4 de noviembre de 2015

ANONYMOUS . Lanza ciberataque contra el Ku Klux Klan

La Operación KKK consiste en destapar a los miembros del Ku Klux Klan a través de la infiltración en sus páginas web
Desvelan las identidades de varios políticos que apoyan a la organización, aunque el jueves anunciarán el resto de nombres
Los nombres de Coats y Gray son solo unos pocos de los que una persona teóricamente perteneciente al grupo de 'ciberactivistas' Anonymous ha colgado en Internet como parte de su Operación KKK -que, evidentemente, también cuenta con su propia cuenta en Twitter-, lanzada el miércoles de la semana pasada. La Operación KKK consiste en destapar a los miembros del Ku Klux Klan (coloquialmente conocidos como KKK) a través de la infiltración en las páginas web de la organización y sus grupos afiliados.
Ahora bien, Anonymous solo va a anunciar esos nombres pasado mañana, jueves. De modo que ¿qué significan los nombres de Coats, Gray y otras 50 personas más que han sido colgados en Internet en las últimas horas? ¿Es un intento de calumnia? ¿O un anticipo? Parece que ni lo uno ni lo otro. Aparentemente, algunos miembros de Anonymous han decidido saltarse las reglas de su propia organización y empezar a divulgar nombres.
Historia de la organización
  • El Ku Klux Klan es una organización que es legal en EEUU y que cuenta con su propia web. Nadie sabe de dónde viene su nombre, aunque se suele decir que procede del ruido que hace un rifle al ser cargado. Se estima que tiene entre 5.000 y 8.000 miembros, aunque está rodeado de una galaxia de otras organizaciones que hacen que la cifra de personas asociadas a él sea mucho mayor. Aunque se le suele vincular al racismo antinegro, su agenda es mucho más amplia, e incluye los ataques a sindicalistas, socialistas, católicos, e inmigrantes. La organización fue fundada en los últimos meses de la Guerra Civil que enfrentó a EEUU por la abolición de la esclavitud, hace 150 años, y se ha hecho famosa por su violencia y por sus rituales, entre los que destacan las túnicas y capuchas de sus miembros y la quema de cruces.
  • Anonymouys es un grupo internacional de ciberactivistas de izquierda nacido en 2003. Su logo es la cara de Guy Fawkes, un inglés convertido al catolicismo que planeó asesinar al rey de Inglaterra Jaime I. Fawkes y sus seguidores fueron descubiertos, torturados, ahorcados y descuartizados. El complot fue descubierto el 5 de noviembre, que desde entonces se conoce en Londres como 'el día de la pólvora' y que es, precisamente, el jueves: el día en el que Anonymous quiere destapar a Ku Klux Klan.
Fuente: El Mundo.es

Imagen de la cuenta de Twitter de Anonymous, como parte de su Operación KKK


INFORME. Vigilancia y censura en Internet aumentan a nivel global

Los gobiernos de todo el mundo están aumentando la censura y la vigilancia en Internet, mientras la libertad general en la red cae por quinto año consecutivo, según un informe de un grupo que supervisa la democracia y los derechos humanos.
Casi la mitad de los 65 países analizados sufrieron un debilitamiento de su libertad online desde junio de 2014, indicó Freedom House en un sondeo anual publicado el miércoles.
Uno de los descensos más acusados tuvo lugar en Francia, que aprobó una legislación -que muchos observadores equipararon a la Ley Patriótica de Estados Unidos- tras los ataques terroristas contra la revista satírica Charlie Hebdo a principios de año, según el reporte.
Ucrania, inmersa en un conflicto territorial con Rusia, y Libia también experimentaron fuertes caídas.
El informe destacó a China como el país con las restricciones más severas a la libertad en Internet, seguida por Siria e Irán. Sri Lanka y Zambia, que tuvieron cambios recientes al frente de sus gobiernos, fueron considerados como los que más mejoras hicieron en general en este apartado.
En total, 14 países adoptaron leyes el año pasado para ampliar la vigilancia gubernamental, señaló el reporte.
Por su parte, Estados Unidos aprobó legislación en junio que pone fin efectivo a la polémica recogida masiva de datos de la Agencia de Seguridad Nacional (NSA), un programa revelado en 2013 por su ex contratista Edward Snowden.
La nueva ley fue un "paso adelante" hacia la reforma de la vigilancia digital, según los autores del documento.
Fuente: Reuters

WHATSAPP. Recolecta y almacena números y duración de las llamadas

WhatsApp, actualmente propiedad de Facebook, ha implementado un gran número de funciones, siendo dos de las más importantes un cifrado punto a punto de las comunicaciones y las llamadas de voz con las que pretenden plantar cara a los abusos de las teleoperadoras. Ambos servicios funcionan bien, aunque según un grupo de investigadores, no todo es tan bonito ni tan privado como parece ser.
El grupo de investigación forense de la Universidad de New Haven (University of New Haven’s Cyber Forensics Research & Education Group) han conseguido romper el cifrado de las comunicaciones del cliente de mensajería con el fin de poder analizar con más detalle el funcionamiento interno tanto de la comunicación cliente-servidor como del protocolo utilizado. Los investigadores de seguridad aseguran que tanto el tráfico de red como los datos que se almacenan en el dispositivo (historial de llamadas, conversaciones, datos de acceso, etc) están muy bien cifrado, y se requiere acceso completo a ambos para poder descifrarlo en una tarea bastante complicada.
Sin embargo, estos investigadores han conseguido descifrar todas las comunicaciones y conseguir acceso completo al tráfico que se establece entre el cliente y los servidores de WhatsApp para analizar, uno a uno, los paquetes que se intercambian entre ambos.
Analizando los datos se ha podido demostrar como la plataforma utiliza el protocolo FunXMPP (nada nuevo) para el intercambio de mensajes. También han querido comprender el funcionamiento del protocolo de las llamadas de voz, algo de lo que WhatsApp no ha facilitado demasiada información desde su lanzamiento, y por ello, al tener control sobre las comunicaciones sin cifrar de todo el proceso de las llamadas de voz, han podido averiguar con más detalle cómo funciona el protocolo, y, por desgracia, qué se oculta tras el proceso de autenticación con el servidor.
Las llamadas de WhatsApp: nuevos detalles sobre su (oscuro) funcionamiento
  • Entre los datos relevantes conseguidos con el análisis de los paquetes se ha podido comprobar cómo se envían paquetes con los números de teléfono, tanto del emisor como del receptor de la llamada, la duración de las mismas, fecha y hora de estas y una gran cantidad de metadatos más que no se sabe con certeza para qué se utilizan (probablemente para el control del servidor o para asociar los datos recopilados con los usuarios).
  • También se ha podido desvelar que el códec que se utiliza durante las llamadas es Opus, un códec libre que ofrece un excelente rendimiento (de ahí el buen funcionamiento de las llamadas), así como las direcciones IP de los servidores encargados de controlar estas llamadas.
  • Sin duda una valiosa información que demuestra, una vez más, la recolección de datos por parte del cliente de mensajería y que ayudará a otros investigadores de seguridad a poder analizar con más detalle tanto la seguridad como el funcionamiento de la plataforma. Tal como afirman estos investigadores de seguridad, esto es solo un primer paso, una puerta abierta a futuras investigaciones.
Fuente: Help Net Security

