3 de octubre de 2015

WINDOWS 7 . Actualización sospechosa enciende todas las alarmas de investigadores de seguridad

Todos los sistemas operativos Windows reciben actualizaciones constantes durante su vida útil a través de la plataforma Windows Update. Salvo con el nuevo Windows 10, que las actualizaciones de seguridad se liberan tan pronto como estén disponibles, el resto de sistemas operativo acostumbran a recibir los parches de seguridad los segundos martes de cada mes, por lo que la llegada de un boletín de seguridad antes de tiempo puede levantar sospechas entre los usuarios e investigadores de seguridad.
Windows Update es una plataforma muy interesante para los piratas informáticos. Poder controlarla y distribuir falsos parches de seguridad permitiría a estos piratas controlar la mayor parte de los ordenadores de todo el mundo conectados a Internet, infectándolos de malware y accediendo a todos sus datos.
Hace algunas horas los foros de Microsoft se encendían con comentarios, preguntas y sospechas sobre una actualización extraña para Windows 7 que había empezado a distribuirse a través del gestor de actualizaciones Windows Update. Esta actualización, de poco más de 4.3 Megabytes, incluía un nombre largo y aleatorio y apuntaba a webs con dominios como .mil .gov y .edu tanto para más información como para soporte.
Debido a estos dominios extraños, otra de las sospechas que se levantaron es que algún organismo gubernamental pudiera comprometer la seguridad del sistema operativo y empezar a distribuir una puerta trasera o un software espía en el sistema operativo más utilizado a nivel mundial. Finalmente, tras varias discusiones, Microsoft aclaró el asunto.
La actualización permaneció publicada varios minutos, suficiente para que miles de usuarios la descargaran e instalaran en sus equipos. Igualmente, muchos usuarios reportaron que dicha actualización generaba un error al instalarse.
Este parche de seguridad importante para Windows 7 ha sido publicado por error
  • Por suerte ni Microsoft, ni Windows 7, ni Windows Update han sido comprometidos por piratas informáticos ni por organismos gubernamentales. Esta actualización sospechosa no ha sido más que un parche publicado por error que aún se encontraba en fase de pruebas.
  • Los usuarios de Windows 7 que hayan instalado este falso parche de seguridad importante no tienen por qué preocuparse, ya que no perjudica ni la seguridad ni el rendimiento del sistema y, una vez se finalice su desarrollo (probablemente para el día 13 de octubre) se actualizará automáticamente a la versión finalizada del mismo.
  • Windows Update es una plataforma muy útil, práctica, pero también vulnerable. Varias investigaciones han demostrado debilidades en esta plataforma muy complicadas de solucionar y que pueden comprometer la seguridad y privacidad de ordenadores y servidores que ejecutan los sistemas operativos de Microsoft. Esto genera desconfianza por parte de los usuarios al mismo tiempo que prefieren desactivar y mantener sus sistemas desactualizados antes que confiar en los parches que reciben a través del servicio de Windows Update.
Fuente: Kaspersky Labs

VMWARE. Múltiples vulnerabilidades en algunos de sus productos

Se ha alertado de múltiples vulnerabilidades en varios productos de VMware que permiten ejecución remota de código o denegación de servicio, catologadas de Importancia: 5 - Crítica
Recursos afectados
1.   Están afectados los siguientes productos:
2.   VMware ESXi 5.5 sin el parche ESXi550-201509101
3.   VMware ESXi 5.1 sin el parche ESXi510-201510101
4.   VMware ESXi 5.0 sin el parche ESXi500-201510101
5.   VMware vCenter Server 6.0 anterior a la version 6.0 actualización 1
6.   VMware vCenter Server 5.5 anterior a la version 5.5 actualización 3
7.   VMware vCenter Server 5.1 anterior a la version 5.1 actualización u3b
8.   VMware vCenter Server 5.0 anterior a la version 5.u actualización u3e
Recomendación
VMware ha publicado actualizaciones que solucionan las vulnerabilidades:
Detalle e impacto de las vulnerabilidades
Ejecución remota de código en VMware ESXi OpenSLP:

  •  VMware ESXi contiene un fallo en la función SLPDProcessMessage() de OpenSLP. Ello puede permitir la ejecución remota de código. Se le ha asignado a esta vulnerabilidad el identificador CVE-2015-2342.
Ejecución remota de código en VMware vCenter Server JMX RMI:

  •  Un atacante no autenticado pero que disponga de conexión al servicio, puede ejecutar remotamente código en el servidor JMX RMI. Se le ha asignado a esta vulnerabilidad elidentificador CVE-2015-2342.
Denegación de servicio en VMware vCenter Server vpxd:

  •  VMware vCenter no procesa adecuadamente mensajes largos de Heartbeat, pudiendo provocar una denegación de servicio en el servicio vpxd. Se le ha asignado a esta vulnerabilidad elidentificador CVE-2015-1047.
Más información
Fuente: INCIBE

