymous.
  • Sin embargo, los más de treinta minutos que el servicio de venta online ha estado caído no han sido causados por un ataque DdoS y sí por fallos hardware,
  • Se han visto afectados los sitios web Amazon.co.uk, Amazon.de, Amazon.fr y Amazon.es, tal y como ha publicado Reuters.

Fuente: http://www.eweekeurope.es

11 de diciembre de 2010

ENVÍO DE UN CORREO 'SPAM' CON VIRUS EN NOMBRE DE LA POLICÍA ESPAÑOLA

La Policía Nacional advirtió a los ciudadanos españoles sobre la existencia de un nuevo correo 'spam', que es enviado desde la dirección policia@goberno.es y que contiene un virus, según informó la propia Policía en un comunicado.

Descripción y detalles técnicos

En un comunicado, el Ministerio del Interior ha asegurado que los mensajes hacen alusión a una supuesta "notificación de asistencia en la Audiencia y contienen un enlace denominado "notificación-mpf.scr" que, al pulsarlo, descarga un troyano de procedencia brasileña que infecta la máquina del usuario.

Recomendaciones previas a la infección

  • Para evitar la difusión de este tipo de sofware, la Brigada pide a los ciudadanos que informen a la Policía de los incidentes que detecten a través de la página web www.policia.es.
  • Además, los especialistas recomiendan eliminar directamente este correo sin pulsar los links que se adjuntan.

Recomendaciones posteriores a la infección

A todos aquellos que piensan que su equipo ya ha sido infectado, la Policía aconseja seguir cuatro pasos para desinfectar el equipo.

  1. El primero de ellos es matar el proceso: 'juzched.exe' desde el administrador de tareas.
  2. El segundo, pulsar las teclas Inicio/Ejecutar y escribir Regedit para eliminar la clave, HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\juzched.
  3. En tercer lugar, hay que suprimir el fichero C:\Documents and Settings\[nombre deusuario]\Datos de Programa\NortonUpdate.exe, para después eliminar el directorio C:\Documents and Settings\[nombre de usuario]\Datos de Programa\Extensions\ con todo lo que tenga dentro.
(*) IMPORTANTE borrar C:\Documents and Settings\[nombre de usuario]\Datos de Programa\Extensions\juzched.exe, ya que se trata del propio troyano que se ejecuta al reiniciar el sistema.

Dudas y consultas

  • Ante cualquier duda, los usuarios pueden consultar el servicio gratuito de gestión de incidentes de la Oficina de Seguridad del Internauta OSI (www.osi.es) que, gestionado desde el Instituto Nacional de Tecnologías de la Comunicación (INTECO), ofrece diferentes herramientas y consejos para la desinfección de sus equipos informáticos.

Fuente: reuters

10 de diciembre de 2010

ATAQUES A FAVOR Y EN CONTRA DE WIKILEAKS DESESTABILIZAN LA RED

La primera guerra informática ya ha empezado. El campo de batalla es Wikileaks.

Estas fueron declaraciones de John Perry Barlow , cofundador de la Electronic Frontier Foundation, una organización sin ánimo de lucro que trabaja para proteger los derechos civiles y la libertad de expresión en el mundo digital y que fueron escritas en Twitter.

  • Por un lado, Wikileaks, la web que ha difundido las filtraciones de documentos secretos de EE UU, ha recibido constantes ataques que le han obligado a trasladar el servicio a nuevos servidores;
  • Por el otro, las empresas que han roto con la web sufren las iras de los numerosos partidarios de Julian Assange, el líder de Wikileaks.

Los simpatizantes de Wikileaks y defensores a ultranza de Julian Assange decidieron tomar la justicia por su mano:

  1. La denominada Operación PayBack, venganza, en inglés, ha decidido atacar en primer lugar a la fiscalía sueca, pero también a MasterCard, Visa y Paypal en primer término. Las tres se negaron a seguir teniendo como cliente la página de filtraciones.
  2. A raíz de que Amazon se negase a hospedar a Wikileaks en sus servidores, la empresa de venta por Internet es el nuevo blanco.
  3. Los seguidores de Wikileaks más molestos con la detención de Julian Assange no cesan de dar enlaces en Twitter con herramientas para que más internautas se sumen a la acción.

Los actos de apoyo a Julian Assange comienzan a tener eco en el mundo real:

  • El nivel de las protestas de estos activistas espontáneos va en paralelo con el proceso contra Julian Assange.
  • Pero Julian Assange aún guarda un cartucho, su seguro de vida, que es un archivo con filtraciones aún más relevantes. Nadie sabe lo que hay dentro pero se intuye que es de una relevancia superior a los cables aireados hasta ahora.
  • Más allá de la ciberguerra, este caso abre el debate sobre el derecho que tienen las compañías para escoger a sus clientes a partir de decisiones oficiales.
Fuente: www.elpais.com

EXPLOIT PARA KERNEL LINUX 2.6.X PERMITE ELEVACIÓN LOCAL DE PRIVILEGIOS

Dan Rosenberg ha publicado un exploit para el kernel de Linux 2.6.x que permite a un usuario local elevar privilegios.

