30 de abril de 2011

FALLO DE SEGURIDAD EN “php 5.x”

Alexander Gavrun ha descubierto y publicado en su blog un fallo de seguridad en la función 'phar_parse_tarfile' de PHP 5.

Descripción de la función:

'phar' es una extensión de PHP concebida para empaquetar aplicaciones PHP y facilitar así su distribución e instalación en otros sistemas. Proporciona además una abstracción para manipular ficheros ZIP y TAR.

Detalle de la vulnerabilidad:

  • El fallo se encuentra en el fichero 'ext\phar\tar.c'.
  • Existe un error de programación que introduce un desbordamiento de enteros durante el manejo de las cabeceras de los ficheros TAR.
  • Al llamar a la función 'php_stream_read' se intentaría copiar datos a un buffer que no ha sido previamente reservado, lo que provocaría una denegación de servicio y potencialmente permitiría ejecutar código arbitrario.

Recomendaciones :

Se recomienda no procesar con esta función archivos TAR en los que no se confíe.

Más información :

PHP (phar extension) heap overflow:

http://0x1byte.blogspot.com/2011/04/php-phar-extension-heap-overflow.html

Fuente: Hispasec

APROBADO EL PLAN DE IMPLANTACIÓN DEL PROTOCOLO “IPv6” EN ESPAÑA

El Gobierno Español aprobó el plan de implantación del protocolo IPv6, según explicó el Secretario de Estado de Telecomunicaciones.

El nuevo protocolo permitirá la asignación de hasta 340 sextillones de nuevas direcciones, además de ser más eficiente que el actual IPv4 .

También permitirá anticiparse al crecimiento de la Red ya que las direcciones actuales se calcula que se agotarán a finales de año.

El Ministerio de Industria será el primero en incorporar IPv6 en junio. Y también, se pondrá en marcha el portal informativo www.ipv6.es.

El Gobierno incluirá en su plan 10 medidas de apoyo a las empresas para que lo adopten.

Destacan las ayudas a proyectos técnicos, el desarrollo de la colaboración público-privada y la incorporación de IPv6 en la compra pública.

Fuente: www.elpais.com

28 de abril de 2011

“FALSO SPAM" DISTRIBUYE MALWARE

BitDefender ha localizado una oleada de spam que está utilizando la supuesta actualización de las contraseñas de Facebook para distribuir malware entre los usuarios de Internet.

Modus operandi del engaño:

  • El proceso se inicia cuando el usuario recibe un email en el que se informa de estar enviando spam desde su cuenta de Facebook y por ello su contraseña ha sido cambiada. En el texto también se le dice que en el archivo adjunto podrá encontrar su nueva contraseña.
  • Si el usuario descarga y abre el archivo ( en formato .zip bajo el nombre de New_Password ), en realidad estará introduciendo en su equipo una copia de un Backdoor, identificado por BitDefender como Trojan.Generic.KDV.194478.

El malware está diseñado para :

  1. Permitir el acceso del atacante al ordenador
  2. Descargar en el mismo otros ejemplares de malware para robar nombres de usuarios y contraseñas de cuentas de :
FTP, correo electrónico, programas de mensajería instantánea, etc.

Fuente: Diario Tecnológico.

ACTUALIZACIÓN MÚLTIPLE DE PRODUCTOS ORACLE

Oracle ha publicado un conjunto de parches para diversos productos de la casa que corrigen hasta 73 nuevas vulnerabilidades que podrían comprometer gravemente la seguridad de los sistemas y servicios afectados si éstos fuesen atacados.

Se incluyen los parches para el sistema operativo Solaris ya que después dela compra de Sun por parte de Oracle, las actualizaciones de Sun pasan a integrarse dentro del calendario de publicaciones trimestrales.

Resumen de productos y número de vulnerabilidades corregidas:

  1. Seis nuevas vulnerabilidades corregidas en Oracle Database. Dos de los problemas corregidos son explotables remotamente sin autenticación.
  2. Nueve vulnerabilidades afectan a Oracle Fusion Middleware. Seis de ellas podrían ser explotadas por un atacante remoto sin autenticar. Los componentes afectados son: Oracle JRockit, Oracle WebLogic Server, Oracle Security Service, Oracle HTTP Server, Oracle Help, Portal, Single Sign On y Oracle Outside In Technology.
  3. Un parche afecta a Oracle Enterprise Manager Grid Control. En esta ocasión un atacante remoto sin autenticar no podría llegar a explotar la vulnerabilidad. El componente afectado es Application Service Level Management.
  4. Treinta vulnerabilidades afectan a Oracle Applications divididas en: cuatro en Oracle E-Business Suite, una en Oracle Supply Chain Products Suite, 14 en Oracle PeopleSoft Products, ocho en Oracle JD Edwards Products y tres en Oracle Siebel CRM.
  5. Veintiseis parches afectan a la suite de productos Oracle Sun. 18 de estas nuevas vulnerabilidades afectaban a estos productos y otras ocho a Oracle Open Office Suite.
  6. También se ha corregido una vulnerabilidad, no explotable remotamente sin autenticar, en Oracle Industry Applications.

Más información en:

Oracle Critical Patch Update Advisory - April 2011

http://www.oracle.com/technetwork/topics/security/cpuapr2011-301950.html

Fuente: Hispasec

MICROSOFT ADVIERTE DE UN ATAQUE DE TIPO 'phishing' EN LA “Xbox”

Microsoft ha publicado una advertencia de un problema en la plataforma de la Xbox para los usuarios del juego “Modern Warfare 2” que pueden ser objeto de una campaña de phishing.

Recomendaciones :

  • La compañía explica en su mensaje que son conscientes del problema y que trabajan para resolverlo, lamentan los inconvenientes y agradecen la paciencia de los jugadores.
  • El problema parece centrarse en el citado juego durante sesiones de multijuego.

Más información en el sitio web:

http://support.xbox.com/en-gb/Pages/xbox-live/xbox-live-status.aspx?wa=wsignin1.0%20

Fuente: El País

27 de abril de 2011

CONFIRMADO. UN HACKER ACCEDIÓ A DATOS DE MILLONES DE USUARIOS DE “PlayStation”

El cierre desde el pasado miércoles de la red PlayStation que permite el juego en línea a sus 70 millones de miembros ha sido explicado ahora por parte de Sony admitiendo que una "persona no autorizada" puede haber obtenido información sensible de sus usuarios.

  • En una nota publicada en el blog de la compañía no descarta que el intruso haya conseguido nombres, direcciones postales, contraseñas, historial de compras.
  • Aunque no tiene constancia de ello, no puede descartar que el intruso haya conseguido el número de tarjeta de crédito, si el internauta lo ha suministrado a PlayStation Network o al servicio Qriocity, y la fecha de caducidad de la tarjeta.
  • Sony excluye que pueda conocer el código de seguridad.

