29 de noviembre de 2016

ALEMANIA. Más de 900.000 personas sin internet, sin teléfono y sin televisión

Se está estudiando un ataque cibernético como posible causa en el fallo del sistema.
Alrededor de 900.000 clientes de Deutsche Telekom en toda Alemania no tienen desde la tarde de este domingo internet, teléfono fijo, ni acceso al servicio de televisión en línea, confirmó este lunes la compañía que está estudiando un ataque cibernético como posible causa en el fallo del sistema.
Según señaló André Hofmann, portavoz de Telekom, a la cadena N24, el problema se registra sólo en determinados tipos de router y la empresa está analizando ahora de cuáles se trata. "Es un "tema relativamente complejo", agregó Hofmann, quien señaló que la compañía estudia una posible "influencia externa".
El portavoz agregó que Deutsche Telekom ha introducido un nuevo programa en la red con el fin de solventar el problema, por lo que recomienda a los clientes desconectar el router y volver a conectarlo.
La compañía informaba a últimas horas de la tarde de este domingo a través de sus cuentas de Twitter y Facebook de los problemas en su red y aseguraba estar trabajando para solventar las causas del fallo.
Ya en junio de 2016 la red de telefonía móvil de Deutsche Telekom se cayó debido a un problema en la base de datos central de la compañía.
Fuente: 20minutos.es

ECUADOR. Fiscal no ve salida inmediata para Assange, entregará informe en diciembre

La fiscalía de Ecuador dijo el lunes que entregará a mediados de diciembre la declaración escrita del fundador de WikiLeaks, Julian Assange, a las autoridades suecas, pero no considera que haya una salida pronta para el australiano asilado en la embajada de su país en Londres desde hace más de cuatro años.
El documento contendrá la información otorgada por Assange durante un interrogatorio realizado a mediados de mes como parte de la investigación que impulsa la Fiscalía de Suecia en su contra por un supuesto delito de violación.
"A mediados de diciembre me parece que tendremos ya el documento, se lo remitimos a la fiscalía sueca", informó el fiscal ecuatoriano Galo Chiriboga.
"Han pasado cuatro años y recién estamos en esta etapa, pero eso ya no es imputable a Ecuador, es imputable a la fiscalía sueca. No creo que haya una salida pronta", agregó a medios extranjeros.
Dentro del proceso también se debía tomar muestras de ADN de Assange, pero éstas ya fueron entregadas con anterioridad por el australiano a las autoridades inglesas, informó Chiriboga, al señalar que el papel de la fiscalía ecuatoriana concluirá con la entrega de dicho informe.
Assange buscó refugio en la embajada ecuatoriana en agosto del 2012, por temor a que Reino Unido lo deportara a Suecia y que posteriormente fuera enviado a Estados Unidos, donde podría encarar una larga condena en prisión por la publicación de cientos de miles de cables diplomáticos secretos.
El fiscal ecuatoriano aseguró que durante el interrogatorio se abordó exclusivamente el tema de la acusación por presunto delito de violación.
El australiano, quien ha negado en reiteradas ocasiones la acusación por violación, también es requerido por las autoridades de Reino Unido por no cumplir con las condiciones de su arresto domiciliario.
Fuente: Reuters

VIDEOLLAMADAS. Cinco programas para realizarlas desde ordenador o móvil gratis

Son muchas las aplicaciones que existen para hacer videollamadas a través de un 'smartphone', tableta u ordenador. Nosotros os recogemos cinco programas gratuitos que os servirán para comunicaros con otros siempre que queráis.
SKYPE
  • Skype es el programa más popular a la hora de hacer llamadas y videollamadas a través de Internet. Cuenta con más de 300 millones de usuarios mensuales por todo el mundo (datos oficiales de 2013, ya que Microsoft no ha anunciado nada desde entonces) y está disponible para Windows, Mac, Linux, Android, Windows Phone, iOS y videoconsolas, por lo que no tendréis ningún problema a la hora de utilizarlo.
  • Una de sus grandes ventajas es que se puede vincular con Facebook y con los antiguos contactos de Hotmail, por lo que la agenda de Skype será bastante completa. Permite hacerllamadas de voz y vídeo entre los dispositivos (incluso entre ordenador y móvil) y de forma grupal, enviar mensajes, archivos y fotos, compartir pantalla (PC) y tiene tarifas para hacer llamadas a teléfonos fijos y móviles que no son especialmente caras. Su punto negativo es que para una buena conexión y calidad de imagen y voz, hay que tener un Internet estable y potente.
VIBER
  • Viber tuvo mucho 'boom' hace unos años porque la calidad de sus llamadas llegó a ser mejor que la de Skype, pero desde que el servicio de Microsoft igualó el asunto, ha quedado renegada a un segundo plano, aunque sigue teniendo algo más de 200 millones de usuarios activos al mes, una cantidad mucho más que razonable. Es más una aplicación de mensajería instantánea que permite llamar antes que un programa más enfocado a las llamadas como es Skype.
  • Viber está disponible para Windows, Mac y Linux, así como para Android, iOS y Windows Phone. Con asociar el número de teléfono a la aplicación se pueden ver qué contactos de la agenda utilizan el servicio en cuestión.
  • Permite hacer llamadas y videollamadas a través de Internet y a todo el mundo, al más puro estilo de WhatsApp pero con una mejor calidad en todos los sentidos, y también deja enviar mensajes de texto, fotografías, ubicaciones, 'stickers', crear grupos o jugar con los juegos integrados.
FACETIME
  • Si sois usuarios de Apple y vuestros amigos o familiares también, Facetime es la herramienta ideal para hacer videollamadas de manera totalmente gratuita. Muy cómoda de usar, ofrece una gran calidad de imagen y voz a no ser que estéis en una zona con poca cobertura o que no tengais datos móviles/la WiFi vaya mal.
  • No consume en exceso, se integra a la perfección con vuestra agenda de contactos y con la aplicación de iMessage y todo lo que ésta ofrece. En general, en el ecosistema de Apple no da ningún problema, pero no podéis llamar a contactos con otros sistemas operativos.
HANGOUTS
  • Hangouts es, posiblemente, el servicio que actualmente le haga una mayor competencia a Skype en lo que a videollamadas se refiere. Pese a ser algo creado por Google y a diferencia de Facetime, sí que se puede utilizar con cualquier sistema operativo móvil y desde Gmail en cualquier PC, por lo que es una herramienta universal y de fácil acceso.
  • Básicamente, la aplicación permite tener conversaciones individuales y grupales, así como compartir fotografías, usar emoticonos y, por supuesto, hacer videollamadas. Una de las grandes ventajas de Hangouts es que os avisa cuando alguien os escribe, saltando una alerta o notificación, de modo que se puede utilizar como 'app' de mensajería instantánea sin ningún problema.
  • La calidad, en general, de las videollamadas no está mal, pero tampoco es nada del otro mundo y de vez en cuando deja un poco que desear. Lo mejor es que no importa qué sistema operativo tengáis tú o la otra persona ni en qué dispositivo estéis funcionando, porque podéis hacer la videollamada igual.
TANGO
  • Tango es una de las aplicaciones más sencillas de utilizar en lo que a videollamadas se refiere. No necesita que os registréis como usuarios, solo que introduzcáis vuestro número de teléfono para que el software mire qué contactos de vuestro móvil también la usan. Está disponible para Android, iOS, Windows Phone y ordenadores con Windows, pero se utiliza mucho más en el móvil dado que es una mezcla entre WhatsApp y Skype.
  • Permite realizar videollamadas gratuitas y llamadas nacionales e internacionales entre móviles sin que tengáis que gastar dinero o minutos de vuestra tarifa para ello. Ofrece la opción de enviar y recibir mensajes de manera individual o con grupos de hasta 300 personas. Es un software muy completo, pero su mayor desventaja es que no está tan extendida como las otras aplicaciones de esta lista.
Fuente: Europa Press

