3 de agosto de 2016

EEUU. Campaña de Clinton también sufre ataque cibernético

La red de computadores utilizada por la campaña de la candidata presidencial demócrata, Hillary Clinton, sufrió un ciberataque en el marco de una ofensiva de piratas informáticos contra organizaciones políticas del partido, dijeron a Reuters fuentes con conocimiento del tema.
El más reciente ataque, que fue revelado el viernes a Reuters, se conoce luego de reportes de otras dos violaciones de seguridad contra el Comité Nacional Demócrata (DNC, por sus siglas en inglés) y la organización que recauda fondos para los candidatos del partido a la Cámara de Representantes de Estados Unidos.
Un portavoz de la campaña de Clinton dijo en un comunicado en la tarde del viernes que un programa de análisis de datos que mantenía el comité y que era utilizado por la campaña y otras entidades "fue vulnerado como parte del ciberataque al DNC".
"Nuestro sistema de computadores de campaña ha estado bajo revisión de expertos en ciberseguridad externos. Hasta la fecha, ellos no han hallado evidencia de que nuestros sistemas internos hayan sido comprometidos", dijo el portavoz de la campaña de Clinton Nick Merrill.
Una división del Departamento de Justicia de Estados Unidos está investigando si los ciberataques contra las organizaciones políticas demócratas amenazaron la seguridad del país, dijeron el viernes fuentes con conocimiento del tema.
Fuente: Reuters

RUSIA. Manifiesta que existen programas espía en sus redes informáticas estatales

El servicio de inteligencia de Rusia dijo el sábado que las redes computacionales de 20 organizaciones, incluyendo agencias estatales y empresas de defensa, fueron infectadas con software espía, en lo que calificó como un ataque dirigido y coordinado.
El Servicio Federal de Seguridad ruso dijo que los programas maliciosos y la forma en que las redes se infectaron tienen similitudes con casos anteriores de espionaje cibernético que se han dado en Rusia y otros países. La agencia no dijo de quién sospecha que esté detrás de los ataques.
"Se han infectado los recursos tecnológicos de información de agencias gubernamentales, instituciones científicas y militares, compañías del sector de defensa y otras entidades que participan en infraestructura cruciales", dijo el organismo en un comunicado en su página web.
El anuncio se produce después de informaciones sobre ataques cibernéticos al Comité Nacional Demócrata de Estados Unidos (DNC, por su sigla en inglés) y al comité de recaudación de fondos para candidatos demócratas para la Cámara de Representantes de ese país.
Expertos en seguridad cibernética y funcionarios estadounidenses han dicho que había pruebas de que Rusia ha estado detrás del ataque al DNC para liberar correos electrónicos sensibles del partido con el fin de influir en la elección presidencial de EEUU. El Kremlin ha negado cualquier participación en el incidente.
Fuentes: Reuters

PIRATERIA. Hacker vende datos personales de 200 millones de cuentas de Yahoo

Un conocido hacker está vendiendo información de 200 millones de cuentas de Yahoo en la 'deep web' (Internet profunda). Se trata de 'Peace', el mismo ciberdelincuente que puso a la venta previamente bases de datos de otras grandes empresas como MySpace y LinkedIn, según informa Motherboard.
La compañía estadounidense ha dicho que es "consciente" del anuncio y ha denunciado que se esté comprometiendo la seguridad de sus usuarios, pero no ha confirmado --ni tampoco negado-- si estos datos privados han sido filtrados desde su propia base de datos.
"Nuestro equipo de seguridad está trabajando para determinar los hechos. Yahoo trabaja duro para mantener a los usuarios seguros", ha agregado la empresa. Los datos que ofrece el hacker podrían tener nombres de usuario, contraseñas fechas de cumpleaños e incluso el archivo de mails.
Fuente: Europa Press

GALAXY NOTE 7. Samsung presenta su mejor dispositivo hasta la fecha, según la multinacional