Recomendaciones :

  • Sony recomienda que, cuando el servicio vuelva a estar activo, sus miembros cambien las contraseñas.
  • También ha comenzado a enviar a los clientes de la red un correo en el que explica la situación.
  • La compañía advierte que no se responda a mensajes que, en nombre de Sony, pidan al receptor datos personales.
Consecuencias del ataque :
  1. El cierre de PlayStation Network, que impide jugar en línea o comprar filmes o elementos de juego,también afecta a servicios asociados a la misma como, en Estados Unidos, Netflix.
  2. Sony asegura que está trabajando para restaurar la seguridad del sistema y espera reanudar paulatinamente el servicio en una semana.
  3. La organiación de consumidores FACUA ha solicitado a la Agencia de Protección de Datos española que abra una investigación sobre el caso.
  4. La agencia británica ya ha anunciado que lo hará.

Más información en el Blog de PlayStation :

http://us.playstation.com/support/answer/index.htm?a_id=2185

Fuente: Blog de PlayStation

26 de abril de 2011

“Windows Phone” TAMBIÉN GUARDA LAS GEOLOCALIZACIONES DE SUS USUARIOS

Primero fueron los iPhones e iPad de APPLE, después los dispositivos con Android de GOOGLE y ahora nos enteramos que Windows Phone 7 también guarda las geolocalizaciones de sus usuarios.

  • En este caso, el móvil transmite a MICROSOFT el identificador único del aparato (similar al número de bastidor de los vehículos), detalles sobre las redes wifi cercanas y las coordenadas exactas del GPS.
  • De momento, no se sabe durante cuánto tiempo se almacena las localizaciones y con qué frecuencia las coordenadas GPS del aparato se trasmiten a través de Internet porque ningun portavoz de la compañía ha facilitado la respuesta, según informa el sitio de noticias Cnet.

Más información en el sitio web de CNET:

http://news.cnet.com/8301-31921_3-20057329-281.html?tag=topStories1

Fuente: www.elpais.com

ACTUALIZACIÓN DE SEGURIDAD DE “Adobe Reader y Acrobat”

Esta actualización de seguridad soluciona 2 vulnerabilidades críticas de Adobe Reader y Acrobat.

Recursos afectados:

  1. Adobe Reader X (10.0.1) y anteriores para Windows
  2. Adobe Reader X (10.0.2) y anteriores para Macintosh
  3. Adobe Acrobat X (10.0.2) y anteriores para Windows y Macintosh

Detalle de las vulnerabilidades:


  • Se ha publicado una actualización de seguridad que soluciona la vulnerabilidad CVE-2011-0611.
  • Esta vulnerabilidad afecta al fichero authplay.dll, que se incluye en Adobe Reader y Acrobat X (10.0.1) y anteriores, versiones 10.x y 9.x para Windows y sistemas operativos Macintosh.
  • También soluciona CVE-2011-0610 relacionado con un problema de corrupción de memoria en la librería CoolType.

Recomendaciones :

  1. Adobe recomienda a los usuarios de Reader y Acrobat la actualizaciones a las versiones recientemente publicadas empleando la opción de actualización automática de los productos.
  2. Ó descargarlas desde el sitio web de Adobe: http://www.adobe.com/downloads/

Mas información en los sitios web:

  • INTECO.-
http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/actualizacion_seguridad_adobe_reader_acrobat_20110422
  • ADOBE.-
http://www.adobe.com/support/security/bulletins/apsb11-08.html

Fuente: INTECO

DEBILIDAD EN EL CIFRADO EN “ IBM WebSphere”

Informe que describe una vulnerabilidad en IBM WebSphere Application Server (versiones 5.0.x, 5.1.x, 6.0.x, 6.1.x y 7.0.x) y WebSphere Commerce (versiones 6.0.x y 7.0.x), que podría permitir a un atacante conseguir acceso a información sensible.

  • IBM WebSphere Application Server (WAS) es el servidor de aplicaciones de software de la familia WebSphere de IBM.
  • Este servidor de aplicaciones puede funcionar con distintas plataformas y servidores web como HTTP Server, Netscape Enterprise Server, Microsoft Internet Information Services (IIS), IBM HTTP Server en sistemas operativos AIX, Linux, Microsoft, Windows y Solaris.

Detalle de la vulnerabilidad:

  • El problema reside en un algoritmo de cifrado débil, empleado por WS-Security para cifrar los datos intercambiados a través del Web Service (JAX-WS ó JAX-RPC).
  • Esto podría permitir a un atacante descubrir los datos cifrados contenidos en las peticiones web.

Recomendaciones:

Las actualizaciones están disponibles desde los sitios de IBM:

  • Para IBM WebSphere Application Server:

http://www.ibm.com/support/docview.wss?uid=swg21474220

  • Para IBM WebSphere Commerce:

http://www-01.ibm.com/support/docview.wss?uid=swg21496880

Más información en los sitios de IBM:

http://www.ibm.com/support/docview.wss?uid=swg21474220

http://www-01.ibm.com/support/docview.wss?uid=swg21496880

Fuente: Hispasec

25 de abril de 2011

¿ LOS GOBIERNOS AMENAZAN LA LIBERTAD ONLINE DE LOS CIUDADANOS ?

Según el informe “Libertad en Internet 2011”, del grupo de derechos humanos Freedom House, los gobiernos se han convertido en uno de los principales “hackers” del mundo.

El informe analizó la libertad de expresión en internet en 37 países, y descubrió que en 12 de ellos los ciberataques contra los ciudadanos estaban en aumento, y en al menos ocho se podría llegar a encarcelar a la gente por expresar sus opiniones en la red.

Dentro esos ocho países, que se han clasificado como de alto riesgo encontramos a Jordania, Rusia, Tailandia, Venezuela, Zimbabwe, Irán, Bielorrusia y China.

El más peligroso de todos es Irán, que controla todo lo que se dice sobre la dictadura en la red, y ha formado el grupo Iranian Cyber Army, que se encarga de atacar a aquellos ciudadanos que muestran sus críticas a Ahmadinejad online.

También el gobierno chino, destaca por sus ataques contra grupos de derechos humanos y el envío de correos electrónicos corruptos.

Los países que gozan de mayor libertad online son: Estonia, Estados Unidos, Alemania, Australia y el Reino Unido. Algunos paises como España no fueron analizados.