El exploit hace uso de tres vulnerabilidades publicadas por Nelson Elhage (CVE-2010-4258, CVE-2010-3849, CVE-2010-3850).

  • Actualmente Debian y Ubuntu han publicado actualizaciones para las vulnerabilidades CVE-2010-3849 y CVE-2010-3850, por lo que no tendría éxito el exploit.
  • Tan poco sería posible llevarlo a cabo en sistemas Red Hat ya que por defecto no integran el protocolo Econet.

Fuente: Hispasec

5 de diciembre de 2010

UNA EMPRESA CÁNTABRA AL FRENTE DEL CIFRADO DE DATOS.

La sociedad Sandocán Security», cuenta con la colaboración de la empresa cántabra Softec, la Universidad de Cantabria, Sodercán y las ideas del eminente matemático estadounidense de origen cubano Óscar Moreno.

Las fórmulas responden a la teoría centrada en lo que llaman el cifrado basado en curva elíptica. O sea, un modo de codificar los datos en la Nube capaz de eludir los ataques de la computación del futuro. Una garantía para muchos años.

Situación actual del proyecto

  1. La fórmula matemática, un procedimiento, que ya se ha materializado en la encriptación de datos.
  2. «Aún trabajamos en la desencriptación», explican, y en la consiguiente comercialización del producto.
  3. Queda tiempo, falta poner a prueba el procedimiento, demostrar su velocidad y darle un aspecto de producto.

Consideraciones a tener en cuenta

  • De funcionar, el alcance de la calidad del cifrado sería ilimitado; algo impensable en la actualidad.
Según recuerda Alejandro Claudio, de Softec:
  • «Esta tecnología es considerada armamento por EE UU»,
  • «Allí está terminantemente prohibido exportar tecnología capaz de cifrar por encima de los 1024 bits.
  • Y advierte, que esta iniciativa es externa, como es nuestro caso, con sello cántabro, europeo, no hay límites.

Pregunta al Gobierno Español y/o la UE.

Si en EEUU considera esta tecnología armamento y tiene prohibida su exportación:

¿ No debería tener la misma consideración por parte de la Unión Europea o cuando menos del Gobierno Español ?

Fuente: www.innovacantabria.com


4 de diciembre de 2010

EL SPAM DESCIENDE, PERO NO EL MALWARE NI LAS BOTNES

Según datos procedentes del informe “November Threat Landscape Report” publicado por Fortinet refleja, entre otros, que el spam cayó un 26% la semana después de que la red fuera desarticulada.

  • Los niveles de spam cayeron un 12% en noviembre, coincidiendo con el desmantelamiento de la red Bredolab por parte de las autoridades alemanas que afectaba a 140 servidores diferentes. Esta botnet había sido utilizada por cibercriminales para enviar spam que vendía drogas.
  • La botnet Koobface, conocida por afectar a los usuarios e Facebook, el 14 de noviembre fue cuando el proveedor de servicio inglés Coreix acabó con tres de sus servidores centrales, que precisamente se utilizaban como servidores de comando y control de la botnet para extender la red y controlar los ordenadores infectados. Pero, la comunicación se restauró cinco días después, el 19 de noviembre, añade Fortinet.
  • La lista de botnets de Fortinet continua, y menciona también a Sasfis, una red que infecta ordenadores utilizando el puerto 80 reservado para el tráfico HTTP.
  • En noviembre Fortinet también descubrió la botnet Hiloti, que utilizaba peticiones DNS legítimas para alimentar a sus servidores de comando y control, otro ejemplo de una botnet que intenta utilizar los protocolos estándares para evitar ser detectado.
  • El informe de Fortinet también destaca las vulnerabilidades de Día Cero encontradas el mes pasado en Adobe Shocwave, Adobe Flash, Microsoft PowerPoint, AppleQuickTime y Microsoft Internet Explorer. Todas ellas han sido calificadas por la compañía de seguridad como críticas ya que dejan las aplicaciones abiertas a ataques capaces de ejecutar código de manera remota.

Fuente: www.fortinet.com

LA CÚPULA DEL PARTIDO COMUNISTA CHINO IMPLICADA EN EL ATAQUE A GOOGLE

La diplomacia estadounidense implica a dos miembros del Politburó, el máximo órgano político chino, en el ciberataque lanzado a finales de 2009

  • El episodio es el más emblemático de un amplio marco de ofensivas de ciberespionaje dirigidas contra empresas estratégicas y Administraciones públicas, que los Gobiernos occidentales coinciden en considerar procedentes de China.
  • El ataque, según denunció Google el pasado 12 de enero, fue muy sofisticado y logró acceder a propiedad intelectual sensible de la empresa y violar los correos electrónicos de algunos disidentes chinos usuarios de Gmail.
  • Posteriormente se supo que al menos otra treintena de empresas estratégicas estadounidenses de los sectores de defensa, químico y tecnología de la información fueron víctimas de ataques en la misma oleada. Entre ellas destacan Intel, Northrop Grumman, Motorola, Dow Chemicals y Adobe Systems.
  • La ofensiva -denominada Operación Aurora- empleó diferentes técnicas para acceder a códigos fuente e información reservada, pero muchos expertos consideraron en las semanas posteriores que eran obra de un mismo autor.