INFANCIA. Las aplicaciones y plataformas infantiles suponen un peligro para los menores

Los menores cada vez empiezan antes a utilizar las nuevas tecnologías. Los teléfonos móviles, las tablets e incluso un ordenador pueden ser muy útiles en su desarrollo si se utilizan correctamente, sin embargo, también pueden suponer un peligro si no se aplican las medidas de seguridad adecuadas para la correcta protección de los más pequeños, y es que estos son sin duda el público más vulnerable y a la vez el más atacado por piratas informáticos y, por desgracia, por empresas privadas
Aunque cuando hablamos de amenazas informáticas generalmente solemos pensar en piratas informáticos, estas no son las únicas. La información se ha vuelto en algo muy valioso tanto para usuarios como para empresas privadas que constantemente están buscando la mejor forma de recopilar la mayor cantidad de información posible de todo tipo de usuarios, entre ellos, de los menores.
Según un reciente estudio de las principales agencias de protección de datos de varios países de todo el mundo, entre ellas de Estados Unidos y varios países de Europa, las aplicaciones y plataformas desarrolladas para los más pequeños generalmente suponen un gran riesgo para la privacidad de estos ya que constantemente recopilan información sobre su actividad y, posteriormente, no la tratan y protegen correctamente.
1.500 aplicaciones, plataformas y páginas web analizadas (el 41% del total) han levantado serias preocupaciones para estas agencias de protección de datos. Aún más empresas (el 67% de todas las aplicaciones y plataformas analizadas) recopilan datos personales de los usuarios como nombres, direcciones y correos electrónicos que, teniendo en cuenta que se trata de menores de edad, puede suponer un grave problema para la privacidad digital del menor e incluso para su seguridad real. Un aspecto muy preocupante también es que más de la mitad de estas plataformas comparten (o venden) datos con terceras empresas privadas, especialmente del sector publicitario.
Algunas aplicaciones ofrecen a los menores la posibilidad de introducir un número de teléfono e incluso posibilidad de compartir fotos y vídeos tanto con las propias empresas como con otros usuarios, desconocidos, ocultos en la red. Esto es sin duda lo más preocupante ya que va “más allá” del texto al recopilar ya contenidos multimedia asociados directamente a un menor concreto.
Este estudio demuestra que la mayor parte de las aplicaciones y plataformas no disponen de las medidas necesarias para limitar la recolección de datos de menores y que a la hora de venderlos es indiferente que se vendan datos de adultos que han aceptado compartir sus datos con estas empresas en los términos de licencia o que también se compartan datos de menores de edad que, en ocasiones, no llegan ni a la adolescencia.
Cada vez es más complicado evitar que los menores utilicen las nuevas tecnologías y protegerlos durante su uso, por lo que lo único que podemos hacer para evitar que tanto empresas privadas como terceras personas comprometan la privacidad y seguridad de los más pequeños es empezar educándolos para un “uso seguro” de estas tecnologías. También debemos controlar la actividad de los pequeños y las aplicaciones y plataformas que utilizan, evitando y prohibiendo así el uso de todas aquellas que puedan resultar peligrosas para la privacidad.
Fuente: Panda Security

MASTERCARD. Ensaya pagos con biometría facial mediante “selfies”

MasterCard se encuentra trabajando de forma pionera en el uso de “selfies” o huellas digitales para hacer pagos online, a través del lanzamiento de diferentes programas de prueba en Europa y Estados Unidos.
Desde agosto, los tarjetahabientes de los países que funcionan bajo el International Card Services (ICS) B.V y ABN AMRO tienen la opción de probar esta tecnología hasta fines de noviembre.
Paralelamente, la empresa está haciendo pruebas junto a los empleados de First Tech Federal Credit Union en Estados Unidos.
Usando autenticación biométrica, es decir, el uso de una característica personal como el reconocimiento facial o de huellas digitales para verificar la identidad de un tarjeta habiente, MasterCard asegura estar contribuyendo a habilitar pagos no sólo más rápidos, sino más simples y seguros.
“Esta tecnología podría ayudar a reemplazar la necesidad de recordar y tipear contraseñas cuando las personas están comprando online. En vez de eso, los consumidores podrían tener la opción de simplemente pestañear hacia la cámara de sus teléfonos inteligentes, o usar su huella digital para autenticar las transacciones”, escribe la empresa en un comunicado.
“Las contraseñas son un problema” señaló Ajay Bhalla, Presidente de Enterprise Security Solutions,en MasterCard. “Son muy fáciles de olvidar, nos hacen perder el tiempo y además no son completamente seguras. La biometría está hacienda de las transacciones online algo más seguro y simple, como lo son hoy las compras en persona”, agregó el ejecutivo.
Fuente: Diarioti.com

