20 de marzo de 2016

MALWARE. Los portales The New York Times, BBC y Newsweek distribuyen ransomware

Un grupo de piratas informáticos ha tomado el control de la publicidad que se muestra en varios prestigiosos portales de noticias para distribuir entre sus visitantes una nueva variante de ransomware que cifraba automáticamente todos los datos del ordenador de las víctimas y pedía un recate por ellos.
Los piratas informáticos han aprovechado el kit de exploits Angler para llevar a cabo sus tareas. Gracias a este kit, los piratas buscaban en los ordenadores de las víctimas una vulnerabilidad, concretamente una en Silverlight que fue solucionada en enero de este mismo año, que, de estar presente, la utilizaban para enviar y ejecutar de forma remota el ransomware.
Los piratas informáticos han comprado y utilizado el dominio de brentsmedia, un dominio que, aunque tenía una cuota de mercado bastante baja, ha sido legítimo hasta que caducó, lo que ha llevado a muchos medios de publicidad a confiar en él.
Los principales medios de telecomunicación internacionales han distribuido ransomware entre sus visitantes
Una vez que estos piratas ya tenían el dominio, configuraron el servidor para brindar una publicidad aparentemente legítima pero que, en realidad, utilizaba Angler para distribuir ransomware a sus visitantes. El número de páginas web afectadas es considerable y, aunque la mayoría de ellas son poco relevantes en cuanto a actividad y visitas, ha habido 3 medios de telecomunicación a nivel mundial que sí se han visto afectados por la campaña maliciosa:
  • The New York Times
  • BBC
  • Newsweek
La mayor parte de los portales infectados por esta campaña de publicidad maliciosa no tardaron en eliminarla de sus medios, sin embargo, es probable que algunos sitios web no tan transitados sigan mostrándola a sus visitantes, por lo que su actividad sigue en movimiento.
Probablemente, cuando Adobe Flash Player, Java, Silverlight y otros plugins NPAPI dejen de estar presentes en la web, estos ataques informáticos serán mucho menos frecuentes y peligrosos, sin embargo, de momento son un peligro considerable. Para evitar caer víctimas de un ataque similar debemos asegurarnos de tener actualizado tanto el sistema operativo con los últimos boletines de seguridad como todas las aplicaciones instaladas en él, especialmente las que tienen mayor importancia de cara a web, por ejemplo, el navegador y todos los plugins.
Fuente: SC Magazine

INGRESOS. ZDNet dejan bien claro los de Apple, Google y Microsoft

La publicación ZDNet ha analizado la economía de los tres gigantes tecnológicos, presentando el origen de sus ingresos.
Google
  • Aparte del cambio de nombre anunciado en agosto de 2015, de Google a Alphabet,  con la consiguiente reorganización estructural que implicó, poco ha cambiado en Google, según la publicación ZDNet. Con ello, se refiere a que la publicidad continúa siendo la principal fuente de ingresos  para Alphabet, al aportar el 89,9% de la facturación.
  • El 10% restante proviene  de las ventas de apps,  contenido  audiovisual en Play Store, hardware de Google como Chromecast y  dispositivos Nexus,  servicios en la nube y licencias.
Microsoft
  • A diferencia de Google, y también de Apple,  los ingresos de Microsoft  presentan el mayor nivel de diversificación, al distribuirse entre varias divisiones. La división de servidores y servicios en la nube es la principal área de negocios de la empresa, al representar el 20% de la facturación de Microsoft.
  • La división Xbox  aporta el 15%, mientras que Windows y Office  representan el 10% de la facturación. Anteriormente, Windows era el producto portaestandarte de Microsoft por lo que queda en evidencia el cambio de rumbo que experimenta la empresa.
Apple
  • iPhone Constituye, por sí solo, la principal fuente de ingresos de Apple,  al representar el 68% de su facturación total. En 2013, la tableta iPad  registraba el 18% de la facturación,   cayendo a 9 puntos porcentuales en 2015.
En este gráfico http://pennystocks.la/battle-of-internet-giants/?ref=producthunt  elaborado por PennyStocks Lab se presenta información  actualizada en tiempo real con la facturación  y beneficios –  o pérdidas – de  las grandes empresas tecnológicas estadounidenses.
Fuente: diarioti.com

