16 de febrero de 2015

EEUU.. Obama pide a ejecutivos de Silicon Valley cooperación para contrarrestar ciberataques

 El presidente de Estados Unidos, Barack Obama, solicitó el viernes a los ejecutivos de la industria tecnológica una mayor implicación y cooperación para evitar ataques de hackers de alto perfil contra compañías como Sony que expusieron las debilidades en defensa cibernética del país.
En una conferencia realizada en la Universidad de Stanford, Obama dijo a ejecutivos de Silicon Valley que deben compartir más información entre ellos y con el Gobierno.
"El Gobierno no puede hacer esto solo. Pero el hecho es que el sector privado tampoco puede hacerlo solo porque a menudo es el Gobierno el que cuenta con la información más reciente sobre nuevas amenazas", dijo el mandatario en la reunión con presidentes ejecutivos de compañías del sector.
Obama ha elevado la ciberseguridad al punto más alto de la agenda del 2015 después de recientes ataques de hackers.
El ataque a Sony preocupó particularmente a los funcionarios estadounidenses, que culparon a Corea del Norte por robar datos, debilitar los sistemas computarizados y presionar al estudio para que detuviera el lanzamiento de una película satírica sobre el líder Kim Jong-un.
"Sólo hay una forma de defender a Estados Unidos de estas amenazas cibernéticas y esa es a través de una cooperación entre el Gobierno y la industria, compartiendo información apropiada como verdaderos socios", dijo Obama.
El presidente tenía previsto reunirse en privado con un pequeño grupo de líderes empresariales en Silicon Valley, en un intento por mejorar los lazos con firmas de tecnología que aún están contrariadas por el daño a sus negocios causado por el ex contratista de inteligencia Edward Snowden, quien expuso las prácticas de vigilancia del Gobierno.
Irritados por la falta de reformas a los servicios de vigilancia e inteligencia estadounidenses, los presidentes ejecutivos de Google Inc, Facebook Inc y Yahoo Inc no participaron de la conferencia del viernes.
Fuente: Europa Press

EEUU.. Regulador aviación propone que los pilotos de Drones se certifiquen

El regulador de la aviación de Estados Unidos propuso el domingo que la gente que opere aparatos no tripulados para propósitos comerciales obtenga un certificado especial de piloto, se mantengan lejos de otras personas y vuelen sólo durante el día.
El esperado borrador de la norma que regiría a los aparatos no tripulados también limita la velocidad de vuelo a 160 kilómetros por hora y a 152 metros de altitud sobre el nivel del suelo.
Expertos de la industria dijeron que el borrador de la Administración de Aviación Federal (FAA, por sus siglas en inglés) parece ser relativamente benigno, ya que no incluye el requisito de las costosas certificaciones de piloto que podrían haber restringido severamente los vuelos de aparatos no tripulados comerciales.
Sin embargo, es poco probable que las normas ayuden a Amazon.com en su búsqueda por entregar paquetes con aparatos no tripulados, ya que su propuesta necesitaría que un piloto certificado por la FAA opere el aparato no tripulado y que éste se mantenga a la vista en todo momento, factores que no fueron previstos por el plan del minorista en internet.
El borrador de la norma, que lleva casi 10 años de discusión, aún debe someterse a los comentarios públicos y a una revisión antes de ser definitiva, un proceso que se espera que dure al menos un año.
La normativa no exigiría que los pilotos de aparatos no tripulados se sometan a las pruebas médicas y horas de vuelo que se aplican a los pilotos de naves tripuladas. Los operadores de aparatos no tripulados comerciales necesitarían tener al menos 17 años, pasar una prueba de conocimiento aeronáutico y recibir la aprobación de la Administración de Seguridad en el Transporte.
"Hemos intentado ser flexibles al escribir las normas", dijo el administrador de la FAA, Michael Huerta. "Queremos mantener el actual nivel sobresaliente de seguridad en la aviación sin poner una carga normativa excesiva sobre una industria emergente", agregó.
En tanto, el presidente Barack Obama emitió un memorando que esboza los principios para el uso de aparatos no tripulados del Gobierno, que cubre temas como la protección a la privacidad y la supervisión del uso de aparatos no tripulados federales.
Fuente: Reuters

PIRATERIA. Hackean la página web del presidente del Parlamento Europeo

La página web del presidente del Parlamento Europeo sufrió un intento de hackeo el pasado viernes y en el día de ayer se confirmó con uno que provocó la presencia de un desface en la misma durante varias horas.
Alcance del ataque
  • Según publica Pastebin, los intrusos lograron el acceso a al menos dos bases datos que alojaban una gran cantidad de contraseñas, sin llegar a trascender a qué usuarios estaban vinculadas o si solo se trataban de cuentas de administración de la página web y de la base de datos.
  • La datos publicados hasta el momento son muy pocos, aunque los hackers han garantizado disponer de muchos más datos que publicarán proximamente.
  • La información es muy difusa y ya se sabe que cuando afecta a organismos o instituciones los responsables de las mismas intentan dar los menos datos posibles. Martin Schulz, presidente del Parlamento, ha evitado verter cualquier tipo de declaración o contestar a preguntas relacionadas con este incidente.
El ataque podría haber consistido en una inyección SQL
  • Ante la falta de información, expertos en seguridad han conseguido averiguar que el origen del fallo de seguridad que habría dejado al descubierto al menos dos bases de datos podría estar en un fallo de la página web, permitiendo la inyección de código SQL y que los ciberdelincuentes obtuvieran respuestas a las consultas realizadas.
  • Aunque la identidad de los responsables es desconocida, tal y como ya hemos apuntado, estos se tomaron la molestia de realizar capturas de pantalla donde se podían observar la obtención de errores de la base de datos así como las consultas satisfactorias que fueron realizadas.
Fuente: Softpedia

FORBES. Atacada su página web por un grupo de hackers chinos

Hace unos días se habló de una vulnerabilidad detectada en Dailymotion y que estaba siendo aprovechada por ciberdelincuentes para redirigir a los usuarios a contenido malware a través de los anuncios. En esta ocasión, un grupo de hackers chinos han utilizado la misma vulnerabilidad pero en la página de Forbes, utilizándola para instalar virus en los equipos de los usuarios.
Aunque no se conoce con exactitud la fecha exacta del comienzo, todo parece indicar que estos podrían haber abusado de la página durante al menos dos meses, afectando a un total de 2.500 usuarios. A día de hoy los responsables de la página ya son conscientes del problema y han llevado a cabo la desactivación del módulo Flash Player para actualizarlo a una versión reciente que esté libre del problema.
En un intento por confirmar que el problema no ha sido mayor, los responsables han reconocido también que los servidores no se han visto afectados y que los datos están seguros, limitándose el problema únicamente a aquellos usuarios que utilicen Flash Player e Internet Explorer como navegador web.
Hay que recordar que el fallo de seguridad al que hacemos referencia es el CVE-2014-9163 y fue parcheado el mes de diciembre, quedando demostrado una vez más que el nivel de actualización del software utilizado en las páginas es muy bajo.
La página de Forbes solo servía como herramienta
  • Tal y como se puede observar en el gráfico anterior, los ciberdelincuentes chinos se valían de los vídeos incrustados en la página para lanzar las descargas de los ejecutables con el instalador del malware. Sin embargo y a diferencia de las infecciones realizadas utilizando Dailymotion, una vez que este se instalaba en el equipo comenzaba el proceso de replicación en todos los equipos como fuese posible, tanto a través de unidades extraíbles como utilizando la red LAN a la que se encontraba conectado.
  • Aunque no es del todo seguro, parece que la operación ha sido asignada a un grupo de hackers que actúan bajo el nombre de codoso.
Fuente: Softpedia