BOTNET. Que opera con Linux generadora de tremendo ataque DDoS

 La botnet XOR DDoS lanza 20 ataques al día desde máquinas Linux comprometidas, a razón de 150 Gbps.
Ataques de Denegación de Servicio XOR DDoS
  • La investigación del SIRT de Akamai demostró que el ancho de banda de los ataques DDoS procedentes del botnet XOR DDoS abarcó desde Gbps de un solo dígito hasta 150+ Gbps – lo que es un tamaño de ataque extremadamente grande. El objetivo más frecuente fue el sector de los juegos, seguido por las instituciones educativas. El botnet ataca hasta 20 objetivos al día, un 90% de los cuales tuvo lugar en Asia. De los ataques DDoS procedentes del botnet XOR DDoS que Akamai ha mitigado, se describen en esta advertencia de amenaza varios ejemplos documentados los 22-23 de agosto. Uno de los ataques alcanzó casi 179 Gbps, y el otro casi 109 Gpbs. Se observaron dos vectores de ataques: inundaciones SYN y DNS.
  • La dirección IP a veces es falsa, pero no siempre. Los ataques observados en las campañas DDoS contra los clientes de Akamai fueron una mezcla de tráfico de ataques falso y no falso. Las direcciones IP falsas se generan de manera que parecen proceder del mismo espacio de /24 o /16 direcciones como el host infectado. Una técnica de “spoofing” donde solo el tercer o cuarto octeto de la dirección IP es alterada se utiliza para impedir que los ISPs (Proveedores de Servicios de Internet) bloqueen el tráfico falso en redes protegidas por uRPF (Unicast Reverse Path Forwarding).
Mitigación de DDoS de ataques XOR DDoS
  • Se observaron características estáticas identificables, incluyendo el valor TTL inicial, el tamaño de ventana TCP, y las opciones de cabecera TCP. Firmas de carga como éstas pueden ayudar a la mitigación de DDoS. Están disponibles en la advertencia de amenaza. Además, se suministran los filtros tcpdump para igualar el tráfico de ataques de inundaciones generado por este botnet.
Cómo detectar y eliminar el malware XOR DDoS
  • La presencia de XOR DDoS puede detectarse de dos maneras. Para detectar este botnet en una red, hay que buscar las comunicaciones entre un bot y su C2 utilizando una regla Snort que se proporciona en la advertencia. Para detectar la infección de este malware en un host Linux, la advertencia incluye una regla YARA que empareja los patrones de cadenas de caracteres observados en el binario.
  • XOR DDoS es persistente – ejecuta procesos que reinstalarán los ficheros maliciosos si se borran. Por lo tanto, eliminar el malware XOR DDoS es un proceso que consta de cuatro pasos para los cuales se proporcionan varios scripts en la advertencia:
  1. Identificar los ficheros maliciosos en dos directorios.
  2.  Identificar los procesos que fomentan la persistencia del proceso principal.
  3. Matar los procesos maliciosos.
  4. Borrar los ficheros maliciosos.
Akamai sigue monitorizando las continuas campañas que emplean XOR DDoS para lanzar ataques DDoS.
Más información
  • Sobre la amenaza, la eliminación del malware y las técnicas de mitigación de DDoS, descargue copia de advertencia de amenaza desde  www.stateoftheinternet.com/xorddos
Fuente: Help Net Security

KASPERSKY. Múltiples vulnerabilidades en algunos productos

Se han anunciado múltiples vulnerabilidades en diferentes productos Kaspersky que podrían permitir a un atacante tomar el control de los sistemas afectados.
 Las vulnerabilidades se deben a múltiples desbordamientos de búfer y de entero en el tratamiento de archivos comprimidos, que podrían permitir ejecutar código arbitrario con permisos del sistema. Algunos de los problemas ya resueltos por Kaspersky incluyen vulnerabilidades al tratar archivos Android DEX y documentos Microsoft CHM al descomprimir formatos UPX y Yoda Protector.
 El problema fue reportado por Tavis Ormandy de Google Project Zero que confirma que debido a que los productos antivirus interceptan el tráfico de red y el sistema de archivos, bastaba con visitar un sitio web o recibir un archivo de correo para explotar la vulnerabilidad. Sin llegar a ser necesario abrir o leer el correo malicioso.
 También confirma que muchas vulnerabilidades están aun sin corregir, aunque reconoce el trabajo de Kaspersky por solucionar y resolver los problemas que reportaron.
"Many of the reports I’ve filed are still unfixed, but Kaspersky has made enough progress […] and I’m happy to report that Kaspersky are rolling out some improved mitigations to resolve that."
 Los productos afectados son:
  • Kaspersky Internet Security 2015
  • Kaspersky Endpoint Security 10 SP1MR1
  • Kaspersky Total Security 2015
  • Kaspersky Security for Virtualization 3.0
Kaspersky distribuyó la corrección a través de los módulos de autoactualización el pasado 13 de septiembre. Aunque como se señala en el aviso de Google aun hay vulnerabilidades por corregir.
Más información:
Fuente: Hispasec