GOOGLE. Asegura que la seguridad en Microsoft “va dos pasos adelante y uno atrás”

James Forshaw, ingeniero de seguridad de Google y que ha descubierto y reportado, en varias ocasiones, vulnerabilidades en Windows 10 y asegura que, aunque la compañía ha trabajado en mejorar la seguridad de su nuevo sistema frente a ataques informáticos, no lo ha hecho del todo bien ya que se han abierto nuevas puertas a ataques potenciales por motivos que se explican a continuación yendo, literalmente, dos pasos hacia delante y uno hacia atrás.
En primer lugar, según el ingeniero de Google, el nuevo Windows 10 ejecuta por defecto un mayor número de aplicaciones, controladores y servicios del propio sistema operativo que las versiones anteriores, lo que permite a piratas informáticos buscar en ellos vulnerabilidades por las que llegar a explotar este nuevo sistema. Por poner un ejemplo, Windows 10 cuenta con un total de 196 servicios del sistema y 291 controladores que se activan automáticamente con el sistema, mientras que su predecesor, Windows 8.1, tiene 169 servicios y 253 controladores y, por otro lado, Windows 7 puede ser el sistema operativo más seguro en este aspecto con solo 150 servicios y 238 controladores.
Otro punto en el que Microsoft no ha trabajado lo suficiente es en el control de cuentas de usuario. Mientras que cuando se implementó esta característica en Windows 7 estaba destinada a proteger al usuario de la ejecución de software potencialmente peligroso, ahora no es más que una característica, literalmente, puesta ahí para molestar al usuario y hacer que, tarde o temprano, la desactive. Es muy probable que en futuras actualizaciones de Windows 10 el control de cuentas de usuario se actualice, pero quienes no van a recibir dicha actualización serán los usuarios de 7 y 8.1, quedando sin la seguridad correspondiente.
Adobe Flash Player, ese gran agujero de seguridad en los productos de Microsoft
  • Otro fallo de seguridad de Microsoft es su nuevo navegador, Edge, que, mientras que parece ser un buen navegador con excelentes resultados en los diferentes tests de navegadores, aún sigue ejecutando Adobe Flash Player, este plugin plagado de vulnerabilidades que es frecuentemente utilizado por piratas informáticos para tomar el control de los ordenadores de las víctimas. Según el ingeniero de Google, con el lanzamiento de Edge la compañía ha desperdiciado la oportunidad de impedir que Adobe Flash Player funcione en él y forzar, poco a poco, a que la red migre a una nueva plataforma más libre y segura como HTML5 que supera con creces en todos los aspectos a Flash.
  • Como podemos ver, el gigante de software intenta mejorar la seguridad y preparar su sistema operativo para los nuevos tiempos, sin embargo, sigue cometiendo los mismos errores de siempre. Algunos de estos problemas tienen solución, por ejemplo, el de MS Edge o el de UAC, el control de cuentas de usuario, sin embargo si este sistema operativo está diseñado para depender de todos esos procesos, servicios y controladores, es complicado que se evite su ejecución, teniendo que buscar una capa de protección por encima para garantizar la máxima seguridad.
Fuente: Softpedia

PIRATERIA. Hackers convierten servidores MySQL en bots para realizar ataques DDoS

Según un grupo de investigadores, un pirata informático aún sin identificar ha estado utilizando el troyano, llamado Chikdos, para comprometer la seguridad de servidores MySQL a lo largo de todo el mundo, tomar el control de ellos y utilizarlos para realizar ataques distribuidos de denegación de servicio contra diferentes servidores conectados a Internet.
Este troyano no es nuevo, es más, las primeras infecciones se detectaron en 2013 como un troyano desarrollado para Windows y Linux con el que tomar el control del ordenador de las víctimas de forma remota y utilizarlos para realizar ataques DDoS. En esta ocasión, el troyano utilizado en este ataque contra los servidores MySQL es, a grandes rasgos, una versión modificada del original, aunque modificado para tomar el control de estos servidores.
Los países más afectados por este troyano han sido India, China y Brasil, aunque se han confirmado casos de infección en servidores MySQL repartidos por todo el mundo. Este tipo de servidores ha llamado la atención de los piratas informáticos dado que cuentan con un gran ancho de banda para realizar los ataques que, por lo general, es muy superior al que puede tener un usuario convencional.
SQL Injection, la técnica utilizada para controlar servidores MySQL
  • El grupo de piratas informáticos responsable de estos ataques, aún sin identificar, ha enviado un fichero UDF al servidor como si se tratase de una extensión más para la plataforma pero que en realidad, una vez instalada, cargaba un “downloader” desde donde se descargaba e instalaba el troyano en el servidor. La forma de acceder a los servidores se desconoce, aunque lo más probable es que haya sido mediante ataques de fuerza bruta o, más probablemente, a través de ataques SQL Injection. En algunos casos, el troyano también habilitaba una cuenta de usuario secundaria para tomar el control de los servidores.
  • Los piratas informáticos han utilizado esto servidores para realizar, principalmente, dos ataques informáticos. El primero de ellos contra una dirección IP de China y el segundo contra un hosting de Estados Unidos, lo que hace pensar que los piratas informáticos pertenezcan a uno de estos dos países.
  • Los investigadores de seguridad de Symantec, empresa que ha detectado y analizado el troyano, ha facilitado el hash del mismo para que los administradores de los servidores MySQL de todo el mundo puedan comprobar que no han sido comprometidos o, de serlo, eliminar la amenaza lo antes posible. Como medidas de seguridad adicionales recomiendan no ejecutar nunca los servidores MySQL con permisos de administrador, comprobar que no existen extensiones ni cuenta de usuario no habilitadas manualmente y, sobre todo, instalar los últimos parches de seguridad del software para cerrar posibles brechas en la seguridad.
Fuente: Help Net Security