Fuente: www.elpais.com

“IBM” PRESENTA NUEVO SOFTWARE DE SEGURIDAD EN ENTORNO EMPRESARIAL

IBM anunció el lanzamiento de un nuevo software de seguridad con capacidad de análisis que proporciona mayor eficiencia y precisión para las empresas que buscan desarrollar aplicaciones más seguras.

  • IBM ha desarrollado un software de seguridad que busca proporcionar una nueva forma de organizar, diseñar y construir aplicaciones más seguras en el entorno empresarial basada en el software de Ounce Labs.
  • La nueva solución de IBM permite a los desarrolladores evaluar las amenazas de seguridad en todo el ciclo de vida del software que permite identificar más facilmente los riesgos y disminuir los costes.
  • Desde IBM afirman que uno de los usos de este software en las empresas podría ser la automatización de las auditorías de seguridad de aplicaciones y la exploración de código fuente para garantizar que las aplicaciones (también las basadas en web) son seguras y compatibles.

Fuente: www.eweekeurope.es

ACTUALIZACIÓN DE PHP EN “ Red Hat Enterprise Linux 4 y 5 “

Red Hat ha publicado una actualización de php que corrige múltiples fallos de seguridad que podrían permitir a un atacante remoto causar ataques de cross-site scripting, inyección de parámetros o causar una denegación de servicio entre otros.

PHP es un popular lenguaje dinámico usado principalmente para programación web.

Detalles técnicos

Los fallos corregidos, por orden de CVE, son los siguientes:

  1. CVE-2009-5016 y CVE-2010-3870: Existe un error de truncamiento y falta de validación en la función 'utf8_decode' cuando decodifica secuencias multi-byte. Esto podría ser usado por un atacante remoto para causar ataques de cross-site scripting a través de una página web especialmente manipulada.
  2. CVE-2010-0397.- Error al manejar los argumentos de la función 'xmlrpc_decode_request' de la extensión 'xmlrpc' que podría provocar una dereferencia de puntero nulo.
  3. CVE-2010-1128: Error no especificado en 'session extension' ue podría permitir a un atacante remoto eludir restricciones (open_basedir y safe_mode) a través de vectores no especificados.
  4. CVE-2010-1917: Desbordamiento de memoria intermedia basado en pila en la función fnmatch que podría ser aprovechado por un atacante remoto para causar una denegación de servicio a través de la manipulación del primer argumento de la función fnmatch.
  5. CVE-2010-2531: Error no especifcado en var_export que podría permitir una fuga de datos en memoria.
  6. CVE-2010-3065: Error en el serializador por defecto de PHP al manejar incorrectamente el carácter PS_UNDEF_MARKER que podría permitir a un atacante remoto inyectar código arbitrario a través de un inicio de sesión manipulando la petición POST.

Recomendaciones

  • Actualizar las versiones correspondientes a través de Red Hat Network.

Fuente: Hispasec

3 de diciembre de 2010

NUEVA VULNERABILIDAD TIPO PHISHING EN “iPhone”

iOS presenta una vulnerabilidad que atacantes cibernéticos podrían utilizar para engañar a los usuarios haciéndoles creer que están en páginas de confianza mantenidas por bancos, tiendas y otras organizaciones sensibles, según escribe Nitesh Dhanjani, un investigador de seguridad, en su blog.

Detalles técnicos

  • La debilidad se deriva de la capacidad de los desarrolladores web para empujar la barra de direcciones de Safari en iPhone fuera de la vista del usuario.
  • El truco consiste en algo muy tonto, pero lo suficientemente creíble para engañar.
  • Una vez que se carga una página web, la barra de direcciones real puede desaparecer, y en su lugar mostrar un gráfico que simula la barra de direcciones con la que se supone es la dirección correcta.

Recomendaciones y otros aspectos

  • En su blog, Dhanjani muestra una versión de Safari móvil visitando una página web creada por él, la cual es notablemente similar a la página de registro de BankofAmerica.com, incluyendo lo que parece ser el icono de bloqueo y nombre de sitio web en verde, indicando supuestamente que el sitio web está protegido mediante SSL.
  • Una solución sencilla (mientras Apple toma medidas) para no caer en el engaño es desplazarse hacia arriba.

Fuente: www.blogantivirus.com

2 de diciembre de 2010

“SIPRNET”, EL INTERNET EXCLUSIVO DEL GOBIERNO DE ESTADOS UNIDOS

Dos millones y medio de estadounidenses tienen acceso a la red hiperprotegida e hipersegura que es SIPRNET y que las filtraciones de Wikileaks ha puesto en entredicho.