APPLE. Lanza OS X ( El Capitan 10.11 ), iOS 9.0.2 y Safari 9

Apple ha publicado nuevas versiones de varios de sus productos más destacados. Destaca la publicación de una nueva versión de OS X (10.11 El Capitan) y Safari 9; junto con una actualización menor de iOS. Estas nuevas versiones solucionan un total de 147 vulnerabilidades.
 Breve repaso de las actualizaciones publicadas y problemas solucionados
  •  Se ha publicado OS X El Capitan 10.11, la última y esperada versión de OS X, que como suele ser habitual incluye interesantes novedades, así como mejoras de rendimiento y estabilidad del sistema. Además incluye la corrección de hasta 101 nuevas vulnerabilidades.
  •  Las vulnerabilidades corregidas afectan a múltiples componentes: Address Book, AirScan, apache_mod_php, Apple Online Store Kit, AppleEvents, Audio, bash, Certificate Trust Policy, CFNetwork  Cookies, CFNetwork FTPProtocol, CFNetwork Proxies, CFNetwork SSL, CoreCrypto, CoreText, Dev Tools, Disk Images, dyld, EFI, Finder, Game Center, Heimdal, ICU, Install Framework Legacy, Intel Graphics Driver, IOAudioFamily, IOGraphics, IOHIDFamily, IOStorageFamily, Kernel, libc, libpthread, libxpc, Login Window, lukemftpd, Mail, Multipeer Connectivity, NetworkExtension, Notes, OpenSSH, OpenSSL, procmail, remote_cmds, removefile, Ruby, Security, SMB, SQLite, Telephony, Terminal, tidy y Time Machine.
  •  Las actualizaciones también han llegado a Safari, el popular navegador web de Apple, que se actualiza a la versión 9 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11. Se solucionan 45 vulnerabilidades, la mayoría relacionadas con problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. Y podrían ser aprovechadas por un atacante remoto para provocar condiciones de denegación de servicio o ejecutar código arbitrario al visitar una página web específicamente creada.
  •  Por último, iOS se actualiza a la versión 9.0.2 que incluye la corrección de diversos problemas no relacionados directamente con la seguridad y soluciona una nueva vulnerabilidad. El problema corregido podría permitir a una persona con acceso físico al dispositivo acceder a las fotos y contactos desde la pantalla bloqueada.
Más información:
Fuente: Hispasec

MCAFEE . Cross-Site Request Forgery en McAfee Vulnerability Manager 7.5

McAfee ha publicado una alerta de seguridad para informar de una vulnerabilidad que afecta a su producto Vulnerability Manager. Esta vulnerabilidad podría permitir a un atacante remoto llevar a cabo ataques Cross-Site Request Forgery.
 McAfee Vulnerability Manager es una herramienta de seguridad que ofrece evaluación de vulnerabilidades, pruebas de penetración, análisis de aplicaciones web y detección de dispositivos no fiables presentes en la red tales como smartphones, tabletas, portátiles, e incluso dispositivos ocultos.
 La vulnerabilidad se debe a la inadecuada comprobación en la página de peticiones en la página "Organizations" del Enterprise Manager, que podrían conducir a ataques Cross-Site Request Forgery (CSRF). Este tipo de vulnerabilidades permiten a un atacante ejecutar funcionalidades de una web determinada a través de la sesión de otro usuario en esa web. De esta forma un atacante podría tener acceso al servidor con los mismos permisos que el usuario atacado, por ejemplo un administrador.
Recursos afectados
  • Se encuentran afectadas las versiones de McAfee Vulnerability Manager 7.5.9 (y anteriores).
Recomendación
Más información:
Fuente: Hispasec

STAGEFRIGHT 2.0. El peligro continúa en dispositivos Android

 Como continuación de las vulnerabilidades de la librería Stagefright, el reconocido investigador Joshua J. Drake (@jduck) de la empresa Zimperium, vuelve a presentar un nuevo conjunto de vulnerabilidades  
 Las nuevas vulnerabilidades, también residen en la librería Stagefright, por lo que de forma imaginativa han quedado bautizadas como Stagefright 2.0. Un conjunto de dos vulnerabilidades que se presentan al tratar archivos de audio MP3 o vídeo MP4 específicamente creados.
 La primera vulnerabilidad, (en libutils) afecta prácticamente a todos los Android desde la versión 1.0 publicada en 2008. Empleando la segunda vulnerabilidad (en libstagefright) han encontrado métodos para aprovechar la vulnerabilidad de forma exitosa en dispositivos con Android 5.0 y posteriores,
 Al contrario que el anterior ataque de Stagefright, que requería el envío de un MMS ahora el atacante basta con dirigir a la víctima a un sitio web que contenga el archivo multimedia malicioso. Lo peor es que el usuario ni siquiera necesitará abrir el archivo para verse afectado.
 "La vulnerabilidad reside en el tratamiento de los metadatos del los archivos, por lo que simplemente la vista previa de una canción o video provocaría la vulnerabilidad". ("The vulnerability lies in the processing of metadata within the files, so merely previewing the song or video would trigger the issue").
 Al igual que con el caso anterior, el anuncio se ha reportado de forma responsable. Drake y compañía han coordinado esfuerzos para que el equipo de Google corrija los fallos y estos estén a disposición de los fabricantes. El problema fue notificado al Equipo de Seguridad de Android el pasado 15 de agosto. Google respondió rápidamente y actuaron para corregir el problema.
 Se ha asignado el CVE-2015-6602 al primer problema, sin embargo la segunda vulnerabilidad aun no tiene código CVE asignado. El equipo de Zimperium confirma que Google distribuirá la solución a estas vulnerabilidades en el próximo boletín de seguridad de Nexus que se publicará la semana que viene.
Más información:
Fuente: Hispasec