El Samsung Note 7 toma el diseño del Galaxy S7 y le incorpora su toque distintivo -el lápiz óptico-, además de una serie de funcionalidades mejoradas, como por ejemplo la identificación por iris, una carpeta segura o la posibilidad de editar GIFs en unos pocos segundos. 
Ficha técnica
  1. Pantalla.- 5,7 pulgadas Quad HD Dual Edge Super AMOLED (2.560 x 1.440). Cristal Gorilla Glass 5
  2. Batería .- 3.500 mAh (el accesorio 'Back pack' integra 3.100 mAh adicionales)
  3. Dimensiones.- 153,5 x 73,9 x 7,9 mm
  4. Peso.- 169 gramos
  5. Sistema operativo.- Android 6.0.1 (Marshmallow)
  6. Memoria.- 4GB RAM
  7. Capacidad.- 64 GB (ampliable hasta 256 GB con microSD)
  8. Cámaras.- Trasera de 12 mpx y delantera de 5 mpx
  9. Procesador.- Exynos Octa Core de 64 bit, 14 nm process
  10. Seguridad.- Biometría por huella dactilar e iris; carpeta de almacenamiento segura
  11. Otros.- Conectividad NFC; USB Type-C; aluminio ultrarresistente (AL 7000)
Un smartphone pensado para el profesional
  • El Samsung Galaxy Note 7 es un dispositivo que incorpora funcionalidades avanzadas como cámara trasera de 12 megapíxels, un procesador de ocho núcleos, una buena batería (3.100 mAh) y 4 gigas de RAM. No obstante, su mayor rasgo diferencial es el lápiz S Pen.
  • Samsung es consciente de ello y por eso lo mejora y enriquece en este gadget. Con 4.096 puntos de presión (el doble que en el Galaxy Note 5), permite tomar notas sobre la pantalla, aun cuando ésta esté apagada. Funciona a la perfección. La sensación es prácticamente idéntica a la de escribir con un bolígrafo sobre un cuaderno, o un post-it.
  • Con el nuevo S Pen, el usuario puede también seleccionar palabras y traducirlas, minimizar una pantalla, o seleccionar clips de un vídeo (sin necesidad de descargarlo) y formar un GIF en apenas unos segundos. El lápiz actúa asimismo como una lupa.
  • Otro punto fuerte del Galaxy Note 7 es la seguridad. Además de la identificación por huella dactilar, incorpora biometría de iris, que funciona sorprendentemente rápido (en condiciones normales de luz, reconoce al usuario en menos de un segundo). Asimismo, integra una carpeta segura, donde el usuario puede almacenar aplicaciones y archivos que requieran de una seguridad extra.
  • Es un smartphone enfocado en la productividad, aunque incluye funcionalidades de ocio y multimedia que lo hacen más atractivo en mercados como el europeo. Así, además de mencionada la edición ultrarrápida de GIFs, es el primer smartphone del mercado que permite reproducir vídeos HDR.
  • Por otra parte, igual que el Galaxy S7, es un móvil resistente al agua y al polvo. Incorpora pantalla Gorilla Glass 5 y la carcasa es de aluminio AL 7000 (más resistente frente a golpes y arañazos que el aluminio estándar).
  • "El usuario medio de un Galaxy Note es un usuario más activo: se descargan más apps, consumen más contenido... Con el Note 7 buscamos ofrecerle la productividad que necesita para el trabajo, pero sin olvidar la producción y el consumo de contenido. Los consumidores, especialmente en este segmento, demandan dispositivos que puedan emplear tanto en su vida profesional como en la personal", señalan fuentes de la compañía.
  • El Samsung Galaxy Note 7 estará disponible en tres colores: negro, titanio y azul coral (este último incorpora un marco dorado mate).
Fuente: Expansion.com

WHATSAPP. No elimina las conversaciones borradas

La privacidad y Whatsapp y la privacidad parecen ser enemigos irreconciliables. Tras pensar que estábamos más seguros con el cifrado de extremo a extremo, ahora descubrimos que los mensajes que eliminamos no desaparecen por completo.
El problema ha sido detectado por el experto en seguridad Jonathan Zdziarski, quien asegura haber localizado un fallo de diseño en las librerías SQL de la aplicación. "Incluso después de haber borrado, limpiado y archivado las conversaciones, incluso si borras todos los chats. De hecho, la única forma para conseguir que desaparezcan es borrar la aplicación entera", comenta Zdziarski en su blog.
Según explica el experto, las conversaciones no se pueden ver directamente, pero un experto en software puede recuperarlas si tiene acceso al móvil. Incluso es posible realizar una copia . Una orden judicial también puede servir para acceder al terminal y recuperar las conversaciones que supuestamente se han borrado.
Esto supone que mediante una orden judicial, aunque un usuario haya borrado sus conversaciones, la policía podrá recuperarlas. Zdziarski realizó las pruebas con un teléfono iPhone, que, según explica, también guarda las conversaciones en la nube de Apple, iCloud, cuando se tienen sincronizados los dispositivos.
Para evitar este fallo de seguridad, al que el experto considera "un riesgo muy grave para la intimidad", él mismo aconseja utilizar una contraseña más larga y complicada en iTunes, desactivar las copias de seguridad de iCloud o borrar de vez en cuando la aplicación Whatsapp por completo y volver a instalarla.
Fuente: Expansion.com