ENTREVISTA. Edward Snowden aclara las dudas de los españoles

El excontratista de la CIA afirmó en El Objetivo de la cadena de televisión española “La Sexta”, que la Agencia Nacional de Seguridad de EEUU está interceptando a España "billones y billones" de comunicaciones al año y que según Snowden, los obtiene  a través de las líneas de fibra óptica que viajan bajo el mar entre continentes.
El programa El Objetivo de LaSexta emitió el domingo pasado la entrevista que Ana Pastor realizó al exinformático de la CIA Edward Snowden en Moscú.
Una entrevista en la que Snowden describió cómo los servicios secretos de Estados Unidos recolectan la información privada de los ciudadanos de todo el mundo bajo el pretexto de la seguridad y la lucha contra el terrorismo.
El extrabajador de la CIA aseguró que los servicios secretos espiaron a asociaciones como UNICEF, a abogados, a profesores universitarios e incluso a personajes como Martin Luther King, días después de su famoso discurso en Washington.
También afirmó que, pese a sus revelaciones hace dos años, cuando filtró a los periodistas información sobre las labores de la NSA (la Agencia de Seguridad Nacional de EEUU), los servicios secretos de su país siguen trabajando de la misma manera e incluso de forma "más agresiva".
Las afirmaciones de Snowden no se limitan tan sólo a los Estados Unidos. Según el exinformático de la CIA, también los servicios secretos españoles recolectan información de los ciudadanos con los mismos programas que el país norteamericano. "Porque es barato, porque es fácil. Incluso la empresa privada está empezando a hacerlo y también las organizaciones criminales", asegura.
Snowden afirma que la NSA recopila cada año "billones y billones" de comunicaciones originadas tanto en España como en el resto del mundo "a través de las compañías de telecomunicaciones".
Pero no toda la entrevista tuvo un tono serio. Al final, cuando Pastor despidió a Snowden, tuvo una última pregunta para el exinformático. "¿Has estado en España? ¿Conoces nuestro país", preguntó la periodista. "Estuve en España, sólo unas semanas, pero me encantó, es un país precioso", respondió Snowden. "¿Trabajando en el pasado?", inquirió Pastor, provocando la risa de Snowden. "Digamos que fue por placer", contestó el joven.
Fuente: El Huffington Post  

MANOS ARRIBA. Si Apple no crea una puerta trasera en iOS el FBI quiere el código fuente

Según las últimas informaciones y declaraciones, el grupo federal habría solicitado la inclusión de una puerta trasera en iOS, y de no ser así estaría buscando la forma de conseguir el código fuente del sistema operativo móvil.
Desde la compañía ya han manifestado en varias ocasiones cuál es su postura, afirmando que no van a implementar ningún tipo de herramienta ni puerta trasera para que las autoridades puedan acceder de una forma mucho más sencilla y rápida a los datos de los usuarios, concretamente a los responsables de los ataques en San Bernardino. Todo esto se ha llevado ante un juez que será el encargado de dictaminar quién tiene la razón. En el caso de que los de Cupertino lo pierdan, si no quieren implementar la solución propuesta por el FBI tal vez se verían obligados a proporcionar el código fuente.
En definitiva, el FBI tendría acceso a la clave privada y por lo tanto dispondría de acceso a modificar el software de los iPhone confiscados. Aunque se trata de una caso excepcional en el que las autoridades necesitan el acceso a la información y a los dispositivos, desde Apple se niegan rotundamente a facilitar el proceso de forma artificial incluyendo una puerta trasera. Desde la compañía creen que el cambio que se introduzca en la actualidad puede ser utilizado posteriormente sin ningún tipo de control, prefiriendo que un juez dicte sentencia.
Tim Cook ha salido al paso y ha manifestado su desaprobación a las medidas que se quieren imponer, afirmando que los programadores trabajan para hacer la seguridad de estos dispositivos mucho mejor, y que sería contraproducente modificar el software para eliminar la seguridad, añadiendo que para ellos sería volver sobre todo lo andado en los dos últimos años.
La puerta trasera en iOS está descartada
  • Antes de que el juicio termine ya se sabe que la posibilidad de una puerta trasera está casi descartada, ya que como hemos indicado con anterioridad desde la compañía no quieren mirar hacia atras y deshacer todo lo logrado hasta el momento.
  • Aunque aún falta para conocer cuál será la resolución, todo parece indicar que Apple deberá ofrecer acceso al dispositivo y deberá entregar el código fuente. Sobre el papel, ninguna de las dos opciones son adecuadas para los de Cupertino.
  • Dar acceso al FBI implicaría que todo los terminales con este sistema operativo fuesen vulnerables y que en algún momento el FBI fuese capaz de ofrecer actualizaciones fantasma con la simple finalidad de una mayor monitorización de los equipos.
  • Aunque existe una investigación de por medio, si tuvieras que elegir… ¿qué prefieres, una puerta trasera o la clave privada del sistema operativo? ¿Crees que el juez dará la razón a los de Cupertino?
Fuente: Softpedia

CIBERSEGURIDAD. Es tarea del Estado, pero no solo del Estado.

