18 de agosto de 2015

SNOWDEN. Reveló quien fue el principal socio de la NSA para el espionaje

El gigante de telecomunicaciones estadounidense AT&T colaboró durante al menos 10 años con la Agencia de Seguridad Nacional (NSA) de EEUU en sus programas de cibervigilancia, informó el sábado el diario The New York Times citando documentos filtrados por Edward Snowden.
El informe se basa en documentos filtrados, que van desde 2003 hasta 2013, proporcionados por el excontratista de la NSA Edward Snowden. Los archivos describen la relación de la NSA con la empresa de telecomunicaciones como "altamente colaborativa", citando la " extrema voluntad de ayudar" de AT&T.
Asimismo, proporcionó asistencia técnica para cumplir con una orden judicial secreta que permitió vigilar las comunicaciones por internet de la sede de la ONU, cliente de esa compañía, algo de lo que ya se informó hace dos años.
También prestaron una asistencia mucho menor otras compañías de telecomunicaciones, como Verizon y MCI, según los documentos a los que ha tenido acceso el diario.
Además del tráfico por internet, AT&T facilitó a la NSA datos sobre llamadas desde teléfonos móviles que pasaban por su red, agregó el rotativo.
Un portavoz de AT&T, Brad Burns, indicó al periódico que la compañía “voluntariamente” no proporciona información a ninguna autoridad a no ser que esté en peligro la vida de una persona y el tiempo sea un elemento esencial, sin mayores detalles.
Fuente: El nuevo Herald.com

PIRATERIA. Destapada trama de ‘hackers’ que robó datos corporativos

Estados Unidos ha desmantelado una compleja red de piratas informáticos con origen en Ucrania que logró acceder a datos confidenciales de un centenar de empresas cotizadas, como Caterpillar, Boeing, Oracle y HP. Con el apoyo de operadores bursátiles dispersos por varios países, realizaron después transacciones que le aportaron un beneficio ilícito que asciende a los 100 millones de dólares. En total, hay 32 acusados de participar en esta sofisticada trama financiera.
Los piratas informáticos lograron penetrar a los sistemas de servicios como Business Wire, Marketwired y PRNewswire, que se encargan de la distribución de las notas de prensa en las que las corporaciones detallan sus resultados y diseminan otro tipo de información relevante para los inversores. La investigación calcula que de esta manera accedieron a 100.000 comunicados antes de publicarse.
“La trama no tiene precedentes”, señaló Mary Jo White, la presidenta de la Securities and Exchange Commission. En rueda de prensa explicó que se usaron técnicas muy avanzadas para robar este tipo de información sensible sin ser detectados. Esos datos eran después transmitidos a una red de cómplices en Rusia, Malta, Chipre, Francia y Estado Unidos, que en pocos minutos compraban acciones y otro tipo de activos vinculados a esas sociedades.
Lograron operar así la red durante cinco años. Las autoridades estadounidenses procedieron a hacer varios registros en Nueva York, Pensilvania y Georgia este martes. Cinco individuos fueron arrestados. Pero la trama es global, de acuerdo con la demanda presentada por el regulador bursátil ante un tribunal en Newark (Nueva Jersey). Entre los acusados se encuentran Ivan Turchynov y Oleksandr Ieremenko, identificados como los cabecillas de la trama.
La investigación determina ahora que estos criminales tuvieron como objetivo más de un centenar de empresas. Durante el tiempo que estuvo operando la trama lograron hacer cerca de 1.000 transacciones. El dinero que se embolsaban con estas operaciones era transferido a paraísos fiscales a través de bancos en Estonia, para ser blanqueado. Las firmas que publican estos comunicados están revisando sus sistemas.
El caso vuelve a poner de relieve que el cibercrimen es una de las grandes amenazas a las que se enfrentan el sistema financiero. Los intentos de intrusión en sus sistemas son constantes. A las autoridades les preocupa la complejidad que están alcanzando este tipo de asaltos y su tamaño, que les permiten “enmascarar” las intrusiones en los servidores de datos. La SEC asegura disponer de las herramientas necesarias para detectar actividades sospechosas.
Fuente: El Pais.com

EEUU . Empresas del país presionan a Obama por proteccionismo tecnológico de China

Grupos empresariales estadounidenses están presionando al presidente, Barack Obama, para que discuta con su par chino, Xi Jinping, sus preocupaciones por lo que consideran proteccionismo tecnológico durante una visita a Washington, según una carta dirigida al presidente de EEUU a la que tuvo acceso Reuters.
En el texto del 11 de agosto, 19 grupos de presión empresariales de Estados Unidos, incluyendo la Cámara de Comercio Estadounidense en China y la Cámara de Comercio de Estados Unidos, así como grupos del sector como la Asociación Nacional de Fabricantes y el Consejo Industrial de la Tecnología y la Información, alientan a Obama a plantear las dificultades que enfrenta el sector de Tecnologías de la Información y Comunicaciones (TIC).
"China ha adoptado cada vez más políticas que han afectado negativamente a la capacidad de las empresas TIC de Estados Unidos (y las empresas que dependen del sector) para hacer negocios en China", escribieron los grupos.
El Ministerio de Relaciones Exteriores de China y la Oficina de Información del Consejo de Estado no respondieron de inmediato a las solicitudes por escrito para hacer comentarios.
Grupos tecnológicos estadounidenses han estado en desacuerdo con China desde que el país comenzó a tomar medidas ante preocupaciones de que su seguridad nacional se viera amenazada por la extensa presencia de la tecnología estadounidense.
Los temores surgieron a raíz de las filtraciones de 2013 del ex trabajador de la Agencia de Seguridad Nacional estadounidense Edward Snowden, que mostraron que el Gobierno de EEUU había escondido programas en los productos de las compañías tecnológicas más grandes de Estados Unidos con el fin de espiar las comunicaciones.
En su carta a Obama, los firmantes lo presionaron para que logre el compromiso de que los dos países no usen la seguridad nacional como justificación para sacar adelante políticas económicas proteccionistas que restrinjan la competencia.
Fuente: Reuters

BANCOS Y FIRMAS DE SEGURIDAD. Continuan utilizando versiones vulnerables de Windows

Windows Server 2003, para el que ya Microsoft ya no proporciona actualizaciones, es usado por 609.000 servidores activos, en compañías como Natwest o Panda.
Suele darse por hecho que las grandes empresas se toman muy en serio la actualización de su software para garantizar de esta forma la seguridad de sus equipos. Pero, a la luz de un estudio realizado por la empresa de servicios de Internet Netcraft, parece que esto no siempre es así.
Netcraft ha revelado que alrededor de 609.000 servidores activos, muchos de ellos de bancos y compañías de seguridad, todavía se ejecutan en Windows Server 2003. Se trata de un sistema operativo de 12 años de antigüedad al que Microsoft ya no da soporte desde el mes pasado, informa TNW.
Netcraft asegura que seguir usando Windows Server 2003 pone a las empresas en situación de riesgo, puesto que ya no hay parches o actualizaciones de seguridad de ningún tipo para esta versión. En el caso de la industria de tarjetas de crédito, las normas de seguridad requieren que todas las protecciones y parches ante las vulnerabilidades sean proporcionadas a través del fabricante del sistema operativo, algo que ya no será posible ahora.
En otras palabras, los equipos que utilizan este sistema no tienen garantizada la protección contra posibles vulnerabilidades futuras. Y las empresas que los usan podrían ser objeto de “multas, aumento de las tasas de transacción, daños a la reputación u otras sanciones potencialmente desastrosas como las cuentas canceladas”, advierte la firma.
Netcraft dice que los servidores que aun funcionan con Windows Server 2003 representan más de la quinta parte de todas las páginas analizadas y ayudan a dirigir 175 millones de sitios web. Alrededor del 55% de esos equipos se encuentra en China y Estados Unidos. La lista incluye alrededor de 24.000 ordenadores empleados por Alibaba, así como varios bancos, entre ellos Natwest e ING Direct. Incluso algunas firmas de ciberseguridad como Panda Security y eScan siguen ejecutando el sistema operativo obsoleto.
Fuente: ITespresso.es