SHADE. Nuevo troyano que cifra los archivos de los equipos infectados

Los troyanos que cifran los archivos de los equipos infectados se han convertido en una constante y son una de las amenazas más utilizadas por los ciberdleincuentes para estafar a los usuarios, o en su defecto provocar que este pierda información que en muchos casos puede resultar valiosa. En esta ocasión, expertos en seguridad han detectado la distribución del malware Shade.
Los datos que se cifran utilizando RSA y obteniendo archivos con extensiones .xtbl y .ytbl, siendo completamente imposible abrirlos con los programas que habitualmente se utilizaban. Los expertos en seguridad de Kaspersky han optado por otorgar este nombre a dos troyanos conocidos con anterioridad con el nombre de Cryakl y Scatter, dos amenazas que vieron su luz a comienzos del año 2014 y que tiene su origen en Rusia, al igual que la inmensa mayoría de amenazas que surgen en la actualidad, fomentado sobre todo por la escasa persecución existente en este país.
Esta amenaza se distribuye sobre todo haciendo uso de correos electrónicos con archivos adjuntos infectados que en realidad son el instalador del troyano. Algunos ejemplos encontrados de nombres de archivos que utilizan los ciberdelincuentes son los siguientes:
  1. doc_para firmar.com
  2. doc_para firmar.rar
  3. documentos_589965465_documentos.com
  4. documentos_589965465_documentos.rar
  5. documentos_589965465_doc.scr
  6. doc_para firmar.rar
  7. no confirmado 308853.scr
  8. documentos para firmar 05.08.2015.scr.exe
  9. acta de comprobación del 17082015.scr
Tal y como se puede observar todos hacen mención a documentos que el usuario debe abrir por alguna razón, describiendo estos en el cuerpo de mensaje como importantes, pero hay que tener en cuenta los posibles nombres que puede tomar el fichero.
Desde Kaspersky informan que se ha detectado que existen ciertos sitios web que también distribuyen la amenaza haciendo uso de exploits y aprovechando vulnerabilidades existentes en el navegador o alguno de los complementos que se ejecutan.
Shade elige qué archivos cifra
  • De la misma forma que el nombre del archivo ejecutable que distribuye la amenaza no es el mismo, el troyano tampoco cifra el mismo tipo de archivos y elige cuáles son los elegidos en función a una lista de extensiones que posee. Una vez se ha realizado la acción, todo esto en segundo plano y sin que el usuario sea consciente, este procede a modificar el fondo de escritorio e informa al usuario mediante dos archivos .txt creados en el escritorio de que el equipo está infectado y que deberá abonar una cantidad de dinero para recuperar el acceso a los datos que se encuentran bajo el cifrado.
  • Tal y como suele ser habitual, no recomendamos realizar el pago y es mejor recurrir a una copia de seguridad o bien restaurar el sistema operativo Windows a un estado anterior.
Fuente: Viruslist

MAC OS X. Detectado un nuevo virus para esta plataforma

Encontrar un malware que afecte al sistema operativo Mac OS X no resulta sencillo. Sin embargo, expertos en seguridad han detectado en Internet una nueva amenaza conocida como Adware.Mac.WeDownload que afecta a los equipos con este sistema operativo y sirve como puente para la llegada de más virus informáticos.
Aunque parezca mentira nos vemos obligados a hablar de Adobe Flash Player en una ocasión más. Sin embargo, los usuarios no sufren esta infección por una vulnerabilidad existente en este software, sino porque los ciberdelincuentes han utilizado una versión de esta aplicación para empaquetar malware en su interior. De esta forma, cuando el usuario realice su descarga y su ejecución, mientras se está instalando el software de Adobe también se realiza la del virus informático adjunto.
Para pasar desapercibida los ciberdelincuentes han firmado el paquete con Simon Max (GW6F4C87KX), un id de desarrollador que en la actualidad aún está activo.
Una vez que el malware se ha instalado de forma correcta en el equipo, este entabla comunicaciones con un servidor de control remoto con la finalidad de obtener más virus informáticos que se instalarán en el equipo.
El equipos Mac OS X pueden sufrir la infección de hasta 4 piezas de malware adicionales