Si las entidades gubernamentales no cuentan con un presupuesto para implementar algún tipo de solución de propósito específico, pueden tomar como buena práctica la correcta configuración en los recursos asignados.
Hoy en día es una tendencia que los gobiernos suban toda la información a la nube y gestionen diferentes operaciones por Internet, con el fin de ofrecer servicios más rápidos, flexibles y de fácil acceso para la ciudadanía, con costos de operación teóricamente moderados.
Sin embargo, muchos de estos servicios en la nube no contemplan todas las capas de seguridad necesarias para proteger los activos de información.
Lo anterior puede generar diferentes impactos en las empresas de sector público, privado y a los ciudadanos, debido a que en los últimos años la ciberseguridad y ciberdefensa han evolucionado tan ágilmente que han hecho difícil predecir en dónde ocurrirá o se materializará la próxima amenaza y qué impacto tendrá en diferentes sectores, incluida la economía local.
Según IDC, en el tercer trimestre de 2015 ocurrieron más de 222,000 ataques de diferentes tipos contra la infraestructura tecnológica en América Latina. Entre los ataques más comunes se encuentran los llamados ataques de denegación de servicio distribuido, también conocidos como ataques DDoS. Estos ataques han adquirido importancia a nivel mundial, por su facilidad de ejecución y por los efectos negativos inmediatos que causan. Además, consisten en un grupo de sistemas comprometidos, también conocidos como “ordenadores zombis” que atacan a un solo objetivo para causar una denegación de servicios a los usuarios legítimos.
Un estudio publicado en la página State of the Internet a nivel mundial, revela que en 2015 los ataques DDoS se incrementaron en un 132% con respecto a 2014 y que de estos, los ataques enfocados a la infraestructura en la nube o ataques de Capa 7, tuvieron un incremento del 122% con respecto a 2014.
¿Qué motiva a estos ataques?
  • Claramente los ataques buscan provocar daños a diferentes víctimas ya sean personales o empresariales con fines políticos, financieros, retaliación, etc. Sin embargo, es claro que la finalidad primaria es causar daño a la reputación de las entidades objeto del mismo.
¿Cuáles son las características de estos ataques?
  • Los ataques DDoS son la amenaza # 1 para data centers que proveen servicios en la nube. Es por esto que su tamaño es cada día más grande, es así que el 80% de los ataques son de más de 100Gbps, haciendo que los más exitosos de estos ataques tengan una duración promedio de 20 horas. Cabe resaltar que esta modalidad de amenaza se vuelve cada día más sofisticada, como los xml-based o los de capa 7 enfocados en la nube, y muchas veces este tipo de amenaza es utilizada por los hackers para enmascarar intrusiones.
¿Qué hacer para prevenir estos ataques?
  • Existen en el mercado muchas soluciones enfocadas para proteger contra estas amenazas, entre las más comunes están los dispositivos antiDDoS de propósito específico, que debido a su tipo especial de hardware son capaces de detener estos ataques y permitir el paso solo del trafico valido, con el fin de proteger toda la infraestructura sin afectar la arquitectura y el direccionamiento.
  • Si las entidades gubernamentales no cuentan con un presupuesto para implementar algún tipo de solución de propósito específico, pueden tomar como buena práctica la correcta configuración en los recursos asignados, como los servicios web para cubrir la demanda de usuarios.
Teniendo en cuenta lo anterior los gobiernos latinoamericanos han generado algunos lineamientos en ciberseguridad orientadas a desarrollar estrategias, instrucciones y normativas respecto al tema, para contrarrestar el incremento de las amenazas informáticas desde tres frentes:
  1. Ciberdefensa: Los gobiernos están enfocados en proteger la infraestructura crítica de cada país con diferentes iniciativas, algunas son: robustecer la infraestructura de seguridad informática, asegurar la soberanía de los países y la creación de grupos de respuesta ante incidentes informáticos.
  2. Ciberseguridad del Estado: Los gobiernos generan lineamientos importantes en materia de organización y estandarización, como el caso de Colombia con su programa Gobierno en Línea. Esta organización guía a las entidades del Estado colombiano para que se organicen en materia de seguridad de la información, seguridad informática y adopción de nuevas tecnologías, como ejemplo el IPv6, con el fin de hacer su infraestructura robusta, segura y que la misma pueda adaptarse a las exigencias de la sociedad.
  3. Ciberseguridad ciudadana: Los gobiernos buscan en este frente concientizar a los ciudadanos, en cuanto a cómo ven su información personal, cómo se comunican y cómo acceden a los diferentes servicios informáticos que ofrecen proveedores públicos y privados. La estrategia pública busca hacer entender a la población de los riesgos relacionados al uso de las redes sociales, lo que genera problemas sociales tales como el ciberacoso, secuestro de información, sexting, etc.
Es importante resaltar que de nada sirven los esfuerzos del Gobierno en tratar de disminuir el nivel de riesgo al que se encuentran expuestas las entidades estatales, empresas privadas, ciudadanos y el país en general, a través de normativas, iniciativas y campañas de concientización, si no se entiende que los planes sin acción, se quedan en papel. Es aquí donde toman relevancia los planes estratégicos de TI enfocados en la consolidación de arquitecturas de seguridad robustas y escalables, permitiendo a las entidades públicas y privadas ofrecer más servicios eficientes.
Fuente: diarioti.com