OPENSSH Dos nuevas vulnerabilidades críticas en la versión 6.9p1 y anteriores

Descubiertas dos vulnerabilidades críticas en la versión portable 6.9p1 (y anteriores) de OpenSSH que pueden comprometer seriamente la seguridad y la privacidad de los usuarios que hagan uso de esta versión. 
Estas vulnerabilidades, descubiertas por los investigadores de Blue Frost Security GmbH, permiten la ejecución de código sin firmar con permisos de usuario o superusuario utilizando sólo los credenciales de cualquier usuario local (por ejemplo una cuenta sin permisos en el equipo remoto).
OpenSSH es un conjunto de herramientas especialmente diseñadas para establecer conexiones seguras entre dos puntos. Estas herramientas funcionan como alternativas seguras a los principales protocolos y garantizan que todo el tráfico viajará de forma segura y cifrada por la red, evitando que terceras empresas puedan acceder al tráfico. Es muy importante mantener esta suite de herramientas actualizado para evitar poder caer víctimas de piratas informáticos.
OpenSSH implementa la separación de privilegios desde la versión 5.9. Esto se basa en separar el código en dos procesos: uno sin permisos y otro con ellos. De esta manera el proceso sin permisos es el que se encarga de la mayoría de las tareas convencionales que no requieren permisos especiales y de controlar el tráfico de datos. El proceso con permisos de superusuario se encarga de todas las tareas que requieran permisos especiales para su ejecución.
El desarrollo de OpenSSH está pensado para que no haya errores y la parte sin privilegios no tenga acceso a los mismos si no es a través del módulo de control y la parte con privilegios, pero no siempre es así. Ambos procesos están comunicados de manera que sólo cuando se necesite se ejecute el proceso son privilegios, pero siempre a partir del proceso sin ellos. La comunicación entre ambos procesos se controla mediante el uso de banderas (flags).
Los fallos de seguridad en las versiones 6.9p1 y anteriores de OpenSSH se deben a un fallo en la comunicación del proceso sin permisos con el monitor de acceso. De esta manera, un atacante puede enviar al monitor de permisos cualquier nombre de usuario del sistema (por ejemplo root) para dejar los credenciales en la memoria. Una vez hecho esto inicia sesión con el usuario que conoce (aunque no tenga permisos) pero la comunicación entre los dos procesos será de superusuario, al tener el monitor en la memoria los credenciales del usuario root.
También se pueden utilizar estas vulnerabilidades para cambiar el orden en el que se envían los comandos a través del servidor, causando estados aleatorios en el mismo y ganando permisos hasta poder controlar el servidor remoto por completo.
Podemos descargar la versión más reciente de OpenSSH desde los repositorios oficiales de nuestro sistema operativo o desde su página web principal. Como hemos dicho, el fallo de seguridad sólo afecta a las versiones portables. Las versiones instaladas son seguras.
La suite de OpenSSH está formada por las herramientas SSH, SCP, SFTP y SHHD (entre otras) y la semana pasada la suite de actualizó a la versión 7.0, que no es vulnerable a estos fallos de seguridad. Es recomendable actualizar lo antes posible a la versión más reciente para evitar que piratas informáticos puedan aprovecharse de estas vulnerabilidades y utilizarlas para sus propios fines.
Fuente: cxsecurity

CRIPTOGRAFÍA. Los peligros de la red

Poco a poco los usuarios de Internet van cogiendo conciencia de la importancia de cifrar y proteger los datos que enviamos a través de Internet de manera que terceros usuarios o empresas no puedan acceder a ellos, aunque aún se siguen envíando ingentes cantidades de datos sin cifrar.
No es la primera vez que escuchamos que la NSA, agencia de seguridad estadounidense, espía la actividad de los usuarios de Internet a nivel mundial. Recientemente se han levantado sospechas de que incluso el proveedor AT&T ha colaborado con la organización facilitando el acceso a sus redes. Evitar el espionaje es prácticamente imposible, pues nada es seguro y privado en la red. Sin embargo sí que es posible dificultar este espionaje llevando a cabo ciertas precauciones con nuestros datos.
Aunque ya han pasado 20 años desde el desarrollo de los protocolos SSL aún se siguen enviando enormes cantidades de forma insegura por la red. Esto se debe a la poca conciencia que existe sobre el cifrado de datos y la seguridad. Por suerte poco a poco la conciencia sobre los peligros de la red va creciendo. La seguridad y el cifrado no depende sólo de los usuarios ya que no es la primera vez que se ha podido ver cómo grandes empresas han enviado rutinas de conexión en texto plano e incluso establecen conexiones directas e inseguras entre dos puntos, donde un atacante en el medio de ellos podría acceder a todos los datos.
Como hemos dicho, en la red no hay nada seguro. La seguridad depende directamente de nosotros y por ello debemos ser nosotros quienes protejamos nuestros datos personalmente. Para ello debemos utilizar siempre algoritmos públicos, que estén revisados y asegurados. Muchos programas y plataformas utilizan algoritmos de cifrado privados que, aunque de cara a terceros usuarios son “seguros” no nos dan la certeza de que de cara a terceras empresas u organizaciones gubernamentales lo sean.
Antes de finalizar debemos recordar que aunque cifremos nuestros datos al 100% siempre se dejan rastros: los metadatos. Entre estos metadatos podemos destacar el protocolo que utilizamos, el puerto que utilizamos para la conexión e incluso las direcciones tanto de origen como de destino. Esto es un problema del propio protocolo, por lo que son pocas las opciones que nos quedan para evitar que esta información se distribuya por la red.
Las filtraciones de los documentos de la NSA no han hecho más que confirmar las teorías y sospechas sobre el espionaje. A corto, medio e incluso largo plazo los gobiernos van a seguir queriendo controlar todo el tráfico de red “simplemente porque está ahí”. Pese a ello es posible que Estados Unidos no sea la única, ni probablemente la mayor amenaza con la que se pueden encontrar nuestros datos.
Fuente: Cryptography Engineering

KASPERSKY. Acusado de crear malware para desprestigiar a otras soluciones de seguridad