MALWARE. Nueva campaña de envío deL troyano Sharik

El método más habitual para la propagación de un troyano sigue siendo las campañas de envíos masivos de correos con un adjunto. Como es frecuente, se suelen acompañar de un mensaje atractivo que mediante la ingeniería social incite al usuario a abrir el adjunto con el malware. Una nueva campaña de envíos de este tipo está dando a luz, esta vez distribuye a "Sharik".
Sharik es un troyano que afecta a la plataforma Windows y aprovecha para inyectarse en procesos legítimos y añade entradas al registro necesarias para mantener persistencia. Además, envía toda la información recolectada a un servidor remoto, incluso llega a aceptar comandos del atacante.
Nos llega en forma de e-mail a través de este correo, con un adjunto.
Recibido por parte de mgXXXXoz@gmail.com
"Buenos días,
Como hemos comentado, te adjunto la escritura con las rectificaciones marcadas en amarillo. He hablado con los compradores y esta mañana me mandan una copia del cheque.
Un saludo,"
Este adjunto es el troyano que comience el proceso de descarga (dropper), y entre otras cosas creará una serie de carpetas en %APPDATA%.
Comienza conectándose al servidor remoto y aprovecha para descargarse los archivos necesarios para continuar con la infección. Entre ellos, un binario de php funcional (junto a su librería), y un archivo .php que utilizará más adelante.
El archivo en PHP, que se lanza haciendo uso de dicho binario es el que mostramos a continuación:
  • Contenido del archivo .php utilizado en conjunto con el binario de PHP descargado.
  • En esta ocasión, logramos tener acceso al archivo PHP descifrado.
Basta comprobar el registro para descubrir las evidencias de la persistencia de este Malware:
  • Siguiendo el flujo de peticiones al dominio remoto, observamos como en una de las peticiones se obtiene un binario:
  • De esta forma, el flujo de funcionamiento del troyano tras su ejecución es inicialmente  se guarda en el registro, tras lo cual lanza el php y el binario oculto
Como es habitual para evitar este tipo de amenazas se recomienda no abrir los adjuntos que provengan de orígenes desconocidos o no solicitados. La prevención es la mejor defensa.
Fuente: Hispasec