  • Los expertos en seguridad han realizado el análisis de una de las copias de esta amenaza y han detectado que en realidad solo sirve como puente para la llegada de troyanos al equipo.
  • Algunos de estos son ampliamente conocidos por los usuarios y poseen funciones muy específicas, sobre todo relacionadas con el robo de información de los usuarios.
Este es el listado de amenazas que pueden llegar al equipo de los usuarios:
  1. Program.Unwanted.MacKeeper
  2. Mac.Trojan.Crossrider
  3. Mac.Trojan.Genieo
  4. Mac.BackDoor.OpinionSpy
Lo que aún no está del todo claro es en qué páginas se está distribuyendo la copia modificada del software de Adobe, pero todo parece indicar que en función de la localización geográfica se distribuye unas u otras amenazas, incorporando al ataque ingeniería social.
¿Cómo combatir este tipo de ataques?
  • La mejor forma de hacer frente a estas amenazas es utilizar el sentido común y no obtener software gratuito desde páginas de terceros, ya que puede suceder que este se haya modificado. Siempre es recomendable recurrir a la página del desarrollador para evitar este tipo de problemas, no siendo necesario recurrir a una herramienta de seguridad.
Fuente:Softpedia

VULNERABILIDAD. De autenticación RSA en la implementación SSHv2 de Cisco IOS e IOS XE

 Una vulnerabilidad en Cisco IOS e IOS XE permite a un atacante remoto no autenticado sortear la autenticación basada en RSA del protocolo SSHv2, y obtener acceso con los privilegios configurados para la línea Virtual Teletype (VTY), catalogada de Importancia: 5 - Crítica
Recursos afectados
Cisco IOS
Cisco IOS XE
  • Cisco IOS XE 3.6E
  • Cisco IOS XE 3.7E
  • Cisco IOS XE 3.10S hasta 3.14S
Detalle e Impacto de la vulnerabilidad
  • Debido a una implementación incorrecta en la autenticación RSA del protocolo SSHv2, es posible loguearse en el sistema utilizando una clave privada manipulada.
  •  El atacante debe conocer un nombre de usuario válido para la autenticación RSA y su clave pública.
  • Se ha asignado el identificador CVE-2015-6280 a esta vulnerabilidad.
Recomendación

Más información
Fuente: INCIBE

VULNERABILIDAD. Denegaciones de Servicio en Cisco IOS e IOS XE

Se han descubierto varias vulnerabilidades de denegación de servicio en el software Cisco IOS e IOS XE, catalogada de Importancia: 4 - Alta
Recursos afectados
Puede consultar las versiones afectadas en los siguientes enlaces:
Detalle e Impacto de la vulnerabilidad
Denegación de servicio IPv6 Snooping
  • Debido a una validación insuficiente de los paquetes ND IPv6 que utilizan Direcciones Generadas Criptográficamente (CGA), un atacante puede enviar paquetes malformados y causar la recarga del dispositivo si este tiene activado IPv6 Snooping.
  • Se ha asignado el identificador CVE-2015-6279 a esta vulnerabilidad
Denegación de servicio IPv6 Snooping Secure Network Discovery
  • Debido a un insuficiente CPPr (Control Plane Protection) para algunos paquetes ND IPv6 concretos, un atacante puede provocar una saturación de tráfico enviando paquetes ND IPv6 específicos a un dispositivo con IPv6 Snopoping activado.
  • Se ha asignado el identificador CVE-2015-6278 a esta vulnerabilidad
Denegación de servicio en NAT
  • Debido a un procesamiento incorrecto de paquetes IPv4 que requieren NAT y MPLS, un atacante puede causar una recarga del dispositivo afectado.
  • Se ha asignado el identificador CVE-2015-6282 a esta vulnerabilidad
Recomendación
Puede consultar las solución para cada versión específica en los siguientes enlaces:
Más información
Fuente: INCIBE

APPLE. Nueva versión del sistema operativo para el Apple Watch

Cuando apenas lleva unos meses en el mercado Apple ha publicado una nueva versión del sistema operativo WatchOS 2, destinado a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 39 vulnerabilidades.
 Esta nueva versión WatchOS 2 también incluye múltiples mejoras y funciones, más esferas, aplicaciones más avanzadas y rápidas, y mejores opciones de comunicación.
 Las vulnerabilidades podrían tener muy diversos efectos entre otros podrían permitir a un atacante interceptar conexiones cifradas SSL/TLS, rastrear la actividad del usuario, obtener la clave privada, la ejecución de código arbitrario al tratar un texto o una fuente maliciosamente creada o la ejecución de código arbitrario de múltiples formas.
Los problemas corregidos afectan a Apple Pay, Audio, Certificate Trust Policy, CFNetwork, CoreCrypto, CoreText, Data Detectors Engine, Dev Tools, Disk Images, dyld, GasGauge, ICU, IOAcceleratorFamily, IOKit, IOMobileFrameBuffer, IOStorageFamily, Kernel, Libpthread, PluginKit, removefile, SQLite y tidy.
 Esta actualización se debe instalar a través del iPhone. El reloj tiene que tener al menos un 50% de la batería cargada y estar conectado al cargador. Conectar el iPhone a la WiFi y mantenerlo cerca del reloj durante la actualización. En el iPhone, se debe abrir la aplicación Apple Watch y abrir Mi reloj > General > Actualización de software.
Más información:
Fuente: Hispasec