ANDROID . Nuevo malware para esta plataforma se esconde en “documentos” Word

Esta semana ha comenzado a distribuirse un malware para Android a través de un archivo falso de Microsoft Word que en realidad se trata de un ejecutable ".apk"
En los sistemas operativos de los de Redmond se trata de una de las técnicas más utilizadas para infectar los equipos, ya que se hace creer al usuario que se trata de un documento de texto o PDF y cuando procede a abrirlo se realiza la ejecución de este, que la mayoría de las veces es el instalador de la amenaza.
En el sistema operativo Android sucede algo similar, con la única diferencia de que los cibercriminales utilizan un icono distinto para confundir a los usuario y conseguir que lo ejecuten para que la amenaza pueda instalarse.
Para que todo parezca más creíble, el malware muestra al usuario mensajes de error, haciendo creer al usuario que el documento no se ha podido visionar porque es incompatible con algún software que se encuentra instalado en el terminal. Sin embargo, el virus se ha instalado de forma correcta y ya se encuentra en segundo plano monitorizando las actividades de los usuarios.
Robo de lista de contactos y mensajes de texto
  • Mientras el usuario contempla varios errores, el malware realiza el copiado de la lista de contactos del terminal y de los mensajes de texto, además de arrancar varios servicios que se utilizarán para llevar a cabo tareas posteriores. Desde Zscaler han confirmado que el virus posee un número de teléfono y una cuenta de correo electrónico, ambos preasignados desde el primer momento de la instalación.
Los datos recopilados se envían a una dirección de correo electrónico
  • Una vez se han obtenido todos los datos, se procede a su envío y para eso se utilizan los dos parámetros mencionados con anterioridad. Expertos en seguridad han accedido a la cuenta de correo asociada a este virus y han comprobado que cerca de 3.000 usuarios se han visto afectados (aunque es probable que mucho de ellos no lo sepan) y se espera que durante los próximos días este cifra aumente.
  • En el proceso de investigación realizado han detectado que existe una función que mediante una mensaje SMS con un formato concreto permite comenzar llamadas de forma totalmente remota, provocando que la factura mensual del usuario se vea incrementada.
  • Teniendo en cuenta que la aplicación posee derechos de administrador (otorgados previamente por el usuario) es necesario iniciar el terminal en modo seguro para llevar a cabo la desinstalación de esta a través del Gestor de Aplicaciones.
Fuente: Softpedia

TOR MESSENGER. El nuevo cliente de mensajería anónimo

El cliente de mensajería para sistemas operativos de escritorio Tor Messenger ya se encuentra disponible, con el propósito principal de proteger la privacidad de los usuarios.
En la actualidad, Tor Messenger se encuentra disponible para Windows, Linux y Mac OS X y es compatible con Jabber (XMPP), IRC, Google Talk, Facebook Chat, Twitter, y Yahoo!
Aunque el desarrollo ha sido largo y después de 3 versiones alpha ya se encuentra disponible la beta pública de la aplicación. 
A pesar de permitir el intercambio de mensajes de forma anónima y sin que la ubicación del usuario sea revelada, hay que tener en cuenta algunos aspectos antes de utilizar este servicio de mensajería instantánea. Y es que el modelo clásico de servicio de mensajería permite a Tor Messenger almacenar algunos metadatos relacionados con las conversaciones de los usuarios. Desde Tor se anima a los administradores de los servidores a implementar soluciones que eviten que esto se produzca.
Detalles del proyecto
  • Algunos aspectos a tener en cuenta es que por ejemplo los responsables del proyecto tomaron como base Instabird, centrándose en el desarrollo de una aplicación XUL (XML User Interface), algo con lo que el equipo ya había experimentado con anterioridad. Además, Firefox también está basado en esta programación, de ahí que el navegador de Tor también se encuentre diseñado utilizando este lenguaje.
  • Desde el equipo de desarrollo han anunciado que como novedades a introducir en los próximos meses se espera completar la función de sandboxing, implementar las actualizaciones automáticas y mejorar la compatibilidad con otros protocolos, como por ejemplo OTR o los mensajes directos de la red social Twitter.
Tor Messenger, lo opuesto al resto de servicios existentes
  • La seguridad de estos servicios es más o menos aceptable, aunque de vez en cuando se produce algún problema de seguridad. Sin embargo, el punto es escisión es la privacidad de los datos de los usuarios, algo que en la actualidad se encuentra en entredicho, ya que desde el escándalo de espionaje de la NSA se piensa que muchos poseen puertas traseras que permiten la lectura de mensajes de forma no autorizada así como la recopilación de los contenidos compartidos.
  • Por este motivo, el servicio de mensajería del proyecto Tor está llamado a mejorar estos aspectos y permitir el uso de los otros servicios de una forma mucho más segura.
Descargar Tor Messenger
Fuente: Softpedia