ACTUALIZACION. Solucionadas tres vulnerabilidades en servidores Apache Tomcat

The Apache Software Foundation ha corregido tres vulnerabilidades importantes que afectan a las ramas 6, 7, 8 y 9 de Apache Tomcat, y que podrían permitir a atacantes provocar condiciones de denegación de servicio, ataques cross-site scripting o la ejecución remota de código. 
Apache Tomcat es un servidor web que funciona como contenedor de servlets, desarrollado en código abierto por Apache Software Foundation. Tomcat implementa las especificaciones de las tecnologías servlets Java y de páginas JSP.
Detalle de vulnerabilidades corregidas
  • La primera vulnerabilidad, calificada como "importante", reside en que JmxRemoteLifecycleListener no se actualizó para incluir la corrección de Oracle para CVE-2016-3427. Por ello, las instalaciones de Tomcat que utilicen este Listener siguen siendo siendo vulnerables a una vulnerabilidad de ejecución remota de código. Según Apache son pocas las instalaciones que utilizan este Listener. Afecta a versiones 6.0.0 a 6.0.47, 7.0.0 a 7.0.72, 8.0.0.RC1 a 8.0.38, 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11
  • Por otra parte, con CVE-2016-6817, una denegación de servicio debida a que el tratamiento de cabeceras HTTP/2 entra en un bucle infinito si se recibe una cabecera de gran tamaño. Afecta a 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11.
  • Por último, con CVE-2016-6816, el código que trata la petición http permite caracteres no válidos. Esto podría emplearse junto con un proxy que también permita caracteres no válidos inyectar datos en la respuesta http. Esto podría permitir envenenar la caché web, obtener información sensible o realizar ataques XSS. Afecta a versiones 6.0.0 a 6.0.47, 7.0.0 a 7.0.72, 8.0.0.RC1 a 8.0.38, 8.5.0 a 8.5.6 y 9.0.0.M1 a 9.0.0.M11
Recomendación
El fabricante recomienda a los usuarios que actualicen a las versiones 9.0.0.M13, 8.0.39, 8.5.8, 7.0.73 o 6.0.48, disponibles desde:
  1. http://tomcat.apache.org/download-60.cgi
  2. http://tomcat.apache.org/download-70.cgi
  3. http://tomcat.apache.org/download-80.cgi
  4. http://tomcat.apache.org/download-90.cgi
Más información:
Fuente: Hispasec

MOODLE. Múltiples vulnerabilidades

Moodle ha publicado cuatro alertas de seguridad en las que se corrigen otras tantas vulnerabilidades que podrían permitir el acceso no autorizado a archivos o a información sensible.
Moodle es una popular plataforma educativa de código abierto que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning. Además proporciona herramientas para la comunicación entre formadores y alumnos.
Recursos afectados
  • Se han publicado cuatro boletines de seguridad (del MSA-16-0023 al MSA-14-0026), y tienen asignados los identificadores CVE-2016-8642 al CVE-2016-8644. Tres de ellos considerados como de gravedad menor y uno de riego serio.
  • El más grave de los problemas afecta cuando la depuración está activa, los errores de excepción de los servicios web podrán contener datos privados. Otros fallos residen en un error en la función de chequeo que puede permitir a los usuarios ver las notas del curso a las que no tiene acceso a visualizar. En la interfaz web de Moodle los usuarios no administradores con capacidad de editar a otros usuarios no pueden editar la información de los administradores, sin embargo esto no se respeta en uno de los servicios web. Por último, un usuario puede acceder a la URL de un archivo incluido en una pregunta para la que no tiene acceso y descargarlo usando el identificador de una pregunta para la que sí tenga acceso.
Recursos afectados
  • Se ven afectadas las versiones 3.1 a 3.1.2, 3.0 a 3.0.6, 2.9 a 2.9.8, 2.8 a 2.8.12, 2.7 a 2.7.16, y versiones anteriores ya fuera de soporte.
Recomendación
  • Las versiones 3.1.3, 3.0.7, 2.9.9 y 2.7.17 solucionan todas las vulnerabilidades. Se encuentran disponibles para su descarga desde la página oficial de Moodle. http://download.moodle.org/
Más información:
Fuente: Hispasec

VMWARE. Vulnerabilidades en productos

VMware ha publicado dos boletines de seguridad para corregir varias vulnerabilidades de divulgación de información sensible en VMware Identity Manager, vRealize Automation, en el servidor vCenter, en el cliente vSphere y vRealize Automation.
Detalle actualización
  • El primer boletín (VMSA-2016-0021) se refiere a una vulnerabilidad, con CVE-2016-5334, en VMware Identity Manager que podría permitir una obtención "parcial" de información. El fallo es similar a una escala de directorio o de directorio transversal, aunque según confirma la compañía solo se puede acceder a archivos de los directorios "/SAAS/WEB-INF" and "/SAAS/META-INF". Igualmente señala que estos directorios no contienen datos confidenciales pero el problema debe ser corregido igualmente.Afecta a VMware Identity Manager 2.x y a vRealize Automation 7.x.
  • Por otra parte, en el boletín VMSA-2016-0022 se refiere a tres vulnerabilidades de Entidad XML Externa (XML External Entity o XXE) en diferentes productos VMware. La primera en el cliente vSphere (CVE-2016-7458); otra afecta a vCenter Server en el Log Browser, en la configuración Distributed Switch y en Content Library (CVE-2016-7459) y por último en vCenter Server y vRealize Automation en la funcionalidad Single Sign-On (CVE-2016-7460). Estos problemas podrían dar lugar a divulgación de información.
Recursos afectados:
  1. vSphere Client 6.0 y 5.5
  2. vCenter Server 6.0 y 5.5
  3. vRealize Automation 6.x
Recomendaciones
VMware ha publicado versiones actualizadas para evitar los problemas disponibles desde:
Más información:
Fuente: Hispasec