Tras quedar demostrado que empresas desarrolladoras de soluciones de seguridad utilizaban un software para los test y así obtener buenas puntuaciones y otro con un rendimiento peor para la venta, ahora parece que Kaspersky habría creado malware de forma intencionada para desprestigiar al resto de soluciones de seguridad.
La competencia entre las diferentes empresas desarrolladoras de este tipo de herramientas es muy grande y son muchas las que luchan para que su producto sea el mejor valorado para que los usuarios centren sus miradas en él. Sin embargo, lo que desconocíamos es que las argucias utilizadas podían llegar hasta este extremo.
En este caso han sido dos empleados de la compañía Kaspersky los que han detallado que esta ha estado creando malware para desprestigiar a las soluciones de seguridad de la competencia y así obtener ventaja en el mercado de los antivirus para usuarios particulares.
Afirman que la campaña fue aceptada y ordenada por parte de CEO de la compañía y que se ha estado operativa durante al menos 10 años, encontrándose las cifras más altas de esta práctica durante los años 2009 y 2013.
Aunque no se conoce a ciencia cierta el motivo real que impulsó al CEO y otras personas al frente de la compañía para llevar a cabo está práctica, se cree que los acuerdos entre otras empresas del sector para compartir información de amenazas existentes y así crear definiciones de virus más eficaces habrían sido el detonante de esta acción.
El malware creado se enviaba a VirusTotal para desprestigiar al resto de herramientas de seguridad
  • Utilizando un departamento que sobre el papel no existía, se comenzó a crear malware falso que se reportaba a VirusTotal, dejando en mal lugar al resto de soluciones de seguridad y provocando que la popularidad de las herramientas de Kaspersky ascendiese.
Localizar quién se aprovechaba de Kaspersky
  • Además de las informaciones de estos dos empleados, existe otra versión que afirma que la utilización de estas prácticas tenía como fundamento la localización de qué empresas de la competencia se aprovechaban del trabajo de esta para elaborar sus definiciones de virus.
  • Sea cual sea la finalidad, la polémica está servida y el cruce de acusaciones entre las empresas desarrolladoras y análisis de amenazas ya ha comenzado.
Eugen Kaspersky esquiva la información publicada
  • Por parte del CEO de la empresa no ha querido confirmar ni negar nada y ha recurrido a la ironía para salir al paso de estas declaraciones haciendo uso de su cuenta de Twitter.
  • Lo que sí que ha quedado claro es que en este mercado tampoco se juega limpio y las empresas se copian y se espían, obligando a tomar decisiones como esta que hemos detallado.
Fuente: Softpedia

GSMEM. Malware que roba datos de ordenadores aislados a través de conexiones GSM

Aunque tengamos una red aislada Air-gapped, no garantiza la seguridad total, porque aún siendo muy complicado aún es posible extraer datos de estas redes mediante el uso de diferentes tecnologías como son las conexiones GSM. Los investigadores de USENIX hablan de GSMem, un malware que utiliza estas conexiones móviles para acceder a estas redes aisladas y robar datos de ellas.
Por lo general, cuando queremos evitar exponernos a la amenaza de la red solemos desconectar nuestro equipo de Internet y aislarlo. Sin embargo esto no garantiza la seguridad de nuestros datos. Existen diferentes formas de aislar equipos de la red. Una de estas formas es mediante las redes Air-gapped. Este tipo de redes se caracterizan por estar aisladas tanto física como lógicamente de las redes públicas haciendo que, en teoría, estén ocultas y sean totalmente inaccesibles para los demás.
Operativa del malware GSMEN
  • El funcionamiento de GSMem es complejo a la vez que inteligente. En primer lugar para poder funcionar se necesita un malware instalado previamente en uno de los equipos de la red. Este malware modula y transmite señales electromagnéticas dentro de las señales GSM móviles. Estas señales pueden ser recibidas y demoduladas mediante un código concreto instalado en un teléfono móvil cercano.
  • Aunque es posible comprometer estos equipos existen un gran número de dificultades. La primera de ellas es la propia generación de las señales electromagnéticas y su correcta detección, captura y demodulación. También la distancia está muy limitada, siendo este tipo de ataques efectivo sólo dentro de un radio de 1.5 metros utilizando un smartphone convencional. Si se utiliza hardware específico el radio de efectividad puede aumentar a 30 metros, pero es difícil pasar de ahí.
  • También debemos tener en cuenta la tolerancia a errores. Cuanto mayor es la distancia mayor es la tasa de bits erróneos que recibiremos mediante esta tecnología, siendo contenido totalmente alterado cuando la distancia aumente más de la cuenta.
Otras formas alternativas al GSM para acceder a las redes Air-gapped
  • Existen más formas de atacar ordenadores aislados a parte de las conexiones GSM. Actualmente se han podido llevar a cabo ataques con éxito sobre los cables de un ordenador, utilizando receptores FM para hacerse con los datos e incluso emitiendo ultrasonidos a través de los altavoces (externos, o el speaker interno del ordenador) utilizando tan sólo un micrófono para recibir los datos.
  • Aunque todas estas formas demuestran cómo nada es seguro, es muy complicado llevarlas a cabo e implican tener acceso al equipo afectado, ya sea mediante la instalación manual de malware o distribuyendo una unidad de almacenamiento que permita comprometer alguno de los equipos de la red aislada. También debemos tener en cuenta que este tipo de transmisiones de datos tiene una enorme tasa de errores, llegando a recibir datos totalmente corruptos en cuanto nos alejamos un poco del radio de efectividad.
Más información
Fuente: Redeszone.net

PIRATERIA. Ubiquiti víctima de hackeo, pierde 42 millones de euros

Responsables de la compañía Ubiquiti  han informado sobre el hackeo que les ha costado por el momento 42 millones de euros.
Tal y como suele ser habitual en este tipo de casos, el eslabón más débil son los equipos que forman la red LAN de la misma y que están ubicados en diferentes departamentos. Ya hemos podido comprobar que el desconocimiento de los empleados a la hora de navegar por Internet y hacer frente a las amenazas es el principal problema al que debe enfrentarse la empresa y el mayor aliado para los ciberdelincuentes.
Teniendo en cuenta que la investigación la está realizando el propio FBI es evidente que la información vertida sea limitada respecto al ataque. Sin embargo, fuentes cercanas han confirmado que los hackers habrían interceptado las comunicaciones entre dos departamentos internos de la compañía. Se desconoce el tiempo durante el que se llevó a cabo este espionaje, pero fue suficiente para conseguir las credenciales y datos necesarios para realizar transacciones bancarias.
El hackeo que permitió el acceso a la red LAN y el espionaje se han saldado con una transacción de 42 millones de euros desde una empresa subsidiaria a otra cuenta de la que fueron retirados los fondos prácticamente en el mismo instante.
En Ubiquiti confían en recuperar casi la totalidad del dinero
  • Después de realizar y trámites judiciales e informar a la entidad bancaria de la operación no autorizada han conseguido recuperar 14 millones de euros. Sin embargo, para recuperar el resto del capital robado deben esperar a las investigaciones que el FBI está llevando a cabo.
  • Por el momento, la compañía sí ha confirmado que a pesar del espionaje recibido durante un periodo de tiempo, no existe ninguna brecha de seguridad y no se ha producido el robo de más datos de sus servidores. Esto denota que el interés real de los ciberdelincuentes era el dinero.
  • Sobre el acceso, solo hay que ver la gran variedad de amenazas malware existentes en la actualidad para hacerse a la idea sobre cuál pudo ser la estrategia utilizada por los ciberdelincuentes, que de momento no se asocian a ningún grupo de hackers conocido.
Fuente: Softpedia