TWITTER. Ha baneado cuentas de Anonymous por reportar las del Estado Islámico

Los enfrentamientos entre el grupo hackivista y la organización terrorista continúan, pero en este caso ha entrado un tercer actor en el medio de la disputa: los responsables de la red social Twitter. Desde Anonymous creen que la red social está defendiendo de alguna forma a los integrantes del Estado Islámico.
Los enfrentamientos entre los integrantes del grupo de hackers y los responsables de la red social aparecen debido a que desde esta última proceden al baneo de algunas cuentas pertenecientes a miembros de Anonymous por reportar cuentas pertenecientes al Estado Islámico. Hace tiempo realizaron una cruzada contra el grupo terrorista, desvelando una gran cantidad de cuentas en diferentes redes sociales y hackeando sus sistema de comunicación, utilizado presumiblemente para coordinar diferentes acciones.
Los responsables de varias cuentas relacionadas con el grupo de hackers han salido al paso de esta afirmación y afirman que no es oro todo lo que reluce. Añaden que para desde la red social procedan al cierre se ha tenido que reportar en muchos casos al menos 20 veces, sufriendo en más de una ocasión baneos la cuenta desde la que se ha realizado el reporte. Wauchula Ghost, miembros de ChostSec y afiliado a Anonymous, añade que desde Twitter están interpretando estos reportes como un “bullying” contra las cuentas del Estado Islámico, un enfado que ha quedado demostrado tras algunos tweets publicados:
Who Suspended 125,000 Twitter accounts? #OpISIS #Anonymous #GhostOfNoNation https://t.co/BR44Ie1mP6 pic.twitter.com/kIa8mabJQd— WauchulaGhost (@WauchulaGhost) 16 de febrero de 2016   Ah, Twitter Corporation’s priorities.😒 @AmyPeikoff@BoschFawstin@LibertarianBlue@WauchulaGhosthttps://t.co/W03sLTvIx3— Stuart Hayashi (@legendre007) 7 de marzo de 2016
Desde la red social entorpecen la lucha de Anonymous contra la organización terrorista
  • Al grupo de hackers tampoco les ha parecido bien que desde la red social se hayan apuntado de alguna forma el tanto del cierre masivo de cuentas relacionadas con el Estado Islámico y creen que desde ésta crean impedimentos para luchar contra el grupo radical.
  • Hay que recordar que existe una gran cantidad de personas encargadas de llevar a cabo propaganda terrorista en las redes sociales, y sin lugar a dudas Twitter ha sido una de las más utilizadas para esta tarea. Pero no nos podemos olvidar que el servicio Telegram también fue señalado en su momento y que no hace demasiado tiempo hemos hablado que es necesario tomar medidas prácticamente a diario, no sirviendo de nada esperar a que suceda una desgracia para entrar en acción.
Fuente: Softpedia

MALWARE. El de tipo “Polimórfico” no es moda sino tendencia.