#OpISIS. Anonymous ataca al grupo terrorista que atacó Charlie Hebdo

El grupo Anonymous junto a RedCult han llevado a cabo un ataque informático contra la red del grupo terrorista ISIS, responsable del ataque a Charlie Hebdo.
Detalles del ataque
  •  El ataque informático, llevado a cabo bajo el nombre #OpISIS, ha dejado fuera de servicio varios sitios web diseñados con el fin de hacer propaganda del grupo terrorista y reclutar a nuevos miembros alrededor de todo el mundo. Igualmente se han atacado una serie de cuentas en las principales redes sociales como Twitter y Facebook utilizadas con este mismo fin.
  • Aunque el ataque ha sido un éxito y se han conseguido cerrar más de 1500 cuentas del grupo terroristas sólo en Twitter, Anonymous afirma que aún quedan miles de cuentas abiertas en las redes sociales relacionadas con este y otros grupos terroristas islámicos. Bajo el lema “We are Anonymous; we are Legion; we do not forgive, we do not forget, Expect us” el grupo de hacktivistas afirma que va a seguir atacando a estos grupos terroristas a través de Internet tanto en las redes sociales como por las páginas web diseñadas para publicitarse y reclutar nuevos miembros a sus filas.
  • Todas las cuentas sociales, páginas web, correos electrónicos y direcciones IP descubiertas hasta ahora relacionadas con el grupo terrorista islámico está a disposición de todos los usuarios a través de la plataforma Pastebin. Un dato interesante es que por primera vez se han publicado datos de los servidores VPN que generalmente utilizan estos grupos para organizarse de forma “privada” a través de Internet.
  • Anonymous ha afirmado que también está dispuesto a atacar a las organizaciones y países que financian a estos grupos terroristas con dinero y armas al no poder atacar a los terroristas directamente ya que ellos “luchan en la tierra”. En los próximos días se llevarán a cabo nuevos ataques contra más plataformas islámicas y probablemente gracias a la lista publicada en Pastebin se pueda identificar a más miembros del grupo terrorista y bloquear así dichas cuentas en la red.
Fuente: The Hacker News

KASPERSKY. Banda de ciberdelincuentes roba hasta 1.000 mln dlrs a bancos

Una banda de ciberdelincuentes de varios países ha conseguido robar hasta 1.000 millones de dólares de al menos 100 instituciones financieras de todo el mundo en dos años, según anunció el sábado la compañía de seguridad en internet rusa Kaspersky.
La empresa aseguró que está trabajando de manera coordinada con la Interpol, la Europol y las autoridades de diferentes países para intentar descubrir más detalles de lo que ha llamado un robo sin precedentes.
Esta banda, a la que Kaspersky ha denominado Carbanak, opera de una forma inusual, robando directamente a los bancos en lugar de hacerse pasar por clientes para retirar dinero de cuentas de empresas o particulares.
La compañía asegura que los delincuentes proceden de Europa, entre los que se encuentran rusos y ucranianos, y también de China.
La Carbanak utilizaba correos electrónicos cuidadosamente manipulados para que los empleados que previamente seleccionaban abrieran los archivos maliciosos que incluían, una técnica común conocida como "spear phishing". Entonces podían acceder a la red interna y localizar los computadores desde donde se administran los sistemas de videovigilancia.
De esta manera, según Kaspersky, los delincuentes aprendían cómo trabajan los empleados de las entidades para poder después imitar sus movimientos a la hora de transferir el dinero.
En algunos casos, Carnabak aumentaba los saldos de las cuentas antes de embolsarse fondos adicionales a través de una transacción fraudulenta. Como los fondos legítimos todavía estaban en las cuentas, no se sospechaba de ningún problema.
Kaspersky explicó que Carbanak también tomaba el control de forma remota de los cajeros para programarlos con el objetivo de dispensar dinero a una hora determinada, a la que un miembro de la banda aparecía para recogerlo.
"Estos ataques subrayan el hecho de que los delincuentes explotarán cualquier vulnerabilidad de cualquier sistema", dijo Sanjay Virmani, director del centro de delitos digitales de la Interpol, en un comunicado preparado por Kaspersky
Fuente: Reuters

KASPERSKY. Informe de sobre ciberamenazas financieras

El Laboratorio Kaspersky ha publicado un informe centrado en las ciberamenazasfinancieras registradas por sus sistemas durante el pasado año 2014.
Detalle del informe 
  • El informe se divide claramente en los dos tipos de ataques principales de la actualidad, phishing y malware. Como aclaración hay que señalar que como ataques financieros se refieren a todos aquellos que tienen como objetivo un beneficio económico, en lo que incluyen ataques contra bancos, sistemas de pago y tiendas on-line.
  •  Sorprendentemente según el informe de la compañía rusa la cantidad de ataques y de usuarios atacados disminuyó considerablemente, al igual que la cantidad de phishing bancario.
  •  En 2014, los ataques de phishing financiero representaron el 28,73% de todos los ataques registrados (lo que significa un descenso del 2,72%). Concretamente el phishing bancario representó el 16,27% de todos los ataques (un descenso del 5,93% frete al 2013). Sin embargo, la cantidad de phishing lanzado contra sistemas de pagó aumentó en un 2,4% (de un 2,74% en 2013 a un 5,14% en 2014).
  •  Por otra parte, el lo que se refiere al malware financiero durante el pasado año el laboratorio Kaspersky detectó 22,9 millones de ataques con programas maliciosos contra 2,7 millones de usuarios. Esto representa una disminución del 19,23% en comparación al año anterior respecto a los ataques, y del 29,77% respecto a los usuarios. Por otra parte, la cantidad de malware bancario aumentó en un 8,89%, alcanzando el 75,63% de todos los ataques financieros en 2014. Sin embargo, el mayor cambio se nota en los ataques relacionados con malware de minería para Bitcoin, que se triplicó; pasando de 360.065 ataques en 2013, a 1.204.987 en 2014.
  •  Los investigadores de la firma rusa apuntan a varias razones para estos cambios tan notables. En primer lugar, el arresto de algunas de las principales bandas de delincuentes dedicados al fraude financiero. Por otra parte, apuntan a un cambio de tendencia de los atacantes, que en vez de atacar a usuarios finales, están apuntando a organizaciones que trabajan con información financiera y herramientas de pago.
  •  Y por último, los técnicos de Kaspersky afirman que los ciberdelincuentes han dejado de interesarse por los ataques maliciosos “masivos" contra los usuarios, y prefieren lanzar menos ataques, pero más "dirigidos”. Esto es, los delincuentes se centran en un grupo concreto de usuarios (por ejemplo, los usuarios de un determinado banco, o una tienda concreta) en lugar de propagar correos masivos con enlaces maliciosos.
Más información:
Fuente: Hispasec

WINDOWS. Un solo bit permite eludir la seguridad de estos sistemas

Investigadores de seguridad han descubierto una vulnerabilidad presente en Windows desde hace 15 años que permite que simplemente modificando un bit se pueda obtener control total sobre el sistema operativo.
Detalle e Impacto de la vulnerabilidad
  • Esta vulnerabilidad, que ha sido registrada como CVE-2015-0057, afecta a prácticamente todos los sistemas operativos modernos (y no tan modernos) desde Windows XP hasta el aún no lanzado Windows 10. Este fallo de seguridad se encuentra dentro del módulo Win32k.sys del núcleo de Windows, módulo encargado de gestionar numerosos aspectos de la interfaz gráfica del sistema.
  • Este ataque es capaz de saltarse todas las capas de protección de Windows, entre ellas, la capa Kernel Data Execution Prevention (DEP), Kernel Address Space Layout Randomization (KASLR), Mandatory Integrity Control (MIC) y Supervisor Mode Execution Protection (SMEP), llegando a obtener permisos de administración en la máquina explotada. También esta vulnerabilidad podría permitir salir de las “sandbox” o “entornos seguros” durante la ejecución de software.
  • La parte del código responsable de esta vulnerabilidad era “código basura“, es decir, código que llevaba 15 años en el núcleo de Windows pero en realidad no tenía ninguna función allí, pues no se utilizaba en ningún momento. Finalmente esta vulnerabilidad ha sido solucionada con los últimos parches de seguridad que se han publicado este pasado martes.
Por otra parte, la vulnerabilidad Universal Cross-Site Scripting (UXSS) detectada en Internet Explorer recientemente no ha sido solucionada por Microsoft en los parches de febrero, por lo que de momento habrá que esperar hasta el segundo martes de marzo para ver si finalmente se publica dicha actualización u optar por utilizar otros navegadores web no vulnerables como Firefox o Google Chrome.
Fuente: The Hacker News

CIBERATAQUES.Detectan intentos masivos de instalar un malware DDoS en sistemas Linux