NTP. Múltiples vulnerabilidades

La Network Time Foundation ha publicado una nueva versión de ntpd destinada a corregir 10 vulnerabilidades, que podrían permitir provocar condiciones de denegación de servicio.
NTP es un protocolo estándar para la sincronización de relojes de máquinas interconectadas a través de redes de datos, en particular Internet. Este protocolo permite que el reloj de un sistema mantenga una gran precisión, independientemente de su calidad intrínseca y de las condiciones de la red.
Detalle de la actualización
  • Los problemas corregidos incluyen una vulnerabilidad de gravedad alta que solo afecta a Windows, dos de importancia media, dos media-baja y cinco de riesgo bajo. También se corrigen otros 28 fallos no relacionados con la seguridad y otras mejoras.
  • El problema considerado más grave consiste en una denegación de servicio cuando ntpd en Windows recibe un paquete UDP de gran tamaño (CVE-2016-9312).
  • El resto de problemas residen en una denegación de servicio por desreferencia de puntero nulo en el servicio trap (CVE-2016-9311). Un paquete específicamente construido de modo de control 6 (mode 6) puede provocar una fuga de información y amplificación DDoS (CVE-2016-9310). Otros problemas podrían permitir a un atacante con acceso al dominio broadcast NTP podría impedir el tráfico de los servidores broadcast legítimos (CVE-2016-7427 y CVE-2016-7428).
  • Debido a un error de regresión existen problemas de validación de  marcas de tiempo (timestamps) Zero Origin (CVE-2016-7431). Desreferencia de puntero nulo en _IO_str_init_static_internal() (CVE-2016-7434). Un ataque por la selección de interfaz en hosts con múltiples interfaces, el atacante podrá obligar al sistema a seleccionar una interfaz errónea y evitar el envío de nuevas peticiones (CVE-2016-7429). Denegación de servicio por la limitación de restricciones (CVE-2016-7426). Por último, la corrección de un anterior fallo provoca un fallo en los cálculos iniciales de la sincronización (CVE-2016-7433).
Recomendación
Más información:
Fuente: Hispasec

SYMANTEC. Elevación de privilegios en productos

Symantec ha confirmado una vulnerabilidad que podría permitir a un atacante ejecutar código con permisos elevados en productos Norton Security, en clientes Symantec Endpoint Protection Small Business Enterprise (SEP SBE) y clientes Symantec Endpoint Protection Cloud (SEPC).
La vulnerabilidad, con CVE-2016-5311, reside en un problema de precargas de DLL debido a restricciones de ruta inadecuadas cuando se cargan las liberías. Esto puede permitir que una de las librerías de la aplicación cargue explícitamente una dll de terceras partes sin especificar una ruta absoluta. Un usuario con acceso al cliente podría insertar un archivo malicioso con el mismo nombre de una dll específica en una carpeta determinada. En la mayoría de situaciones el código se ejecutará con los permisos del usuario. Sin embargo, durante los procesos de instalación y desinstalación, el código arbitrario se ejecutará con permisos del sistema.
Symantec ha corregido esta vulnerabilidad a través de la versión NGC 22.7 para productos Norton y NGC 22.8.0.50 para productos Symantec Endpoint Protection distribuidas a través de LiveUpdate.
Más información:
Fuente: Hispasec

WIRESHARK. Publicadas nuevas versiones

Wireshark Foundation ha publicado las versiones 2.0.8 y 2.2.2 que incluyen la corrección de cinco vulnerabilidades que podrían provocar condiciones de denegación de servicio.
Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Detalle de la actualización
  • En esta ocasión la fundación Wireshark ha publicado cinco boletines de seguridad en total (del wnpa-sec-2016-58 al wnpa-sec-2016-62); cinco afectan a la rama 2.2, mientras que cuatro de los avisos de seguridad afectan a la rama 2.0.
  • Como es habitual, las vulnerabilidades corregidas residen en denegaciones de servicio por fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. La lista de los disectores y protocolos afectados incluyen OpenFlow, DCERPC, DTN, Profinet I/O y AllJoyn. Los CVE van del CVE-2016-9372 al CVE-2016-9376.
  • También se ha solucionado diferentes problemas no relacionados directamente con vulnerabilidades de seguridad y actualizado el soporte de diferentes protocolos.
Recomendación
  • Las vulnerabilidades mencionadas se han solucionado en la versión 2.0.8 y 2.2.2 están disponibles para descarga desde la página oficial del proyecto. https://www.wireshark.org/download.html
  • Hay que recordar que Wireshark 1.12 alcanzó su final de vida el 31 de julio, por lo que ya no recibe actualizaciones. Se recomienda a los usuarios de esta rama actualizar a Wireshark 2.2.0.
Más información:
Fuente: Hispasec

DRUPAL. Corregidas diferentes vulnerabilidades

El equipo de seguridad de Drupal ha publicado un boletín de seguridad calificado como moderadamente crítico, en el que se solucionan cuatro vulnerabilidades.
Drupal es un CMF (Content Management Framework) modular multipropósito y muy configurable, desarrollado bajo licencia GNU/GPL en PHP. Permite la publicación de artículos, imágenes, y otro tipo de archivos con servicios añadidos como foros, encuestas, votaciones, blogs y administración de usuarios y permisos.
Detalle de la actualización

  • El primer problema considerado critico reside en un cross-site scripting debido a que Drupal no filtraba adecuadamente las excepciones. También de gravedad crítica, una vulnerabilidad debido a que la ruta system.temporary podría permitir a un atacante sin permisos de administrador la descarga de la configuración completa.
  • Un último problema, de menor gravedad que los anteriores, podría permitir a usuarios sin permisos para la administración de comentarios configurar la visibilidad de comentarios en los nodos que puedan editar.
  • El primer problema considerado de menor gravedad, reside en un fallo de inconsistencia de nombres en consultas con etiquetas term_access que podría permitir revelar información sobre términos de taxonomía a usuarios sin privilegios. Afecta a Drupal 7 y Drupal 8. También de menor criticidad el formulario de reinicio de contraseña de usuario no especifica el contexto de caché de forma adecuada, lo que puede permitir el envenenamiento de caché y ofrecer contenido no deseado en la página. Solo afecta a Drupal 8.
  • Por otra parte, una vulnerabilidad moderadamente crítica podría permitir a usuarios maliciosos construir una URL a un formulario de confirmación que tras interactuar con el formulario redireccione al usuario a un sitio web de un tercero. Esto podría emplearse para ataques de ingeniería social. Solo afecta a Drupal 7.
  • Por último, de gravedad moderadamente crítica, una URL especialmente diseñada puede causar una denegación de servicio a través del mecanismo de transliteración. Solo afecta a Drupal 8.
Recomendación
Se recomienda la actualización a las versiones de Drupal 7.52 o 8.2.3.
  1. https://www.drupal.org/project/drupal/releases/7.52
  2. https://www.drupal.org/project/drupal/releases/8.2.3
Más información:
Fuente: Hispasec