Mas información en :

  • En Techeye .-

http://www.techeye.net/security/governments-are-the-worst-hackers#ixzz1K9MdDxd5

  • En Freedom House.-

http://www.freedomhouse.org/uploads/fotn/2011/FOTN2011.pdf

Fuente: The Inquirer

ELEVACIÓN DE PRIVILEGIOS A TRAVÉS DE POLKIT

Neel Mehta investigador de Google, ha informado de un error en polkit, que consiste en una condición de carrera locual permitiría a un atacante local ejecutar comando arbitrarios con permisos de root.

Polkit es un manejador de procesos que permite definir y manejar politicas para intercomunicar procesos que corren con permisos distintos.

El fallo es provocado por el modo de obtener los permisos de un proceso en 'pkexec'. A esta vulnerabilidad se le ha asignado el identificado CVE-2011-1485.

Este fallo ha sido solucionado por Ubuntu en sus versiones 10.x y 9.2 y en Red hat en la versión 6.

Más información en :

  • Red Hat bug report:

https://bugzilla.redhat.com/show_bug.cgi?id=692922

  • Red Hat Security Advisory:

http://rhn.redhat.com/errata/RHSA-2011-0455.html

  • Ubuntu Security Notice:

http://www.ubuntu.com/usn/usn-1117-1/

Fuente: Hispasec

23 de abril de 2011

ANDROID TAMBIEN CONTROLA LAS GEOLOCALIZACIONES DE SUS USUARIOS

Los móviles con sistema operativo Android de Google también llevan integrados el sistema de rastreo y localización, según un análisis elaborado por el Wall Street Journal.

Hoy, The Wall Street Journal asegura que los celulares con el Android trasmiten las localizaciones de sus usuarios, lo que genera una enorme base de datos de gran utilidad a la hora de ofreces servicios disponibles en el entorno donde se encuentra el usuario.

  • Según cifras de la consultora Gartner citadas por el diario, este segmento de negocio podría crecer hasta los 8.300 millones de dólares (más de 5.700 millones de euros) en el año 2014.
  • En el caso de Google, según el análisis del WSJ, el teléfono HTC Android recopila información sobre la ubicación del usuario cada pocos segundos, y lo transmite a Google al menos varias veces cada hora.
  • Además, transmite el nombre, la localización y la fortaleza de la señal de las redes Wi-Fi que pueda haber cerca.

Las noticias aparecidas sobre el control de la geolocalización de usuarios de Apple ayer, como de Google hoy, han iniciado la polémica sobre la privacidad de los datos de los usuarios y la conveniencia de que las operadoras de telefonía se cuestionen su propia política de protección de datos.

Fuente: www.abc.es

21 de abril de 2011

"IPhone y iPad 3G" ALMACENAN DATOS DE GEOLOCALIZACIÓN DE LOS USUARIOS

Expertos en seguridad descubrieron que los dispositivos de Apple guardan datos de geolocalización de sus propietarios desde la actualización de junio del iOS 4, y que además no están encriptados violando la privacidad de los usuarios doblemente.

Descripción del descubrimiento:

  • Así lo han revelado los expertos en seguridad Alasdair Allan y Pete Warden durante la conferencia “Where 2.0″ celebrada en Santa Clara.
  • Bajo el nombre de “consolidated.db”, esta base de datos no está encriptada y forma parte del backup del terminal, lo que significa que todo su contenido es enviado y copiado en el ordenador receptor cuando se realiza una sincronización de dispositivos.

Modus operandi del servicio no solicitado:

  • Un archivo oculto en el sistema de iPhones con iOS 4 y iPads 3G almacena las coordenadas de longitud y latitud sí como la hora exacta del paradero de su propietario a medida que éste se va moviendo.
  • Y lo hace aproximadamente 100 veces al día, desde la actualización del sistema operativo móvil de Apple en junio de 2010.

Más información el sitio web: http://radar.oreilly.com/2011/04/apple-location-tracking.html

Fuente: Eweek Europe

20 de abril de 2011

ACTUALIZACION DE “IBM” PARA “Tivoli Directory Server”

IBM corrige un fallo descubierto por ZDI que permite a un atacante no autenticado ejecutar código arbitrario a través de un paquete LDAP especialmente manipulado.

Tivoli Directory Server es un software de gestión de identidad de IBM, basado en tecnología LDAP (Lightweight Directory Access Protocol) que proporciona servicios de autenticación centralizado. Soporta plataformas IBM AIX, i5, Solaris, Windows, HP-UX..

Detalles de la vulnerabilidad:

  • El error provoca un desbordamiento de memoria intermedia basado en pila, en la función 'ber_get_int'. Esto se produce cuando se procesan paquetes 'CRAM-MD5' especialmente diseñados. Este fallo permite a un atacante remoto poder ejecutar código arbitrario en el contexto de 'SYSTEM'.
  • El CVE asignado a esta vulnerabilidad ha sido 'CVE-2011-1206' y se ha publicado un prueba de concepto para esta vulnerabilidad.

Recomendaciones :

Se lanzado actualizaciones para corregir este problema para las versiones 5.2.x y 6.x. , que se recomienda implementar

Más información en el sitio web:

https://www-304.ibm.com/support/docview.wss?uid=swg21496117

http://www.zerodayinitiative.com/advisories/ZDI-11-136/

Fuente: Hispasec

FALLO DE SEGURIDAD EN “Skype” PARA “Android”

Los responsables de “VoIP Skype” han reconocido la vulnerabilidad descubierta en Android Police, en su aplicación para Android que podría poner en peligro los datos personales de los usuarios.

Detalles del fallo:

  • El error se origina en la forma en que la aplicación almacena los datos, porque parece ser que no están cifrados, lo cual permitiría a los ciberdelincuentes lanzar ataques por medio de aplicaciones de terceros, dándoles acceso a información guardada en el dispositivo.
  • Este acceso a los datos del dispositivos, permitiría a los delincuentes acceder a todo tipo de datos personales de sus víctimas como correos electrónicos, números de teléfono, contactos o información personal de las conversaciones mantenidas a través de Skype.

Fuente: The Inquirer

19 de abril de 2011

LA DECLARACIÓN DE LA RENTA ESPAÑOLA OBETIVO DEL CIBERCRIMEN

Según ha alertado el Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil, existe una campaña de phishing que utiliza una supuesta devolución en la declaración a Hacienda como cebo.

El usuario recibe un mail que le alerta de que le corresponde la devolución de 100 a 200 euros y por tanto lo redirige a una página falsa (pero por supuesto similar a la Hacienda) para que introduzca sus datos bancarios.

Recomendaciones :

Como alerta Kaspersky Lab, mejor ser precavido ante este tipo de comunicaciones.

Fuente: Silicon News

ATACADOS LOS SERVIDORES “FTP” DE LA AGENCIA ESPACIAL EUROPEA

Un ciberdelincuente rumano, que consiguió violar los servidores para la transferencia de archivos de la Agencia, ha publicado en Internet hasta 200 nombres de usuario y contraseñas.