Empresas de seguridad han detectado en los últimos días una serie de intentos de conexión por fuerza bruta contra un gran número de sistemas que, a diferencia de otras ocasiones, esta vez los principales objetivos son sistemas conectados a Internet con un sistema Linux instalado
Aunque Linux es un sistema operativo minoritario entre usuarios convencionales, este sistema es utilizado en más del 90% de los servidores conectados a Internet brindando servicios como páginas web y almacenamiento de datos, entre otras tareas. Los servidores generalmente cuentan con un mayor rendimiento y un mayor ancho de banda que el ordenador de un usuario convencional, por lo que estos son los principales objetivos de los piratas informáticos.
Detalles del ataque
  • Esta campaña, identificada por FireEye está realizando a través de ataques de fuerza bruta hacia conexiones SSH donde, cuando se consiguen los credenciales correctos, se instala el malware en el servidor. Este malware ha sido identificado con el nombre Xor.DDoS y ya se detectaron los primeros indicios de actividad de él el pasado mes de septiembre, por lo que se cree que el responsable de esta campaña es un grupo de piratas informáticos residentes en China.
  • Este malware ha sido diseñado específicamente para llevar a cabo ataques DDoS, está escrito en C / C ++ y utiliza un componente de rootkit para mantener la persistencia en los sistemas infectados, aunque se elimine de ellos. Cuando el grupo de piratas informáticos consigue acceso al servidor remoto carga los ficheros del malware y los compila directamente en el servidor, por lo que cada copia es única y personalizada para un hardware específico.
  • Una vez que la infección se completa este malware se conecta de forma inversa al servidor de comando y control, en manos de los piratas, y desde allí queda a la espera de órdenes. A parte de ser capaz de realizar ataques DDoS a servidores especificados, este malware también es capaz de descargar archivos del sistema remoto, ejecutar binarios (para instalar otro malware, por ejemplo) e incluso dispone de un módulo de auto-actualización desde donde recibe parches, actualizaciones y variantes de forma automática.
  • Dependiendo del servidor SSH que se utilice los administradores de sistema podrán ver un registro más o menos detallado, por ejemplo, los servidores que utilicen OpenSSH apenas podrán darse cuenta de este tipo de ataque ni de la instalación del malware DDoS ya que su registro mostrará un breve inicio de sesión seguido de una desconexión, sin registrar ningún otro tipo de comando.
Fuente: SecurityWeek

APPLE. Extiende la autenticación en dos pasos a iMessage y FaceTime

   Apple ha habilitado la autenticación en dos pasos en sus servicios iMessage y FaceTime para iPhone, iPad y Mac, una protección extra que solo estaba disponible hasta el momento para iCloud e iTunes.
   La decisión de Apple de extender la  autenticación en dos pasos a más servicios proveerá a los usuarios de iMessages y FaceTime de una capa extra de protección contra los intentos de acceso a sus cuentas, como ha compartido el diario británico The Guardian.
   Esto significa que, a partir de ahora, además de introducir el nombre y la contraseña, los usuarios tendrán que usar un código de seguridad para verificar que están accediendo a sus propias cuentas.
   La compañía de Cupertino habilitó este sistema de protección en marzo de 2013 para iCloud y iTunes. "Es realmente genial ver que Apple extiende su autenticación en dos pasos para cubrir para servicios, especialmente servicios de comunicación persona a persona, como estos", ha comentado el vicepresidente de Investigación de Seguridad de Trend Micro, Rik Ferguson.
Fuente: Europa Press

VULNERABILIDAD. Inyección SQL en Cisco Secure Access Control System (ACS)

Cisco ha publicado una  alerta de seguridad por una vulnerabilidad de inyección SQL en Cisco Secure Access Control System (ACS) en versiones anteriores a la 5.5 patch 7.
 Cisco ACS opera como un servidor RADUIS y TACACS+ que combina la autenticación de usuarios, la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.
Detalle e Impacto de vulnerabilidad
  • La vulnerabilidad, identificada con el CVE-2015-0580, permite a un atacante remoto autenticado ejecutar consultas SQL arbitrarias en una de las dos bases de datos de ACS View. El problema reside en un fallo al depurar adecuadamente las entradas del usuario a la aplicación de informes. Un atacante podrá explotarlo mediante el envío de peticiones https modificadas al servidor web.
  • Un ataque exitoso podrá permitir acceder a los registros de la base de datos de Cisco ACS View; acceder y modificar datos sensibles de los registros de cuentas RADIUS o incluso permitir al atacante acceder a información del sistema operativo.
Recomendación
  • Cisco ha publicado actualizaciones gratuitas para corregir este problema.
Más información:
Fuente: Hispasec

ADOBE READER . Nuevo anuncio de Project Zero

Una vez más, una vulnerabilidad reportada por Project Zero sale a luz, esta vez sobre Adobe Reader y podría permitir a un atacante tomar el control de los sistemas afectados.
 Los fabricantes van a tener una cosa clara, si Project Zero llama a tu puerta date prisa en parchear. El plazo son 90 días o los problemas saldrán a la luz con todos los detalles. Sin excusas.
 En esta ocasión, el fabricante vuelve a ser Adobe aunque el software afectado es el lector de pdfs Adobe Reader X y XI para Windows y Mac. El problema reside en un desbordamiento de búfer basado en "heap" en CoolType.dll.
 El problema fue reportado por Mateusz Jurczyk de Google Project Zero el 30 de octubre del pasado año. En diciembre Adobe confirmó la vulnerabilidad, la asignación del identificador CVE-2014-9160 y su corrección en el siguiente boletín de seguridad periódico para Acrobat y Reader.
 Sin embargo, según Mateusz, la actualización adelantada por Adobe no incluía corrección para el problema en la plataforma Mac. Por lo que el caso se mantenía abierto hasta que estuviera solucionado en todas las plataformas.
 Han pasado varias actualizaciones desde que Adobe confirmara la próxima publicación del parche pero el problema no ha sido corregido. Por lo que finalmente Project Zero, fiel a su política, ha dado a conocer todos los detalles del problema. Prueba de concepto incluida.
Más información:
Fuente: Hispasec

MICROSOFT. Boletines de seguridad de de febrero

Este martes Microsoft ha publicado nueve boletines de seguridad (del MS15-009 al MS15-017) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico" mientras que los seis restantes son "importantes". En total se han solucionado 56 vulnerabilidades.
Detalle de los boletines de seguridad
  • MS15-009: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 41 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada. Entre las vulnerabilidades corregidas se incluye la anunciada el pasado diciembre por ZDI y comentada en Hispasec hace dos meses.
  • MS15-010: Boletín considerado "crítico" que resuelve seis vulnerabilidades en el controlador modo kernel de Windows que podrían permitir la ejecución remota de código si un usuario abre un documento (o visita un sitio web) malicioso con fuentes TrueType incrustadas. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-011: Este boletín está calificado como "crítico" y soluciona una vulnerabilidad en la política de grupos que podría permitir a un atacante tomar el control de los sistemas afectados (CVE-2015-0008). Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-012: Boletín "importante" que resuelve tres vulnerabilidades que podrían permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2015-0063 al CVE-2015-0065). Afecta a Microsoft Office 2007, 2010 y 2013.
  • MS15-013: Destinado a corregir una vulnerabilidad considerada "importante" en Microsoft Office por un uso de memoria después de liberar y que podría permitir a un usuario evitar la protección ASLR (Address Space Layout Randomization) (CVE-2014-6362). Afecta a Microsoft Office 2007, 2010 y 2013.
  • MS15-014: Boletín de carácter "importante" destinado a corregir una vulnerabilidad (con CVE-2015-0009) en la Política de Grupos que podría permitir el salto de restricciones de seguridad. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-015: Este boletín está calificado como "importante" y soluciona una vulnerabilidad de elevación de privilegios (con CVE-2015-0062). Afecta a Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-016: Destinado a corregir una vulnerabilidad "importante" (CVE-2015-061) en Microsoft Graphics Component que podría permitir la obtención de información sensible si un usuario visualiza un archivo TIFF específicamente creado. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.
  • MS15-017: Destinado a corregir una vulnerabilidad de elevación de privilegios en Virtual Machine Manager (VMM) considerada "importante" (CVE-2015-0012). Afecta a Microsoft System Center Virtual Machine Manager 2012.
Recomendación
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.
  • Se recomienda la actualización de los sistemas a la mayor brevedad posible.
Más información:
Fuente: Hispasec