GOOGLE. Añade soporte para HSTS a su dominio principal

Desde este fin de semana, Google ha habilitado por defecto el uso del protocolo HSTS en todas las conexiones HTTPS a su dominio principal google.com de manera que los usuarios que se conecten al buscador a través de él verán su seguridad mejorada frente a los ataques de red que hemos mencionado a continuación.
Según los ingenieros de Google, implementar HSTS en un servidor normal es una tarea bastante sencilla y que aporta mucha seguridad para los usuarios, sin embargo, debido a la complejidad de toda la infraestructura de Google, han tenido que trabajar muchos más aspectos en sus servidores y dominios que la mayoría de los administradores web no tendrán que hacer, por ejemplo, habilitar el acceso al contenido mixto y redirigir a los usuarios a las webs HTTP en caso de que las conexiones HTTPS o HSFS no se establezcan correctamente.
Aunque las conexiones HSFS llevan implementadas en Google desde diciembre del año pasado, estas no estaban habilitadas, y es que durante estos últimos 8 meses la compañía ha tenido que asegurarse de que, a pesar de la implementación de este protocolo, ningún dominio de la compañía dejara de funcionar. 
En las próximas semanas, la compañía tiene pensado habilitar el protocolo de seguridad en el resto de dominios de manera que todos los usuarios de todo el mundo puedan verse beneficiados por esta medida de seguridad.
El 95% de las páginas con HTTPS no usan HSTS
  • Según un reciente estudio, más del 95% de las páginas web, en teoría seguras, que ofrecen a los usuarios conexiones a través del protocolo HTTPS no implementan HSTS o, de hacerlo, tienen fallos en la configuración que impide su uso adecuado. Este estudio demuestra que, además, una de cada 20 conexiones HTTPS es insegura debido a problemas de configuración e implementación de los protocolos de seguridad.
  • La semana pasada hemos hablado de dos nuevas técnicas de ataque para conexiones HTTPS, una de las cuales permitía obtener la URL completa de un paquete HTTPS (con su token de sesión) y la otra, conocida como HEIST, comprometer y descifrar por completo el tráfico HTTPS, por lo que, debido a estas brechas de seguridad en el protocolo HTTPS, es necesario que el mayor número de páginas web implementen la capa HSTS para que los usuarios que necesiten proteger sus conexiones puedan hacerlo de la mejor forma posible.
Fuente: Google Security

ADGHOLAS. Incluye su código en imágenes para no ser detectado

Aunque puede parecer una campaña de malware normal, en realidad es la primera a gran escala que se basa en la conocida como esteganografía. Los expertos en seguridad han detectado que el adware AdGholas introduce su código en imágenes para evitar ser detectado por las herramientas de seguridad.
Se trata de una técnica que ha aparecido hace unos pocos años y que en universidades se ha utilizado de forma experimental para hacer ver a los usuarios cuál es la potencia de esta técnica. Desde el pasado año algunos ciberdelincuentes lo pusieron en práctica distribuyendo algunas amenazas en una escala muy pequeña, algo que parece haber cambiado por completo y que gracias a este campaña podría servir como un punto de inflexión a la hora de distribuir amenazas en Internet.
Y es que si el ransomware pilló desprevenidos a los expertos en seguridad y las herramientas existentes, esta forma de ocultar los virus informáticos no va a ser menos y es probable que las soluciones antivirus tarden en estar preparadas de forma correcta para hacer frente a estas amenazas.
AdGholas se distribuye con mucho cuidado
  • Aunque el código está presente en contenidos de páginas web infectadas, hay que decir que el adware es capaz de filtrar de forma óptima los equipos a infectar, eligiendo aquellos que mejor se adapten a sus necesidades. Expertos en seguridad detallan que la preferencia es sobre todo aquellos con sistema operativo Windows y que no presenten ninguna herramienta de seguridad activa, maximizando de esta forma el impacto provocado.
  • Cuando se han sobrepasado las medidas de seguridad y se ha realizado la descarga de la primera pieza de malware, que es la que está oculta dentro de una imagen, se realiza la de un exploit que a su vez permite la llegada de un troyano bancario al equipo. Esta última, dada su antigüedad, sí sería detectada por una herramienta de seguridad de ahí que los ciberdelincuentes se tomen tantas molestias en comprobar si existe alguna activa en el equipo infectado antes de proceder con su descarga.
  • La esteganografía se deja ver y es probable que a partir de ahora sea una constante en la distribución de amenazas haciendo uso páginas web o descargas directas, incluyendo una imagen en una carpeta comprimida y algo de lo que el usuario no será consciente.
Fuente: MalwareTips