MICROSOFT EDGE. Encuentran vulnerabilidad que afecta a otras aplicaciones

Los expertos en seguridad ya han encontrado un fallo de seguridad en el nuevo navegador de los sistemas operativos Windows: Microsoft Edge. El problema descubierto afecta también a otros programas y permitiría el robo de las credenciales de un dominio de compartición de archivos.
Sin embargo, aunque parezca que se trata de un problema centrado en el navegador, este también ha aparecido en otras aplicaciones muy utilizadas por los usuarios, como por ejemplo Internet Explorer, Windows Media Player, Excel, QuickTime, AVG, BitDefender o Comodo Antivirus.
Teniendo en cuenta esto, los expertos en seguridad se pusieron manos a la obra y trataron de buscar el punto en común de todos los programas. Encontrando este darían con el causante de la vulnerabilidad y el resultado ha sido que el servicio SMB es el causante de esta.
Se trata de un servicio con dos décadas de antigüedad que en la actualidad posee la versión 3.0, permitiendo la compartición de archivos y dispositivos de red en LAN y el acceso a los equipos Windows Server haciendo uso de ciertos mecanismos de inicio de sesión.
 Una DLL que utiliza el SMB es el origen del problema de Microsoft Edge
  • Tal y como han detallado, el problema de seguridad está localizado en una librería dinámica que permite que un atacante pueda utilizar Internet para realizar el robo de las credenciales del dominio local. Para realizar esta operación solo necesita cargar una líneas de código en un correo electrónico o página web y podrá extraer esta información de forma rápida.
  • Como consecuencia de esto, aplicaciones disponibles para Windows 10 y sistemas operativos anteriores están afectadas por este fallo de seguridad. Por el momento no existe ninguna solución disponible, o al menos definitiva, ya que para paliar los efectos de forma temporal y siempre que no se vaya a utilizar ningún servicio relacionado con SMB el usuario puede deshabilitar el servicio. Para realizar esta operación se puede utilizar este manual de la propia Microsoft.
Listado  de aplicaciones que sufren el fallo de seguridad
  1. Windows Media Player
  2. Adobe Reader
  3. Apple QuickTime
  4. Excel 2010
  5. Symantec Norton Security Scan
  6. AVG Free
  7. BitDefender Free
  8. Comodo Antivirus
  9. IntelliJ IDEA
  10. Box Sync
  11. GitHub
  12. TeamViewer
  13. Dropbox
Fuente: Softpedia

ANDROID. Nueva vulnerabilidad crítica

 Después de las dos vulnerabilidades importantes anunciadas en los últimos días, se confirma otra nueva vulnerabilidad en los dispositivos Android. Or Peles (@peles_o) y Roee Hay (@roeehay) del equipo de seguridad X-Force de IBM han publicado los detalles en un documento titulado "Una clase para gobernarlos a todos" ya que solo encontraron una clase con una vulnerabilidad de serialización en la plataforma Android, la 'OpenSSLX509Certificate', pero fue suficiente para tomar el control del dispositivo.
Detalle de la vulnerabilidad
  • El equipo aprovechó el problema para reemplazar una aplicación existente en el dispositivo atacado por otra con todos los privilegios. De esta forma podría permitir robar datos, evitar la política SElinux, o ejecutar código arbitrario.
  • Se le ha asignado el CVE-2015-3825, según el informe de IBM el problema afecta a Android 4.3 a 5.1 (Jelly Bean, KitKat y Lollipop), incluyendo también a la primera preview de la próxima versión de Android M. Según IBM esto se cifra en un 55% de los dispositivos Android.
  • El equipo de IBM partía de la idea de que si encontraban una clase serializable, que en su método 'finalize' liberara algún objeto nativo cuyo puntero estuviera controlado podrían conseguir ejecutar código en el contexto de la aplicación o servicio. Su investigación se centró en encontrar clases vulnerables en el framework Android y en SDKs de terceras partes.
  • Tras analizar las 13.321 clases disponibles en el framework de un Android 5.1.1 Nexus 5 solo la clase 'OpenSSLX509Certificate' cumplía todos los requisitos para llevar a cabo el ataque de forma exitosa.
Y también en SDKs
  • Después de buscar en el framework de Android, pasaron a analizar 32.701 aplicaciones Android populares de los desarrolladores más conocidos para buscar otras clases que pudieran ser vulnerables.
  • Encontraron un total de 358 clases en 176 APKs que cumplían su criterio (serializable con un método 'finalize' y un campo controlable por el atacante). Finalmente enumeran 6 SDKs vulnerables:

  1. Jumio (CVE-2015-2000)
  2. MetaIO (CVE-2015-2001)
  3. PJSIP PJSUA2 (CVE-2015-2003)
  4. GraceNote GNSDK (CVE-2015-2004)
  5. MyScript (CVE-2015-2020)
  6. esri ArcGis (CVE-2015-2002)
 Los investigadores de IBM comunicaron los problemas a Google y a los desarrolladores de los SDKs afectados.
Recomendación
  • Google ha publicado parches para Android 5.1 y 5.0 y ha portado el parche a Android 4.4. La actualización también está disponible en Android M. Esperemos que les llegue pronto a los usuarios. Igualmente los desarrolladores de SDKs también han publicado parches para los problemas.
Más información:
Fuente: Hispasec

VULNERABILIDAD. Fallo de seguridad afecta a casi todos los procesadores Intel x86

El investigador de seguridad Chris Domas ha descubierto un fallo de seguridad en todos los procesadores Intel de arquitectura x86 fabricados entre 1997 y 2010 (hasta la rama anterior a Sandy Bridge) que puede llegar a permitir a un atacante instalar software personalizado en el equipo afectado.
Esto se debe a que al explotar esta vulnerabilidad el pirata informático evade los sistemas de seguridad que gestionan la seguridad del sistema a nivel de firmware. Por ello un atacante puede llegar a instalar software no deseado en el módulo System Management Mode (SMM) del procesador.
Una vez que se instala un rootkit en el módulo SMM del sistema un pirata informático puede tomar el control sobre la BIOS o UEFI del equipo, borrarla por completo, reescribirla por otra (por ejemplo una UEFI con malware) e incluso, como hemos dicho, tomar el control sobre los discos duros eliminando sus datos, instalando software e incluso otro sistema operativo.
Cabe destacar que las medidas de seguridad actuales (Secure Boot, por ejemplo) son ineficaces porque se fían del módulo System Management Mode (SMM) del procesador, módulo que puede ser comprometido por la vulnerabilidad.
Existe un exploit público para aprovechar esta vulnerabilidad de los procesadores Intel
  • Aunque la vulnerabilidad ha estado abierta desde 1997, esta ha permanecido oculta hasta hace 3 días, fecha en la que se publicó el exploit y la documentación correspondiente. Este exploit, formado por apenas 25 líneas, se encuentra disponible de forma pública en GitHub, junto a una completa documentación y demostración de funcionamiento.
  • Pese a la disponibilidad del exploit poder explotar este fallo de seguridad es bastante complicado. Lo primero que necesitan los piratas informáticos es instalar un rootkit que “desactive” permanentemente las medidas de seguridad del procesador. Para ello se necesitan permisos de root sobre el kernel del sistema, lo que ya requiere de una infección previa con otro malware.
  • Este investigador de seguridad ha conseguido demostrar la vulnerabilidad, como hemos dicho, en procesadores Intel sin embargo afirma que es probable que los procesadores AMD también sean vulnerables a este fallo debido a la complejidad del mismo.
  • Aunque teóricamente es posible bloquear esta vulnerabilidad mediante una actualización de la BIOS o UEFI de un ordenador, el hecho de que esto ocurra es prácticamente imposible. La única solución que existe es pensar cambiar el ordenador a corto o medio plazo ya que ningún fabricante actualizará la BIOS de un ordenador con más de 5 años. También es prácticamente imposible actualizar sin problemas los procesadores, además de que muchos de ellos ya tampoco tendrán soporte por parte de Intel.
Recomendaciones
  • Cabe recordar que para explotar esta vulnerabilidad el atacante necesita tener acceso físico al equipo, por lo que si tenemos cuidado de quién usa el equipo es probable que este fallo de seguridad no pueda ser explotado nunca en nuestro sistema.
Fuente : PC World