MOODLE. Escalada de directorios en el CMS

Moodle ha publicado una alerta de seguridad para solucionar una vulnerabilidad de escalada de directorios que podría permitir a un atacante obtener información sensible del sistema. Se ven afectadas todas las ramas soportadas 2.8, 2.7, 2.6 y versiones anteriores ya fuera de soporte.
 Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Detalle de la vulnerabilidad
  • Publicado el boletín de seguridad MSA-14-0009, con identificador CVE-2015-1493, considerado como serio. El problema reside en que el parámetro "file" no limpia adecuadamente las entradas del usuario, lo que podría permitir introducir peticiones cadenas clásicas de escalada de directorios ('../').
  •  De esta forma el atacante podría tener acceso a archivos arbitrarios del sistema situados fuera del directorio de Moodle. Se ven afectados todos los sistemas operativos, pero los sistemas Windows son especialmente vulnerables.
Recomendación
  • Las versiones 2.8.3, 2.7.5 y 2.6.8 solucionan esta vulnerabilidad.
  • Se encuentran disponibles para su descarga en la página oficial de Moodle desde la dirección http://download.moodle.org/
Más información:
Fuente: Hispasec

VULNERABILIDAD. Desbordamiento de búfer en EKI-1200 de Advantech

 Se ha reportado una vulnerabilidad de desbordamiento de búfer en la línea de productos EKI-1200 pertenecientes a Advantech, catalogada de Importancia: 5 - Crítica
Recursos afectados
  • Todos los productos de la línea EKI-1200.
Detalle e Impacto de la vulnerabilidad
  •  Enrique Nissim y Pablo Lorenzzato, de Core Security Engineering Team, han descubierto una vulnerabilidad de desbordamiento de búfer en la línea de productos EKI-1200 de Avantech.
  •  Esta vulnerabilidad podría ser explotada de forma remota por un atacante y podría permitir la ejecución de código arbitrario. Se ha reservado el CVE-2014-8385 para esta vulnerabilidad.
Recomendacción
Más información
Fuente: INCIBE

MICROSTRATEGY. Añade capacidades de ciberseguridad a su plataforma analítica

MicroStrategy Incorporated, proveedor mundial de plataformas de software corporativo, ha anunciado la disponibilidad de MicroStrategy 9s, que incorpora capacidades de ciberseguridad empresarial a través de la integración de MicroStrategy Usher™.
Microstrategy es una plataforma de identificación móvil que permite securizar accesos a través de biometría y localización, sin necesidad de requerir ninguna contraseña para autenticarse.
Detalle de la plataforma
  • MicroStrategy 9s es una plataforma unificada diseñada para securizar la información, el activo empresarial más valioso. MicroStrategy 9s ha sido desarrollada en respuesta a las constantes ciberamenazas que existen hoy en día y que han convertido la seguridad en la principal preocupación para las organizaciones de todo el mundo.
  • Según la empresa, MicroStrategy 9s es la única plataforma en la que se unen Análisis de Datos, Seguridad Empresarial y Movilidad. “MicroStrategy 9s mejora las aplicaciones de MicroStrategy Analytics™ y MicroStrategy Mobile™ al añadir seguridad de autenticación, mejores capacidades de administración de usuarios y la posibilidad de realizar un seguimiento de los usuarios identificados. MicroStrategy 9s ya está disponible sin coste alguno para los clientes de la compañía con contrato de  mantenimiento”, escribe la empresa en un comunicado.
MicroStrategy Usher,  disponible por primera vez
  • MicroStrategy Usher ha sido diseñado para simplificar la seguridad empresarial y ya está disponible de forma general por primera vez. MicroStrategy Usher es una potente plataforma de identidad móvil diseñada para proporcionar seguridad a los procesos y sistemas de negocio en la empresa. 
  • Este producto permite reemplazar las contraseñas tradicionales con tecnología de identidad móvil  biométrica y autentificación multi-nivel, y ofrece capacidades de administración y seguridad mejores y más sencillas. MicroStrategy Usher incluye credenciales digitales a través del Smartphone, acceso geo-seguro (basado en la ubicación) a los sistemas empresariales, restricciones de acceso por tiempo pre-fijado y tecnología de acceso Touch ID en el móvil.
  • MicroStrategy Usher es sencillo de instalar y puede ser desplegado para miles de usuarios en cuestión de minutos, lo que permite a la empresa:
  1. Asegurar las entradas físicas con llaves digitales que pueden acceder a sistemas PACS, incluyendo Lenel, Honeywell, Datawatch, Paxton y S2 Security.
  2. Proporcionar una única credencial Usher para permitir a los usuarios hacer log-in en las aplicaciones empresariales, cloud y SAML 2.0. Entre las aplicaciones que soporta se encuentran Saleforce.com, Google Apps, MicroStrategy y Microsoft.
  3. Validar identidades de usuarios en persona o a través del teléfono con códigos numéricos Usher, Bluetooth o codificación fractal de imágenes
  4. Permitir a los usuarios acceder convenientemente a sus puestos de trabajo a través de tecnología Bluetooth de bajo consumo o mediante el escaneo de un código QR, eliminando la necesidad de introducir un nombre de usuario y contraseña.
  5. Obtener una vista de 360 grados casi en tiempo real de las actividades de autenticación para detectar anomalías y patrones de uso anormales con el fin de mejorar la gestión de riesgos empresariales, facilitar los procesos de negocio y reducir el fraude.
Más información
Fuente: Diariti.com

INFORME. Android 5.0 "Lollipop" es más estable que iOS 8

   A pesar de los problemas de funcionamiento de los nuevos sistemas operativos de Google y Apple, Android 5.0 es más estable que iOS 8 y causa un número menor de cierres inesperados de aplicaciones, según un estudio de funcionamiento de Crittercism.
   El índice de cierre inesperados de aplicaciones en el sistema operativo móvil de Mountain View es del 2 por ciento, mientras que la octava versión de iOS es del 2,2 por ciento, más alto incluso que el de iOS 7, que es del 1,9 por ciento.
   El estudio también revela los porcentajes para versiones anteriores de Android, que son superiores a los de Lollipop. Concretamente son 0,6 puntos porcentuales más inestables que la versión 5.0 de Android.
   El lanzamiento de iOS 8 fue uno de los estrenos más desastrosos para la compañía liderada por Tim Cook. Los desarrolladores de la compañía de la manzana tuvieron que trabajar a contrarreloj para solucionar los problemas de estabilidad de las actualizaciones, que no dejaban de dar fallos, hasta el punto de que se pidió a los usuarios que 'downgradearan' la versión del sistema operativo.
   Las críticas en el caso de Android 5.0 se centraron en un uso excesivo de la memoria RAM de los dispositivos y un consumo muy alto de la batería que disminuía la autonomía. Según los últimos datos disponibles, Android Lollipop sólo está disponible en el 1,6 por ciento de los dispositivos con el sistema operativo móvil de Google, superado ampliamente por sus versiones anteriores KitKat y Jelly Bean, con un 39,7 y 44,34 por ciento de cuota de mercado, respectivamente.
Fuente: Europa Press

GALAXY S6. Incluirá las aplicaciones de Office de Microsoft preinstaladas

   La nueva versión de TouchWiz, la capa de personalización de Samsung sobre Android, contará con un aspecto renovado, será más ligera y rápida que versiones anteriores y contará con el paquete de Office de Microsoft instalado de fábrica.
   Según ha desvelado SamMobile, la versión de TouchWiz que debutará con los nuevos buques insignia de Samsung para 2015, Galaxy S6 y Galaxy S Edge, cambiará alguna de las aplicaciones de la compañía por Microsoft OneNote, OneDrive y Office Mobile y, además, le sumará una suscripción gratuita de Office 365.
   Aunque no se ha confirmado, probablemente este hecho esté relacionado con el fin de la disputa legal entre la compañía surcoreana y la liderada por Satya Nadella, cuyos términos no salieron a la luz.
   Citando a fuentes cercanas al asunto, también se han desvelado nuevas características de TouchWiz entre las que se encuentra la renovación del teclado, que se parecería más al de iOS; nuevas opciones para elegir el tema del teléfono; unas aplicaciones más coloridas; la posibilidad de cambiar el tamaño de los iconos de las 'apps'; y que la aplicación de marcación será "verde como la hierba".
   Por el momento, se desconoce si la nueva versión de TouchWiz se podrá instalar en modelos anteriores al Galaxy S6 a modo de actualización, aunque rumores tempranos lo indicaban. Sólo queda esperar al próximo 1 de marzo, que será cuando Samsung despeje todas las dudas sobre sus inminentes nuevos terminales y su nueva capa de personalización en el Mobile World Congress de Barcelona.
Fuente: Europa Press