GOOGLE. Publica Chrome 46 y corrige 24 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 46. Se publica la versión 46.0.2490.71 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 24 nuevas vulnerabilidades.
En esta ocasión, aunque se han solucionado 24 nuevas vulnerabilidades, solo se facilita información de ocho de ellas (cuatro de gravedad alta, tres clasificados como media y uno de gravedad baja).
Se corrigen vulnerabilidades por violación de la política de mismo origen en Blink. Corrupción de memoria en FFMpeg, un casting incorrecto en PDFium, fuga de información en LocalStorage y tratamiento inadecuado de errores en libANGLE. También problemas por uso de memoria después de liberarla en PDFium y ServiceWorker. Por último salto de CORS a través de fuentes CSS.
También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Así como múltiples vulnerabilidades en V8 en la rama 4.6 (actualmente 4.6.85.23).
Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 24.674 dólares en recompensas a los descubridores de los problemas.
Recomendación
  • Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

MICROSOFT. Lanza actualización para Internet Explorer en Windows 10

Microsoft ha publicado de una forma un tanto "extraña" una nueva actualización para evitar una vulnerabilidad crítica en Internet Explorer sobre sistemas Windows 10.
La actualización viene a través de la revisión de uno de los boletines publicados el pasado 13 de octubre, concretamente el MS15-106, en el que se incluye la habitual actualización acumulativa para Internet Explorer.
 De esta forma, mediante la actualización del boletín Microsoft evita la publicación de un nuevo boletín de seguridad, algo que sin duda tiene una mayor repercusión mediática. Si bien, como sabemos, la publicación de nuevos boletines por desgracia queda reservada a casos críticos y de urgencia. Por lo que, al menos de esta forma, mediante la actualización del boletín podemos felicitarnos de que la vulnerabilidad puede quedar corregida de forma inmediata.
"Bulletin revised to announce the release of a new Windows 10 cumulative update (3105210) to address an additional vulnerability, CVE-2015-6045, which has been added to this bulletin."
 En este caso la actualización viene a solucionar una vulnerabilidad de ejecución remota de código (con CVE-2015-6045) debido a un problema de corrupción de memoria en sistemas Windows 10. Está considerada como crítica, si bien Microsoft aclara que solo afecta a sistemas con Windows 10, sistemas en los que como ya sabemos el navegador por defecto es el nuevo Microsoft Edge.
Más información:
Fuente: Hispasec

JOOMLA! 3.4.5. Actualización de seguridad

Joomla! ha publicado una nueva versión que soluciona varias vulnerabilidades, entre las que se incluye una de importancia crítica, catalogada de Importancia: 5 - Crítica
Recursos afectados
  • Versiones de la 3.2.0 a la 3.4.4.
Detalle e Impacto potencial de las vulnerabilidades ahora corregidas
  • La versión 3.4.5 soluciona la siguiente vulnerabilidades:
  • Inyección de código SQL - El filtrado inadecuado en la solicitud de datos puede derivar en una vulnerabilidad de inyección SQL. Se han reservado los identificadores CVE-2015-7297, CVE-2015-7857 y CVE-2015-7858.
  • Violaciones del ACL - La comprobación incorrecta de las listas de control de acceso (ACLs) en com_contenthistory y com_content puede permitir el acceso a datos restringidos. Se han reservado los identificadores CVE-2015-7859 y CVE-2015-7899.
Recomendación
Más información
Fuente: Hispasec

APPLE. Permite acceder a los desarrolladores a sus librerías criptográficas

Apple ha anunciado que la compañía ha abierto sus librerías criptográficas a programadores de terceras partes para que puedan incluir características de seguridad avanzada en sus aplicaciones.
Como Apple explica en el sitio creado a tal efecto, las librerías ofrecidas son las mismas que las que la compañía emplea para proteger sus sistemas estrella iOS y OS X.
A partir de ahora, los desarrolladores de software para sistemas Apple tendrán acceso a dos de las más avanzadas características de seguridad, lo que incluye el "Security Framework" y "Common Crypto".
Descripción de las librerías ahora abiertas a los desarrollladores
  • Security Framework ofrece a los desarrolladores herramientas para gestionar certificados, claves públicas y privadas y políticas de confianza. También soporta la generación de números pseudoaleatorios criptográficamente seguros y soporta el almacenamiento de certificados y claves criptográficas en el llavero, el repositorio seguro para datos sensibles del usuario.
  • Por otra parte, la librería Common Crypto proporciona soporte adicional para operaciones de cifrado simétrico, resúmenes y autenticación de mensajes basados en hashes.
  • Ambas librerías confían en la librería corecrypto para proporcionar implementaciones criptográficas de bajo nivel en los sistemas operativos de Apple. Esta es la librería presentada para la validación del cumplimiento de la normativa estadounidense FIPS (Federal Information Processing Standards) 140-2 Level 1.
  • Aunque corecrypto no proporciona de forma directa interfaces de programación para desarrolladores y no debe emplearse en aplicaciones OS X o iOS, su código fuente está disponible para la verificación de sus características de seguridad y adecuado funcionamiento.
  • Toda la información sobre estas librerías está disponible desde https://developer.apple.com/cryptography/
Más información:
Fuente: Hispasec

ORACLE. Actualización crítica de Octubre de 2015

En el aviso de actualizaciones de octubre de 2015, Oracle ha lanzado múltiples parches de seguridad sobre varios de sus productos, resolviendo un total de 158 vulnerabilidades, catalogada de Importancia: 5 - Crítica
Detalle de la vulnerabilidades corregidas
Las vulnerabilidades corregidas afectan a diversos grupos de software Oracle:
  1. Oracle Database
  2. Oracle Fusion Middleware
  3. Oracle Fusion Applications
  4. Oracle Enterprise Manager
  5. Oracle Applications - E-Business Suite
  6. Oracle Applications - Oracle Supply Chain, PeopleSoft Enterprise y Siebel
  7. Oracle PeopleSoft Enterprise
  8. Oracle Siebel
  9. Oracle Utilities Applications
  10. Oracle Communications Applications Suite
  11. Oracle Retail Applications Suite
  12. Oracle Java SE
  13. Oracle y Sun Systems Products Suite
  14. Oracle Pillar Axiom
  15. Oracle Linux y productos de Virtualización
Recomendación
Más información
Fuente: INCIBE