El malware polimórfico es una realidad y según los expertos del sector ha venido para quedarse.
Después de una gran cantidad de análisis a lo largo del pasado año, los expertos en seguridad han llegado a la conclusión de que los ciberdelincuentes están empleando técnicas específicas para crear amenazas informáticas mucho más impredecibles por las herramientas de seguridad. Cuando hablamos de un número de variantes alto de un virus que puede llevar poco tiempo distribuyéndose en Internet, es debido a la utilización de malware polimórfico, es decir, amenazas cuyo código es capaz de mutar de acuerdo a las circunstancias del sistema infectado.
Aunque parezca una técnica innovadora, la realidad es que no lo es, solo que hace relativamente menos de un año es cuando se ha empezado a sacar provecho. Sin ir más lejos, el polimorfismo se puede aplicar en el lado del servidor desde el que se distribuye la amenaza o bien cuando este ha llegado al equipo del usuario, en función de las circunstancias existentes, sobre todo en lo referido a herramientas de seguridad y servicios utilizados en el mismo.
Cada vez será más frecuente encontrar malware polimórfico
  • Esta técnica supone un problema para las empresas desarrolladoras de soluciones de seguridad, ya que están acostumbradas a analizar y crear bases de definiciones de virus entorno a los datos obtenidos. Las mutaciones del código dificultan esta tarea y provocan que las herramientas no siempre sean eficaces ante las amenazas, permitiendo su llegada e instalación. En definitiva, se ha aumentado el tiempo de aprendizaje de las amenazas, repercutiendo en la seguridad y en el tiempo de las actualizaciones.
  • Expertos en seguridad coinciden también en que está técnica ha repercutido de forma significativa en el número de archivos distintos disponibles. En lo referido a malware y programas no deseados, en el año 2014 se detectan más de 700 y 30.000 respectivamente por cada tipo de amenaza. Sin embargo, el pasado año el descenso ha sido más que significativo, descendiendo hasta valores próximos a 100 y 260 respectivamente.
  • En definitiva, la llegada del código polimórfico será el problema al que deberán hacer frente los usuarios y desarrolladores de herramientas de seguridad a partir de ahora.
Fuente: Softpedia

MODO PARANOICO. Protección de seguridad y privacidad en Internet

En este post vamos a ver cómo podemos proteger nuestra privacidad en la red en modo paranoico, es decir, asegurándonos de no dejar ningún rastro ni a gobiernos ni a las grandes empresas de Internet. Ser anónimos, ser invisibles en la red.
Evitar en lo posible buscadores de Internet de las grandes empresas
  • Olvidarnos de los servicios comúnmente conocidos y de los buscadores de las grandes empresas que registran todo lo que pasa por sus servidores.
  • En vez de Google o Bing, para buscar por Internet utilizar alternativas seguras y privadas como DuckDuckGo o a través de aplicaciones como Disconnect Search que nos permite realizar búsquedas en los principales motores de forma totalmente anónima y privada, evitando dejar el más mínimo rastro sobre nosotros.
La comunicación a través de Internet, si es con herramientas y plataformas libres, mucho mejor
En el caso del correo electrónico, las plataformas más utilizadas son Gmail y Outlook, de Google y Microsoft respectivamente. Para evitar que estas dos empresas puedan revisar nuestros correos electrónicos (aunque sea por orden gubernamental) debemos utilizar otros servidores de correo como por ejemplo, los que vamos a exponemos a continuación:
  1. OpenMailBox (Un servidor de correo gratuito y abierto https://www.openmailbox.org/  ).
  2. ProtonMail (Si lo que queremos es un servidor de correo electrónico con cifrado extremo a extremo https://protonmail.com/  ).
  3. 10 Minute Mail (Si queremos una bandeja de entrada temporal, útil para registros https://10minutemail.com/10MinuteMail/index.html  ).
  4. RiseUP (Proporciona cuentas de correo electrónico seguras y privadas, pudiendo acceder a ellas por web, shell, IMAP, o POP https://help.riseup.net/  ).
  5. También podemos utilizar combinaciones como Thunderbird + Enigmail + un par de claves GPG generadas por nosotros mismos.
Con la mensajería instantánea, igualmente debemos evitar el uso de las aplicaciones convencionales como WhatsApp, Hangouts y Skype, utilizando en su lugar otras como:
  1. Pidgin + OTR (Aplicando cifrado, autenticación y privacidad a Pigdin https://otr.cypherpunks.ca/  )
  2. Tox (Para mensajería de texto, voz y vídeo). https://tox.chat/index.html 
  3. Chat Secure (Añade una capa de seguridad OTR a la mensajería de Facebook y Google Talk https://chatsecure.org/  ).
  4. Signal Private Messenger (Similar a Tox, pero para móviles). https://whispersystems.org/ 
  5. Jitsi (Audio y vídeo cifrado de extremo a extremo). https://jitsi.org/ 
Las contraseñas y el cifrado siempre privados
Si queremos utilizar un programa para almacenar nuestras contraseñas debemos utilizar herramientas libres y gratuitas, donde todos los datos se almacenen localmente, por ejemplo:
  1. KeePass  http://keepass.info/ 
  2. KeePassX https://www.keepassx.org/ 
También, a la hora de cifrar los archivos, debemos utilizar aplicaciones libres, asegurándonos de que en el código no se esconde ninguna puerta trasera que pueda dar acceso no autorizado a los datos, por ejemplo:
Navegación segura por Internet, algo imprescindible
Por último, no debemos olvidarnos de una de las partes más importantes: la navegación.
Lo primero que debemos hacer es asegurarnos de blindar un navegador libre, como Firefox, frente a todo el código que se ejecuta sin nuestro permiso. Para ello, instalaremos extensiones como:
  1. NoScript
  2. HTTPS Everywhere
  3. Better Privacy
  4. Beef Taco
También podríamos utilizar
  • La red Tor de manera que nuestras conexiones permanezcan siempre seguras y protegidas. 
  • Un sistema operativo libre, gratuito y seguro, basado en Linux y que se ejecute en modo LIVE como TAILS (https://tails.boum.org/ ) que permite utilizar, muchas aplicaciones antes mencionadas, el navegador Tor Browser (Firefox + extensiones + Tor) sin configurar nada, asegurándonos que ningún dato se guarda en discos duros, por ejecutarse sistema operativo y aplicaciones completamente desde la RAM y quedando los datos eliminados una vez se corta la corriente del ordenador.
Fuente: Redeszone.net