FACEBOOK. Pretende introducir el Material Desing en su app de Android

   Google continua abriéndose paso con su Material Desing, tal como indican las capturas de pantalla de unos 'testers' de Facebook, la red social estaría incorporándolo en su aplicación de Android.
   Esta implantación se realizará de forma gradual, por lo que se puede deducir de las captura, el único elemento característico del diseño de Google es el botón flotante de acción. Aun así, al estar hablando de la fase beta, es posible que en la versión final se puedan encontrar más elementos de 5.0 Lollipop.
   Se desconoce cuando llegará esta actualización de la aplicación de forma oficial a  la Play Store, pero desde luego es una buena noticia para Android. Cada vez más de sus aplicaciones utilizan el Material Desing, llegará un momento en el que todas estarán unificadas bajo el mismo aspecto, facilitando la navegación del usuario.
   Sin entrar a valorar si un ecosistema de aplicaciones bajo el Material Desing sería  bueno o malo, la realidad es que es una estética que se está imponiendo. Habrá que ver si el resto de redes sociales se animan y empiezan a dar también pasos hacia este diseño en sus aplicaciones Android.
Fuente: Europa Press

APPLE. Se apunta al mercado del automóvil con un coche eléctrico

   Parece ser que desde Cupertino quieren algo más que conquistar a los consumidores con sus Smartphones y tablets. El próximo proyecto de la compañía de la manzana sería un coche eléctrico que buscaría competir con Nissan y Tesla.
   Tim Cook habría accedido a que Steve Zadesky, antiguo ingeniero de Ford y vicepresidente del departamento de diseño de Apple, formase un equipo con las personas que necesitase para hacer "Proyecto Titan" posible. Tambien se habría unido al proyecto Johann Jungwirth, antiguo Director ejecutivo de i+D en Mercedes, por lo que todo parece indicar que el Cupertino esta trabajando en un coche.
    Se calcula que ya podrían haber cientos de personas trabajando en secreto en el coche eléctrico, aunque el diseño toadavía se encuentre en los primeros estadios de desarrollo. Por el momento solo habría sido encargado solo un prototipo del coche electrico, así que habra que esperar mucho tiempo para poder ver el coche de Cupertino circulado, si es que lo llegamos a ver.
    Apple no ha querido confirma ni desmentir las informaciones, de manera que esta por ver si el diseño llega a buen puerto.  No está del todo claro si a la compañía de la manzana le interesaría producir el coche y de que manera. Por un lado Apple no cuente con una planta de fabricación de automoviles, aunque si tiene suficiente dinero como para ponerla en marcha. Por otro lado, iría en contra de la politica de Cupertino, que siempre ha confiado en productores externos para manufacturar sus productos.
   De un modo u otro, Apple ya se ha puesto en contacto con fabricantes de componentes de vehículos de lujo como Magma, por lo que el coche será de todo menos utilitario. Esperando más datos, entrar en el mercado del automóvil podría suponer un punto de inflexión para la compañía, que podría incluso beneficiarse de los resultados del proyecto (materiales, baterías, circuitos,...) aunque este nunca llegue a los consumidores.
Fuente: Europa Press

KOVTER. Distribuyen el troyano utilizando el Huffington Post

En esta ocasión, los ciberdelincuentes están distribuyendo el troyano Kovter y entre las páginas afectadas podemos encontrar por ejemplo la del diario Huffington Post, cuyo servicio de publicidad propiedad de AOL se ha victo afectado.
Sin embargo, no ha sido la única que se ha visto afectada, ya que adxpansion.com y ad.directrev.com también han sufrido problemas de seguridad que han derivado en la presencia de enlaces a contenido malicioso en sus anuncios. Los ciberdelincuentes han buscado la forma para que estos conduzcan a los usuarios a Kovter, un troyano que está destinado a aumentar las ganancias de los ciberdelincuentes, aumentando el número de clicks de los usuarios en anuncios que son propiedad de estos.
Los responsables de los servicios publicitarios ya están informados del problema y poco a poco han ido eliminando los anuncios que conducían a la página propiedad de los ciberdelincuentes, aunque hay que decir que aún podemos encontrar alguno que permita el acceso a este contenido.
Esto se ha traducido en que durante esta semana el número de dominios afectados se ha visto incrementado de forma exponencial, revirtiendo de este modo la tendencia durante la semana anterior en la que el número de dominios que distribuían este malware estaba disminuyendo.
Kovter y el aumento de las ganancias publicitarias
  • El troyano solo afecta a los sistemas operativos Windows y se aprovecha de un “error” en el navegador Internet Explorer, permitiendo que una vez este se instale en el equipo permita controlar la navegación del usuario y el ratón dentro de este, provocando que el usuario acceda a páginas propiedad de los ciberdelincuentes y que el usuario pinche en los banners para así aumentar las ganancias de estos.
  • Para saber qué páginas pertenecen a estos, Kovter se encuentra conectado a dos servidores de control ubicados en Polonia, enviando y recibiendo datos utilizando conexiones cifrados, evitando de esta forma que los antivirus puedan analizar el tráfico y bloquear las conexiones del malware.
Fuente: Softpedia

ESTAFAS. Recepcionista roba datos de los usuarios y adquiere tarjetas regalo de Apple

En Estados Unidos, una recepcionista de un dentista ha utilizado los datos de las tarjetas de crédito de los clientes de la clínica dental para obtener una línea de crédito en la App Store y obtener tarjetas regalo por un valor de más de 700.000 dólares. Se estima que al menos 250 usuarios se han visto afectados.
Detalle de la estafa
  • La recepcionista se ha beneficiado del programa “instant credit” que Apple puso hace tiempo en marcha con la colaboración de Barclays. 
  • Se cree que la recepcionista de 27 años no habría actuado sola y que tanto el nombre, la fecha de nacimiento, el número de la seguridad social o la dirección de residencia los habría enviado a otra persona que sería la encargada de realizar las gestiones pertinentes para la obtención del crédito. 
  • Se cree que al menos durante año y medio han estado actuando estas personas, obteniendo varios créditos y adquiriendo por ejemplo tarjetas regalo de Apple por valor de 700.000 dólares.
Imputados por posesión y utilización de forma ilícita datos de los usuarios
  • Después de realizar una investigación durante varios meses y concretar que han sido 250 los usuarios afectados, la justicia ha decidido imputar a 7 personas por la utilización de estos datos, acusados de apropiación indebida y estafa, enfrentándose según las últimas informaciones al menos a 4 años de prisión, estando además dos de ellos acusados de fraude, por lo tanto la pena de algunos podría llegar a ascender hasta los seis años.
  • Todo parece indicar que además de tarjetas regalo habrían financiado la compra de dispositivos electrónicos como iPhone, iPad y ordenadores personales y de sobremesa de la compañía de Cupertino.
Fuente: Softpedia

WHATSAPP WEB. Y las versiones falsas para estafar a los usuarios

Los ciberdelincuentes se están aprovechando del lanzamiento de Whatsapp web para engañar a los usuarios con estafas que ya han estado con anterioridad en funcionamiento.
Objetivos de la estafa
  • Buscan sobre todo de aprovechar el desconocimiento de los usuarios y así conseguir dos cosas: que ofrezcan sus datos personales y que realicen la descarga de malware. Una doble trampa de la que no todos son conscientes y por este motivo los ciberdelincuentes buscan sacar tajada.
  1. En el primero de los casos, para obtener la versión web de este servicio en algunas páginas se solicita al usuario su número de teléfono móvil y las credenciales de alguna cuenta perteneciente a un servicio social (Facebook, Twitter o Gmail). De esta forma, no solo utilizan el número para enviar mensajes spam sino que se produce el robo de la cuenta del servicio social. De este modo, los ciberdelincuentes pueden ayudarse de este servicio para distribuir la estafa sin que el usuario sea consciente.
  2. En el segundo caso, por ejemplo, al realizar el escaneo del código QR de algunas imagenes especialmente manipuladas, con tu dispositivo móvil acudes a una página donde se iniciará de forma automática la descarga de un archivo malicioso. Este archivo es el mismo para todas las plataformas móviles desde las que se acceda y teniendo en cuenta que se trata de un .apk parece relativamente sencillo de determinar que el virus solo afectará a los dispositivos Android.
Whatsapp web y el desconocimiento de los usuarios
  • Aún son muchos los usuarios que creen que existe una versión de escritorio perteneciente al servicio de mensajería, de ahí que los ciberdelincuentes sigan reciclando estafas antiguas y manteniendo el mismo éxito que tuvieron. 
  • Además de robar datos de acceso a servicios de mensajería e instalar malware en el dispositivo móvil Android, los ciberdelincuentes realizan la descarga de un archivo ejecutable que muchos usuarios creen que es instalador de la aplicación de escritorio del servicio de mensajería, sin embargo, esto es un troyano que se encarga de almacenar todas las contraseñas que se introducen en el equipo, buscando sobre todo robar las pertenecientes a servicio de banca en línea, tal y como ya ha sucedido en Brasil o Portugal.
Fuente: Redeszone.net