ANDROID. Nuevo malware para esta plataforma roba dinero y oculta los mensajes SMS

El último malware detectado afecta a los usuarios de dispositivos Android y se encarga de robar dinero de las cuentas de estos existentes en entidades bancarias aprovechando las aplicaciones instaladas en los terminales.
Los expertos en seguridad han bautizado a esta nueva amenaza como Android.SmsBot.459.origin y esta llega al dispositivo móvil mediante un mensaje SMS spam. En este mensaje el usuario en algunas ocasiones puede ver el modelo de su terminal móvil, dando mucho más realismo al contenido del mismo. Además de esto, el usuario se encuentra con un enlace desde el cual podrá descargar un archivo .apk.
La descripción de la aplicación es bastante variada y los ciberdelincuentes no dudan en recurrir al ingenio para provocar que el usuario descargue el instalador del troyano. Los expertos en seguridad recomiendan que si se detecta la descarga de un archivo .apk al acceder a alguna página web lo mejor es no realizar su ejecución, ya que de esta forma estaríamos evitando que el malware infecte nuestro equipo Android.
Sin embargo, si el troyano consigue llegar al dispositivo las consecuencias serán nefastas para el usuario.
Para robar el dinero la aplicación solicitará permisos de administrador
  • Si el usuario opta por realizar su ejecución se encontrará durante el proceso de instalación con una sorpresa: esta solicita permisos de administrador. Se trata de algo que no tiene mucho sentido si estamos hablando de un videojuego, una aplicación de compras en línea o cualquier otra. Sin embargo, es algo que muchos usuarios pasan por alto y permiten que la instalación continúe sin conocer las consecuencias.
Un malware que en origen estaba diseñado para atacar a los usuarios de entidades rusas
  • Diferentes empresas de seguridad puntualizan que esta amenaza no es nueva, y que desde hace varios meses se estaba distribuyendo entre los usuarios rusos. Sin embargo, ya sabemos lo que sucede en la mayoría de los casos: durante varios meses el malware se distribuye entre los usuarios que son objetivo y cuando estos ya no reportan sufientes beneficios pasa a distribuirse a nivel mundial. En este caso, varios países europeos y Estados Unidos han sido los nuevos objetivos de los ciberdelincuentes.
Ocultar los SMS de las transacciones bancarias para evitar que el usuario se percate
  • Para evitar levantar sospechas y ocultar la actividad del malware, los ciberdelincuentes han desarrollado un troyano que es capaz de ocultar los mensajes de texto. De esta forma, al realizar una transacción bancaria estos podrán recibir el mensaje de texto con el código de autorización de la operación sin que el usuario se de cuenta de lo que está sucediendo.
Fuente: Softpedia

FACEBOOK. El botón “No me gusta” sirve a los ciberdelincuentes para distribuir un scam

Los ciberdelincuentes aprovechan cualquier oportunidad para distribuir estafas y ahora se han ayudado del anuncio del botón “No me gusta” de Facebook para distribuir una campaña scam.
En esta ocasión los ciberdelincuentes han dado totalmente en el clavo, ya que los usuarios están deseando disponer de esta nueva función para juzgar los contenidos del resto de usuarios.  En esta ocasión, se está jugando con la posibilidad de disponer de la funcionalidad mucho antes que el resto de usuarios con solo acceder a un enlace que se está ofreciendo en los tablones de la red social. Teniendo en cuenta que son muchos los usuarios que han compartido ya este contenido, el scam se ha corrido como la pólvora.
Para recibir esta funcionalidad los usuarios deben participar en un sorteo en el que están repartiendo invitaciones y compartir el contenido en su tablón para que de esta forma exista una mayor repercusión.
La función “No me gusta” antres de estrenarse de forma oficial sirve para robar datos de los usuarios, al menos de momento
Al finalizar el proceso, el usuario debe introducir algunos datos referentes a su cuenta, entre los que se encuentran las credenciales de acceso, cuenta de correo electrónico o el número de teléfono. Se trata de una maniobra redonda para los ciberdelincuentes, ya que muchos usuarios ofrecerán esta información y sus cuentas se encontrarán en peligro, pudiendo ser secuestradas por estos.
Desde Facebook ya han tomado cartas en el asunto y han procedido a eliminar muchas de estas publicaciones de los tablones para evitar que el número de usuarios en riesgo siga creciendo. Sin embargo, lo que no pueden hacer nada es por aquellos que han caído en el engaño y han proporcionado su datos en una página falsa. A la hora de cuantificar estos, nos vamos hasta más 100.000 usuarios, una cifra que podría aumentar aún más en las próximas horas.
Si has picado lo mejor es cambiar la contraseña
  • En el caso de haber caído en el engaño la mejor medida que se puede adoptar es cambiar la contraseña de la cuenta de la red social Facebook y de todos aquellos servicios donde sea la misma, por ejemplo servicios de mensajería o de correo electrónico, evitando de esta forma que los ciberdelincuentes puedan apoderarse de ellas e impedir tu acceso.
Fuente: MalwareTips