La ESA ha confirmado el hackeo, pero se ha apresurado a desmentir males mayores. Según un portavoz de la Agencia, la página web principal no ha sido comprometida, tan sólo algunos de sus servidores FTP de B2B utilizados para intercambiar información sobre misiones con instituciones y expertos científicos.

“Todos estos servidores FTP han sido desconectados y llevados a modo offline; y todas sus credenciales, actualizadas y restauradas”, ha explicado el portavoz. “También hemos alertado a todos los usuarios y les hemos pedido que cambien sus contraseñas e informen de cualquier actividad en sus cuentas”.

Fuente: Eweek Europe

SALTO DE RESTRICCIONES EN “Dropbox”

Derek Newton ha publicado en su blog el descubrimiento de la posibilidad de que los credenciales de Dropbox de un equipo puedan ser utilizados en otras máquinas.

Dropbox es un conocido servicio de alojamiento de archivos en la nube que puede ser utilizado tanto en ordenadores de distintas plataformas, como en dispositivos móviles y permite la sincronización en diferentes máquinas de los archivos alojados, además de la compartición de los mismos.

Consecuencias del fallo de seguridad :

  • El conocer el identificador, además de permitir la sincronización y total acceso a los archivos, además, da acceso de forma automática al sitio web desde donde se gestiona la cuenta.
  • Otro problema que se suma a que la identificación del equipo se realice únicamente con este identificador es que aunque el usuario de la cuenta cambie su contraseña, dicho identificador no sufrirá ningún cambio; siendo igualmente válido a pesar de dicho cambio.
  • Este comportamiento puede generar un problema, ya que las credenciales que hubiesen caído en manos extrañas seguirían siendo efectivas hasta que el usuario legítimo elimine la asociación entre la cuenta y el equipo de donde haya sido extraído el 'host_id'.
  • Se han hecho públicas herramientas que permiten de forma totalmente automática obtener el archivo 'config.db' y la extracción de su contenido, además de facilitar la configuración en otras máquinas con los credenciales extraídos y el envío de los mismos a páginas web.

Plataformas afectadas:

  • A pesar de que en el estudio inicial solo se haya hecho referencia al archivo 'config.db' y al funcionamiento de la aplicación en Windows, todos los sistemas de distintas plataformas que utilicen esta forma de funcionamiento son igual de susceptibles para poder extraer el identificador de la máquina en la que se encuentra instalado Dropbox.

Recomendaciones :

Dropbox por su parte no considera que el problema sea tan grave, alegando que la persona que obtenga dicho fichero, deberá tener acceso físico a la máquina, y por lo tanto a todos los archivos que han sido compartidos.

Más información en el sitio web :

http://dereknewton.com/2011/04/dropbox-authentication-static-host-ids/
Fuente: Hispasec

ACTUALIZACIÓN DE ITUNES 10.2.2 PARA WINDOWS

Apple ha publicado una actualización de su programa iTunes que, además de mejorar la estabilidad e incluir numerosas mejoras, corrige un fallo de seguridad.

Versiones y Sistemas Operativos afectados :

La versión de iTunes anterior a la 10.2.2 instalada en los Sistemas Operativos:

  • Windows 7
  • Windows Vista
  • Windows XP Sp2 o posterior

Descripción :

  • La actualización del programa soluciona un fallo de seguridad que podría permitir la suplantación del usuario legítimo mientras navega por la iTunes Store.
  • Además, este fallo podría provocar que el atacante pueda ejecutar aplicaciones remotamente en el ordenador así como hacer que la aplicación se cierre inesperadamente.

Recomendación :

Actualizar iTunes, lo antes posible, a la versión 10.2.2. Para hacerlo debe descargar e instalar la nueva versión de la aplicación de la sitio web de Apple

http://www.apple.com/itunes/download/

Más información en el sitio web:

http://www.daboweb.com/2011/04/18/actualizacion-de-seguridad-itunes-10-2-2-win-solventa-ataque-via-itunes-store/

Fuente : Inteco

18 de abril de 2011

ACTUALIZACIÓN DE URGENCIA PARA FLASH

Adobe ha lanzado una actualización que soluciona una vulnerabilidad encontrada la pasada semana en Flash Player y que podía permitir a los atacantes tomar el control del equipo de forma remota.

Recordatorio de la vulnerabilidad :

  • Según ha confirmado la propia compañía, la vulnerabilidad CVE-2011-0611 estaba siendo explotada a través de un archivo malicioso de Flash (.swf) embebido en un documento Word (.doc).
  • El archivo era distribuido a través de correos electrónicos con documentos adjuntos y podía afectar a Flash Player 10.2.153.1 y versiones anteriores para Windows, Mac, Linux y Solaris, y Flash Player 10.2.156.12 y versiones anteriores para Android.
  • Para evitar que las infecciones se extiendan, Adobe ha actualizado Flash Player a la versión 10.2.159.1 para Windows, Mac, Linux y Solaris.
  • Adobe reconoció que la vulnerabilidad también podría afectar al componente Authplay.dll de Reader y Acrobat X (10.0.2) y versiones anteriores 10.x y 9.x para Windows y Mac, aunque por el momento no se han detectado ataques y recibirán sus actualizaciones más adelante.

Recomendación :

La compañía recomienda a todos los usuarios realizar esta actualización cuanto antes sus versiones para evitar posibles ataques. Desde el sitio web :

http://get.adobe.com/es/flashplayer/

Más información en el sitio web de ADOBE:

http://www.adobe.com/support/security/bulletins/apsb11-07.html

Fuente: The Inquirer

DESMANTELADO UN 'BOTNET' QUE INFECTÓ A 2.5000.000 DE PC's

Un botnet pirata que controlaba dos millones y medio de ordenadores (1,8 millones de máquinas están en EEUU) ha sido desmantelado en Estados Unidos.

Los delincuentes aprovechaban el acceso a estas máquinas zombis para, incrustar el virus Coreflood y robar datos de sus propietarios, haciéndose con una suma superior a los 100.000.000 de dólares (69 millones de euros).

Coreflood es un peligroso virus, que roba los datos gracias a la lectura que hace del teclado en el ordenador.

Una vez la clave está en posesión de quienes controlan remotamente la máquina pueden emplearla a discreción.

Entre las víctimas de esta red figura una inmobiliaria de Michigan y un suministrador del departamento de Defensa.

El botnet (red de ordenadores infectados que permiten el acceso remoto del pirata) llevaba una década operativo.