eGARANTE. Envía documentos certificados

eGarante es una plataforma desarrollada principalmente para realizar la función de “testigo online” a la hora de enviar información a través de Internet de manera que con una sencilla copia en el correo electrónico, por ejemplo, podamos demostrar que el mensaje ha sido enviado correctamente, de forma similar a los envíos de cartas certificadas a través de correo ordinario, pudiendo garantizar así la hora y fecha enviados y que el contenido del mismo no ha sido alterado.
Principales funcionalidades de eGarante
  • Las funciones que ofrece eGarante a sus usuarios no se limitan simplemente a correos electrónicos, sino que con esta es posible realizar todo tipo de envíos digitales a través de la plataforma, por ejemplo, certificar que ciertas páginas web no son modificadas e incluso enviar documentos certificados a otros usuarios y poder disponer tanto de un seguimiento de dichos documentos como de un certificado de autenticidad y de origen temporal de dicho documento.
  • Para hacer uso de esta función debemos registrarnos en la plataforma y suscribirnos al plan de usuarios “Pro” especialmente destinado a uso comercial o empresarial, aunque disponible para cualquier usuario que tenga la necesidad de hacer uso de estas funciones.
  • Una vez registrados en la plataforma debemos abrir el menú de servicios y seleccionar allí “Envío certificado de documentos“.
Disponemos de dos tipos de envío:
  1. Básico: Con este tipo de envío enviaremos el documento a una dirección de correo y recibiremos una confirmación de que dicho mensaje ha sido entregado correctamente en la bandeja de destino, aunque no podremos saber con seguridad si el destinatario ha leído el mensaje ni si está de acuerdo con él.
  2. Avanzado: El envío avanzado permite disponer de un “Pin de confirmación”, útil en las ocasiones en las que el destinatario tiene que dar una respuesta sobre el documento, por ejemplo, “recibido”, “rechazado” o “aceptado”. De esta manera el usuario final recibirá el documento firmado junto a un código Pin y una URL desde donde debe elegir la opción preferida para dejar constancia de la acción que desee.
Aplicaciones de eGarante
  • eGarante puede ser utilizado, por ejemplo, en procesos judiciales para demostrar que las pruebas no han sido modificadas al haber sido comprobadas y firmadas por este “testigo”. 
  • Igualmente puede ser utilizado con otros fines, por ejemplo, para el envío de facturas o de documentos como “términos de acuerdo” que requiera en ambas partes una seguridad de que dichos documentos no son modificados a beneficio de ninguna de las partes.
Fuente: Securitybydefault

PAYPAL. Sus tarjetas de prepago en España anuladas

PayPal lanzó hace años un producto totalmente novedoso, una tarjeta prepago para comprar a través de Internet y también tiendas físicas. Esta tarjeta prepago funcionaba igual que las tarjetas prepago de los bancos, pero en este caso todo se gestionaba a través de la propia PayPal. En la página web oficial podéis ver en detalle todas las características de esta tarjeta y los costes asociados a ella por contratarla.
Características de las tarjetas prepago PayPal (España)
  • Un detalle muy importante es que la tarjeta prepago de PayPal es una tarjeta recargable de la red MasterCard, que emite y gestiona YoUnique Money. 
  • Hoy mismo se ha conocido que los Sistemas 4B han decidido suspender unilateralmente los servicios de autorización de todas las tarjetas emitidas por YoUnique Money, por lo tanto no se podrán utilizar más estas tarjetas. Según dicen los responsables de YoUnique Money, esta acción está fundamentada en la ejecución de una sanción de revocación de la licencia de EDE de la empresa, pero no lo saben de manera oficial. 
  • Esta decisión solo afecta a las tarjetas prepago en España. Las tarjetas prepago de otros países están gestionadas por otros proveedores
  • La empresa ha intentado hacer todas las gestiones posibles para ofrecer a sus actuales clientes una manera de sacar su dinero de estas tarjetas prepago, y que una vez que hayan liquidado el saldo éstas tarjetas dejaran de funcionar, pero no ha sido así por lo que todos los usuarios tienen actualmente su dinero “congelado” y sin poder usarlo.
¿Cómo recuperamos el dinero de la tarjeta prepago PayPal?
  • YoUnique Money se compromete a realizar un ingreso en cuenta del saldo de estas tarjetas prepago cuanto antes, os recomendamos entrar en la página web oficial de YoUnique Money donde se puede ver el comunicado íntegro y las instrucciones para conseguir que devuelvan el dinero a su legítimo dueño. 
  • Al ser un producto de la propia PayPal, también se podría reclamar el dinero por esta vía, os recomendamos leer el comunicado de PayPal sobre estas tarjetas.
Fuente: Redeszone.net

Aplicación de LG para controlar el móvil desde computador podría permitir instalar malware

Cada vez son más los fabricantes que apuestan por aplicaciones que permitan controlar de forma centralizada los dispositivos móviles y una prueba de ello es la aplicación de LG. Aunque las facilidades son muchas, también hay que tener en cuenta que la seguridad podría ser deficiente ante algunas de estas novedosas circunstancias.
Detalle del fallo de seguridad
  • Un ejemplo es la aplicación del fabricante que hemos mencionado con anterioridad, permitiendo recibir las notificaciones del dispositivo móvil en el equipo de sobremesa y la posibilidad de enviar mensajes de texto. A estas funcionalidades hay que añadir  que una tercera persona pueda interceptar los datos del proceso de handshake o establecimiento de la comunicación entre ambos dispositivos y utilizar estos para controlar de forma remota el terminal móvil, utilizando como intermediario el ordenador de sobremesa o portátil del usuario.
  • La vulnerabilidad, descubierta en Hungría y catalogada como CVE-2014-8757, permite que esta persona pueda instalar malware en el terminal y disponer de acceso a cualquier carpeta del mismo.
LG no permite eliminar esta funcionalidad
  • Aunque muchos puedan pensar que desactivando la funcionalidad se acabo el problema, la realidad es muy distinta y OSP no puede desactivarse, quedando asociada al dispositivo móvil. Sin embargo, el LG G3 que vio la luz el pasado mes de junio está libre de esta funcionalidad.
  • A pesar de todo, la compañía ha reaccionado con rapidez y ya ha publicado una versión de la funcionalidad que resuelve el problema y evita que otra persona pueda reutilizar los tokens de establecimiento de la conexión, preservando la seguridad de los datos almacenados en el terminal y evitando la instalación  de malware de forma remota.
Fuente: Softpedia

CRYPTOWALL. Aparece la versión 3.0 más peligroso y simplificado

Cryptowall es una de las principales amenazas en cuanto a ransomware. Tras causar estragos en usuarios y empresas con su versión 2.0 se ha podido detectar en la red una nueva actualización de este software no deseado correspondiente a la versión 3.0 que llega a los usuarios a través de correo electrónico o mediante exploits que aprovechan vulnerabilidades del sistema operativo y del software para infectar a los usuarios.
El ransomware sigue en constante auge amenazando a los usuarios cada vez más. Los piratas informáticos quieren que sus piezas de software maliciosas sean cada vez más complejas y difíciles de identificar, por ello, las nuevas medidas que están tomando los piratas informáticos en el tema del anonimato de sus herramientas es configurar el uso de redes privadas como Tor a fin de evitar que estas puedan ser identificadas por las empresas de seguridad.
Principales Características de la versión 3.0 de Cryptowall
  • Esta nueva variante se caracteriza principalmente por ser mucho más reducida y simple que sus predecesoras. Los piratas informáticos han eliminado una lista de funciones y llamadas a diferentes APIs poco utilizadas en la herramienta maliciosa y gran cantidad de código basura para reducir el tamaño del malware, eliminar posibles sospechas y mejorar lo que de verdad amenaza a los usuarios: el cifrado. Esta amenaza incluye igualmente un módulo que impide que se ejecute en una máquina virtual, por lo que si un usuario intenta ejecutar la aplicación primero en un entorno seguro es posible que se vea comprometido al pensar que la herramienta no es maliciosa.
  • Según afirman los expertos de seguridad de Cisco, esta nueva versión se centra principalmente en infectar a los usuarios a través de vulnerabilidades al distribuirse generalmente como parte de un kit de exploits. También se han detectado algunos casos en los que llega a través del correo electrónico como un archivo .zip que, dentro de él, hay varios ficheros, cada uno una copia diferente de Cryptowall con un algoritmo de cifrado diferente.
  • Cryptowall 3.0 incluye un módulo de conexión a través de la red anónima I2P. A través de esta red el malware envía cierta información del sistema de su víctima así como un hash MD5 y las claves de cifrado a los servidores remotos en manos de los piratas informáticos, siendo prácticamente imposible seguir el rastro de dicha red.
Recomendación
  • Como el ransomware es cada vez más peligroso debemos protegernos de él, ¿ pero como ? 
  1. Lo primero que debemos hacer es no ejecutar nunca ningún archivo sospechoso o de dudosa procedencia, aunque en una máquina virtual no de indicios de sospecha
  2. También es muy importante tener siempre a mano copias de seguridad de los archivos más importantes de cara a que si somos víctimas de este malware podamos recuperar los datos sin tener que lamentarnos por ellos.
  3. Y por supuesto tener instalada una buena solución de seguridad ( antivirus ) debidamente actualizada.
Fuente: Info-Security