WIRESHARK. Actualización de seguridad

Wireshark Foundation ha publicado una actualización de seguridad para solucionar una vulnerabilidad en la rama 1.12.
 Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Detalle e impacto de la vulnerabilidad
  •  La vulnerabilidad podría provocar condiciones de denegación de servicio mediante la inyección en la red de paquetes maliciosos o bien engañando al usuario para que cargue ficheros de captura de tráfico de red manipulados. En esta ocasión el problema (CVE-2015-7830) reside en el analizador de archivos pcapng que puede sufrir una caída mientras copia un filtro de interfaz.
Recomendación
Más información:
Fuente: Hispasec

APPLE. Actualización de seguridad para Apple Keynote, Pages y Numbers

Apple ha publicado actualizaciones para su suite ofimática iWork para iOS, además de las nuevas versiones Keynote 6.6, Pages 5.6 y Numbers 3.6 para OS X Yosemite 10.10.4.
 iWork es la suite de aplicaciones ofimáticas de por Apple para sus sistemas operativos Mac OS X e iOS. Incluye el procesador de texto Pages, la aplicación de presentaciones Keynote y la hoja de cálculo Numbers.
Detalle de la actualización y de vunerabilidades corregidas
  •  La actualización, además de incluir numerosas novedades y mejoras, también incluye la corrección de cuatro vulnerabilidades que podrían permitir la ejecución de código arbitrario y el compromiso del sistema con solo abrir un documento específicamente creado.
  •  Respecto a las vulnerabilidades corregidas, se cuentan dos de validación de entradas (CVE-2015-3784 y CVE-2015-7032) y una vulnerabilidad de corrupción de memoria (CVE-2015-7033) que afectan a Keynote, Pages y Numbers; por último, también otra vulnerabilidad de corrupción de memoria (CVE-2015-7034) que afecta únicamente a Pages.
Recomendación
  •  Las actualizaciones pueden descargarse desde la tienda de aplicaciones de cada sistema operativo.
Más información
Fuente: Hispasec

MOZILLA. Publica actualización para Firefox

La Fundación Mozilla ha publicado una actualización de seguridad (MFSA 2015-115) destinada a corregir una vulnerabilidad crítica en el navegador Firefox.
 El problema reside en la API fetch() destinada a proporcionar una interfaz para ir a buscar recursos "AJAX" (por ejemplo, a través de la red). La vulnerabilidad, con CVE-2015-7184, se debe a que no implementa correctamente la especificación Cross-Origin Resource Sharing (CORS), lo que permite a una página maliciosa acceder a datos privados desde otros orígenes.
Recomendación
  • Se ha publicado la versión Firefox 41.0.2 disponible para su descarga a través de los canales habituales o mediante las actualizaciones automáticas.
Más información:
Fuente: Hispasec

ADOBE. Actualización solventa el último 0-day en Flash Player

Adobe ha publicado una actualización para Adobe Flash Player destinada a evitar la vulnerabilidad 0-day que se anunció recientemente. En total se han solucionado tres vulnerabilidades que podrían permitir a un atacante tomar el control de los sistemas afectados.
Detalle e impacto de las vulnerabilidades
  • Las vulnerabilidades afectan a las versiones de Adobe Flash Player Desktop Runtime 19.0.0.207 (y anteriores) para Windows y Macintosh; Adobe Flash Player Extended Support Release 18.0.0.252 (y anteriores) y Adobe Flash Player; Adobe Flash Player 19.0.0.207 para navegadores Google Chrome, Microsoft Edge, Internet Explorer 10 y 11; y Adobe Flash Player para Linux 11.2.202.535 (y anteriorers).
  • Esta actualización, publicada bajo el boletín APSB15-27, resuelve la vulnerabilidad con CVE-2015-7645 correspondiente al 0-day de la campaña Pawn Storm. Además se resuelven las vulnerabilidades con CVE-2015-7647 y CVE-2015-7648. Los tres problemas corregidos se deben a una confusión de tipos que podrían permitir la ejecución de código remoto.

Recomendación

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 19.0.0.226
  2. Flash Player Extended Support Release 18.0.0.255
  3. Flash Player para Linux 11.2.202.540
  4. Igualmente se ha publicado la versión 19.0.0.226 de Flash Player para Internet Explorer (10 y 11), Edge y Chrome.

Más información:
Fuente: Hispasec

APPLE. Actualizaciones para iOS, OS X Server, OS X, Safari, iTunes, Mac EFI, Watch OS y Xcode

Apple ha publicado actualizaciones para múltiples productos. En esta ocasión incluye iOS 9.1, OS X Server v5.0.15, Safari 9.0.1, Xcode 7.1, Mac EFI Security Update 2015-002, iTunes 12.3.1, OS X El Capitan 10.11.1, Security Update 2015-007 para OS X y watchOS 2.0.1. En total se han solucionado 148 vulnerabilidades.
Detalle de la actualización 
Dada la gran cantidad de novedades y productos actualizados, vamos a realizar un breve repaso de las actualizaciones publicadas y problemas solucionados.
  • iOS 9.1 presenta una actualización del sistema operativo de Apple para sus productos móviles (iPad, iPhone, iPod…) que además de incluir mejoras y solución de problemas, está destinado a solucionar 49 nuevas vulnerabilidades. Los problemas corregidos están relacionados con múltiples componentes, incluyendo CoreGraphics, CoreText, FontParser, el controlador gráfico, el Kernel o WebKit entre otros.
  • Por otra parte, se ha publicado OS X El Capitan v10.11.1 y Security Update 2015-007 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan 10.11. Además de las obligadas mejoras y correcciones, se solucionan 60 nuevas vulnerabilidades. Afectan a múltiples y muy diversos componentes, que entre otros incluyen a Configd, Audio, CoreGraphics, CoreText, controladores gráficos, el kernel, OpenGL, OpenSSH, Sandbox y Security.
  • Las actualizaciones también incluyen a Safari, el popular navegador web de Apple, que se actualiza a la versión Safari 9.0.1 para OS X Mavericks v10.9.5, OS X Yosemite v10.10.5 y OS X El Capitan v10.11. Se solucionan nueve vulnerabilidades todas debidas a problemas en WebKit, el motor de navegador de código abierto que es la base de Safari. La actualización a Safari 9.0.1 está incluida en OS X El Capitan v10.11.1.
  • De igual forma, también ha publicado la versión OS X Server v5.0.15 (para OS X Yosemite 10.10.5 y OS X El Capitan 10.11.1 o posteriores). Esta versión incluye la actualización de BIND a la versión 9.9.7-P3 (para evitar una vulnerabilidad de denegación de servicio) y la corrección a otra vulnerabilidad en Web Service.
  • De forma similar, Apple publica WatchOS 2.0.1, destinada a su reloj inteligente (smartwatch) conocido como Apple Watch, con la que se solucionan hasta 14 vulnerabilidades, la mayoría de ellas podrían permitir la ejecución remota de código arbitrario.
  • También se ha publicado iTunes 12.3.1 para Windows 7 (y posteriores), una versión menor que incluye la corrección de 12 vulnerabilidades.
  • Apple también ha publicado Xcode 7.1, el entorno de desarrollo de Apple, que corrige una vulnerabilidad en Swift.
  • Por último, Apple ha publicado la actualización Mac EFI Security Update 2015-002 que viene a solucionar una vulnerabilidad en EFI (Extensible Firmware Interface) el software de arranque del sistema (como la BIOS para el PC).
Más información
Fuente: Hispasec