KOVTER . El malware que pasa a alojarse en el registro de Windows

Kovter es una amenaza que no es una novedad pero tal y como sucede en muchos casos es después de varios meses cuando alcanza su mayor tasa de infección.
El problema al que tienen que hacer frente los ciberdelincuentes es que hasta el momento la mayoría de las amenazas residen en el sistema de archivos, provocando que los usuarios puedan eliminar los archivos de una forma relativamente sencilla, ya que solo necesitan conocer la ruta en la que estos se encuentran y así neutralizar la amenaza. Aunque no resulte algo nuevo, los propietarios del virus informático que nos ocupa se han percatado de que esto es un problema y han modificado la forma en la este persiste en el sistema, pasando a alojarse en el registro del sistema operativo.
Sin lugar a dudas esta es una de las amenazas que más ha cambiado desde su aparición, adoptándose a las nuevas formas de infección y adquiriendo las funciones demandas por los ciberdelincuentes.
Hay que recordar que Kaspersky detectó la versión 2.0.3 de esta amenaza el pasado mes de mayo y que la primera vez que se dejó ver en Internet fue a principios de año a través de anuncios que dirigían a los usuarios a páginas web que distribuían la amenaza.
Por el momento los ciberdelincuentes no aprovechan el potencial de Kovter
  • Expertos en seguridad de Symantec han concretado que a la forma de difusión anterior hay que añadir también que en la actualidad se está utilizando el envío de correos electrónicos con un adjunto que es el instalador de esta amenaza. Afirman también que por el momento desconocen los motivos que llevan a los ciberdelincuentes a desaprovechar el potencial de esta amenaza, centrándose únicamente el robo de credenciales a través de páginas falsas.
  • Para evitar que el malware sea eliminado con suma facilidad del sistemas los ciberdelincuentes han tomado la decisión de que este persista en el registro de Windows. De esta forma el virus posee toda la información necesaria al alcance y si se realiza algún cambio en el sistema la adaptación puede ser mucho más sencilla, además de que la detección es mucho más complicada.
Las infecciones muy repartidas entre los países
  • Por el momento no existe un país que aglutine la mayoría de las infecciones, aunque sí que es verdad que Estados Unidos se lleva de momento la palma. Algunos países de Europa no se quedan atrás y muestran un número de infecciones bastante importante, como por ejemplo Alemania, Francia, Polonia o incluso España. La amenaza también ha llegado a Asia y Oceanía pero en menor medida.
  • Añadir que todos aquellos usuarios que estén afectados por la amenaza tienen a su disposición una herramienta desarrollada por Symantec que permite eliminar esta con suma facilidad.
Fuente: Softpedia

NVIDIA. Elevación de privilegios a través de los drivers

NVIDIA ha publicado un boletín de seguridad que soluciona una vulnerabilidad en sus controladores gráficos que podría permitir una elevación de privilegios.
 La vulnerabilidad se debe a un error de falta de comprobación que podría causar una corrupción de la memoria del kernel. Un usuario local sin privilegios podría utilizar una llamada IOCTL (llamada de sistema que permite a una aplicación controlar o comunicarse con un driver de dispositivo) para escribir un valor entero de 32 bits almacenado en el controlador del núcleo a una posición de memoria especificada por el usuario, incluida la memoria del núcleo, y obtener privilegios adicionales y tomar control del sistema afectado.
 El descubrimiento de este fallo de seguridad, al que se le ha asignado el identificador CVE-2015-5950, ha sido realizado por Dario Weisser, quien además ha enviado a NVIDIA una prueba de concepto que aprovecha dicha vulnerabilidad para causar una denegación de servicio. Dice disponer de otra prueba de concepto que logra la elevación de privilegios pero no ha sido mostrada a la empresa.
 Se encuentran afectados los controladores para sistemas Unix y Microsoft Windows, y potencialmente todos los dispositivos GPU de NVIDIA, exceptuando la familia Tegra.
 NVIDIA ha publicado varias actualizaciones de los controladores que solucionan este error. Se encuentran disponibles para su descarga desde la página oficial de NVIDIA y son las siguientes:
 Para Unix:
  • Release 304.128
  • Release 340.93
  • Release 352.41
Para Microsoft Windows:
  • Release 353.82
  • Release 341.81
Más información:
Fuente: Hispasec