WINDOWS. Fallo de seguridad expone la cuenta de Microsoft y las credenciales VPN

Recientemente, expertos de seguridad han detectado una nueva técnica de ataque aprovechando un fallo en la forma con la que Microsoft gestiona la autenticación de los recursos compartidos, una forma obsoleta y que puede permitir a un atacante engañar al sistema operativo para que envíe información confidencial sobre los usuarios a su propia red, incluso a través de Internet.
Para explotar este fallo, lo único que se debe hacer es incrustar un enlace a un recurso SMB dentro de una web o un correo electrónico. Al intentar acceder a dicho recurso desde Internet Explorer, Edge u Outlook, debido a la forma en que Windows maneja las credenciales de autenticación para los recursos compartidos de una red, la víctima enviará automáticamente los datos de inicio de sesión del dominio a la propia red del atacante, incluso a través de Internet.
Mientras que los usuarios de Windows 7 y versiones anteriores se autenticaban a los recursos de la red con cuentas locales y no tenían necesidad de vincular ninguna cuenta de Microsoft a su sistema operativo, a partir de Windows 8 este fallo se agrava considerablemente, ya que un atacante puede hacerse con el control completo de nuestra cuenta de Microsoft, incluido el acceso a Skype, Xbox Live, Office 365, OneDrive y Azure, entre otros servicios. Además, según los expertos, si nos conectamos a un recurso SMB desde una VPN, el atacante puede también hacerse con el control de dicha cuenta, algo bastante más peligroso.
La contraseña de la cuenta de Microsoft no se envía en texto plano, sino que se envía como un hash NTLM, algo que hace tiempo que ha demostrado ser inseguro. Además, no es la primera vez que Windows queda en evidencia por utilizar este sistema de autenticación para recursos compartidos, ya que se lleva hablando de ello desde 1997, incluso se han realizado varias demostraciones en pasadas conferencias Black Hat.
Cómo protegernos de este fallo de Windows
  • A medida que han pasado los años, Microsoft ha ido solucionando otras vulnerabilidades antiguas de manera que no comprometieran a los usuarios, sin embargo, la gestión de credenciales del protocolo SMB no ha sido una de ellas.
  • Si queremos evitar que un atacante pueda hacerse con nuestros datos mediante ingeniería social, lo recomendable es bloquear todas las conexiones salientes el puerto utilizado por SMB (445) en nuestro router o firewall. Además, como medida de seguridad adicional, debemos desvincular nuestra cuenta de Microsoft del inicio de sesión de Windows y utilizar una cuenta local para ello, evitando así que, en caso de robo de los credenciales, se comprometa toda nuestra cuenta de Microsoft.
Fuente: habrahabr

ANDROID. Disponibles los parches de seguridad de agosto

El 1 de agosto, Google ha hecho pública la información relacionada con sus boletines de seguridad correspondientes a agosto de este año. 
En esta ocasión, el número de vulnerabilidades y fallos de seguridad que han sido solucionados por la compañía asciende a 103, un número bastante elevado, pero aún inferior al del mes pasado. De estos 103 fallos de seguridad solucionados, 22 se encuentran en el propio sistema operativo y los otros 81 restantes en los drivers del mismo, principalmente en los componentes Qualcomm.
En cuanto a los fallos internos del sistema operativo, 3 de ellos, relacionados una vez más con el componente Mediaserver, son críticos, 9 de ellos de peligrosidad alta y los 10 restantes de peligrosidad moderada. Respecto a los parches de seguridad relacionados con los controladores del kernel, la mayoría de ellos responsabilidad de Qualcomm, 44 de los 81 totales han sido considerados como críticos, 32 de los restantes como de peligrosidad alta y los 5 restantes de peligrosidad moderada.
Cómo protegernos de estas vulnerabilidades de Android
  • Tal como informa Google, la principal medida de seguridad que debemos aplicar es actualizar nuestro sistema operativo a la última versión disponible. Además, el equipo de seguridad de Google recuerda a los usuarios que la principal vía de infección es mediante la instalación de aplicaciones desde tiendas no oficiales por lo que, si instalamos todo desde la Play Store, reduciremos considerablemente las vías de infección. Por último, las versiones más recientes de Hangouts y Messenger no se comunican directamente con Mediaserver, por lo que se cierra esta forma de comprometer a los usuarios.
  • Igual que el mes pasado, Google liberará estos boletines en dos partes, estando ya disponible la primera de ellas solucionando los 22 fallos de seguridad del sistema operativo como tal y llegando la segunda, centrada en las brechas de seguridad de los drivers, el próximo 5 de agosto. Los dispositivos que recibirán estos boletines son los Nexus 5, 6, 5X, 6P, 7, 9, el Nexus Player y el Pixel C.
  • Por desgracia, estos boletines solo llegan a los smartphones Nexus, por lo que los usuarios de otros modelos tendrán que esperar a que los correspondientes fabricantes liberen la actualización, si es que lo hacen, u optar por instalar una rom alternativa, como CyanogenMod, que incluya dichos parches de manera no oficial.
Fuente: Android Security