NTP Más vulnerabilidades en la implementación estándar del protocolo

Se ha anunciado una vulnerabilidad en el protocolo NTP (Network Time Protocol) particularmente grave que permite realizar cambios arbitrarios en el reloj del sistema.
NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.
Detalle e impacto de la vulnerabilidad
  •  La vulnerabilidad más grave de las descubiertas es la descubierta esta semana que permite a un atacante emparejarse con un cliente sin autenticación, con lo que puede cambiar la hora del cliente. Este error se debe a un error en el manejo de paquetes crypto-NAK especialmente diseñados, que pasan ciertas comprobaciones que no deberían y terminan estableciendo una asociación confiada. Si se usan en el ataque más servidores maliciosos que servidores legítimos, se puede convencer al cliente para que modifique su reloj.
  •  A priori, no parece importante que se pueda modificar el reloj de un sistema. Sin embargo, tiene consecuencias indirectas sobre otras funcionalidades. Por ejemplo, cambiar la fecha a un año atrás haría al sistema aceptar certificados ya revocados con la clave privada comprometida, lo que permitiría realizar un ataque de suplantación de identidad. Además de afectar a servicios de autenticación como Kerberos y Active Directory, que dependen de un reloj en hora para su correcto funcionamiento.
¿Habíais visto este reloj antes?
  •  Es por esto que NTP.org ha anunciado la salida de la versión 4.2.8.p4, que corrige 13 vulnerabilidades. Entre ellas se encuentra la más grave de las citadas anteriormente, con CVE CVE-2015-7871, que ha sido bautizada como "NAK to the Future", por coincidir su publicación con la fecha en la que Doc y Marty McFly llegan al futuro en la película "Regreso al futuro" (Back to the Future).
  •  A vueltas con la fecha y aprovechando el recurso, ha parecido muy apropiado la presentación de un resumen de los ataques NTP realizado por investigadores de la Universidad de Boston. Sobre este tipo de ataques, el investigador español José Selvi (@joseselvi) lleva más de un año realizando presentaciones en múltiples conferencias de seguridad (BlackHat Europe 2014, RootedCON 2015, DEF CON 23 y Navaja Negra / ConectaCON 2015).
  •  Dada la gravedad de la vulnerabilidad, es importante actualizar cuanto antes los sistemas que contienen esta implementación, que son los sistemas "Unix-like" más populares (GNU/Linux, Mac OS X, BSD...). Fabricantes como Cisco han anunciado que están investigando cómo afecta esta vulnerabilidad a sus dispositivos y que publicarán actualizaciones para sus productos.
Más información:
Fuente: Hispasec

CISCO. Múltiples vulnerabilidades en el software de Cisco ASA

Cisco ha anunciado la existencia de cuatro vulnerabilidades en el software Cisco de los Adaptive Security Appliances (ASA) que podrían permitir a un atacante provocar condiciones de denegación de servicio.
Detalle e impacto de las vulnerabilidades 
  • Dos de los problemas (CVE-2015-6325 y CVE-2015-6326) se deben a un tratamiento inadecuado de paquetes DNS. Otro problema reside en Internet Key Exchange (IKE) versión 1 (v1), por un tratamiento inadecuado de paquetes Internet Security Association and Key Management Protocol (ISAKMP). Por último, una validación insuficiente de paquetes DHCPv6, por lo que debe encontrarse configurada esta característica para que el software se vea afectado.
Recursos afectados
Se ven afectados los siguientes dispositivos:
  1. Cisco ASA 5500 Series Adaptive Security Appliances
  2. Cisco ASA 5500-X Series Next-Generation Firewalls
  3. Cisco ASA Services Module for Cisco Catalyst 6500 Series Switches and Cisco 7600 Series Routers
  4. Cisco ASA 1000V Cloud Firewall
  5. Cisco Adaptive Security Virtual Appliance (ASAv)
Recomendación 
Más información:
Fuente: Hispasec

JOOMLA! . Vulnerabilidades en el gestor de contenidos

Anunciadas cinco vulnerabilidades en Joomla! que podrían permitir a atacantes remotos realizar ataques de inyección SQL o evitar las ACL.
 Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.
Detalle e impacto de las vulnerabiliudades
  •  Tres de los problemas residen en un filtrado inadecuado de datos que pueden permitir la realización de ataques de inyección SQL (CVE-2015-7297, CVE-2015-7857 y CVE-2015-7858). Por otra parte errores en las comprobaciones de las listas de control de acceso (ACLs) en 'com_contenthistory' y 'com_content' podrán permitir acceso de lectura a datos restringidos (CVE-2015-7859 y CVE-2015-7899).
Recursos afectados
  •  Estas vulnerabilidades se dan en las versiones 3.2.0 hasta la 3.4.4. 
Recomendación
  • Se ha publicado la versión 3.4.5 disponible desde www.joomla.org