  • SIPRNET (Secret Internet Protocol Router Network), es el nombre de la red secreta que sirvió, según publica El País, para que se transmitiesen los cables informativos que las diferentes embajadas de EEUU remitían a su gobierno sobre asuntos de máxima importancia.
  • Según el diario, 180 embajadas estadounidenses en todo el mundo utiliza esta red para transmitir sus mensajes.
  • Las reglas de seguridad son muy altas, sólo se puede utilizar cuando el usuario está delante de la pantalla y sin utilizar ningún sistema de almacenamiento de forma paralela.
  • Cada cinco meses, añade El País, los usuarios tienen que cambiar su contraseña.
  • La red se creó en los 90 y fue ampliada y securizada tras el 11S, según recuerda la BBC, teniendo ahora dos millones y medio de estadounidenses acceso a la misma.
  • El sistema utiliza la misma tecnología que internet, según apunta el medio británico, aunque con unas especificaciones en el código de encriptación que la hacen menos vulnerable.

Fuente: Siliconnews

1 de diciembre de 2010

VULNERABILIDAD DEL KERNEL DE WINDOWS

Un error en el Kernel de Windows podría permitir a un atacante saltarse el Control de Cuentas de Usuario (UAC) en Windows Vista y Windows 7.

Detalles técnicos:

  • El UAC es una infraestructura de seguridad cuyo objetivo es mejorar la seguridad de Windows al impedir que aplicaciones maliciosas hagan cambios no autorizados en el ordenador.
  • Esta vulnerabilidad permitiría a un atacante vulnerar esta protección y, por lo tanto, ejecutar todo tipo de aplicaciones maliciosas en cualquier ordenador con un sistema operativo Windows Vista o Windows 7.

Recomendaciones:

  • Mientras tanto, BitDefender recomienda a los usuarios que tengan especial cuidado a la hora de realizar descargas de lugares sospechosos, ya que alguna de ellas podrían incluir esta novedosa y peligrosa amenaza.
  • Por su parte, Microsoft Security Response comenta vía Twitter el tema está siendo investigado.

Fuente: BitDefender

29 de noviembre de 2010

FUERTE INCREMENTO DE MALWARE PARA “MAC”

Sophos ha publicado una lista del malware que más ha circulado en los sistemas para Mac.

  • Sophos lanzó a principios de este mes un antivirus gratuito para Mac, el producto ha conseguido más de 150.000 usuarios activos, por lo que Sophos ha analizado el malware más común que está afectando a los ordenadores Mac, según los informes de sus usuarios.

El ranking del malware para Mac procedente de los 50.000 informes de los usuarios de Sophos Antivirus para Mac Home Edition entre el 2 y 16 de noviembre quedaría así :

  1. Mal/ASFDldr-A 4.62%.
  2. Troj/Javadl-V 3.67%.
  3. Mal/JavaKC-G 2.96%.
  4. Mal/JavaKC-E 2.36%.
  5. Troj/KeygenD-P 1.59%.
  6. Mal/JavaHU-A 1.36%.
  7. Mal/JavaK-CI 1.35%.
  8. Troj/JavaDL-X 1.21%.
  9. Troj/Bytever-G 1.11%.
  10. Mal/JavaHibis-A 1.06%.
  11. Mal/JavaK-CK 1.03%.
  12. OSX/Jahlav-C 0.98%.
  13. Troj/JavaDL-J 0.96%.
  14. OSX/DNSCha-E 0.95%.
  15. Mal/Javasnd-C 0.91%.
  16. Macl/Conficker-A 0.80%.
  17. Troj/JavaDL-W 0.76%.

Fuente: Sophos.


27 de noviembre de 2010

NUEVA VULNERABILIDD “ 0 DAY “ EN MICROSOFT WINDOWS

Se ha publicado un nuevo 0 day en Microsoft Windows que permite a un usuario local obtener privilegios de SYSTEM (control total sobre el sistema) eludiendo cualquier control de usuario.

Detalles técnicos

  • El exploit se aprovecha de la forma en la que el controlador win32k.sys procesa ciertos valores del registro.
  • Concretamente manipula el valor SystemDefaultUEDCFont del registro y activa el soporte para EUDC (End-User-Defined-Characters) a través de la función EnableEUDC.

Recomendaciones y otros aspectos

  • Un método para prevenir el problema hasta que exista parche oficial es limitar los permisos del usuario en la rama HKEY_USERS\[SID DEL USUARIO]\EUDC
  • En el registro, se debe negar el permiso de escritura a los usuarios no administradores.
  • Gráficamente, es sencillo (localizar el SID del usuario, botón derecho sobre la rama del registro y denegar).

(*) El equipo de seguridad de Microsoft ha declarado en su twitter que está investigando el asunto.

Fuente: Hispasec

VULNERABILIDAD EN “ ANDROID 2.2 “ HACE POSIBLE EL ROBO DE DATOS

El experto británico en seguridad informática Thomas Cannon detectó una grave vulnerabilidad en el navegador distribuido junto a Android, que hace posible acceder a los datos de la tarjeta de memoria del sistema.