Fuente: El País

17 de abril de 2011

SALTO DE RESTRICCIONES EN “McAfee Firewall Reporter”

Fallo en el código responsable de la autenticación de los usuarios de "McAfee Firewall Reporter", (en el archivo 'GernalUtilities.pm'), podría permitir a un atacante remoto evadir las restricciones de seguridad y tomar el control del dispositivo.

McAfee Firewall Reporter es un gestor de eventos de seguridad destinado a auditar y a mantener los logs de otras aplicaciones empresariales destinadas a la seguridad de la red. Sus principales funciones son las de transformar los flujos de auditoría en información que puede ser procesada mediante una monitorización centralizada.

Detalle del fallo :

  • El problema se debe a que GernalUtilities.pm no realiza ningún filtrado de los valores de entrada de la cookie interpretada.
  • La lógica de programación simplemente comprueba la existencia de cierto archivo para validar al usuario, sin hacer ninguna inspección de su contenido.
  • Utilizando alguna técnica de escalada de directorios, un atacante podría hacer que cierto valor de la cookie apuntase a algún archivo que existiese en el servidor, con lo que, independientemente de su contenido, conseguiría evadir las restricciones de seguridad establecidas.
  • Con estos privilegios el atacante tendría acceso a la interfaz web de McAfee Firewall Reporter, lo que le permitiría desactivar el antivirus o añadir exclusiones no deseadas.

Recomendaciones :

Como el fallo ya ha sido arreglado por McAfee en la versión 5.1.0.13, lo lógico para todos los usarios de “McAfee Firewall Reporter” es actualizar a la nueva versión.

Más información en el sitio web:

https://kc.mcafee.com/corporate/index?page=content&id=SB10015

Fuente: Hispasec

ROBAN DE LOS SERVIDORES DE “WORDPRESS.COM” ĆODIGO FUENTE

Ataque de nivel bajo a varios servidores de la plataforma de blogs, ha permitido acceder a "bits sensibles" de código fuente, así como las APIs y las contraseñas de las redes sociales de los usuarios.

Detalle del ataque:

  • Un intruso irrumpió ayer en WordPress.com, consiguiendo acceso a varios servidores y al código fuente con el que funcionan los blogs de sus clientes VIP, como la CNN, CBS, Flickr y TED.
  • En esta ocasión, el acceso a nivel root ha facilitado la exposición en su máximo exponente a toda la información almacenada en los sistemas.
  • No se han hecho público los sitios afectados, “potencialmente cualquier cosa en esos servidores puede haber sido revelada”, ha escrito Matt Mullenweg, fundador de Automattic y su servicio de hosting gratuito, en el blog corporativo de la empresa.

Clientes no afectados :

Los únicos clientes que están a salvo son aquellos que alojan el software en sus propios servidores o en "Wordpress.org".

Medidas adoptadas y consecuencias del ataque:

  • La compañía se encuentra en proceso de cambiar todas las contraseñas y las claves de API que se encontraban en el código fuente.
  • Muchos de los clientes de WordPress enlazan los blogs con sus cuentas en Twitter y Facebook, por lo que el hacker podría haber recolectado esta información y ser capaz de impedir el acceso a las redes sociales.

Recomendaciones :

  • Mullenweg ha pedido a los usuarios que utilicen contraseñas seguras y nunca las reutilicen para distintos sitios a lo largo de la red.
  • También ha recomendado usar gestores de contraseña como LastPass ó KeePass para recordar más facilmente combinaciones complicadas.
  • Una vez remediado el incidente, es fundamental que los administradores realicen una auditoría de seguridad completa.

Fuente: Eweek Europe

15 de abril de 2011

DETECTADA ESTAFA EN FACEBOOK

Sophos advierte a los usuarios de Facebook para que actuen con precaución después del descubrimiento de una estafa dirigida a los fans de la popular saga de películas vampíricas “Crepúsculo".


Modus operandi de los estafaddores :

  1. Los estafadores suplantan a promotores del videojuego relacionado con la próxima película “Crepúsculo Amanecer", protagonizada por Ed Cullen y Kristen Stewart.
  2. Sin embargo, al pulsar en el botón “Play Now" (“Juega Ahora"), los usuarios son dirigidos a un anuncio que les solicita hacer un “Me gusta" y que distribuye la estafa de forma viral a través de Facebook.
  3. La estafa continúa con una aplicación que pide permiso para acceder a sus datos y poder enviar mensajes, actualizaciones y fotos al muro.
  4. Los fans de “Crepúsculo" seguro que conceden el permiso pero el problema es que se está dando permisos a una aplicación cuya finalidad es hacer dinero a costa de las novelas de Stephenie Meyer.
  5. Finalmente se presenta la última pieza del rompecabezas, una encuesta online que hace ganar dinero a los estafadores por cada cuestionario completado".

Recomendaciones:

Si se ha visto afectado por esta estafa, debe limpiar su cuenta antes de crear un daño mayor.

Fuente: Sophos.

ACTUALIZACIONES DE SEGURIDAD PARA “iOS, Safari y Mac OS X”

Apple lanza nuevas actualizaciones para su sistema operativo móvil iOS, el navegador Safari y Mac OS X que corrige varias vulnerabilidades, detectadas por los hackers del concurso Pwn2Own.

Detalle de las actualizacuones :

  1. Actualización iOS 4.3.2 para iPhone, iPad e iPod Touch soluciona el fallo que impedía a los usuarios de iPad conectarse a las redes 3G cuando viajaban a otros países.
  2. Corrección del error que producía congelación o aparición de vídeo en blanco durante las llamadas de FaceTime, además de incluir las últimas actualizaciones de seguridad.
  3. Actualización 2011-2012 para Mac OS X que soluciona la vulnerabilidad que habría permitido el robo de certificados SSL por parte de los hackers.
  4. Actualización del navegador Safari con la versión 5.0.5 que soluciona 2 fallos de seguridad calificados como “graves” encontrado en el motor WebKit por los hackers del concurso Pwn2Own, que lograron vulnerar la seguridad de Safari a la primera de cambio.

Recomendaciones:

Las actualizaciones se recomiendan aplicarlas lo antes posible, bien descargándolas desde la web de soporte de Apple ó a través de Software Update.

Más información desde el sitio web :

http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/nuevas_actualizaciones_seguridad_apple_20110415

http://www.eweek.com/c/a/Security/Apple-Updates-iOS-Mac-OS-X-Safari-to-Fix-Pwn2Own-Bugs-Comodo-Certificates-103603/

Fuente: The Inquirer

13 de abril de 2011

ADOBE INFORMA DE FALLO DE SEGURIDAD CRÍTICO EN FLASH

Adobe, ha emitido una alerta sobre un nuevo fallo de seguridad en Flash Player que podría permitir a los atacantes tomar el control de los equipos.