Más información:
Fuente: Hispasec

DRUPAL . Actualización de seguridad

El equipo de seguridad de Drupal ha solucionado una vulnerabilidad en Drupal 7 que podría permitir una redirección HTTP no deseada.
 Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Detalle e impacto de la vulnerabilidad
  • El problema solucionado (con CVE-2015-7943) reside en el módulo Overlay usado para mostrar páginas del panel de administración como una capa sobre la página activa (empleando JavaScript), en vez de reemplazar la página en el navegador. Este módulo no valida adecuadamente las URL antes de mostrar el contenido, lo que puede dar lugar a una redirección abierta.
Recursos afectados
  •  Afectan a las versiones 7.x anteriores a 7.41
Recomendación
Más información
Fuente: Hispasec

SHOCKWAVE PLAYER. Nueva actualización de seguridad

Adobe ha publicado un nuevo boletín de seguridad (APSB15-26) para solucionar una vulnerabilidad crítica en Shockwave Player.
 Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Se trata de un plugin para navegadores que no debe confundirse con Flash. En cierta manera, es menos popular pero más potente a la hora de desarrollar gráficos y juegos. Como ocurre con Java, muchos usuarios puede que lo tengan instalado en sus navegadores pero realmente no lleguen a usarlo a menudo si no visitan habitualmente páginas que lo requieran.
Detalle e Impacto de la vulnerabilidad corregida
  •  En esta ocasión la vulnerabilidad (con CVE-2015-7649) está relacionada con un problema de corrupción de memoria que podría permitir a un atacante la ejecución remota de código arbitrario. El problema afecta las versiones de Adobe Shockwave Player 12.2.0.162 y anteriores para plataformas Windows y Macintosh.
Recomendación
  • Adobe recomienda actualizar a la versión 12.2.1.171 de Shockwave Player, disponible desde, http://get.adobe.com/shockwave/
  • Cabe recordar que septiembre Adobe publicó otra actualización para Shockwave Player destinada a solucionar dos vulnerabilidades.
Más información:
Fuente: Hispasec

IBM. Solventa graves vulnerabilidades en WebSphere y Domino

IBM ha publican actualizaciones destinadas a solucionar dos vulnerabilidades muy graves en Domino y otras dos en IBM WebSphere.
Detalle e impacto de las vulnerabilidades 
  • Los problemas más graves (CVSS de 9,8) residen en dos vulnerabilidades de desbordamiento de búfer (con CVE-2015-4994 y CVE-2015-5040) en IBM Domino debido a un tratamiento inadecuado de imágenes GIF. Un atacante podría conseguir ejecutar código arbitrario mediante el envío de una imagen específicamente creada. Se ven afectadas las versiones IBM Domino 9.0.x e IBM Domino 8.5.x.
  •  Por otra parte, con CVE-2014-8912, una vulnerabilidad en IBM WebSphere Portal podría permitir a un atacante remoto obtener información sensible debido a una inadecuada restricción de acceso a los recursos situados en las aplicaciones web. Un atacante podría aprovechar esta vulnerabilidad para obtener datos de configuración y otra información sensible. Se ven afectadas las versiones IBM WebSphere Portal 8.5, 8.0, 7.0 y 6.1.
  •  Por último, otra vulnerabilidad (CVE-2015-4997) en IBM WebSphere Portal podría permitir a un atacante remoto evitar restricciones de seguridad, debido a una validación inadecuada del control de acceso. Un atacante podría obtener acceso no autorizado al sistema vulnerable. Se ve afectada la versión IBM WebSphere Portal 8.5.
Recomendación
  •  IBM ha publicado actualizaciones para los productos afectados, disponibles desde las páginas de cada uno de los avisos de seguridad.
Más información
Fuente: Hispasec

F5. Vulnerabilidades en múltiples de sus productos

F5 ha confirmado dos vulnerabilidades en múltiples de sus productos que podrían permitir a atacantes locales provocar condiciones de denegación de servicio, acceder a información sensible o conseguir acceso administrativo al dispositivo.
F5 Networks es una compañía americana, con sede en Seattle (Washington, EE.UU.), conocida por soluciones de alto nivel, con múltiples productos y soluciones de red que incluyen desde Application Delivery Controllers, hasta soluciones de seguridad y protección de centros de datos y de las aplicaciones de esos CPD.
Detalle e impacto de las vulnerabilidades
  • El primer problema, con CVE-2015-7394, reside en el módulo kernel datastor en dispositivos BIG-IP 11.1.0 hasta 11.6.0 podría permitir a un atacante local provocar condiciones de denegación de servicio o elevar sus privilegios en el sistema.
  • Por otra parte, un error en el módulo pam_unix en Linux-PAM (conocido simplemente como pam) anterior a 1.2.1, podría permitir a un atacante local enumerar los nombres de usuarios o provocar una denegación de servicio a través de una contraseña de gran tamaño (CVE-2015-3238).
Recursos afectados

  • Los problemas afectan a toda prácticamente toda la gama de productos BIG-IP, junto con el Enterprise Manager. 