IBM. Presenta el nuevo sistema de servidores LinuxONE

Ofrecerá distintos servicios con características ‘open source’ para llegar a todo tipo de empresas.
IBM anuncia la llegada de la plataforma LinuxONE de servidores centrales exclusivamente dedicados a los entornos Linux. IBM se ha asociado con Canonical para ofrecer nuevos mainframes ejecutando Ubuntu Linux como sistema operativo. La nueva plataforma recopila distintas soluciones de software y servicios empresariales con características open source.
IBM pretende aumentar, de esta manera, su oferta de hardware y soluciones de software dirigidas a cualquier tipo de empresa. Los servidores LinuxONE Emperor llegarán a las empresas grandes, mientras que los modelos Rockhopper lo harán a las de tamaño medio. IBM tendrá acceso a más clientes a través de la red de distribuidores de Canonical.
Las compañías que contraten estos servicios tendrán la opción de implantar software popular open source (Apache Spark, Node.js y MongoDB) en unidades centrales de gran potencia. Las herramientas relacionadas con la seguridad, el trabajo en la nube o las tecnologías analíticas serán las más demandadas. La asociación con Canonical también acoge la llegada del Open Mainframe Project, un proyecto coordinado para que las empresas puedan aprovechar y adoptar los mainframes
Fuente: Silicon Week.es

SAMSUNG. Presenta nuevos teléfonos S6 para impulsar ventas

Samsung Electronics presentó el jueves un nuevo "phablet" Galaxy Note y una versión más grande de su teléfono de pantalla curvada S6, en un nuevo intento del gigante tecnológico surcoreano de recuperar impulso en su negocio de teléfonos.
Samsung es el principal fabricante mundial de teléfonos avanzados pero su participación de mercado cayó en el segundo trimestre, en el que lanzó sus aclamados modelos S6 y se vio presionado por el iPhone de Apple y las competitivas ofertas de rivales chinos como Huawei Technologies.
El fabricante respondió con un recorte del precio del S6 y adelantando la presentación del Note desde la fecha habitual de septiembre, antes de la llegada del último iPhone, que se espera para ese mes.
Samsung ha realizado varios cambios de hardware para sus nuevos teléfonos, incluyendo un procesador más rápido del Galaxy Note 5 y una pantalla más grande para el S6 edge+, a 5,7 pulgadas desde las 5,1 del S6 edge.
Ambos cuentan con chips Exynos de Samsung, según dijo una persona familiarizada con esta cuestión a Reuters. Samsung desechó los chips de Qualcomm, que alimentaban la mayoría de sus dispositivos anteriores, optando por los suyos propios para los modelos S6.
Los teléfonos saldrán a la venta este mes, dijo Samsung sin especificar fechas o mercados. Los dispositivos reforzarán el servicio de pagos móviles Samsung Pay, que se lanzará el 20 de agosto en Corea del Sur y el 28 de septiembre en Estados Unidos.
Samsung Pay permite a los usuarios hacer pagos enviando señales a los lectores de bandas magnéticas, ofreciendo mayor cobertura que el servicio Apple Pay, que exige a las tiendes instalar equipos compatibles.
Samsung ofrecerá actualizaciones de software en agosto para que Samsung Pay esté disponible en el Galaxy S6 y el S6 edge. El servicio de pago se extenderá a Reino Unido, España y China, dijo la compañía, sin proporcionar fechas.
Fuente: Reuters

MICROSOFT. Boletines de seguridad de agosto de 2015

Esta actualización consta de 14 boletines de seguridad, clasificados como 3 críticos y 11 importantes, referentes a múltiples CVEs en Microsoft Windows, Microsoft Office, Internet Explorer, Microsoft System Center y Microsoft Edge. Se ha catalogado de Importancia: 5 - Crítica
Recursos afectados
  • Internet Explorer 7
  • Internet Explorer 8
  • Internet Explorer 9
  • Internet Explorer 10
  • Internet Explorer 11
  • Windows Vista
  • Windows Server 2008
  • Windows 7
  • Windows Server 2008 R2
  • Windows 8 and Windows 8.1
  • Windows Server 2012 and Windows Server 2012 R2
  • Windows RT and Windows RT 8.1
  • Windows 10
  • Microsoft Office 2007
  • Microsoft Office 2010
  • Microsoft Office 2013
  • Microsoft Office 2013 RT
  • Microsoft Office for Mac 2011
  • Microsoft Office for Mac 2016
  • Microsoft System Center 2012 Operations Manager
  • Microsoft System Center 2012 Operations Manager R2
  • Microsoft Edge
Detalle de la actualización por boletines
  1. MS15-079: (Crítico) Esta actualización de seguridad resuelve varias vulnerabilidades en Internet Explorer. La más grave de ellas puede permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente diseñada.
  2. MS15-080: (Crítico) Esta actualización de seguridad resuelve varias vulnerabilidades en Microsoft Windows, Microsoft .NET Framework, Microsoft Office, Microsoft Lync y Microsoft Silverlight. La más grave de ellas puede permitir la ejecución remota de código si un usuario abre un documento o visita una página web no confiable que contenga fuentes TrueType o OpenType.
  3. MS15-081: (Crítico) Esta actualización de seguridad resuelve varias vulnerabilidades en Microsoft Office. La más grave de ellas puede permitir la ejecución remota de código si un usuario abre un fichero de Microsoft Office especialmente manipulado.
  4. MS15-082: (Importante) Esta actualización de seguridad resuelve varias vulnerabilidades en Microsoft Windows. La más grave de ellas puede permitir la ejecución remota de código si un atacante coloca en el directorio de trabajo actual de un usuario una librería (DLL) especialmente manipulada y le convence para abrir un fichero RDP.
  5. MS15-083: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad puede permitir la ejecución remota de código si un atacante envía una cadena especialmente manipulada al servicio de log de errores de SMB server.
  6. MS15-084: (Importante) Esta actualización de seguridad resuelve varias vulnerabilidades en Microsoft Windows y Microsoft Office. Estas vulnerabilidades pueden provocar la divulgación de información si un usuario accede a un enlace especialmente manipulado o permite explicitamente el uso de SSL 2.0.
  7. MS15-085: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad puede permitir la elevación de privilegios si un atacante introduce un dispositivo USB malicioso en el sistema.
  8. MS15-086: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft System Center Operations Manager. La vulnerabilidad puede permitir la elevación de privilegios si un usuario accede mediante una URL manipulada a una página web afectada.
  9. MS15-087: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad puede permitir la elevación de privilegios si un atacante consigue un escenario XSS mediante la inserción de un script malicioso en un parámetro de búsqueda de una web.
  10. MS15-088: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows, Internet Explorer y Microsoft Office. La vulnerabilidad puede permitir la divulgación de información.
  11. MS15-089: (Importante) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad puede permitir la divulgación de información si un atacante fuerza una sesión SSL 2.0 con un servidor WebDAV que tenga habilitado SSL 2.0 y posteriormente utilice un ataque MiTM para descifrar porciones del tráfico cifrado.
  12. MS15-090: (Importante) Esta actualización de seguridad resuelve varias vulnerabilidades en Microsoft Windows. Las vulnerabilidades pueden permitir la elevación de privilegios si un atacante accede a un sistema afectado y ejecuta una aplicación especialmente manipulada o convence a un usuario para que abra un fichero especialmente manipulado.
  13. MS15-091: (Importante) Esta actualización de seguridad resuelve varias vulnerabilidades en Microsoft Edge. La más grave de ellas puede permitir la ejecución remota de código si un usuario visualiza con Microsoft Edge una web especialmente manipulada.
  14. MS15-092: (Importante) Esta actualización de seguridad resuelve varias vulnerabilidades en Microsoft .NET Framework. Las vulnerabilidades pueden pemitir la elevación de privilegios si un usuario ejecuta una aplicación .NET especialmente manipulada.
Recomendación
  • Instalar la actualización. En el resumen de los boletines de seguridad de Microsoft, se informa de los distintos métodos de actualización dentro de cada boletín en el apartado "Información sobre la actualización".
Más información
Fuente: INCIBE