Versiones afectadas:

  • Esta nueva vulnerabilidad ha sido calificada por la propia compañía como crítica y afecta a Flash Player 10.2.153.1 y versiones anteriores para Windows, Mac, Linux y Solaris, y Flash Player 10.2.156.12 y versiones anteriores para Android.
  • También afectaría a Reader y Acrobat X (10.0.2) y versiones anteriores 10.x y 9.x para Windows y Mac, ya que incluye el componente Authplay.dll, aunque por el momento no han detectado ataques contra estas plataformas y han señalado que el modo protegido de Reader X impediría la ejecución del exploit.

Detalle de la vulnerabilidad:

  • La nueva vulnerabilidad estaría siendo explotada a través de un archivo malicioso de Flash (.swf) embebido en en un documento de Microsoft Office, que en esta ocasión se trata de Word (.doc) .
  • El archivo malicioso se distribuye a través de un documento adjunto enviado por correo electrónico y al parecer, podría permitir a los ciberdelincuentes tomar el control remoto del equipo de sus víctimas o hacer caer el sistema.

Recomendaciones:

La compañía ha asegurado que están ultimando los detalles para la liberación de actualizaciones de seguridad que solventen este nuevo fallo. Hasta entonces cuidado con abrir archivos ".DOC"

Más información en el sitio web:

http://www.adobe.com/support/security/advisories/apsa11-02.html

Fuente: The Inquirer

FALLOS IMPORTANTES EN EL SOFTWARE DE PAGOS DE “Amazon”

Los expertos encontraron fallos en el kit de desarrollo de la aplicación Amazon Payments, una herramienta que permite realizar pagos en la tienda virtual y otros sites asociados.

Investigadores de la Universidad de Indiana y Microsoft logran engañar a los sistemas de pagos online de Amazon y adquieren artículos de manera gratuita o con descuentos.

Fallos detectados:

  1. Los fallos del software de pagos de Amazon Payments, podrían permitir a un comprador cambiar productos comprados después de realizar el pago sustituyendoles por otros de mayor valor, e incluso añadir productos a la cesta de la compra se procesa el pago.
  2. Otras posibles incidencias serían reutilizar la prueba de una compra para adquirir un nuevo producto, o hacer el pago a la cuenta de uno mismo, para de esa forma obtener una prueba de compra que engañara al vendedor.
  3. Los investigadores alertan que en ese último caso el vendedor se piensa que ha recibido el pago cuando en realidad se ha transferido a la cuenta del comprador.
Recomendaciones :
Como Amazon ya solucionó los fallos, que afectaban a la implementación e integración de la herramienta en los sites de algunos vendedores, con el lanzamiento de una nueva versión del SDK de la aplicación, se supone que el problema ya está corregido.

Mas información el sitio web:

http://news.cnet.com/8301-27080_3-20049044-245.html

Fuente: The Inquirer

VULNERABILIDAD EN KERBEROS

Se ha publicado un fallo en Kerberos a través de las listas de Debian Bugs que permite provocar una denegación de servicio en Kerberos y, potencialmente, ejecutar código arbitrario.

Detalles de vulnerabilidad:

  • El fallo, descubierto por Felipe Ortega el investigador, podría ser utilizado por ciberdelincuentes para causar una denegación de servicio.
  • Se debe a un error en la interpretación de las peticiones recibidas.
  • Este fallo provoca el procesado de un valor incorrecto de versión y hace que el servicio kadmind se detenga, ocasionando por tanto una denegación de servicio.
  • Es posible que el fallo permita la ejecución de código, aunque no se ha demostrado aún.

Versiones afectadas:

El fallo que ha sido confirmado para la versión krb5-1.9 y está pendiente de solución. No se descarta que afecte a otras versiones.

Mas información en la siguiente dirección web :

http://bugs.debian.org/cgi-bin/bugreport.cgi?bug=621726

Fuente: Hispasec

11 de abril de 2011

NUEVA VERSIÓN DE “WORDPRESS” SOLVENTA MÚLTIPLES FALLOS DE SEGURIDAD

La nueva versión de Wordpress 3.1.1, soluciona unos 30 fallos entre los que se incluyen 3 vulnerabilidades descubiertas por los desarrolladores Jon Cave y Peter Westwood.

Wordpress es un sistema de gestión de contenidos enfocado a la creación de blogs desarrollado en PHP y MySQL, ampliamente usado en la comunidad de bloggers debido a su facilidad de uso y sus características como gestor de contenidos.

Detalle de fallos y vulnerabilidades :

  1. La primera vulnerabilidad corregida permitía a un atacante remoto el secuestro de la sesión de autenticación al forzar al navegador de los usuarios autenticados a realizar acciones no autorizadas al visitar una página web especialmente manipulada. Localizada en el componente 'media uploader' permitía evadir la protección contra cross-site request forgery (CSRF).
  2. La segunda de las vulnerabilidades corregidas era un cross-site scripting (XSS) localizado en el código encargado de las actualizaciones de la base de datos y podría usarse para generar páginas web especialmente manipuladas permitiendo la ejecución de código HTML o JavaScript en el contexto de otro sitio web.
  3. Y la tercera vulnerabilidad, permitía causar una denegación de servicio a través del uso de enlaces especialmente manipulados en los comentarios.El fallo en este caso, reside en la función 'make_clickable' del fichero 'wp-includes/formatting.php' .
  4. Junto con estas 3 vulnerabilidades, la nueva versión de Wordpress corrige a su vez 26 fallos entre los que cabría destacar el soporte con IIS6, permalinks relacionados con PATHINFO, así como varios problemas de compatibilidad con ciertos plugins.

Recomendaciones :

Se recomienda la actualización a esta nueva versión de Wordpress, bien desde Dashboard -> updates o bien descargándola y realizando la actualización a mano.

Más informacion en el sitio web :
Fuente: Hispasec

10 de abril de 2011

VULNERABILIDAD “0-day” EN INTERNET EXPLORER 9

Vupen, empresa de seguridad, ha descubierto vulnerabilidades en Internet Explorer 9, y versiones anteriores, que permiten saltarse las medidas de seguridad del navegador y de Windows 7.

Recursos afectados:

Internet Explorer 9, Internet Explorer 8, Internet Explorer 7 y Internet Explorer 6

Detalles técnicos:

El exploit se aprovecha de un 0-day en IE9 para saltarse todas las medidas de seguridad adicionales presentes en Windows 7, incluida la última versión del sistema operativo de Microsoft (SP1).

Este exploit elude las medidas de seguridad de Windows tales como ASLR , DEP y el sandbox de IE9 aprovechándose de dos vulnerabilidades distintas:

  1. la primera de ellas permite la ejecución de código arbitrario dentro de la sandbox de IE9,
  2. la segunda permite eludir este mecanismo de seguridad para lograr la ejecución completa de código.