  • La vulnerabilidad general de Android permite que un sitio web malicioso obtenga el contenido de cualquier archivo almacenado en la tarjeta SD.
  • También hace posible recuperar un número limitado de datos y ficheros almacenados en el teléfono utilizando la vulnerabilidad.

Detalles técnicos:

La vulnerabilidad ocurre debido a una combinación de factores:

  1. El navegador de Android no pide permiso al usuario a la hora de descargar un fichero HTML. Se almacena automáticamente.
  2. Con JavaScript, es posible lanzar una vez descargado ese fichero y el navegador lo procesa.
  3. En ese contexto, Android ejecutará el JavaScript sin pedir permiso al usuario y además será capaz de acceder a ficheros del usuario.

Recomendaciones:

Se recomienda a usuarios con Android 2.2 en sus teléfonos (Google Nexus One, Samsung Galaxy Tab, HTC Desire?) que :
  1. Deshabiliten JavaScript .
  2. Ó que utilicen un navegador alternativo como Opera que si confirma con el usuario antes de descargar un fichero.

Fuente: Android Guys

CIENTÍFICOS CHINOS ALMACENAN “90 GB” EN UNA BACTERIA

Este hito supone un gran paso en el uso de soportes biológicos y en el cifrado de datos para reducirlos de forma espectacular

  • Científicos de la Universidad China de Hong Kong han dado un paso más y han conseguido almacenar nada menos que 90 GB dentro de una bacteria.
  • El sistema se basa en una nueva codificación de los datos, que permite reducir su tamaño de forma espectacular.
  • Tras la reducción del tamaño, los científicos han podido introducir la información en forma de ADN modificado.
  • Los científicos creen que podrían almacenar el equivalente de 2TB en apenas unos gramos de bacterias.
  • Las aplicaciones podrían variar del almacenamiento de contenidos digitales a la inserción de códigos de barras en organismos sintéticos.

Fuente: www.abc.es

26 de noviembre de 2010

ENCUENTRAN FALLOS CRÍTICOS DE SEGURIDAD EN “WebOS”

Varios investigadores descubrieron tres fallos graves de seguridad en webOS, el sistema operativo de Palm ahora propiedad de HP, que podrían permitir a los cibercriminales tomar el control de los dispositivos.

Detalles técnicos:

  • Han encontrado una vulnerabilidad Cross-Site Scripting, que puede ser utilizada por los `hackers´ para tomar el control de forma remota del smartphone mediante el uso de JavaScript. Esto podría desembocar en otra situación más grave, ya que “es en esencia, la base de una botnet”, según explican los expertos.
  • También aseguran que en las pruebas realizadas con webOS fueron capaces de utilizar las solicitudes XML HTTP para acceder al sistema local de archivos a través de `localhost´, de manera que no les resultó muy complicado leer información personal del usuario como nombres, contraseñas, SMS o correos electrónicos.

Fuente: Eweek Europe

24 de noviembre de 2010

PUBLICAN EL EXPLOIT DE SUTXNET QUE EXPLOTA UNA VULNERABILIDAD “0-DAY” EN WINDOWS.

Acaban de publicar el código de exploit, es decir el código que permite explotar una vulnerabilidad "0-Day" en Windows.

Detalles técnicos:

  • Concretamente el código explota un fallo relacionado con el Programador de tareas de Windows y se añadió a la Exploit Database que gestiona Offensive Security el pasado 20 de noviembre.
  • Las otras vulnerabilidades Día Cero que Stuxnet había utilizado son el fallo de acceso directo .LNK, parcheado en agosto; una vulnerabilidad en el servicio de cola de impresión de Windows, parcheado en septiembre y otra relacionada con una escalada de privilegios, solucionada en la actualización de seguridad de Octubre.
  • Las primeras versiones de Stuxnet fueron capaces de extenderse sin acceder a ninguna vulnerabilidad, simplemente abusando de la característica de Autoarranque de Windows, que compromete los sistemas a través de dispositivos USB infectados.

Recomendaciones:

  • La vulnerabilidad publicada ha sido una de las cuatro 0-Day utilizada por el gusano Stuxnet en su intento de comprometer los sistemas de control industrial.
  • Las otras tres han sido parcheadas desde que el gusano fue descubierto este verano.
  • Actualmente no existe un parche disponible para esta vulnerabilidad, aunque Microsoft se ha apresurado a anunciar que está en camino.

Fuente: Itespresso

EL TROYANO “ARES” A PUNTO DE LA DISTRIBUCIÓN MASIVA

Los análisis de los expertos en seguridad de G Data revelan que en los próximos días un nuevo troyano llamado Ares cobrará protagonismo en Internet.

Detalles técnicos:

  • Ares se caracteriza por su diseño modular, similar al troyano ZeuS, del que se distribuyeron millones de copias.
  • Los cibercriminales podrán propagar el malware y modificarlo y adaptarlo a diversos escenarios de ataque.