WIRESHARK. Actualizaciones de seguridad

Wireshark Foundation ha publicado nueve boletines de seguridad que solucionan otras tantas vulnerabilidades en la rama 1.12.
 Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
 Todos los errores de seguridad corregidos podrían llegar a provocar condiciones de denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados. En esta ocasión las vulnerabilidades afectan al añadir un artículo al árbol de protocolo, al intentar liberar memoria inválida, al buscar un disector de protocolo, al comprobar la longitud de ptvcursor inválido y en los disectores ZigBee, GSM RLC/MAC, WaveAgent, OpenFlow y WCCP.
Recomendación
Más información:
Fuente: Hispasec

80 vulnerabilidades en iOS por 10 en Android: ¿Apple pierde la batalla de la seguridad?

El tema de la seguridad de los sistemas operativos siempre será muy subjetivo, pero hay que reconocer que desde hace varios meses el Gigante de Internet ha mejorado todo lo relacionado con este aspecto en su sistema operativo móvil, o al menos en las últimas versiones. Esto no quiere decir que no existan y no aparezcan, pero sí que se han resuelto aquellos más evidentes, algo que no sucede con los de Cupertino.
Y es que durante los últimos meses se han encontrado fallos bastante importantes que afectan a una gran cantidad de dispositivos. Sin embargo, desde Apple han querido sacar pecho y han restado importancia a estos afirmando que son muy complicados de explotar y que es poco probable que los usuarios se vean afectados.
Todo parece indicar que el mito que se creó entorno s los sistemas operativos Mac OS X e iOS llega a su fin y la gente poco a poco comienza a concienciarse de la importancia de actualizar el sistema operativo y tener cierta precaución en lo referido al contenido que se visualiza y las páginas web que se visitan
La soluciones de Apple para vulnerabilidades en iOS son mucho más eficaces
  • Aunque los de Cupertino no hacen todo de forma correcta, hay que decir que los expertos en seguridad tiran un capote a Apple y afirman que las soluciones de seguridad aportadas ante fallos son muchos más eficaces que las ofrecidas por los de Mountain View.
  • Para afirmar esto se basan en lo que ellos han definido como fragmentación en lo referido a hardware, es decir, existen una gran cantidad de dispositivos y resulta bastante complicado ofrecer una actualización que se adapte a la gran variedad de equipos existentes. Evidentemente Android es un sistema con una portabilidad muy alta pero que en esta ocasión juega en contra de la seguridad.
  • Frente a este aspecto, Apple conoce mucho mejor el hardware de sus dispositivos y puede presentar una solución de una forma mucho más rápida y eficaz.
Fuente: MalwareTips

VULNERABILIDAD. Ejecución remota de código en HP Operation Manager

Se ha identificado una vulnerabilidad de ejecución remota de código en el producto HP Operation Manager para Windows y Linux, catalogada de Importancia: 5 - Crítica
Recursos afectados
  • HP Operations Manager i v9.22, v9.23, v9.24, v9.25, v10.00 y v10.01 para Linux y Windows.
Detalle e Impacto de la vulnerbilidad
  • El equipo de seguridad de software de la compañia Hewlett Packard ha identificado una vulnerabilidad en su producto HP Operation Manager para Linux y Windows. Un atacante puede aprovechar la vulnerabilidad de manera remota y conseguir ejecutar código en el sistema comprometido.
  • Se ha asignado a esta vulnerabilidad el código CVE-2015-2137.
Recomendación
  • HP ha publicado una serie de actualizaciones que corrigen el fallo. Es posible consultar los enlaces de descarga en la siguiente página.
Más información
Fuente: INCIBE

LINUX. Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa cuatro nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio o elevar sus privilegios en el sistema.
Detalle de la actualización
  • Un desbordamiento de entero en las conexiones netfilter del kernel Linux que podría provocar denegaciones de servicio (CVE-2014-9715), un desbordamiento de búfer en la funcionalidad de carga temprana de microcódigo podría permitir la elevación de privilegios (CVE-2015-2666). Un uso de memoria después de liberar en la implementación de sockets ping podría provocar denegaciones de servicio o elevaciones de privilegios en función de la plataforma (CVE-2015-3636), por último una vulnerabilidad en la implementación IPv6 del protocolo TCP/IP en el kernel, podría permitir a un atacante evitar que un sistema envíe o reciba paquetes de red (CVE-2015-2922).
  • Además se han solucionado otros fallos de menor importancia.
Recomendación
Más información:
Fuente: Hispasec

ACTUALIZACIÓN. Mozilla publica Firefox 40 y corrige 22 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 40 de Firefox, junto con 14 boletines de seguridad destinados a solucionar 21 nuevas vulnerabilidades en el navegador.
Detalle de la nueva versión
  • Hace mes y medio que Mozilla publicó la versión 39 de su navegador. Ahora acaba de publicar una nueva versión que incorpora nuevas funcionalidades y mejoras. Entre otras, la nueva versión incluye soporte para Windows 10 y se emite un aviso si se visita una página conocida por contener software malicioso.
Detalle de la actualización
  • Por otra parte, se han publicado 14 boletines de seguridad (del MSFA-2015-79 al MSFA-2015-92). Cuatro de ellos están considerados críticos, siete altos, dos moderados y uno de gravedad baja; que en total corrigen 21 nuevas vulnerabilidades en el navegador.
  • Las vulnerabilidades críticas residen en un uso después de liberar memoria en la reproducción de MediaStream (CVE-2015-4477), diversos problemas de corrupción de memoria en el motor del navegador (CVE-2015-4473 al CVE-2015-4474), diversos desbordamientos en el tratamiento de vídeo MPEG4 y dos desbordamientos en la librería Libvpx al descodificar vídeo WebM (CVE-2015-4485 y CVE-2015-4486).
  • Además, también se han corregido otras vulnerabilidades de gravedad moderada debidos a un uso después de liberar en llamadas recursivas open() en un XMLHttpRequest en un SharedWorker (CVE-2015-4492), tres vulnerabilidades encontradas a través de inspección de código (CVE-2015-4487 al CVE-2015-4489), una escritura fuera de límites si el actualizador abre un archive MAR con un nombre específicamente creado (CVE-2015-4482), una sobreescritura de archivos arbitrarios a través de Mozilla Maintenance Service en Windows (CVE-2015-4481) y una lectura fuera de límites con archivos MP3 específicamente manipulados (CVE-2015-4475).
Recomendación
Más información:
Fuente: Hispasec

ACTUALIZACIÓN. Para múltiples productos de Apple: iOS, OS X Server, Safari y Yosemite