MOZILLA. Publica Firefox 50 y corrige 28 nuevas vulnerabilidades

Mozilla ha anunciado la publicación de la versión 50 de Firefox, que además de incluir mejoras y novedades soluciona 28 nuevas vulnerabilidades en el 
Detalle de la actualización
  • Como ya inició en septiembre todos los fallos se engloban en un único boletín, el MSFA-2016-089, que incluye todas las vulnerabilidades corregidas. Según la propia clasificación de Mozilla de las 28 vulnerabilidades corregidas, tres están consideradas críticas, 13 son de gravedad alta, 10 de moderada y las dos restantes de nivel bajo.
  • Las vulnerabilidades críticas residen en un desbordamiento de búfer en Cairo cuando se procesa contenido SVG (CVE-2016-5296), así como problemas (CVE-2016-5289 y CVE-2016-5290) de corrupción de memoria en el motor del navegador que podrían permitir la ejecución remota de código.
  • Entre las vulnerabilidades de gravedad alta se incluyen un fallo en la verificación de actualizaciones de un Add-on podría permitir a un atacante que realice un hombre en el medio y que anule la protección de pinning de certificados instalar un add-on malicioso firmado en vez de la actualización válida (CVE-2016-9064).
  • También una denegación de servicio al tratar una URL específicamente creada (CVE-2016-5292), la falsificación de la URL en la barra de direcciones en Android (CVE-2016-9065), un desbordamiento de búfer en nsScriptLoadHandler (CVE-2016-9066), dos errores por uso de memoria después de liberarla durante operaciones DOM que podrían provocar denegaciones de servicio (CVE-2016-9067 y CVE-2016-9069), una comprobación incorrecta de la longitud de argumentos en JavaScript podría provocar desbordamientos de enteros o problemas de comprobación de límites (CVE-2016-5297),
  • También se ha publicado Firefox ESR 45.5 (MSFA-2016-090); versión de soporte extendido especialmente destinada a grupos que despliegan y mantienen un entorno de escritorio en grandes organizaciones como universidades, escuelas, gobiernos o empresas. Está actualización incluye la corrección de nueve vulnerabilidades.
Recomendación
Más información:
Fuente: Hispasec

PHP. Nuevas versiones corrigen múltiples vulnerabilidades

El equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 7.0 y 5.6 de PHP para solucionar múltiples vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.
Son múltiples las vulnerabilidades corregidas, aunque ninguna de ellas tiene asignado CVE. Afectan a un gran número de componentes, que además del propio core, incluyen GD, IMAP, OCI8, phpdbg, Session, SOAP, SQLite3, Standard y Wddx. Además de Bz2 y SPL en la rama 5.6.
Entre los problemas corregidos cabe señalar múltiples desbordamientos de entero, desbordamientos de búfer, acceso de lectura y escritura ilegal, desreferencias de puntero nulo o usos de memoria después de liberarla.
Recomendación:
Más información:
Fuente: Hispasec

Vulnerabilidad crítica en VMware Workstation y Fusion

VMware ha publicado una actualización de seguridad para corregir vulnerabilidades en VMware Workstation y Fusión que podrían permitir desde un sistema invitado ejecutar código arbitrario en el sistema anfitrión.
El problema, considerado crítico, reside en la funcionalidad arrastrar y soltar (drag-and-drop) de VMware Workstation y Fusion por una vulnerabilidad de acceso a memoria fuera de límites. Como contramedida en Workstation Pro y Fusion, el problema no puede explotarse si las funcionalidades de arrastrar y soltar y de copiar y pegar están desactivadas. Esta contramedida no está disponible en Workstation Player.
Está vulnerabilidad está considerada crítica, pues es de las más graves que pueden darse en entornos virtuales: escapar del entorno virtual y lograr ejecutar código en el sistema anfitrión. Se ha asignado el CVE-2016-7461.
El fallo fue reportado a través del evento PwnFest, una competición de hacking (similar al conocido Pwn2Own) que tuvo lugar en Corea del Sur en el marco de la conferencia de seguridad Power Of Community 2016. Fue descubierto por los investigadores Qinghao Tang y Xinlei Ying del equipo Qihoo 360’s Marvel Team y JungHoon Lee (lokihardt) que fueron recompensados con un premio de 150.000 dólares. VMware recibió los detalles de la vulnerabilidad directamente de los investigadores.
@PwnFest2016: Congrats to 360 Marvel Team and Lokihardt for demo https://t.co/vdlbb4HAwE on VMware Workstation. We are working on a solution
VMware Sec Response (@VMwareSRC) 10 de noviembre de 2016
Recursos afectados
Afecta a Workstation Pro y Player 12.x en todos los sistemas y a Fusion y Fusion Pro 8.x en Mac OS X.
Recomendación
VMware ha publicado versiones actualizadas para evitar el problema disponible desde:
  1. VMware Workstation Pro 12.5.2. https://www.vmware.com/go/downloadworkstation
  2. VMware Workstation Player 12.5.2. https://www.vmware.com/go/downloadplayer
  3. VMware Fusion Pro / Fusion 8.5.2.  https://www.vmware.com/go/downloadfusion
Más información:
Fuente:Hispasec