GOOGLE. Corrige tres vulnerabilidades en Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 49.0.2623.87) para todas las plataformas (Windows, Mac y Linux) para corregir tres nuevas vulnerabilidades de gravedad alta.
 En esta ocasión se han corregido tres vulnerabilidades, una confusión de tipos y un uso después de liberar en Blink (con CVE-2016-1643 y CVE-2016-1644) y una escritura fuera de límites en PDFium. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 8.500 dólares en recompensas a los descubridores de los problemas.
 Esta actualización se realiza apenas unos días después de que publicara la versión 49, que ya corregía otros 26 problemas de seguridad. La publicación de esta nueva versión con tan poco tiempo de diferencia, y la importancia de las recompensas, es un indicativo de la especial gravedad de los problemas corregidos.
 Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de “Información sobre Google Chrome” (chrome://chrome/).
Más información:
Fuente: Hispasec

SAMBA Descubiertas dos nuevas vulnerabilidades

Se han confirmado dos vulnerabilidades en las versiones actuales de Samba, que podrían permitir a un atacante provocar condiciones de denegación de servicio en el servidor DNS interno o permitir la sobreescritura de ACLs.
 Samba es un software gratuito que permite acceder y utilizar archivos, impresoras y otros recursos compartidos en una intranet o en Internet. Está soportado por una gran variedad de sistemas operativos, como Linux, openVMS y OS/2. Está basado en los protocolos SMB (Server Message Block) y CIFS (Common Internet File System).
 El primero de los problemas (con CVE-2015-7560) puede permitir a un cliente malicioso sin autenticar puede usar extensiones SMB1 UNIX para crear un enlace simbólico a un archivo o directorio, y entonces emplear llamadas no-UNIX SMB1 para sobreescribir contenidos de la ACL en el archivo o directorio vinculado. Afecta a todas las versiones de Samba desde la 3.2.0 a 4.4.0rc3.
 Por otra parte (con CVE-2016-0771) cuando Samba se despliega como un AD DC (Active Directory Domain Controller) y se utiliza el servidor DNS interno, es vulnerable a una lectura fuera de límites durante el tratamiento de registros DNS TXT provocada por usuarios con permisos para modificar los registros DNS. Un cliente malicioso podrá subir un registro DNS TXT especialmente construido para provocar condiciones de denegación de servicio. Afecta a las versiones de Samba 4.0.0 a 4.4.0rc3.
Recomendación
  • Se han publicado parches para solucionar estas vulnerabilidades en http://www.samba.org/samba/security/
  • Adicionalmente, se han publicado las versiones Samba 4.4.0rc4, 4.3.6, 4.2.9 y 4.1.23 que corrigen los problemas.
Más información:
Fuente: Hispasec