SCAM. Utilizan imagen de Jetstar Airline para distribuir un scam en Facebook

 En esta ocasión es la imagen de la compañía aérea Jetstar Airline la utilizada para difundir una estafa que consiste en el sorteo de un viaje y 4.000 dólares de regalo en gastos. Sin embargo, ni existe dicho viaje ni existe el sorteo, pero gracias a esta los ciberdelincuentes están incrementando sus ganancias publicitarias.
Detalle de la estafa
  • Para “participar” en el sorteo se debe en primer lugar compartir el contenido y dar al botón de “Me Gusta”. Posteriormente se debe acceder a la página vinculada al contenido y rellenar un formulario con los datos solicitados. 
  • Sin embargo, estos datos quedarán en un saco roto, ya que no serán utilizados para realizar ningún sorteo, excepto la dirección de correo electrónico introducida que seguramente se vende junto con otras muchas en el mercado negro para realizar ataques spam. 
  • El resto de datos carecen de utilidad, ya que para los ciberdelincuentes la única finalidad de todo esto es que sus ingresos publicitarios aumenten, y para ello deben entrar en la página una gran cantidad de usuarios, y para conseguir esto que mejor que contar con la colaboración involuntaria de las víctimas.
La gran reputación de Facebook ha dado paso a las granjas de “Me Gusta”
  • Para todos aquellos que no estén familiarizados con el término “granja” fuera del ámbito de crianza de animales, en Internet el significado es muy similar, solo que en vez de criar una gran cantidad de animales consiste en producir por ejemplo “Me Gusta”, retweets, … y para ello es necesario la creación de perfiles falsos o que utilicen algún tipo de reclamo, como por ejemplo la imagen de una marca famosa, personaje conocido u compañía. 
  • De esta forma los usuarios pronto encontrarán el perfil y comenzarán a compartir los contenidos de este, sin darse cuenta que están favoreciendo a los ciberdelincuentes que se encuentran detrás de estos perfiles, algo que ha sucedido con el sorteo de los 35 billetes de avión inexistentes, al igual que el sorteo.
Fuente: Softpedia

SPAM. Utilizan Microsoft Volume Licensing Service para extender malware entre los usuarios

Un número no determinado de usuarios ha recibido durante los últimos días un correo donde se informa la necesidad de renovar la licencia de los productos adquiridos a la compañía de Redmond. 
Microsoft Volume Licensing Service se utiliza sobre todo para adquirir un gran número de licencias, sobre todo para empresas e instituciones o servicios públicos y válido tanto para los sistemas operativos como por ejemplo la suite de ofimática Microsoft Office. Aunque los ciberdelincuentes han explotado una gran cantidad de temas en lo referido a cebos para que los usuarios piquen, el uso de Microsoft Volume Licensing Service no es algo tan habitual.
Otros detalles del spam
  • Sin embargo, esto es solo una versión ya que dentro de la gran variedad que existe, hay que mencionar que en esta ocasión los ciberdelincuentes utilizan el reclamo de haber aceptado la utilización de este sistema de distribución de licencias, explicando cuál es el proceso a seguir para obtenerlas de forma correcta. Aunque existen muy pocas posibilidades, esto quiere decir que si un usuario o empresa ha utilizado recientemente este sistema para adquirir productos de Microsoft podría caer en el engaño.
  • Sin embargo, al no ser un sistema muy habitual, y más entre usuarios domésticos, expertos en seguridad piensan que resulta francamente complicado que la amenaza malware prolifere, o al menos con éxito.
Distribuir un archivo malware utilizando Microsoft Volume Licensing Service
  • Al realizarse la descarga se produce el desempaquetado de una aplicación, sin embargo, cuando finalmente termina no se produce ningún tipo de reacción en el equipo ni se inicia ningún tipo de instalador. Expertos en seguridad han descubierto que en realidad el ejecutable es un troyano bancario aunque no han podido determinar a cuál de todos ellos pertenece esta variante, sobre todo porque posee un sistema de defensa que detecta si el archivo se intenta ejecutar a través de una máquina virtual o si el equipo posee un gran cantidad de sandbox activas, suspendiendo su actividad y eliminándose del sistema.
  • A pesar de todo, algunos expertos en seguridad creen que este troyano podría ser un señuelo para que las herramientas de seguridad dejen al descubierto sus sistemas de protección en tiempo real y así conseguir crear nuevas amenazas que sean inmunes frente a estas.
Fuente: Softpedia

APACHE TOMCAT. Soluciona una vulnerabilidad después de 9 meses

El 30 de mayo de 2014 los expertos de seguridad de Apache detectaron una vulnerabilidad grave de seguridad en su software Apache Tomcat. Por motivos desconocidos, esta vulnerabilidad ha estado presente 9 meses más desde que fue identificada y reportada por primera vez hasta que, finalmente, Apache ha lanzado una actualización de su servidor web donde se soluciona este fallo de seguridad.
Apache Tomcat es un servidor web de código abierto desarrollado por la compañía Apache que permite a los usuarios montar y gestionar páginas web. Mantener un software seguro y bien configurado es vital para garantizar la seguridad de nuestra página web, sin embargo, es posible que en algunas ocasiones la seguridad no dependa directamente de nosotros, sino que podamos vernos expuestos debido a un fallo por parte de los desarrolladores.
Detalle de la vulnerabilidad
  • Este fallo de seguridad, denominado como CVE-2014-0227, permitía enviar paquetes mal formados a través del protocolo HTTP. Estos paquetes modificados podrían causar que el servidor web leyera parte de este paquete como una solicitud nueva, pudiendo llegar a saltarse determinadas restricciones del cortafuegos y llegar así a acceder al sistema con total libertad.
Recomendación
  • Las nuevas versiones de este software que permiten garantizar la seguridad de los usuarios corresponden con Apache Tomcat 8.0.9, 7.0.55 y 6.0.43. Estas versiones actualizadas pueden descargarse sin coste alguno desde la web principal de la compañía.
  • Apache Tomcat es uno de los servidores web más utilizados de todo Internet, por lo que es de vital importancia tanto que los desarrolladores garanticen cierto nivel de seguridad que evite que piratas informáticos puedan comprometer la seguridad de esta herramienta como que los administradores web configuren correctamente la herramienta de cara a evitar errores en la configuración. Por el momento, esta nueva versión soluciona las vulnerabilidades de seguridad abiertas y conocidas de la herramienta, por lo que su uso vuelve a ser seguro.
Fuente: Softpedia