Recomendación
F5 Networks ha publicado versiones actualizadas para la mayoría de los productos afectados.
Más información:
Fuente: Hispasec

XEN. Detectadas múltiples vulnerabilidades

Xen Project ha anunciado varios boletines de seguridad informando de múltiples vulnerabilidades, catalogadas de Importancia: 4 - Alta
Recursos afectados
  • Dependiendo de la vulnerabilidad están afectadas distintas versiones de Xen anteriores a 3.4.x y posteriores a 3.4. Para verificar la versión concreta consultar el enlace correspondiente en la sección "Detalles".
Detalle e impacto de las vulnerabilidades
Xen informa de 9 vulnerabilidades que afectan a plataformas x86 y arm:
  1.  XSA-153/CVE-2015-7972 x86: Caída de máquinas virtuales debido a problemas en el tamaño de memoria PoD
  2.  XSA-152/CVE-2015-7971 x86: Denegación de servicio en el hipervisor por fallo en la gestión de logs en HYPERCALL_xenoprof_op y HYPERVISOR_xenpmu_op
  3.  XSA-151/CVE-2015-7969 x86: Fuga de información de memoria y denegación de servicio por una vulnerabilidad en XENOPROF_get_buffer
  4.  XSA-150/CVE-2015-7970 x86: Denegación de servicio por un fallo en la operación de memoria en modo PoD
  5.  XSA-149/CVE-2015-7969 Fuga de información memoria y denegación de servicio por una vulnerabilidad en XEN_DOMCTL_max_vcpus
  6.  XSA-148/CVE-2015-7835 x86: Escalado de privilegios
  7.  XSA-147/CVE-2015-7814 ARM: Denegación de servicio y caída de host
  8. XSA-146/CVE-2015-7813 ARM: Denegación de servicio en host por un fallo en la gestión de logs en HYPERVISOR_physdev_op
  9.  XSA-145/CVE-2015-7812 ARM: Caída de host por vulnerabilidad en la funcionalidad "multicall"
Recomendación
  • Xen ha publicado los parches correspondientes a las diferentes vulnerabilidades, estos parches pueden consultarse en los enlaces de cada vulnerabilidad en la sección “Detalles”.
Más información
·         Xen security advisories http://xenbits.xen.org/xsa/
Fuente: INCIBE

PHISHING. Nuevo SMS de Bankia indicando que la cuenta ha sido bloqueada

Las principales entidades bancarias españolas se ven afectadas por este tipo de prácticas y en esta ocasión es Bankia la que ha visto como su nombre ayuda a los ciberdelincuentes a distribuir una estafa vía SMS.
Generalmente este tipo de prácticas se lleva a cabo utilizando mensajes de correo electrónico, donde los ciberdelincuentes pueden utilizar tipografías y logos y utilizar la ingeniería social para convencer a los usuarios sobre la veracidad de la información. Sin embargo, en esta ocasión han recurrido a los mensajes de texto, por lo que la información es mucho más limitada pero propiciando que los usuarios solo tengan un aspecto sobre el cual desconfiar: el número de teléfono. Y es que en el caso del correo se juntan más factores que permiten al usuario decidir sobre la autenticidad del mensajes, como por ejemplo, la dirección de correo electrónico utilizada.
Funcionamiento del engaño
  • En el menaje se puede ver como se informa al usuario sobre un bloqueo que se ha establecido temporalmente sobre la cuenta que permite gestionar todos los servicios contratados con la entidad. Además, tal y como suele ser habitual, se ofrece al usuario un enlace para poner fin a este bloqueo. Se trata de la misma técnica que se lleva utilizando desde hace mucho tiempo, provocando que el usuario se vea obligado a acceder a una página web para realizar o confirmar algún tipo de operación.
  • Sin embargo, tal y como vamos a ver a continuación, la dirección URL redirige a una página web falsa.
  •  Un sitio web falso de Bankia para introducir los datos y llevar a cabo el robo de informaciónAntes de acceder ya podemos observar que el enlace está acortado y que ese no corresponde con el real de la página, siendo en realidad http://8ankia.2fh.co/.
  • Una vez nos encontramos en el sitio web observamos que la tipografía y estilos resultan muy similares a los utilizados por la entidad, pero que no es del todo exacto, por no decir que hay determinados objetos de la web que no están bien ubicados, como por ejemplo los botones de la parte superior derecha.
  • Hay que tener en cuenta que para acceder a nuestro espacio personal se nos pedirá el DNI y la clave de acceso, pero nunca el teléfono móvil o la firma con la que se autorizan las operaciones. Son dos datos que sobran y que nos indican que nos encontramos ante una estafa, algo que ya se sabía solo con observar la URL que hemos mencionado con anterioridad y que se encuentra fuera del dominio web de la entidad.
Fuente: Redeszone.net

CRYPTOWALL 3.0. “ Recauda “ 325 millones de dólares

Symantec, Fortinet, McAfee (Intel Security), Palo Alto Networks, Zscaler, Telefonica, Barracuda y ReversingLabs son algunas de las compañías que han contribuido con datos para elaborar este informa en el que se detalla todo lo relacionado con este malware. CryptoWall es sin lugar a dudas una de las amenazas más populares desde hace varios años y que más dinero han recaudado.
Los usuarios ahora ya saben que la mejor opción es recurrir a copias de seguridad y puntos de restauración del sistema. Sin embargo, ha tenido que transcurrir el tiempo para que esto suceda y parece tarde, ya que los creadores y compradores se han lucrado desde hace mucho tiempo alcanzado en total una cantidad de 325 millones de dólares solo con la versión  3.o, es decir, la última.
Aunque oficialmente solo existen tres, los expertos en seguridad cifran más de 4.000 variantes y entre 800 y 900 servidores de control repartidos por todo el mundo. En lo referido a la difusión, cerca del 70% de las ocasiones se utilizaban correos electrónicos y apenas el 30 utilizando exploits y aprovechando vulnerabilidades en páginas web, o navegadores de Internet.
Las transacciones de Bitcoins claves para dar caza a CryoptWall y otros malware
  • Las compañías y expertos en seguridad afirman que se sienten atados porque no pueden acceder por el momento a una de las partes más importantes de estas amenazas: las transacciones de dinero. En este tipo de amenazas se utilizan transacciones de Bitcoins para que el usuario pueda “recuperar” el acceso a los datos, algo que no es así pero que se utiliza como objeto recaudatorio. Desde estas compañías afirman que una vez se acceda a esta información se podrá estrechar aún más el cerco sobre los responsables de este tipo de software que cada vez es más común.
  • Sin ir más lejos, acceder a este tipo de información puede propiciar el acceso a los servidores de control y permitir a las compañías desarrolladoras de soluciones de seguridad implementar soluciones para descifrar los archivos de los equipos afectados.
Fuente: Softpedia