Según Bekra, la vulnerabilidad no se limita a la última versión del navegador de Microsoft, sino que también está presente en Internet Explorer 8, 7 y 6 debido a una vulnerabilidad de tipo "use-after-free" en mshtml.dll cuando se procesa una combinación especifica de HTML y Javascript.

Recomendaciones :

Vupen aconseja a todos los usuarios de IE desactivar JavaScript o bien utilizar otro navegador que no se vea afectado por esta vulnerabilidad.
Para más información visitar el sitio:

http://www.infoworld.com/d/security/ie9-exploit-puts-windows-7-sp1-risk-038

Fuente: Cert Inteco

9 de abril de 2011

MICROSOFT LANZARÁ SU MAYOR ACTUALIZACIÓN DE SEGURIDAD

Microsoft publicará el 12 de abril, la mayor reparación de seguridad con el lanzamiento de un total de 17 actualizaciones que solventará 64 vulnerabilidades en Windows, Office y Explorer.

Los 17 boletines de seguridad solucionarán 64 agujeros de seguridad. Del total de actualizaciones, 9 están consideradas como “críticas”, el nivel más elevado de riesgo para la seguridad.El resto de actualizaciones pertenece a la categoría de “importantes”.

Las vulnerabilidades se encuentran en diferentes aplicaciones del sistema operativo Windows en todas sus versiones: el navegador Internet Explorer en las versiones 6,7 y 8, varias ediciones de Office, así como Visual Studio, .NET Framework o GDI+.
La nueva actualización también corregirá algunos fallos conocidos como:
  • El descubierto en Windows Server Message Block (SMB) que podría permitir a los ciberdelincuentes tomar el control remoto del ordenador
  • El del protocolo MHTML (Multipurpose Internet Mail Extension HTML) que fue detectado el pasado mes de enero.

Fuente: The Inquirer

ATAQUE “SLAAC” EN “IPV6”

Investigadores de InfoSec Institute han descubierto una nueva forma de secuestrar el tráfico de una red interna gracias a la configuración por defecto de IPv6 en Windows y MacOS X por medio de una especie de “hombre en el medio”, llamado SLAAC, que no es un 0 day.

Obtener y redirigir el tráfico de una red interna hacia una máquina controlada por un atacante es una técnica conocida en el mundo de IPv4. Confundir la caché ARP de los sistemas, es uno de los métodos más empleados. Ahora, el ataque SLAAC consigue un efecto parecido pero de forma más "limpia".

Detalle técnico:

  1. El atacante debe introducir un router (o algún dispositivo que actúe como tal, puede ser su propio ordenador) en la red interna con dos interfaces (virtuales o no): una de cara a la red interna, que soporte solamente IPv6 y otra con la conexión a Internet (solamente IPv4). En esos momentos existirá una red adicional IPv6, pero el atacante no controlará el tráfico.
  2. El intruso comenzará a enviar RA (router advertisements, anuncios de rutas), que es una especie de DHCP para IPv6. El objetivo es que el tráfico pase a través de la interfaz IPv6 sin que los clientes noten nada y esto se consigue gracias a una especificación obsoleta.
  3. En resumen, la víctima utiliza sin darse cuenta el DNS del atacante para resolver direcciones y, por tanto, puede ser redirigido a cualquier página (que no use certificados) de forma transparente.

¿ Porque ocurre en Windows y Mac OS X ?

  • Gracias a Stateless address autoconfiguration (SLAAC) los sistemas operativos como Windows y Mac OS X, preferirán usar IPv6 en una red siempre que sea posible.
  • IPv6 está ideado para autoconfigurarse al máximo. Por tanto, obtendrán automáticamente información del router fraudulento introducido por el atacante sin que se note, y comenzarán a usar su servidor DNS fraudulento. Además, es poco probable que en una red exista algún router IPv6, por tanto el atacante no tendrá "interferencias".

Recomendaciones :

  • Deshabilitar lo que no se utilice.
  • En este caso, el soporte IPv6 desde las propiedades de red.

Fuente: Hispasec

7 de abril de 2011

CORREO BASURA CON TROYANO SIMULA SER NOTIFICACIÓN DE DHL

La empresa “Antispameurope” advierte de multiples correos “basura" con una supuesta notificación de la empresa logística DHL.

Detalle del troyano:

  1. El correo spam oculta un Troyano.
  2. El asunto hace referencia a una supuesta notificación de la compañía logística DHL.
  3. El texto del e-mail avisa de un hipotético paquete.
  4. Y Para obtener más información acerca del envío se facilita un número de seguimiento en el documento adjunto.
  5. Los archivos ZIP que adjunta el email tienen distintos nombres como:
Carta de Servicio de Notificación, documento UPS, número de identificación UPS o identificación DHL. Si el usuario abre estos archivos, automáticamente el Troyano se instala en el PC del usuario.
Recomendaciones:
  • Según Olaf Petry, Director IT de antispameurope. “El objetivo del e-mail es que el usuario abra el archivo adjunto casi sin leer el contenido del e-mail.
  • Porque si alguien, leyera el e-mail, con las faltas de ortografía que tiene, sospecharía enseguida.
  • Además, las empresas logísticas suelen incluir en el cuerpo del e-mail un enlace.
  • En ningún caso el usuario debe abrir el archivo adjunto".

Fuente: Antispameurope

6 de abril de 2011

CHROME PROTEGERÁ DEL MALWARE EN LA PROXIMA VERSIÓN

Google ha desarrollado una función de seguridad para el navegador Google Chrome que protegerá a los usuarios de las descargas de malware.

En la primera fase se ha decidido integrar una función que ayudará exclusivamente a combatir los archivos maliciosos ejecutables en Windows.

Modus operandi :

  • El navegador, insertará un mensaje de peligro que avisará a los usuarios cuando intenten bajar contenido peligroso.
  • Desde Google, han explicado que el aviso se presentará en la pantalla cada vez que un usuario descargue una URL que coincida con la lista de webs maliciosas publicadas por la API Safe Browsing.

Disponibilidad :

  • Por ahora sólo está disponible para usuarios suscritos al Chrome development release channel, (canal especial para probar novedades del navegador), pero desde Google aseguran que estará disponible en la próxima versión del navegador.

Fuente: www.v3.co.uk

5 de abril de 2011

MILLONES DE CLIENTES EN “EEUU” EXPUESTOS POR FALLO DE SEGURIDAD DE “EPSILON”

Datos personales de millones de clientes de empresas como Target, Best Buy, Hilton, JPMorgan Chase o Citigroup se encuentran expuestos, aunque algunas de las empresas ya han avisado a sus clientes.