Actualización de seguridad para Google Chrome

Google ha publicado actualizaciones de seguridad para su navegador Google Chrome para todas las plataformas para corregir cuatro nuevas vulnerabilidades.
El navegador se actualiza a la versión 54.0.2840.99 para Windows, 54.0.2840.98 para Mac y 54.0.2840.100 para Linux. Como es habitual, Google no facilita información de todos los problemas corregidos. En esta ocasión, confirma la corrección de cuatro vulnerabilidades.
De gravedad alta se ha solucionado un corrupción de memoria heap en FFmpeg (CVE-2016-5199) y un acceso a memoria fuera de límites en V8 (CVE-2016-5200). Y de gravedad media una fuga de información en extensiones (CVE-2016-5201). Y como es habitual del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-5202).
Según la política de la compañía una de las vulnerabilidades corregidas ha supuesto 12.000 dólares en recompensas a los descubridores de los problemas.
Stable Channel Update for Desktop: The stable channel has been updated to 54.0.2840.99 for Windows… https://t.co/1hQAL6OXRK #googlechrome
— Google Chrome Dev (@GoogleChromeDev) 10 de noviembre de 2016
Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

A partir de enero Microsoft no publicará más boletines de seguridad

A partir de febrero de 2017, Microsoft utilizará una nueva base de datos de actualizaciones de seguridad.
A primera vista disponer de una base de datos de información de búsqueda puede parecer una gran idea, pero cambia radicalmente la forma en que se presenta la información y como todo cambio en un principio puede resultar difícil de aceptar. No parece probable que sea bien recibido por los usuarios, sobre todo cuando la primera impresión es que el objetivo no es ofrecer mayor información y más clara sobre los problemas.
Nueva base de datos de actualizaciones
Incluso, parece que Microsoft ha tratado de ocultar el anunció de este cambio. En un pequeño post en uno de sus blogs bajo el título "Promover nuestro compromiso con las actualizaciones de seguridad" informa del nuevo portal destinado a la información de vulnerabilidades de seguridad, la Guía de Actualizaciones de Seguridad (Security Updates Guide). En vez de publicar los clásicos boletines donde se describen las vulnerabilidades este portal ofrece una base de datos para la consulta de la información.
Al final de dicho post es cuando encontramos la noticia bomba:
"La información de actualizaciones de seguridad se publicará como boletines y en la Security Updates Guide hasta enero de 2017. Después de las actualizaciones del martes de enero de 2017 solo publicaremos la información de las actualizaciones en la Security Updates Guide." ("Security update information will be published as bulletins and on the Security Updates Guide until January 2017. After the January 2017 Update Tuesday release, we will only publish update information to the Security Updates Guide.")
Solo queda ver si esta nueva política de información tiene éxito, pero en unas primeras consultas a esta nueva base de datos no da la sensación de que la información se presente de una forma más clara.
Más información:
Fuente:Hispasec

OPENSSL. Ssoluciona tres vulnerabilidades

El proyecto OpenSSL ha anunciado la publicación de una nueva versión de OpenSSL destinada a corregir tres vulnerabilidades, una calificada de impacto alto, otra de importancia media y una de gravedad baja.
OpenSSL es un desarrollo "Open Source" que implementa los protocolos SSL y TLS, y que es utilizada por multitud de programas, tanto para implementar dichos protocolos (por ejemplo, HTTPS) como para emplear sus componentes criptográficos individuales (funciones de cifrado y "hash", generadores de claves, generadores pseudoaleatorios, etc).
Detalle de los problemas corregidos con la actualización
  • El primer problema reside en una vulnerabilidad (CVE-2016-7054), de gravedad alta, que podría permitir la realización de ataques de denegación de servicio en conexiones que usen las suites de cifrado *-CHACHA20-POLY1305.
  • Por otra parte, de gravedad media, con CVE-2016-7053, un problema en el tratamiento de estructuras CMS inválidas puede provocar una desreferencia a puntero nulo y la consiguiente denegación de servicio.
  • Por último, de gravedad baja (CVE-2016-7055), un error en el procedimiento de multiplicación Broadwell-specific Montgomery en cierta longitud de datos. Un usuario remoto puede enviar datos especialmente diseñados en ciertos casos para provocar errores en operaciones de clave pública en configuraciones en las que múltiples clientes remotos seleccionan el algoritmo EC afectado y donde el servidor de atacado comparte una clave privada entre múltiples clientes. También pueden ocurrir fallos de autenticación transitoria y de negociación de claves.
Recomendación
  • OpenSSL ha publicado la versión 1.1.0c disponible desde http://openssl.org/source/
  • También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.
Más información:
Fuente: Hispasec

Actualizaciones de seguridad para Adobe Flash Player y Adobe Connect

Adobe ha publicado dos boletines de seguridad para anunciar las actualizaciones necesarias para solucionar nueve vulnerabilidades en Flash Player y otra en Adobe Connect.
Flash Player
  • El ya habitual boletín mensual para Flash, en esta ocasión el boletín APSB16-37 que soluciona nueve vulnerabilidades.
  • Los problemas incluyen tres vulnerabilidades de confusión de tipos y seis por uso de memoria después de liberarla. Todas ellas podrían permitir la ejecución de código. Los CVE asignados van del CVE-2016-7857 al CVE-2016-7865.
  • Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial: Flash Player Desktop Runtime 23.0.0.207 y Flash Player para Linux 11.2.202.644
  • Igualmente se ha publicado la versión 23.0.0.207 de Flash Player para navegadores Internet Explorer, Edge y Chrome.
Recomendación
Adobe Connect
  • Por otra parte, el boletín APSB16-35 se recoge la publicación de una nueva versión de Adobe Connect que soluciona una vulnerabilidad.
  • Adobe Connect es una solución de conferencias web para reuniones, aprendizaje electrónico y seminarios Web. Hace posible el uso de soluciones de conferencias en múltiples dispositivos a través de tecnología web.
  • La actualización resuelve una vulnerabilidad (CVE-2016-7851) de validación de entradas en el modulo de registro en eventos que podría permitir la realización de ataques de cross-site scripting. Afecta a Adobe Connect 9.5.6 (y anteriores).
Recomendación
  • La nueva versión Adobe Connect 9.5.7 también incluye correcciones de diversos errores no relacionados directamente con problemas de seguridad.
Más información:
Fuente: Hispasec