MICROSOFT. Publica 13 boletines de seguridad y soluciona 44 vulnerabilidades

Este martes Microsoft ha publicado 13 boletines de seguridad (del MS16-023 al MS16-035) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad “crítico” mientras que los ocho restantes son “importantes”. En total se han solucionado 44 vulnerabilidades.
  1. MS16-023: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 13 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2016-0102 al CVE-2016-0114).
  2. MS16-024: Boletín “crítico” que incluye la igualmente habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan seis vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-0102, CVE-2016-0105, CVE-2016-0109 al CVE-2016-0111, CVE-2016-0116, CVE-2016-0123 al CVE-2016-0125, CVE-2016-0129 y CVE-2016-0130).
  3. MS16-025: Boletín “importante” que resuelve una vulnerabilidad (CVE-2016-0100) que podría permitir la ejecución de código remoto debido a que Windows falla al validar adecuadamente las entradas antes de cargar determinadas librerías. Afecta a Windows Vista y Windows Server 2008.
  4. MS16-026: Boletín “crítico” que resuelve dos vulnerabilidades (CVE-2016-0120 y CVE-2016-0121) la más grave de ellas podría permitir la ejecución remota de código si el usuario abre un documento o una página web específicamente creada que contenga fuentes OpenType incrustadas
  5. MS16-027: Boletín de carácter “crítica” destinado a corregir dos vulnerabilidades en que podrían permitir la ejecución remota de código si el usuario abre contenido multimedia específicamente creado alojado en un sitio web (CVE-2016-0101 y CVE-2016-0098).
  6. MS16-028: Destinado a corregir dos vulnerabilidades “críticas” que podrían permitir la ejecución remota de código si se abre un archivo .pdf específicamente creado (CVE-2016-0117 y CVE-2016-0118).
  7. MS16-029: Boletín “importante” que soluciona tres vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2016-0021, CVE-2016-0057 y CVE-2016-0134).
  8. MS16-030: Boletín considerado “importante” que resuelve dos vulnerabilidades que podrían permitir la ejecución remota de código si Windows OLE falla al validar adecuadamente las entradas del usuario (CVE-2016-0091 y CVE-2016-0092).
  9. MS16-031: Boletín “importante” que resuelve una vulnerabilidad (CVE-2016-0087) de elevación de privilegios en Windows. Afecta a Windows Vista, Windows Server 2008 y Windows 7.
  10. MS16-032: Boletín “importante” que resuelve una vulnerabilidad de elevación de privilegios si el servicio Windows Secondary Logon falla al tratar peticiones en memoria (CVE-2016-0099).
  11. MS16-033: Boletín de carácter “importante” destinado a corregir una vulnerabilidad de elevación de privilegios si un atacante con acceso físico inserta en el sistema un dispositivo USB específicamente manipulado (CVE-2016-0133)
  12. MS16-034: Boletín “importante” que resuelve cuatro vulnerabilidades de elevación de privilegios en los controladores modo kernel de Windows. Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012 y Windows 10. (CVE-2016-0093, CVE-2016-0094, CVE-2016-0095 y CVE-2016-0096)
  13. MS16-035: Boletín “importante” que soluciona una vulnerabilidad (CVE-2016-0132) en Microsoft .NET Framework que podría permitir evitar características de seguridad debido a que no se validan determinados elementos de un documento XML firmado.
Recomendación
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Fuente: Hispasec

ADOBE. Actualizaciones de seguridad para Adobe Acrobat, Reader y Digital Editions

Adobe ha publicado actualizaciones para corregir 3 vulnerabilidades críticas en Adobe Reader y Acrobat en diferentes plataformas y otra vulnerabilidad, también crítica, en Digital Editions; que podrían permitir a un atacante tomar el control de los sistemas afectados.
Respecto a Reader y Acrobat, las versiones afectadas son Acrobat y Reader XI 11.0.14 (y anteriores) para Windows y Macintosh y Acrobat DC y Acrobat Reader DC (15.010.20059 y 15.006.30119 y anteriores).
Detalle de la actualización
  • Esta actualización soluciona dos vulnerabilidades de corrupción de memoria (CVE-2016-1007, CVE-2016-1009) y un tercer problema (CVE-2016-1008) en la ruta de búsqueda de directorio utilizada para encontrar recursos; todas ellas podrían permitir la ejecución de código.
  • Para corregir estos problemas Adobe ha publicado las versiones 11.0.15 de Acrobat XI y Reader XI, Acrobat DC y Reader DC 15.010.20060 y 15.006.30121; las cuales solucionan los fallos descritos. Se encuentran disponibles para su descarga desde la página oficial, y a través del sistema de actualizaciones cuya configuración por defecto es la realización de actualizaciones automáticas periódicas.  http://www.adobe.com/downloads/ 
  • Por otra también se ha solucionado una vulnerabilidad en Adobe Digital Editions (ADE), un software gratuito que permite la descarga y lectura de eBooks en formato EPUB y PDF en el ordenador, así como transferirlos a lectores de eBooks.
  •  El problema, con CVE-2016-0954, afecta a Adobe Digital Editions versión 4.5.0 (y anteriores) para Windows, Macintosh, iOS y Android. Reside en una vulnerabilidad de corrupción de memoria que podría dar lugar a una ejecución remota de código. Un atacante que aproveche este fallo podría provocar la caída de la aplicación e incluso tomar el control de los sistemas afectados.
Recomendaciones
Adobe recomienda a los usuarios actualizar los productos afectados a la versión 4.5.1 correspondiente para cada plataforma.
Más información:
Fuente: Hispasec