OPENSSH 7.3. Disponible, conoce sus principales novedades

El equipo de desarrollo de OpenSSH, el popular software que tiene integrado el protocolo SSH 2.0 al 100%, incluyendo servidor y cliente SFTP para la transferencia de archivos de manera segura. La nueva versión OpenSSH 7.3 viene cargada con una gran cantidad de novedades y correcciones de seguridad.
Anuncio de la retirada de algunas funciones consideradas “obsoletas”
  • En el changelog de esta nueva versión OpenSSH 7.3 se ha anunciado la retirada de algunas funciones obsoletas que aún siguen estando presentes, anuncian este cambio de cara a que los administradores de sistemas tomen las medidas oportunas.
  • Lo primero que harán es retirar todas las clases RSA menores a 1024 bits por estar consideradas “rotas”, además, también se quitará la compatibilidad con el protocolo SSH versión 1.0 porque no es seguro desde hace años, de hecho, esta nueva versión OpenSSH 7.3 por defecto no se compila esta versión. Han anunciado que en 1 año eliminarán cualquier tipo de soporte para SSH versión 1.0.
Cambios en OpenSSH 7.3
  • Los principales cambios en OpenSSH 7.3 están relacionados con la seguridad. En sshd (servidor SSH) se ha mitigado un potencial ataque de denegación de servicio contra el servicio crypt, si un usuario malintencionado enviada contraseñas muy largas, podría causar un consumo excesivo de CPU. Ahora sshd no permite tener contraseñas de más de 1024 caracteres. También se ha mitigado las diferencias de tiempo en la autenticación con contraseñas, ya que con claves muy largas podría haber un desfase de tiempo muy importante si el usuario legítimo ha cambiado la clave en ese momento.
  • Respecto al esquema de cifrado CBC, aunque está por defecto deshabilitado en la compilación de SSH, se han corregido algunos fallos por si el usuario lo utiliza.
Nuevas características de OpenSSH 7.3
  • Algunas de las nuevas características introducidas en ssh (cliente SSH) es la opción de ProxyJump para conectarnos fácilmente a través de uno o más servidores SSH como pivotes, además, se ha añadido la opción IdentityAgent y se han habilitado las opciones ExitOnForwardFailure y ClearAllForwardings. Otra característica interesante para ssh y sshd es que se ha añadido soporte para Diffie-Hellmann con claves de 2048, 4096 y 8192 bits utilizando el método de intercambio de claves draft-ietf-curdle-ssh-kex-sha2-03. También se ha añadido el soporte con los algoritmos de hash SHA256 y SHA512 para las firmas de los certificados RSA.
Fuente: Redeszone.net

BITCOIN. Su valor se desploma tras el robo de 65 millones de dólares

Hace algunas horas, el portal Bitfinex confirmaba que un grupo de piratas informáticos aún por identificar habían conseguido robar un total de 119.756 btc, o lo que es lo mismo, alrededor de 65 millones de dólares en esta moneda criptográfica debido a un fallo de seguridad que ha permitido a piratas informáticos redirigir todas las transacciones a sus propios monederos.
Tras hacer público el robo de las monedas, el valor de esta ha bajado en picado perdiendo más de un 30% de su valor. Ahora mismo se ha recuperado un poco y solo pierde alrededor del 18%, aunque la desconfianza está sembrada y tardará en recuperarse.
Desplome Bitcoin robo de 65 millones
  • Por el momento no se han facilitado más detalles salvo que los responsables de la empresa están investigando el tema e intentando identificar a los responsables, aunque esta es una tarea muy complicada y que, probablemente, no se lleve a cabo. Tampoco se sabe si la empresa repartirá algún tipo de compensación entre los afectados, aunque, tal como ha ocurrido otras veces, lo más seguro es que se declare en quiebra, cierre y los usuarios se queden sin su preciada y valiosa moneda criptográfica.
La principal ventaja del Bitcoin en contra de sus usuarios
  • Como ya hemos dicho en muchas ocasiones, la principal ventaja del Bitcoin es que es una moneda totalmente anónima que no deja ningún rastro ni del comprador ni del vendedor, sin embargo, esta ventaja en ocasiones puede convertirse en inconveniente como ha ocurrido en esta ocasión.
  • Si un ladrón roba 60 millones de dólares de una moneda regulada, tarde o temprano (probablemente en horas, incluso minutos), termina por ser identificado y detenido, sin embargo, con el Bitcoin esto no es así. Los piratas informáticos que han robado estos casi 120.000 Bitcoins son totalmente anónimos y, aunque se pudiera averiguar la billetera a la que han sido enviados, lo más probable es que estos ya hayan sido repartidos en otras muchas, siendo imposible seguirlos en la red.
  • Prácticamente en ningún caso este tipo de problemas se ha conseguido resolver, por lo que casi con total seguridad los usuarios afectados por el robo de las monedas pierdan su dinero y, además, sin derecho a reclamarlo. Algo que tampoco viene muy bien a la moneda ya que recientemente ha cruzado el punto de no retorno donde ahora es más caro generar la moneda que los beneficios que aporta.
Fuente: The Next Web