Ralf Benzmüler, responsable de G Data SecurityLabs afirmó :

  1. “Ares ofrece a los recién llegados al mundo del cibercrimen amplias posibilidades de distribución a través de cualquier página web y, como tiene muchas variantes, puede ser utilizado para prácticamente cualquier tipo de ataque, por lo que actuará no sólo en forma de troyano bancario", afirma.
  2. “Mientras tanto, Ares se multiplicará vía web por lo que los internautas necesitan protegerse con soluciones que puedan funcionar como filtros capaces de bloquear las URLs peligrosas antes de que carguen en el navegador".

El desarrollador de Ares ha comentado en un foro underground:

  • " Ares no está focalizado en ataques contra la banca ".
  • " Cada copia de Ares puede ser única y puede configurarse en función del comprador, aunque tiene las mismas capacidades como troyano bancario que ZeuS y SpyEye ".

Fuente: G Data.

20 de noviembre de 2010

RANKING DE VULNERABILIDADES GRAVES DE PROGRAMAS POPULARES EN 2010

La compañía Bit9, ha contabilizado el número de vulnerabilidades graves en doce programas muy populares destinados al usuario.

Siendo este el resultado:

  1. Google Chrome (76 vulnerabilidades graves)
  2. Apple Safari (60 vulnerabilidades graves)
  3. Microsoft Office (57 vulnerabilidades graves)
  4. Adobe Reader y Acrobat (54 vulnerabilidades graves)
  5. Mozilla Firefox (51 vulnerabilidades graves)
  6. Sun Java Development Kit (36 vulnerabilidades graves)
  7. Adobe Shockwave Player (35 vulnerabilidades graves)
  8. Microsoft Internet Explorer (32 vulnerabilidades graves)
  9. RealNetworks RealPlayer (14 vulnerabilidades graves)
  10. Apple WebKit (9 vulnerabilidades graves)
  11. Adobe Flash Player (8 vulnerabilidades graves)
  12. Apple QuickTime (6 vulnerabilidades graves)
  13. Opera (6 vulnerabilidades graves)

Fuente: Bit9

19 de noviembre de 2010

APPLE LANZA UNA ACTUALIZACIÓN DE SEGURIDAD PARA SAFARI

Apple ha publicado una actualización de seguridad para su navegador web Safari que soluciona más de 24 vulnerabilidades dentro del motor WebKit del navegador.

  • Esta actualización de Safari llega después de que Apple la semana anterior lanzase un parche de seguridad masivo para OS X que incluía más de 50 parches para la versión de Flash Player para Macintosh.

Versiones afectadas:

  1. Safari 4 para OS X 10.4 Tiger y
  2. Safari 5 para OS X Leopard,
  3. Safari 5 para Windows XP, Vista y Windows 7.

Detalles técnicos: De los 27 fallos, 24 podrían permitir que un atacante ejecutara código de forma remota en el sistema afectado.

  • El parche para WebKit incluye componentes para la gestión de imágenes, barra de desplazamientos y comandos de edición.
  • Otros fallos están relacionados con vulnerabilidades que dejan datos al descubierto y otro fallo en la manera en que se gestionan las imágenes que podría permitir que aplicaciones de terceros ver los datos e las imágenes.
  • Además de los problemas de seguridad, la actualización corrige problemas de estabilidad con la gestión de los datos de JavaScript y VoiceOver, además de mejoras de rendimiento.

Recomendaciones

Se recomienda actualizar a la última versión de Safari para Mac OS X o Windows disponible a través de:

  1. Las actualizaciones automáticas de Apple.
  2. Descarga manual desde http://www.apple.com/safari/download/

Fuente: APPLE

ACTUALIZACIONES DE SEGURIDAD PARA “Adobe Reader y Acrobat”

Adobe publicó una actualización que corrige 2 vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas, que podrían permitir a un atacante ejecutar código arbitrario.

Versiones afectadas: Las versiones afectadas son Adobe Reader 9.4 (y anteriores) para Windows, Macintosh y UNIX; y Adobe Acrobat 9.4 (y versiones 9.x anteriores) para Windows y Macintosh.

Detalles técnicos: Las vulnerabilidades corregidas residen en dos problemas diferentes de corrupción de memoria que pueden dar lugar a la ejecución de código arbitrario.

Recomendaciones: Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a versiones recientemente publicadas empleando la opción de actualización automática de los productos o bien descargándolas desde la propia web de Adobe: http://www.adobe.com/downloads/ ó http://get.adobe.com/es/reader/

Fuente: Adobe

18 de noviembre de 2010

EL SUPERORDENADOR MÁS RÁPIDO DEL MUNDO ES CHINO.

La lista Top500 que realiza bimensualmente a través de un análisis completo de los superordenadores de todo el mundo por parte de las universidades de Mannheim (Alemania), Tennessee y Berkeley (EEUU) ha determinado los siguientes resultados.