MOZILLA. Publica Firefox 45 y corrige 40 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 45 de Firefox, junto con 22 boletines de seguridad destinados a solucionar 40 nuevas vulnerabilidades en el navegador. También se ha publicado Firefox ESR 38.7.
Se han publicado 22 boletines de seguridad del año (del MSFA-2016-016 al MSFA-2016-037). Ocho de ellos están considerados críticos, siete de gravedad alta, seis moderados y uno de nivel bajo. En total se corrigen 40 nuevas vulnerabilidades en Firefox.
15 de los boletines publicados también afectan a  Firefox ESR 38.7 (versión de soporte extendido) especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas.
Detalle de las vulnerabilidades corregidas
  •  Las vulnerabilidades críticas residen en dos problemas (CVE-2016-1952 y CVE-2016-1953) de tratamiento de memoria en el motor del navegador que podrían permitir la ejecución remota de código. Otro fallo por una lectura fuera de límites en Service Worker Manager (CVE-2016-1959). Por usos después de liberar en el tratamiento de cadenas HTML5 (CVE-2016-1960), en SetBody (CVE-2016-1961), al usar múltiples canales de datos WebRTC (CVE-2016-1962) y durante transformaciones XML (CVE-2016-1964). También por un desbordamiento de búfer al decodificar ASN.1 en NSS (CVE-2016-1950). Por último, 14 vulnerabilidades en el tratamiento de fuentes en la librería Graphite 2 en la versión 1.3.5 (CVE-2016-1977 y CVE-2016-2790 al CVE-2016-2802). Firefox 45 y Firefox ESR 38.7 han actualizado Graphite 2 a la versión 1.3.6.
  •  Además, también se han corregido otras vulnerabilidades de gravedad alta como una sobreescritura local de archivos y escalada de privilegios a través de informes CSP, salto de la política de mismo origen mediante performance.getEntries y el historial de navegación con la restauración de la sesión, un desbordamiento de búfer en la descompresión de la librería Brotli, corrupción de memoria con plugins NPAPI maliciosos, un uso después de liberar en GetStaticInstance en WebRTC o un uso después de liberar mientras se procesan llaves codificadas DER en las librerías Network Security Services (NSS).
Recomendación
Más información:
Fuente: Hispasec

ADOBE. Soluciona 23 vulnerabilidades en Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player, que en esta ocasión soluciona 23 vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.
Todos los problemas que se corrigen en este boletín (APSB16-08) permitirían la ejecución de código arbitrario aprovechando 11 vulnerabilidades de uso de memoria después de liberarla, un desbordamiento de búfer, tres desbordamientos de entero y ocho de corrupción de memoria.
 De igual forma, Microsoft también ha publicado el boletín MS16-036, fuera de su ciclo habitual, para reflejar estas actualizaciones de Adobe Flash.
Detalle de las vulnerabilidades corregidas
  •  Las vulnerabilidades afectan a las versiones de Adobe Flash Player 20.0.0.306 (y anteriores) para Windows, Macintosh, y navegadores Chrome, Internet Explorer y Edge; Adobe Flash Player Extended Support Release 18.0.0.329 (y anteriores) para Windows y Macintosh; y Adobe Flash Player 11.2.202.569 (y anteriores) para Linux. También afecta a Adobe AIR.
  •  Los CVE asignados son: CVE-2016-0960 al CVE-2016-0963, CVE-2016-0986 al CVE-2016-1002, CVE-2016-1005 y CVE-2016-1010
  • Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:
  1. Flash Player Desktop Runtime 21.0.0.182
  2. Flash Player Extended Support Release 18.0.0.333
  3. Flash Player para Linux 11.2.202.577
  • Igualmente se ha publicado la versión 21.0.0.182 de Flash Player para navegadores Internet Explorer, Edge y Chrome.
  • También se han actualizado AIR Desktop Runtime, AIR SDK, AIR SDK & Compiler a la versión 21.0.0.176 (Windows, Macintosh, Android e iOS).
Recomendación
Más información
Fuente: Hispasec