Apple ha publicado actualizaciones para múltiples productos. En esta ocasión incluye iOS 8.4.1 para sus dispositivos móviles (iPhone, iPad, iPod… ), OS X Server v4.1.5,  Safari y OS X Yosemite 10.10.5 y Security Update 2015-006.
Detalle de la actualización
  • Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.
  • iOS 8.4.1 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir mejoras y solución de problemas, además soluciona 71 nuevas vulnerabilidades. Los problemas corregidos están relacionados con múltiples componentes, incluyendo Backup, ImageIO, Kernel, Libc, Libinfo, libxml2, Framework, Office Viewer, Safari, WebView y WebKit.
  • Por otra parte, se ha publicado OS X Yosemite v10.10.5 y Security Update 2015-006 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10 a v10.10.4, destinado a corregir hasta 135 nuevas vulnerabilidades. Afectan a múltiples y muy diversos componentes, que entre otros incluyen a apache, Bluetooth, curl, DiskImages, ImageIO, Kernel, Libc, Libinfo, libxml2, OpenSSH, OpenSSL, perl, PostgreSQL, python, QuickTime 7, Security, SMBClient o tcpdump.
  • Las actualizaciones también incluyen a Safari, el popular navegador web de Apple, que se actualiza a las versiones Safari 8.0.8, Safari 7.1.8 y Safari 6.2.8 para OS X Mountain Lion v10.8.5, OS X Mavericks v10.9.5 y OS X Yosemite v10.10.4. Se solucionan 27 vulnerabilidades principalmente por problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. La actualización a Safari 8.0.8 está incluida en OS X Yosemite v10.10.5.
  • De igual forma, también ha publicado la versión OS X Server v4.1.5 (para OS X Yosemite v10.10.5 y posteriores), para incluir una actualización de BIND (que se actualiza a la versión 9.9.7-P2) para evitar una vulnerabilidad de denegación de servicio (CVE-2015-5477).
  • Por último, señalar que también se ha publicado iTunes 12.2.2, una versión menor que no parece destinada a corregir problemas de seguridad. Sin embargo incluye mejoras de rendimiento y funcionalidad y se corrigen fallos no relacionados directamente con la seguridad.
Más información:
Fuente: Hispasec

ACTUALIZACIÓN. Para Adobe Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player para evitar 35 vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
Recursos afectados
  • Las vulnerabilidades afectan a las versiones de Adobe Flash Player 18.0.0.209 (y anteriores) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; Adobe Flash Player 13.0.0.309 (y versiones 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.491 (y anteriores) para Linux. También afecta a Adobe AIR .
Detalle de la actualización
  • La mayoría de los problemas que se corrigen en este boletín (APSB15-19) permitirían la ejecución de código arbitrario aprovechando cinco vulnerabilidades de confusión de tipos, 15 vulnerabilidades de uso de memoria después de liberarla, cinco desbordamientos de búfer, una de desbordamiento de entero y ocho fallos que podrían causar una corrupción de la memoria.
  • Esta actualización también una mejora en la protección contra la mitigación introducida en la versión 18.0.0.209 para protección contra corrupciones en la longitud del vector.
  • Los CVE asignados son CVE-2015-3107, CVE-2015-5124, CVE-2015-5125, CVE-2015-5127 al CVE-2015-5134, CVE-2015-5539 al CVE-2015-5541 y CVE-2015-5544 al CVE-2015-5564.
Recomendación
 Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 18.0.0.232
  2. Flash Player Extended Support Release 18.0.0.232
  3. Flash Player para Linux 11.2.202.508

  •  Igualmente se ha publicado la versión 18.0.0.232 de Flash Player para Internet Explorer, Edge y Chrome (Windows y Macintosh) y 18.0.0.233 de Flash Player para Google Chrome (Linux).
  •  También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler a la versión 18.0.0.199 (Windows, Macintosh, Android e iOS).
Más información
Fuente: Hispasec

IBM . Vulnerabilidades de cross-site scripting en Domino Web Server

IBM ha publicado actualizaciones destinadas a solucionar tres vulnerabilidades de cross-site scripting en IBM Domino Web Server 8.5.x y 9.0.x.
Detalle de las vulnerabilidades
  • Se trata de tres vulnerabilidades de cross-site scripting en el servidor web de IBM Domino. 
  • En uno de los casos cuando se encuentra configurado para webmail (CVE-2015-1981), otro de los casos permitiría una redirección abierta (CVE-2015-2014) y un último fallo cuando la plantilla Domino Directory está disponible sobre http (CVE-2015-2015).
  • Como es habitual en estos casos el problema reside en una validación insuficiente de las entradas suministradas por el usuario. Un atacante remoto podría ejecutar código arbitrario HTML o script en el navegador del usuario en el contexto del sitio afectado. Esto podría permitir que el atacante accediera a información sensible basada en el navegador como cookies de autenticación y los datos presentados recientemente.
Recomendaciones
IBM ha publicado actualizaciones en IBM Domino 9.0.1 Fix Pack 4 y en Domino 8.5.3 Fix Pack 6 Interim Fix 8.
  1. Para 9.0.1   http://www-01.ibm.com/support/docview.wss?uid=swg24037141
  2. Para 8.5.3   http://www.ibm.com/support/docview.wss?uid=swg21663874
  •  El cross-site scripting en la plantilla se corrigió en la versión Domino 9.0.0 de la plantilla Domino Directory (pubnames.ntf).
  •  La vulnerabilidad de redirección abierta se ha corregido en Domino 8.5.3 Fix Pack 6 Interim Fix 9 y Domino 9.0.1 Fix Pack 4. Para habilitar la corrección se debe añadir la configuración de inicio (DominoValidateRedirectTo=1) en el notes.ini del servidor Domino.
Más información:
Fuente: Hispasec

PRIVATEFIREWALL. Completo y gratuito firewall para Windows

Privatefirewall es un firewall funciona perfectamente junto a cualquier solución antivirus independiente y permite a los usuarios tener absolutamente todo el tráfico de red controlado por la herramienta detectando y bloqueando cualquier indicio de tráfico sospechoso.
Las principales características de Privatefirewall son:
  1. Ofrece protección contra las vulnerabilidades más críticas del sistema.
  2. Funciona mediante filtrado de IP y de dominios web.
  3. Es capaz de identificar el comportamiento de los piratas informáticos y bloquearlos.
  4. Permite el filtrado de paquetes IPv4 e IPv6.
  5. Ofrece protección zero-hour contra virus, spyware y malware en general.
  6. Dispone de un sistema de control avanzado (para los usuarios más profesionales) pero su uso a nivel básico es muy sencillo.
  7. Protege y controla los procesos del sistema.
  8. Protege el registro.
  9. Detecta comportamiento sospechoso en el sistema.
  10. Identifica el correo electrónico sospechoso.
  11. Compatible con todos los sistemas operativos de Microsoft, desde Windows XP hasta Windows 10 (aunque oficialmente sólo hasta Windows 8.1).
Privatefirewall también cuenta con protección HIPS (Host Intrusion Prevention System). Este tipo de protección es capaz de identificar y bloquear cualquier tipo de amenaza, incluso de día cero, simplemente mediante los sistemas de análisis de comportamiento. 
Aunque esta herramienta no es un firewall y no debemos esperar que se comporte como tal sí es  capaz de protegernos de prácticamente cualquier tipo de ataque de red que se esté llevando a cabo, ya sea de forma directa o mediante exploits, incluso cuando estos ataques aún no han sido identificados por las empresas de seguridad.
Los diferentes módulos de protección proactiva son capaces de identificar y bloquear los siguientes tipos de ataque:
  • Intentos de acceso a áreas limitadas del sistema.
  • Intento de acceso a objetos protegidos.
  • Intentos de ejecución de procesos desconocidos.
  • Controlar servicios de Windows.
  • Creación de solicitudes DNS sospechosas.
  • Iniciar tráfico TCP saliente sin motivo aparente.
Como ya hemos indicado, Privatefirewall es una herramienta totalmente gratuita (tanto para uso personal como profesional) y libre de todo tipo de software no deseado como barras de navegación, software espía o puertas traseras.
 Los usuarios interesados en probar este excelente cortafuegos pueden descargarlo desde su página web principal. https://www.privacyware.com/personal_firewall.html
Fuente: Redeszone.net