Al parecer, varias cadenas de hoteles como Hilton, Red Roof Inn, Ritz-Carlton y Marriott también se han visto afectadas, además de clientes de entidades financieras como JPMorgan Chase y Citigroup.

Según Epsilon, “la entrada no autorizada en el sistema de correo electrónico” ha afectado sólo al 2% de sus clientes.

Según Rik Ferguson, Director de Investigación de Seguridad y Comunicaciones para EMEA de Trend Micro, el riesgo principal son los ataques de phishing, pero puede extenderse a otros tipos de ataques, aunque sólo el nombre y el correo electrónico de los clientes han sido comprometidos, sin asociarlos con información bancaria.

Fuente: Silicon News

4 de abril de 2011

“Google” INFORMA DE SUS PLANES SOBRE SEGURIDAD SSL

Google en un post publicado por Ben Laurie, ingeniero de seguridad de la compañía, en el blog Google Online Security, expone los planes futuros sobre seguridad SSL.


Google prepara un catálogo de certificados SSL y además se asociará a un grupo de trabajo para desarrollar una plataforma que valide las firmas en los certificados digitales.
  • El primer proyecto es un catálogo online para los certificados, que según Laurie la compañía utiliza su software de rastreo web para estudiar minuciosamente los sitios y recopilar información sobre los certificados de seguridad.
  • La compañía también, pretende reunir la colección en Google Certificate Catalog, un servicio que funcionará como una base de datos de certificados SSL, permitiendo que se establezcan conexiones para verificar la autenticidad de los datos certificados online.
  • Además de esta base de datos, Google añade que se asociará con el DNS-based Authentication of Named Entries (DANE), grupo de trabajo que está desarrollando una plataforma que pueda especificar y validar la firma en los certificados online.
Fuente: Itespresso

3 de abril de 2011

VULNERABILIDADES EN LOS PRODUCTOS "CISCO" (ACS) y (NAC)

Cisco publicó 2 alertas de seguridad para sus productos Cisco Secure Access Control System (ACS) y Network Access Control (NAC).

Descripción de los productos afectados:

  • Cisco ACS opera como un servidor RADUIS y TACACS+ que combina la autenticación de usuarios, la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.
  • Cisco NAC es un sistema que permite gestionar automáticamente los dispositivos que acceden a la red según ciertas características definidas.

Detalle de la vulnerabilidades:

La vulnerabilidad que afecta a Cisco (ACS), nombrada CVE-2011-0951 permite que un ciberdelincuente no autenticado cambiar contraseña de usuarios sin saber la contraseña anterior. Están exentas del problema:

  1. Las cuentas de usuario definidas en un almacenamiento externo (como servidores LDAP o RADIUS externos).
  2. Cuentas de administrador si se han configuro a través de la interfaz web.
  3. Cuentas de usuario que hayan sido configuradas a través de comandos CLI.

La otra vulnerabilidad afecta a Cisco Network Access Control (NAC) Guest Server en su versión anterior a 2.0.3 y se la ha nombrado CVE-2011-0963.

  1. El fallo está en el archivo de configuración de RADIUS que un ciberdelincuente no autenticado podría aprovechar para acceder a una red protegida, saltándose restricciones y sin necesidad de usuario y contraseña.

Recomendaciones:

Actualizar el software afectado de Cisco desde:

http://www.cisco.com/cisco/software/release.html?mdfid=282450822&flowid=4363&softwareid=282562545.

Enlaces de interés:

Fuente: Hispasec

1 de abril de 2011

MALWARE PARA ANDROID ROBA DATOS DE USUARIOS Y ENVÍA MENSAJES DE SPAM

Nuevo malware que llega a los dispositivos de los usuarios si éstos se descargan la aplicación Walk and Text (versión pirata) de páginas de intercambio de archivos.

Modus operandi:

Una vez instalada la aplicación pirata, aparece una ventana en la pantalla del móvil Android, que indica que está siendo crackeada, de tal forma que el usuario se piensa que se está eliminando la protección al programa para poder usarlo de forma gratuita, cuando en realidad el software malicioso está en marcha.

Efectos de la infección:

  • El malware está obteniendo acceso a datos personales del titular del teléfono, como su nombre de usuario, número de teléfono, y la clave identificadora del dispositivo, e intentará enviarlos a un servidor externo.
  • El software malicioso también envía un mensaje a todos los números presentes en la lista de contactos del usuario, donde se rie del dueño del smartphone por desacargarse el programa pirata y ahorrarse el irrisorio precio del mismo.
  • Por último, aparece una ventana donde se señala que esperan que el usuario haya aprendido la lección y se incluyen un enlace para descargarse la versión legal.
Walk and Text ( software original) es un programa que se puede descargar del Android Market por 1,53 dólares, que utilizando la cámara del teléfono muestra al usuario lo que tiene en frente suyo mientras camina y escribe un mensaje.

Fuente: The Inquirer

500.000 SITIOS WEB ATACADOS

Websense advierte de un ataque masivo, llamado 'Lizamoon', que afecta a más de 500.000 sitios web, y que aprovecha un fallo de seguridad para insertar código en páginas web.

Descripción del ataque:

  • Llamado 'Lizamooon' por el primer dominio falso localizado (lizamoon.com).
  • La compañía advierte que existen 21 dominios falsos más relacionados con este ataque.
  • EL ataque es del tipo "inyección SQL".

Detalle del ataque:
  • Esta amenaza consiste en que el usuarios, al entrar en una de estas páginas afectadas por el ataque, sufre una redirección hacia un sitio web falso de seguridad, llamado Windows Stability Center.
  • El usuario afectado llega al final a este sitio falso de seguridad que le 'alerta' de que ha sido infectado con varios virus, con el fin de que éste se registre y proporcione sus datos para descargar un antivirus falso.

Recomendación:

  • Obviamente, se recomienda no descargar el falso antivirus.

Fuente: Websense

SAMSUNG NO ESPÍA A LOS USUARIOS DE SUS PORTÁTILES

Samsung ha desmentido las declaraciones del Mohammed Hassan, experto en seguridad, que aseguraba haber encontrado un software keylogger instalado de fábrica en los ordenadores portátiles R525 y 540.


La compañía ha sido rotunda al afirmar que no instalado ningún programa keylogger en sus equipos y que todo se debe a un error en el programa que el investigador utilizó para llevar a cabo sus pruebas.
De esta forma han podido demostrar que todo se ha debido a un fallo en VIPRE, que confundió una carpeta de Windows Live que da soporte al idioma de Eslovenia con el programa keylogger StarLogger.

Fuente: Eweek Europe