MICROSOFT. Publica 14 boletines de seguridad y soluciona 68 vulnerabilidades

Este martes Microsoft ha publicado 14 boletines de seguridad (del MS16-129 al MS16-142) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico" mientras que los ocho restantes son "importantes".
 En total se han solucionado 68 vulnerabilidades (algunas de ellas en varios productos). También se han solucionado dos 0days, incluido el reciente anunciado por Google. Además se han corregido otras nueve vulnerabilidades adicionales en Flash Player.
Detalle de la actualización
  1. MS16-142: La habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona siete nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Internet Explorer, una página web especialmente creada (CVE-2016-7195, CVE-2016-7196, CVE-2016-7198, CVE-2016-7199, CVE-2016-7227, CVE-2016-7239 y CVE-2016-7241)
  2. MS16-129: Boletín "crítico" que incluye la también habitual actualización acumulativa para Microsoft Edge, el navegador incluido en Windows 10. En esta ocasión se solucionan 17 vulnerabilidades, la más grave de ellas podría permitir la ejecución remota de código si un usuario visita, con Microsoft Edge, una página web especialmente creada (CVE-2016-7195, CVE-2016-7196, CVE-2016-7198 al CVE-2016-7204, CVE-2016-7208, CVE-2016-7209, CVE-2016-7227, CVE-2016-7239 al CVE-2016-7243).
  3. MS16-130: Actualización considerada "crítica" destinada a corregir tres vulnerabilidades en diferentes componentes de Windows. La más grave podría permitir la ejecución remota de código arbitrario (CVE-2016-7221, CVE-2016-7222 y CVE-2016-7212).
  4. MS16-131: Boletín "crítico" que resuelve una vulnerabilidad (CVE-2016-7248) en Microsoft Windows que podría permitir la ejecución remota de código si Microsoft Video Control falla al tratar adecuadamente objetos en memoria.
  5. MS16-132: Boletín "crítico" destinado a corregir cuatro vulnerabilidades en Microsoft Graphics Component, que podrían permitir la ejecución remota de código si se abre un documento o web específicamente creada. Una de ellas se está explotando de forma activa en la actualidad. (CVE-2016-7210, CVE-2016-7205, CVE-2016-7217 y CVE-2016-7256).
  6. MS16-133: Boletín "importante" que soluciona seis vulnerabilidades, la más grave de ellas que podría permitir la ejecución remota de código si se abre un archivo específicamente creado con Microsoft Office (CVE-2016-7213, CVE-2016-7228, CVE-2016-7229, CVE-2016-7230, CVE-2016-7231 y CVE-2016-7232).
  7. MS16-134: Destinado a corregir 10 vulnerabilidades de gravedad "importante", que podrían permitir la elevación de privilegios cuando el controlador Windows Common Log File System (CLFS) trata objetos en memoria de forma inadecuada (CVE-2016-0026, CVE-2016-3332, CVE-2016-3333, CVE-2016-3334, CVE-2016-3335, CVE-2016-3338, CVE-2016-3340, CVE-2016-3342, CVE-2016-3343 y CVE-2016-7184).
  8. MS16-135: Boletín de carácter "importante" destinado a corregir cinco vulnerabilidades en el controlador modo kernel de Windows que podrían permitir la elevación de privilegios si un usuario ejecuta una aplicación específicamente creada. Está actualización corrige la vulnerabilidad 0day anunciada recientemente por Google y que ya comentamos anteriormente en una-al-día (CVE-2016-7214, CVE-2016-7215, CVE- 2016-7218, CVE-2016-7246 y CVE-2016-7255). Afecta a Windows Vista, Windows Server 2008, Windows 7, Windows 8.1, Windows Server 2012 y Windows 10.
  9. MS16-136: Actualización considerada "importante" destinada a corregir seis vulnerabilidades en Microsoft SQL Server. La más grave podría permitir a un atacante elevar sus privilegios para visualizar, cambiar o borrar datos o crear nuevas cuentas (CVE-2016-7249, CVE-2016-7250, CVE-2016-7254, CVE-2016-7251, CVE-2016-7252 y CVE-2016-7253).
  10. MS16-137: Boletín considerado "importante" que resuelve tres vulnerabilidades en Microsoft Windows. La más grave podría permitir a un atacante elevar sus privilegios mediante la manipulación de solicitudes de cambio de contraseña NTLM (CVE-2016-7220, CVE-2016-7237 y CVE-2016-7238).
  11. MS16-138: Destinado a corregir cuatro vulnerabilidades "importantes" debido a que Windows Virtual Hard Disk Driver trata inadecuadamente el acceso del usuario a determinados archivos. Un atacante podría manipular archivos en localizaciones para las que no debería tener acceso (CVE-2016-7223, CVE-2016-7224, CVE-2016-7225 y CVE-2016-7226).
  12. MS16-139: Boletín considerado "importante" que resuelve una vulnerabilidad de elevación de privilegios en el kernel de Windows (CVE-2016-7216).
  13. MS16-140: Boletín "importante" que resuelve una vulnerabilidad (CVE-2016-7247) que podría permitir evitar funciones de seguridad del Boot Manager. Afecta a Windows 8.1, Windows Server 2012, Windows 10 y Windows Server 2016.
  14. MS16-141: Como ya es habitual, Microsoft publica un boletín para resolver las vulnerabilidades solucionadas por Adobe en Flash Player en su también boletín periódico. Se trata de un boletín "crítico" que en esta ocasión soluciona nueve vulnerabilidades en Adobe Flash Player instalado en Windows Server 2012, Windows Server 2016, Windows 8.1 y Windows 10; correspondientes al boletín APSB16-37 de Adobe (y que comentaremos con más detalle en una próxima una-al-día).
Recomendación
  • Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Fuente: Hispasec