Los 5 superordenadores más rápidos son:

  1. El superordenador Tianhe 1-A que comenzó a operar en el mes de octubre en el Centro Nacional de Supercomputación de Tianjin y consigue realizar más de 2.500 billones de operaciones en su segundo (2,5 petaflops por segundo).
  2. El segundo es el superordenador es el Cray XT5 Jaguar (Estados Unidos), que logra 1,57 petaflops por segundo.
  3. El tercero más rápido está en China también y se llama Nebulosas, alcanza una velocidad de 1,27 petaflop por segundo.
  4. El cuarto puesto es para Japón (Tsubame 2.0 con 1,19 petaflop).
  5. El quinto para Estados Unidos (Cray XE6 con 1,05 petaflop).

En general, 'Top500 supercomputer sites' destaca que:

  • Entre los diez primeros puestos, 7 tienen una actividad igual o superior a 1 petaflop.
  • Además, señala que 5 de ellos están en Estados Unidos.
  • Mientras que los 5 restantes se reparten entre China, Japón, Francia y Alemania, siendo el país galo el mejor europeo clasificado en el sexto puesto.
  • En este sentido, ha señalado que Estados Unidos es el país con mayor consumo de estos sistemas con 275 de los 500.
  • Mientras que el conjunto de países europeos ocupan el segundo lugar con 124.

Fuente: www.abc.es

EL TAMAÑO IMPORTA TAMBIEN EN INFORMATICA.

IBM fabricará superordenadores del tamaño de un azucarillo en 15 años que utilizarán capas de refrigeración de agua para disminuir el tamaño de los equipos y hacerlos más eficientes.

  • Investigadores de IBM han anunciado que, en el futuro, los procesadores de los superordenadores tendrán el tamaño de un azucarillo.
  • No solo reducirán su tamaño, también su consumo.
  • Estas potentes máquinas, gigantescas hoy en día, utilizan el 2% de toda la energía que se consume en el mundo.
  • Actualmente la clasificación de los superordenadores se basa en la velocidad que son capaces de desarrollar.
  • Para este investigador de IBM en el futuro se cambiará valorando los que mejor eficiencia ofrezcan en función de velocidad, consumo y espacio.
  • Los investigadores siguen buscando fórmulas para mejorar estas tecnologías y así dar un paso más en las innovaciones que ya llegan.
  • Las aplicaciones de estos superordenadores pueden ser varias y pueden ser el futuro incluso de la ya desarrollada tecnología 3D.

Fuente: IBM

17 de noviembre de 2010

DETECTADO TROYANO PARA ESPIONAJE CORPORATIVO

BitDefender advierte a las empresas y usuarios particulares sobre el peligro de Trojan.Spy.YE, una nueva amenaza cibernética diseñada para robar datos sensibles de las redes corporativas.

Este troyano cuenta con características de backdoor y spyware, es decir:

  1. Es capaz de abrir un puerto en el equipo para que un atacante remoto pueda conectarse a él.
  2. También puede controlar las tareas que el usuario realiza en su equipo para capturar datos “interesantes" para su creador.

El hecho de que este troyano busque todo lo que esté relacionado con archivos, correos electrónicos, libretas de direcciones, bases de datos y documentos, hace sospechar que este troyano está diseñado para el espionaje industrial y que su objetivo son los datos privados de las empresas.

“Una vez tengan en su poder esos datos, los ciberdelincuentes pueden utilizarlos para venderlos a la competencia, lanzar ataques contra la empresa, e, incluso, chantajearla", explica Jocelyn Otero, directora de Marketing de BitDefender para España, Portugal y Latinoamerica.

Fuente: BitDefender.

TRES VULNERABILIDADES EN “Adobe Flash Media Server”

Anunciadas 3 vulnerabilidades críticas en Adobe Flash Media Server 4.0 (y anteriores) que podría emplear un atacante remoto para provocar denegación de servicio o ejecutar código arbitrario en los sistemas afectados.

Las versiones afectadas son :

  1. Adobe Flash Media Server (FMS) 4.0 (y versiones anteriores),
  2. Adobe Flash Media Server 3.5.3 (y versiones anteriores), y
  3. Adobe Flash Media Server (FMS) 3.0.6 (y versiones anteriores) para Windows y Linux.

Detalles técnicos

  • Existen dos vulnerabilidades de denegación de servicio, una por fuga de memoria y otra por un error en el tratamiento de procesos.
  • Una tercera vulnerabilidad más grave reside en un fallo de segmentación que podría dar lugar a la ejecución de código arbitrario en los sistemas afectados.

Recomendaciones

  • Adobe ha publicado las versiones 4.0.1, 3.5.5 y 3.0.7 que corrigen estos problemas disponible desde:
http://www.adobe.com/support/flashmediaserver/downloads_updaters.html

Fuente: Hispasec

ACTUALIZACIÓN DEL KERNEL PARA “SuSE Linux Enterprise 11”

SuSE publicó actualización del kernel para SuSE Linux Enterprise Server y Desktop de la versión 11 SP1 que corrige 3 vulnerabilidades de escalada de privilegios.