MAN IN THE CLOUD. Nuevo tipo de ataque basado en la nube

El popular ataque Man In The Middle, como todos sabéis, consiste en que el atacante consigue interponerse entre los dos extremos de una comunicación con la finalidad de capturar todos los datos de la víctima e incluso infectarla con malware. Ahora ha nacido un nuevo ataque, Man In The Cloud, que explicamos seguidamente.
El ataque Man In The Cloud consiste en que un cibercriminal consigue tener acceso a los servicios de almacenamiento en la nube como Dropbox y Google Drive, con la finalidad de subir archivos con malware y convertir estos servicios de sincronización de archivos en la nube en un vector de ataque devastador. Debido a que en muchas ocasiones, miembros de una misma organización tienen archivos sincronizados y compartidos con otros compañeros, infectar una sola de las cuentas que pertenecen a la carpeta compartida es fundamental para que este ataque tenga éxito e infecte a todos los miembros.
MITC (Man In The Cloud) no requiere de ningún código malicioso ni de ningún exploit de los servicios de almacenamiento en la nube en particular, sin embargo al utilizar protocolos de sincronización bien conocidos hacen que sea casi imposible distinguir un tráfico malicioso de uno completamente normal. En algunas ocasiones, una vez que una cuenta se ha visto comprometida y que el resto de la red se ha infectado, es complicado recuperar la cuenta comprometida y asegurarse de que está completamente limpia, por lo que en la mayoría de las ocasiones deciden crearse cuentas nuevas.
Según un informe publicado en la BlackHay 2015, hay varios tipos de ataques Man In The Cloud que se utilizan actualmente:
  1. Ataque Quick Double Switch: este tipo de ataque permite al atacante compartir los archivos de la cuenta sincronizada, tener acceso completo a los archivos para infectarlos con código malicioso.
  2. Ataque Persistent Double Switch: Similar al anterior pero además permite al atacante tener control por acceso remoto al equipo de la víctima.
  3. Ataque Single Switch: Permite al atacante acceder a los datos de la víctima, al equipo y ejecutar código malicioso.
Este problema de ataque MITC irá en aumento debido a que una gran mayoría de organizaciones permiten a sus usuarios usar servicios de sincronización de archivos en la nube, de hecho dependen de ellos para realizar su negocio. Es fundamental incorporar nuevos métodos de seguridad en las empresas para detectar el malware en estos nuevos vectores de ataque, y sobre todo eliminarlo antes de que afecte a todos los equipos de la organización a través de la sincronización automática de los servicios de almacenamiento en la nube.
Fuente: Help Net Security

WINDOWS UPDATE . Utilizado para comprometer Windows Server

Unos expertos se han encargado de demostrar que la versión de Windows Update disponible para las versiones de servidores de los sistemas operativos de los Redmond permiten instalar malware.
En esta ocasión habría que exculpar a los de Redmond, ya que el fallo de seguridad que se puede aprovechar se debe a una mala configuración por parte del administrador de los equipos. También hay que decir que a diferencia de los equipos de sobremesa, donde Windows Update conecta de forma directa con los servidores de Microsoft, en los sistemas operativos dedicados a servidores WSUS, que así es como se llama la aplicación, funciona a modo de proxy que conecta el equipo con los servidores.
Si en una configuración anómala esta conexión se hace sin ningún tipo de cifrado, los atacantes podrían introducir malware como si se tratasen de actualizaciones legítimas.
Los expertos encargados de llevar a cabo el estudio han realizado varias pruebas en las que han conseguido de forma satisfactoria instalar aplicaciones no deseadas en Windows Server gracias a esta aplicación. Sin embargo, el ataque no resulta tan sencillo como parece.
El atacante necesita acceso a la red LAN del equipo para explotar este fallo de Windows Update
  • Aunque el fallo es relativamente importante, hay que tener en cuenta que para llevar a cabo el ataque el ciberdelincuente debería encontrarse en la misma red LAN que el equipo que se quiere comprometer o al menos hackear un equipo que se encuentre dentro de esta, algo que no parece complicado teniendo en cuenta la cantidad de amenazas que existen en la actualidad y que se encargan de tomar el control de los equipos y facilitar que los ciberdelincuentes puedan acceder a él de forma remota.
  • Para impedir que se produzca este ataque, la solución es tan sencilla como añadir SSL en la configuración de WSUS.
  • De esta forma se impediría la realización del ataque MitM, añadiendo una firma adicional a los paquetes susceptibles a ser instalados. Esto quiere decir que de no superar este control de seguridad el paquete no llegará al equipo y se abortará la instalación.
  • Los expertos en seguridad afirman que existen una gran cantidad de equipos que se encuentran expuestos por este fallo en la configuración del servicio de actualizaciones.
Fuente: Softpedia

MOZILLA. Firefox 42 no permitirá la instalación de extensiones no firmadas

Primero fue Google la que tomó esta decisión en su navegador y ahora es la fundación Mozilla la que ha optado por lo mismo: no permitir la instalación de extensiones no firmadas. También se ha publicado que esto se hará efectivo con la publicación de Firefox 42.
Esto quiere decir que solo las que se encuentren disponibles en la tienda del navegador web podrán instalarse sin ningún tipo de problema. Para crear el listado de extensiones autorizadas la fundación implementará un sistema de verificación de las mismas, el cual funcionará de forma totalmente autónoma. Sin embargo, desde Mozilla también han puntualizado que existirá un grupo reducido de personas que revisen casos puntuales en los que el sistema autónomo detecte la presencia de alguna anomalía o bien de un falso positivo en lo referido a malware.
Si echamos la vista atrás, a comienzos de año desde la fundación mostraron cierto interés en la implementación de este sistema, sin embargo, en ese momento no aportaron ninguna fecha. Sabiendo que su implementación ya está en marcha y que Firefox 42 ya se encuentra dentro de una de sus fases beta, ahora solo falta conocer cuándo será el lanzamiento oficial de esta.
Nuevos mecanismos para firmar las extensiones
  • Desde la fundación Mozilla afirman que quieren preservar el ecosistema formado entorno al navegador web de extensiones maliciosas creadas para infectar los equipos de los usuario o realizar el robo de información, algo que ya ha sucedido en Google Chrome y que precipitó la decisión del Gigante de Internet de solo admitir aplicaciones firmadas y presentes en su tienda.
  • Teniendo en cuenta que existen extensiones públicas y otras que solo se utilizan de forma privada, la fundación pondrá a disposición de los usuarios dos métodos de firmado. Una vez que la extensión pase los controles detallados con anterioridad, el propietario podrá realizar su publicación si se trata de una extensión pública.
  • Mozilla añade que todas aquellas que ya se encuentran en el repositorio de su navegador web se irán firmando de forma paulatina, pasando previamente el nuevo control de seguridad para descartar que alguna con código malicioso haya esquivado el sistema de verificación existente hasta el momento.
Fuente:  ADSLZone