VULNERABILIDADES. Consiguen ocultar macro cambiando la extensión del documento

Un simple cambio de extensión permite ejecutar Macro en documentos que no deberían permitirlo.
A día de hoy, Office trabaja con 4 formatos estándar de OfficeOpen: DOCX y DOTX, que no son compatibles con las macro, y DOCM y DOTM que sí son compatibles con estos códigos. Word no se basa solo en la extensión para abrir los archivos, sino que, además, compara el MIME de los archivos para comprobar que coincide y no ha sido modificado. En caso de que algo no coincida, el archivo dará error de verificación al abrirse.
Los expertos de seguridad de Cisco han detectado que, mientras que si tenemos un archivo DOCX/DOTX y lo renombramos a DOCM/DOTM, al intentar abrirlo para introducir macros en él encontraremos un error al no coincidir el MIME del documento, sin embargo, si lo hacemos al revés (cambiamos la extensión de un documento *M con macros por *X), las macros seguirán inyectadas en el documento y, además, si lo intentamos ejecutar veremos cómo Word no solo no muestra ningún error, sino que además ejecuta automáticamente dichas macros.
La responsable de este problema es wwlib.dll, una librería que utiliza Office para validar los MIME que, aunque en el primer sentido sí detecta la anomalía, en el segundo (probablemente por temas de compatibilidad) no, lo que permite ejecutar un DOCX con macros ocultas cuando, en teoría, no debería tenerlas.
Igual que Cisco, varios piratas informáticos también han detectado este fallo, lo que ha dado lugar a múltiples campañas de distribución de malware, campañas que están creciendo cada mes y que se están ganando un gran número de víctimas por todo el mundo.
Microsoft ya ha solucionado el problema, por lo que si queremos protegernos de esto simplemente debemos actualizar nuestro Office para que, en caso de intentar abrir un documento con la extensión modificada, nos aparezca el correspondiente mensaje de advertencia o error igual que cuando el cambio de extensión se hace a la inversa.
Fuente: Talos

TAILS 2.5. Ahora disponible

Los responsables de Tails han liberado una nueva versión de esta distribución, Tails 2.5, la cual no incluye grandes mejoras ni novedades, sino que se centra en realizar un mantenimiento del sistema operativo y actualizar sus principales aplicaciones y librerías.
Tails, acrónimo de “The Amnesic Incognito Live System”, es un sistema operativo basado en Debian especialmente desarrollado pensando en la privacidad y seguridad a la hora de conectarse a Internet. 
Novedades de Tails 2.5
Como hemos dicho, Tails 2.5 no incluye grandes novedades ya que sus dos grandes cambios se basan en actualizar Tor Browser a la versión 6.0.3 (basada en Firefox 45.3) y Idedove a la versión 45.1.
Además, se han solucionado los siguientes fallos que habían sido reportados por los usuarios en las últimas semanas:
  1. Icedove ya no se bloquea en determinados servidores de correo electrónico.
  2. Ya no hay problemas al enviar correos a través del protocolo SMTP a un servidor mail.riseup.net.
  3. Solucionado un error en Icedove que cerraba el cliente al introducir la contraseña del correo.
  4. Se ha arreglado un problema de sincronización con servidores que no podían alcanzarse.
  5. Mejor rendimiento de Tor Browser en entornos KVM.
Además, se han actualizado el resto de aplicaciones y librerías a las versiones más recientes, por ejemplo, Gimp, libav, Pidgin, LibreOffice, OpenSSHy el Kernel Linux, entre otras.
La próxima versión de Tails 2.6 está programada para el 13 de septiembre, aunque por el momento no se sabe qué novedades llegarán con ella.
Más información
Fuente: Redeszone.net

IMAGEMAGICK. Desbordamiento de búfer

Se ha anunciado una vulnerabilidad en Imagemagick, una herramienta empleada por millones de sitios web para el tratamiento de imágenes, que podría permitir a un atacante provocar condiciones de denegación de servicio.
ImageMagick es un conjunto de utilidades de código abierto para mostrar, manipular y convertir imágenes, capaz de leer y escribir más de 200 formatos. Se trata de un conjunto de utilidades de línea de comandos empleado para la manipulación de imágenes. Muchas aplicaciones Web como MediaWiki, phpBB o vBulletin, pueden usar ImageMagick para generar miniaturas. También es usado por otros programas para la conversión de imágenes.
Recursos afectados
  • La vulnerabilidad se ha confirmado en la versión ImageMagick 7.0.2-1, aunque versiones anteriores también pueden verse afectadas.
Detalle e Impacto de la vulnerabilidad
  • El problema (con CVE-2016-6491) reside en un error en la función "Get8BIMProperty()" (MagickCore/property.c), que podría permitir una lectura de memoria fuera de límites. Un atacante podría provocar una denegación de servicio mediante el tratamiento de una imagen específicamente manipulada.
Recomendación
Más información:
Fuente: Hispasec