Detalles técnicos

  • Las vulnerabilidades están relacionadas con los sockets RDS y con video4linux, en todos los casos podrían permitir a un atacante local la obtención de privilegios de root.

Recomendaciones

  • Se recomienda actualizar a la última versión del kernel, disponible a través de la herramienta automática YaST.

Fuente: Hispasec

15 de noviembre de 2010

RIESGO DE COLAPSO DE INTERNET A PARTIR DEL 2012

Vinton Cerf, uno de los fundadores de Internet, ha asegurado que el actual sistema de direcciones no podrá asumir el crecimiento de Internet a partir de 2012 y anima a las empresas a convertir sus direcciones al protocolo 'IPv6'.

  • Actualmente las direcciones de Internet están desarrolladas en relación al esquema 'IPv4' que según Vinton Cerf es capaz de acoger aproximadamente 4,3 millones de direcciones más.
  • Al parecer, las estimaciones pronostican que con el crecimiento actual de la Red, se llegará a esa cifra en 2012.
  • El conocido científico ha explicado que, llegados a ese punto, la Red se volverá inestable, por lo que hay que comenzar el cambio al nuevo esquema de direcciones de forma inmediata.
  • El gran problema en la migración de un sistema a otro es que no son compatibles, por lo que se requiere un gran esfuerzo.
  • Al pasar al sistema 'IPv6' no se responde a una búsqueda de un usuario a la dirección alojada en la versión anterior.
  • Un ejemplo de migración que presenta Cerf es el de Google. La compañía de comunicación ha migrado sus direcciones al sistema 'Ipv6' en 3 años aproximadamente.

Fuente: BBC

10 de noviembre de 2010

VULNERABILIDAD POR DENEGACIÓN DE SERVICIO EN “IBM Tivoli Directory Server”

Anunciada nueva vulnerabilidad en IBM Tivoli Directory Server 6.1, que podrían utilizar atacantes remotos para provocar condiciones de denegación de servicio.

Detalles técnicos:

  • El fallo se origina en un error en el servidor proxy cuando construye peticiones de búsqueda LDAP, lo que podría permitir a un atacante remoto provocar la caída de un servidor afectado mediante el envío de una operación en la página de resultados de búsqueda.

Recomendaciones:

  • Se recomienda aplicar la actualización 6.1.0-TIV-ITDS-FP0005.

Fuente: Hispasec

CONTABILIZADOS MÁS DE 350 FALLOS DEL “KERNEL DE ANDROID “

Ha sido publicado el informe "Coverity Scan 2010 Open Source Integrity Report" desarrollado por la empresa Coverity y el departamento de seguridad nacional de los EE.UU que se realiza sobre programas de código abierto y este año le ha correspondido ese honor al kernel de Android.

  • Este estudio ha sido realizado sobre el kernel 2.6.32 de Android (Froyo), en concreto sobre un terminal "HTC Droid Incredible".
  • Además el estudio matiza que alguno de los fallos puede que no afecten a todas las versiones del kernel de Android; dada la fragmentación existente en Android debido a que algunas de las piezas del sistema dependen directamente de los fabricantes del Hardware.

Tipo de fallos:

  • Esta investigación ha descubierto 359 fallos de seguridad, 88 de ellos han sido clasificados como de alto riesgo y 271 como riesgo medio.

Clasificación de los fallos:

  1. Como riesgo elevado se han reportado errores de corrupción de memoria, acceso ilegal a memoria, pérdida de recursos y errores al inicializar variables. Estos errores permiten ejecutar código arbitrario o el acceso al GPS sin autenticación, entre otros posibles impactos.
  2. Entre los problemas de riesgo medio encontramos errores de implementación de API, errores en el control de flujo, en los manejadores o referencias a punteros a nulos. Estos fallos causan una denegación de servicio haciendo que el terminal se quede bloqueado.

Los componentes donde se han encontrado los fallos han sido, por número de errores:

  1. Fs, especificaciones de Android, Net, Drivers, Kernel y Arch entre otros.
  2. Destacar que la mayoría de fallos críticos se encuentran en las especificaciones de Android.

Fuente: Hispasec

9 de noviembre de 2010

EL MALWARE PREFIERE “JAVA”

Los cibercriminales han estado explotando vulnerabilidades de Java para distribuir malware en un volumen muy superior al de los últimos meses, según el último informe de malware de G Data SecurityLabs.

  • Por primera vez desde el pasado mes de febrero hay novedades significativas en el ranking de malware elaborado por G Data y una amenaza que afecta a Java ocupa el primer puesto.
  • Hasta ahora, la amenaza más repetida afectaba a los archivos PDF.
  • Java.Trojan.Exploit.Bytverify.N se puede localizar en sitios web hackeados y mediante un applet manipulado de Java intenta infectar un PC a través de la táctica “drive-by download”.
  • G Data recomienda usar una protección antivirus en tiempo real y actualizar los programas instalados en el ordenador.
Fuente: G Data