MONGODB. Miles de sus bases de datos expuestas en Internet

Un fallo en la configuración, así como un error de la mano de los administradores que no configuraron correctamente los sistemas de inicio de sesión permitió acceder por completo a las bases de datos sin mayor dificultad.
Detalle del fallo de seguridad
  • MongoDB es un software de código abierto diseñado para poder crear y gestionar bases de datos en múltiples sistemas operativos fácilmente y de forma gratuita. Por defecto, la configuración de la base de datos de MongoDB es aceptar sólo las configuraciones locales, rechazando todo intento de conexión desde fuera de dicha red local. Debido a una incorrecta configuración de estas opciones de seguridad, estas bases de datos estaban aceptando las conexiones desde fuera de la red local a través del puerto 27017.
  • Detalles del 
  • A través de la plataforma Shodan, 3 estudiantes buscaron servidores con el puerto 27017 abierto (puerto utilizado por defecto por las bases de datos de MongoDB) y crearon una lista con las direcciones IP correspondientes a las máquinas detectadas que, poco después, comenzaron a analizar. Casi 40.000 servidores diferentes vulnerables que, aunque no todos están abiertos al tráfico externo ni con tienen bases de datos reales (algunos son servidores trampa para evitar que los piratas ataques los servidores reales), estos estudiantes han podido encontrar información realmente interesante en algunos de aquellos que no son trampa.
  • Los estudiantes afirman que aprovecharon la brecha de seguridad para echar un vistazo al contenido de las bases de datos para saber qué se estaba compartiendo de forma abierta en la red. Su sorpresa llegó cuando una de las bases de datos pertenecía a un proveedor de telecomunicaciones francés y exponía los datos de más de 8 millones de clientes libremente en la red, sin ninguna protección. Los nombres, correos electrónicos, direcciones e incluso información bancaria de estos usuarios pueden ser copiados e incluso modificados al tener libre acceso a esta bases de datos.
  • Otro caso similar encontrado es el de un minorista alemán que ha expuesto toda la información de pago de sus más de medio millón de clientes.
Reacción oficial
  • Los organismos de seguridad correspondientes ya han sido notificados y se pondrán en contacto con los responsables de dichos fallos de seguridad para que puedan proteger sus bases de datos de MongoDB y, sobre todo, la información de sus clientes lo antes posible para evitar que al igual que estos estudiantes han podido tener acceso a dichas bases de datos pueda tenerlo algún usuario no autorizado con fines maliciosos.
Fuente: Softpedia

KALI LINUX. La versión 1.1.0 más orientada aún a las auditorías de seguridad

Kali Linux es la distribución Linux para auditorías de seguridad por excelencia, está basada en la popular distribución Debian, ahora los desarrolladores han lanzado la versión 1.1.0 estable. La principal característica de esta nueva versión es que incorpora un soporte hardware mucho mayor que las versiones anteriores, y además sus desarrolladores se han centrado en la estabilidad.
Principales características de la nueva versión
  • Esta nueva versión de Kali Linux ejecuta el kernel Linux 3.18, que es justamente el kernel recomendado para auditorías inalámbricas ya que mejora la compatibilidad con los diferentes controladores Wi-Fi, además se han actualizado todos sus drivers para proporcionar la máxima estabilidad y también el mejor rendimiento posible. 
  • Otra característica destacable es que soporta Nvidia Optimus, esta tecnología fue creada por Nvidia y permite a los ordenadores portátiles incorporar dos chips gráficos (uno de menor rendimiento y menor consumo, y otro de mayor rendimiento y mayor consumo) y cambiar entre ellos de forma transparente mediante software con la finalidad de ofrecer el mejor rendimiento en aplicaciones gráficas exigentes u otros usos como por ejemplo el cracking de contraseñas, y también un menor consumo de energía en caso de no usar aplicaciones exigentes. 
  • Asimismo esta nueva versión de Kali Linux ha actualizado las herramientas para VirtualBox, OpenVM y también las vmware-tools, con el fin de poder virtualizar de la manera más real posible esta nueva versión.
Otros cambios introducidos en Kali Linux 1.1.0
  • Además de los cambios anteriormente mencionados, también se ha cambiado el menú del GRUB y también los fondos de pantalla. Asimismo no se han olvidado de la larga lista de herramientas que componen esta distribución. En este enlace podéis ver en detalle todo el listado de cambios.
  • Ya podéis descargar esta nueva versión de Kali Linux para PC desde este enlace, además en los próximos días se actualizarán las versiones diseñadas específicamente para VMware o Raspberry Pi entre otras, podéis acceder a estas versiones alternativas desde este enlace.
Fuente: Redeszone.net

GOOGLE PLAY STORE . Fallo permite la ejecución remota de código

Se ha detectado que la Google Play Store es vulnerable a la ejecución de código de forma remota, permitiendo que terceras personas puedan instalar en los equipos de los usuarios aplicaciones malware sin que este sea consciente y mientras cree que está instalando una aplicación legítima.
En un principio se creía que la vulnerabilidad en Play Store solo afectaba a los usuarios de dispositivos Android, sin embargo, la amenaza se ha extendido también a aquellos usuarios que accedan a la tienda de aplicaciones Play Store haciendo uso de alguno de los navegadores de escritorio, permitiendo de igual forma un ataque XSS o UXSS. Para ser más exactos, en lo referido a dispositivos Android están afectados todos aquellos que posean una versión JellyBean o inferior, quedando demostrado que las más actuales no están afectadas.
Pasando a hablar del fallo de seguridad, está centrado en la falta de seguridad en las opciones XFO, es decir, aprovechando la capacidad que poseen algunas páginas de cargarse o cargar parte de sus elementos en un marco para enviar al usuario el archivo malicioso y que finalmente este se instale junto con el contenido legítimo sin tener que pasar por la Google Play Store.
La falta de actualizaciones, de nuevo un problema para los usuarios
  • Aunque no es muy frecuente, el número de usuarios hacen uso de la tienda de aplicaciones Play Store desde dispositivos de sobremesa es ínfimo, centrándose un gran porcentaje de los usuarios afectados en el sistema operativo Android, cifra que está muy lejos de reducir ya que como es sabido la política de actualizaciones de los dispositivos que utilizan el sistema operativo de los de Mountain View provoca que muchos de ellos ya no se encuentren dentro de la hoja de rutas de la compañía, y por lo tanto no verán solucionados ni este fallo ni otros que aparezcan con posterioridad, y a pesar de que no lo habíamos indicado como tal, el fallo de seguridad se encuentra situado tanto en el extremo perteneciente al servidor como en el lado del cliente.
  • Esto quiere decir que si no es esta vulnerabilidad los ciberdelincuentes podrían hacer uso de la misma pero presente en otro servicio o página web.
  • Por lo tanto, las versiones 4.4 y posteriores se encuentran libres de este fallo de seguridad.
Fuente: Softpedia

SPAM. Correos falsos alertan de suspensiones de cuentas Facebook y actualizaciones Google Chrome

La última oleada de correos falsos tiene como asunto la suspensión de la cuenta de la red social Facebook y una supuesta actualización del navegador web Google Chrome, ambas cosas totalmente falsas pero que sirven como gancho para que los usuarios accedan a páginas falsas.
Para realizar esto los ciberdelincuentes no solo se han ayudado de direcciones de correo electrónico robadas, sino que el número de sitios web comprometidos es aún una incógnita, dando cobijo en ellos a los ejecutables que se encargarán de infectar los equipos de los usuarios. 
En esta ocasión, el malware utilizado es CTB-Locker, un conocido para los usuarios que nos leen a diario y que recibe también el nombre de Critroni.
Para que los usuarios descarguen este archivo en primer lugar deben creerse que se ha suspendido la cuenta de la red social o bien hay una actualización de Google Chrome disponible, indicándose en el propio cuerpo del correo electrónico un enlace en el que respectivamente se podrá reactivar la cuenta o descargar la actualización respectivamente.
Desde Trend Micro han confirmado la existencia de una campaña de correos electrónicos falsos que está afectando a usuarios europeos y estadounidenses, detectándose en todo los casos el empleo del malware citado con anterioridad.
Correos falsos y CTB-Locker, algo que empieza a ser común
  • Desde que hemos comenzado el año la actividad de este troyano encargado de cifrar los archivos del equipo infectado se ha disparado, siendo una prueba de ella la cantidad de veces que hemos hablado de oleadas que hacen uso de él, siendo una prueba de ello la de la semana pasada, donde ya hablábamos de actualizaciones falsas del navegador de los de Mountain View.
  • Tal y como es habitual en este tipo de infecciones el troyano bloquea el acceso a un grupo de archivos escogido al azar o bien la mayor parte del disco duro, solicitando un pago que permita el suministro de la contraseña y así recuperar el acceso a estos archivos.
  • Después de realizar algunas investigaciones, desde Trend Micro centran sus miradas en un grupo de ciberdelincuentes conocidos por estafar a usuarios de PayPal utilizando páginas falsas con la misma apariencia que las de el servicio oficial, permitiendo obtener los datos de los usuarios de forma fácil.
Fuente: Softpedia