OPENSSH. Nueva versión que soluciona diversas vulnerabilidades

Se ha publicado una nueva versión de OpenSSH destinada a corregir diversas vulnerabilidades que podrían permitir la obtención de información sensible, elevar privilegios o provocar denegaciones de servicio.
OpenSSH es una implementación libre de la familia de protocolos SSH, que ofrecen una alternativa segura a los servicios telnet, rlogin, rsh, rcp, ftp y similares. Todo el tráfico entre un servidor SSH y un cliente SSH se realiza de forma cifrada y se aplican fuertes mecanismos para garantizar la autenticación.
Detalle de la actualización
  • El primer problema corregido reside en una denegación de servicio debido a un uso excesivo de CPU en crypt(3) si un atacante envía contraseñas muy largas. También se mitigan diferencias temporales en la autenticación de contraseñas que podrían emplearse para descubrir nombres de usuario válidos cuando se envían contraseñas largas y el servidor usa determinados algoritmos hash (CVE-2016-6210).
  • Se corrigen debilidades que pueden permitir la medición de tiempo en las contramedidas contra ataques de Padding Oracle en CBC (Cifrado por bloques). Hay que señalar que los cifrados CBC están desactivados por defecto y solo se incluyen por compatibilidad. 
  • Se ha mejorado el orden de operación de la verificación MAC (Message Authentication Code) para el modo Encrypt-then-MAC (EtM) en algoritmos MAC para verificar el MAC antes de descifrar cualquier texto cifrado.
  • Por último, con CVE-2015-8325, se ignoran las variables de entorno PAM cuando "UseLogin = yes". Si PAM está configurado para leer variables de entorno especificadas por el usuario y "UseLogin = yes" en sshd_config, un usuario local puede atacar /bin/login a través de LD_PRELOAD o variables de entorno similares establecidas a través de PAM.
  • OpenSSH ha publicado la versión OpenSSH 7.3 que corrige estos problemas y algunos otros fallos no relacionados directamente con la seguridad.
Más información:
Fuente: Hispasec

Múltiples vulnerabilidades en productos Juniper

Se han publicado parches para múltiples vulnerabilidades en diferentes productos Juniper entre las que se encuentran 1 crítica, 5 de criticidad alta y 2 de criticidad media, catalogadas de importancia: 5- Crítica
Recursos afectados:
  • Sistemas que utilizan Junos OS.
  • Sistemas que utilizan Junos OS con J-Web activado
  • Dispositivos de la serie SRX
Recomendación
  • Se han publicado nuevas versiones que solucionan las vulnerabilidades para los diferentes productos afectados, disponibles en el Customer Support website, de Juniper.
Detalle e Impacto de las vulnerabilidades
  1. Fallo de kernel a traves de paquetes UDP manipulados en Junos OS: (Alta). Se ha reservado el CVE-2016-1263 para esta vulnerabilidad.
  2. Fuga de información en Junos OS: (Alta). Se ha reservado el CVE-2009-1436 para esta vulnerabilidad.
  3. Múltiples vulnerabilidades en Junos Space: (Alta). Se ha reservado el CVE-2016-1276 para esta vulnerabilidad.
  4. Certificados autofirmados con CN manipulado son aceptados como validos en Junos: (Media). Se ha reservado el CVE-2016-1280 para esta vulnerabilidad.
  5. Escalada de privilegios en Junos con J-Web: (Crítica). Se ha reservado el CVE-2016-1279 para esta vulnerabilidad.
  6. Fuga de memoria mediante saturación de direcciones MAC IPv6 recibidas a traves de instancias VPLS: (Media). Se ha reservado el identificador CVE-2016-1275 para esta vulnerabilidad.
  7. Login de root sin autenticación en dispositivos SRX: (Alta). Se ha reservado el CVE-2016-1278 para esta vulnerabilidad.
  8. Fallo de kernel mediante paquetes ICMP manipulados en Junos OS: (Alta). Se ha reservado el CVE-2016-1277 para esta vulnerabilidad.
Más información
Fuente: INCIBE