El troyano bancario TrickBot azota a Europa

TrickBot no es un troyano nuevo, ya lleva un tiempo con nosotros. Y aunque comenzó teniendo como objetivo a bancos australianos, en relativamente poco tiempo, se han hallado evidencias que apuntan a bancos de la Unión Europea, incluyendo bancos irlandeses, británicos y alemanes. 
A pesar de tener diferente código, TrickBot guarda similitudes con Dyreza (también conocido simplemente como Dyre). Otro viejo conocido responsable de decenas de millones de dólares robados.
Entre los bancos afectados, se encuentran:
  1. Ulsterbank
  2. Banco de Escocia
  3. Co-OperativeBank
  4. RBSIdigital
  5. LloydsBank
  6. Barclays Wealth
  7. NationWide
  8. TSB
  9. HSBC
  10. Coutts
  11. Bankleumim
  12. Barclays
  13. TDCommercialBanking
  14. ASB
  15. Suncorpbank
  16. Commbank
  17. St George
  18. Banksa
  19. Banco de Belmourne
  20. BankWest
  21. Westpac
  22. ANZ
  23. PNBank
  24. CitiBank
  25. CIBC
  26. Commerzbank
  27. NAB

Detalle del ataque
  • Como curiosidades de TrickBot cabe destacar que en vez de usar SHA256, utiliza la CryptoAPI de Microsoft. A diferencia de otros troyanos, no usa comandos desde el bot directamente sino que emplea un programador de tareas (taskscheluder) a través de COM, de esta forma logra una mayor persistencia.
  • Destaca también la utilización de routers comprometidos para mantener la infraestructura el máximo tiempo posible. Tiene un diseño modular que le facilita la realización de sus diversas actividades maliciosas. Por ejemplo, incluye un modulo llamado GetSystemInfo, que se encarga de guardar la información de todo el sistema infectado para enviarla remotamente. Otro módulo reseñable es InjectDLL que se inyecta en los navegadores para observar que paginas se visitan.
  • A pesar de no haber golpeado aún a bancos españoles, es posible que tras haber mutado en poco tiempo desde Australia hacia Europa, pueda acabar afectando a entidades españolas.
  • Como siempre, ante este tipo de amenazas, se recomienda mantener los Antivirus actualizados, así como evitar abrir e-mails adjuntos de desconocidos.
Más información:
Fuente: Hispasec

Múltiples vulnerabilidades en cURL y libcurl

Se ha publicado una nueva versión de la librería libcurl y de la propia herramienta curl, para corregir hasta 11 vulnerabilidades que podrían permitir a un atacante modificar cookies en el sistema, reutilizar sesiones, obtener información sensible o incluso ejecutar código arbitrario.
cURL y libcurl son una herramienta y librería para descargar ficheros mediante la sintaxis URL a través de diferentes protocolos: DICT, FILE, FTP, FTPS, Gopher, HTTP, HTTPS, IMAP, IMAPS, LDAP, LDAPS, POP3, POP3S, RTMP, RTSP, SCP, SFTP, SMTP, SMTPS, Telnet y TFTP, y utilizada por millones de usuarios en diversos sistemas operativos, utilidades y aplicaciones webs.
Detalle de los problemas corregidos con la actualización
  • Un servidor http malicioso podrá inyectar cookies para dominios arbitrarios si el estado de la cookie está en un archivo cookie jar (CVE-2016-8615). Al reutilizar una conexión, curl realiza comparaciones del nombre de usuario y contraseña sin tener en cuenta las mayúsculas y minúsculas, esto podrá permitir reutilizar una conexión si un atacante conoce una versión de las credenciales sin diferenciar las mayúsculas y minúsculas (CVE-2016-8616).
  • En sistemas 32 bits, una escritura fuera de límites debido a una multiplicación sin comprobar (CVE-2016-8617). Vulnerabilidades por doble liberación en curl_maprintf (CVE-2016-8618) y en krb5 code (CVE-2016-8619). Lectura y escritura fuera de límites en la característica "globbing" de la herramienta curl (CVE-2016-8620). Lectura fuera de límites en curl_getdate (CVE-2016-8621).
  • Desbordamiento de búfer en el tratamiento de URLs (CVE-2016-8622). Uso de memoria después de liberarla a través de shared cookies (CVE-2016-8623). Tratamiento unadecuado de URLs con '#' (CVE-2016-8624). Por último, cuando curl se compila con libidn para tratar nombres de dominio internacionales (International Domain Names, IDNA) utiliza el estándar IDNA 2003 para la resolución DNS, aunque el IDNA 2008 es el estándar moderno y actualizado. Esto puede hacer que curl emplee un host erróneo (CVE-2016-8625).
Recomendación
Se ha publicado la versión 7.51.0 que soluciona estas vulnerabilidades y otros problemas no relacionados con fallos de seguridad.
Más Información:

Fuente:Hispasec