Vulnerabilidad crítica de inyección en CGI

Se ha publicado un aviso de una vulnerabilidad en sistemas CGI cuya explotación podría permitir a un atacante remoto tomar el control de un sistema afectado, catalogada de importancia: 5- Crítica
Recursos afectados:
Hay múltiples sistemas afectados al ser vulnerables implementaciones en script CGI:
  • PHP (Guzzle 4+ , Artax)
  • Go (net/http)
  • Python (requests)
  • otros
Algunos productos afectados son:
  • Drupal Core 8, versiones anteriones a 8.1.7
  • Apache HTTP Server (httpd and mod_fcgid)
  • Apache Perl (mod_perl)
  • Apache Tomcat
Recomendación
  • Actualizar los componentes o módulos correspondientes.
  • La medida de mitigación más efectiva es bloquear las peticiones HTTP_PROXY, siempre que sea posible. Mas medidas de mitigación en https://httpoxy.org
  • Si utiliza Drupal 7.x, el núcleo de Drupal no se ve afectada. Sin embargo, se debe considerar el uso de las medidas de mitigación en https://httpoxy.org/ puesto que alguno de los módulos u otro software del servidor podría estar afectado
Detalle e Impacto de la vulnerabilidad
  • Un atacante usando peticiones Proxy HTTTP podría modificar la variable de entorno HTTP_PROXY comunmente usada por las aplicaciones de servidor y redirigir las peticiones salientes del sistema hacia un servidor malicioso especialmente preparado, pudiendo llegar a ejecutar codigo en el servidor atacado en funcion del sistema afectado. Más detalles de esta vulnerabilidad en https://httpoxy.org/.
Más información
·         Drupal Core - Highly Critical - Injection - SA-CORE-2016-003 https://www.drupal.org/SA-CORE-2016-003
·         Httpoxy https://httpoxy.org/
·         Advisory: Apache Software Foundation Projects and "httpoxy" CERT VU#797896 https://www.apache.org/security/asf-httpoxy-response.txt
Fuente: INCIBE

Actualizaciones de PHP 5.6.24 y 5.5.38

PHP ha publicado las versiones 5.6.24 y 5.5.38, que corrigen múltiples fallos en distintos componentes del software, incluidos algunos en el core, catalogad de importancia: 4- Alta
Recursos afectados:
·         Versiones de la rama 5.6 de PHP anteriores a la 5.6.24.
·         Versiones de la rama 5.5 de PHP anteriores a la 5.5.38.
Detalle de la actualización
Las actualizaciones solucionan múltiples fallos en las versiones afectadas, incluyendo la corrección de las siguientes vulnerabilidades:
  • Desbordamiento de memoria en php_url_parse_ex()
  • Desbordamiento de memoria de la pila en virtual_file_ex
  • HTTP_PROXY es manejado inadecuadamente por algunas librerías y aplicaciones de PHP
Recomendación
  • Actualizar a las versiones 5.6.24 y 5.5.38, según la rama correspondiente.
Más información
Fuente: INCIBE

ORACLE. Actualizaciones críticas

Oracle ha publicado una actualización con parches para corregir vulnerabilidades que afectan a múltiples productos, catalogada de importancia: 5 - Crítica
Recomendación
  • Aplicar los parches correspondientes según el/los productos afectados. La información para descargar las actualizaciones puede obtenerse del boletín de seguridad publicado por Oracle y cuyo enlace se proporciona en la sección Referencias de este mismo aviso.
Detalle:
  • Esta actualización resuelve un total de 276 vulnerabilidades, algunas de las cuales son críticas. El detalle de las vulnerabilidades resueltas se puede consultar en el enlace de Oracle de la sección de Referencias.
Más información
Fuente: INCIBE

CISCO. Vulnerabilidades críticas en alguno de sus productos

Vulnerabilidades críticas que afectan a productos  Cisco ASR 500, Cisco Virtualized Packet Core y Cisco Unified Computing System (UCS) permitirían a un atacante remoto ejecutar código o provocar denegación de servicio, catalogadas de Importancia: 5- Crítica
Recursos afectados:
Los productos afectados por la vulnerabilidad en el compilador Objective Systems ASN1C son:
  • Cisco ASR 5000 con StarOS versiones 17.x, 18.x, 19.x, y 20.x
  • Sistemas Cisco Virtualized Packet Core versiones V18.x, V19.x, y V20.x
Los productos afectados por  vulnerabilidades en la validación de entrada son:
  • Cisco UCS Performance Manager versiones 2.0.0
Detalle e impacto de la vulnerabilidad
  • La vulnerabilidad en el compilador Objective Systems ASN1C, relacionada con la generación de código inseguro al crear funciones ASN.1 y que se incluye en productos Cisco ASR 500 y Cisco Virtualized Packet Core permitiría a un atacante remoto provocar denegación de servicio o ejecutar código  enviando un mensaje Abstract Syntax Notation One (ASN.1) manipulado a una función afectada.
  • Por otro lado, una vulnerabilidad en el framework web de Cisco Unified Computing System (UCS) Performance Manager relacionada con una validación incorrecta de parámetros HTTP permitiría a un atacante remoto no autenticado, ejecutar comandos con privilegios de root a través de peticiones HTTP GET manipuladas.
Recomendación
  • Cisco ha publicado actualizaciones que corrigen el problema para Cisco UCS y prepara actualizaciones futuras para mitigar la vulnerabilidad en compilador Objective Systems ASN1C.
  • Usuarios con licencia pueden obtener las actualizaciones disponibles según el producto afectado en la siguiente ubicación Cisco Product Security Incident Response Team (PSIRT)
Más información
Fuente: INCIBE