1 de julio de 2017

El ciberataque de esta semana no buscaba ganar dinero sino destruir datos de organizaciones industriales

El ciberataque global que comenzó el pasado martes, día 27, y que protagonizó el ransomware ExPetr -inicialmente identificado como Petya- buscaba fundamentalmente atacar organizaciones industriales. Un análisis realizado por la empresa de ciberseguridad Kaspersky Lab ha demostrado que al menos la mitad de los objetivos de este 'malware' de cifrado eran empresas de sectores como electricidad, petróleo y gas, transporte o logística.
Como ransomware, ExPetr cibra el disco duro de la víctima tras la infección del equipo y hace que este quede inactivo, mostrando un mensaje exigiendo un rescate por la liberación de sus ficheros. No obstante, tal y como ha explicado Kaspersky Lab a través de su página web, este virus "está construido de una manera que resulta completamente imposible descifrar archivos, incluso si se paga el rescate", por lo que las consecuencias de un ataque exitoso contra instalaciones industriales o infraestructuras críticas "podrían ser devastadoras".
"Por el momento es difícil decir si ExPetr está dirigido específicamente a una industria en particular o si ha afectado a tantas entidades industriales por casualidad", ha comentado el experto en seguridad de la compañía Kirill Kruglov. La naturaleza de este malware, ha añadido, "es tal, que podría fácilmente detener el funcionamiento de una instalación de producción durante un tiempo considerable", por lo que ha destacado que ha sido un "ejemplo claro" de por qué las entidades industriales "deben estar protegidas contra las amenazas cibernéticas".
El brote mundial de ExPetr se desencadenó el 27 de junio. El malware atacó a al menos 2.000 objetivos, en su mayoría organizaciones en Ucrania y Rusia, aunque también se han registrado ataques en España, Polonia, Italia, Alemania, Reino Unido, China, Francia y varios otros países. Aunque inicialmente fue identificado como una variante del ya conocido virus Petya, Kaspersky Lab confirmó que tiene "una funcionalidad totalmente diferente". ExPetr comparte algunas cadenas con Petya y también utiliza las herramientas de PsExec, un servicio incluido en Windows.
Fuente: El Mundo.es

PETYA. El nuevo ransomware que causa estragos en el mundo

No han pasado ni dos meses desde que Wannacry hiciera temblar a muchas de las grandes compañías de todo el mundo cuando otro ransomware similar vuelve a atacar.
Todo indica que este nuevo ataque se está reproduciendo a gran velocidad por todo el mundo, aunque por el momento Ucrania parece ser el país más afectado. Petya (diminutivo ruso de Pedro) actúa de forma similar a Wannacry, de hecho emplea el mismo exploit conocido como ETERNALBLUE. También se han detectado casos de afectados en España.
Petya pidiendo el rescate
El mensaje es claro:
"Si ves este texto, tus archivos ya no están accesibles, porque han sido cifrados. Tal vez estés ocupado buscando una forma de recuperar tus archivos, pero no malgastes tu tiempo. Nadie puede recuperar tus archivos sin nuestro servicio de descifrado".
Tal y como ocurría con Wannacry el virus cifra archivos importantes del usuario y muestra un mensaje en el que se solicita un rescate para recuperar la información secuestrada. La lista de extensiones cifradas es amplia:
.3ds .7z .accdb .ai .asp .aspx .avhd .back .bak .c .cfg .conf .cpp .cs .ctl .dbf .disk .djvu .doc .docx .dwg .eml .fdb .gz .h .hdd .kdbx .mail .mdb .msg .mrg .ora .ost .ova .ovf .pdf .php .pmf .ppt .pptx  .pst .pvi .py .pyc .rar .rtf .sln .sql .tar .vbox .vbs .vcb .vdi .vfd .vmc .vmdk .vmsd .vmx .vsdx .vsv .work .xls .xlsx .xvd .zip
Documentos, bases de datos, hojas de cálculo, correos, archivos comprimidos… toda la información importante se verá cifrada tras la actuación de Petya. El rescate solicitado para recuperarla  es de 300 euros en bitcoins.
Petya no es un malware nuevo, hace más de un año ya empezamos a ver muestras de este malware. En esta ocasión nos encontramos con una nueva versión que ha recogido el exploit empleado por Wannacry para su actuación.
Una de las acciones que realiza este malware es cifrar el MBR al reiniciar, por lo que ya será imposible acceder al sistema operativo y solo se mostrará una pantalla al arrancar el ordenador. De todas formas cuenta con un temporizador de una hora para forzar el reinicio. La recomendación en este caso es desconectar el equipo de la red hasta actualizar, pero no apagarlo y evitar cualquier tipo de reinicio forzado.
Para la infección a través de la red emplea técnicas de movimiento lateral a través de WMIC. Estas técnicas permiten al malware conseguir información de los sistemas de la red incluso sin necesidad de utilidades adicionales como RAT.
Los parches a aplicar en este caso son los mismos que para Wannacry. Es decir, aquellos sistemas que ya aplicaron los parches necesarios anteriormente no pueden verse afectados.
Las actualizaciones publicadas por Microsoft para evitar esta vulnerabilidad se encuentran bajo el boletín MS17-010 y son las siguientes según sistema:
Más información:
VirusTotal
Fuente: Hispasec.com

Cisco e IBM anuncian alianza para combatir el ciber-crimen

Cisco e IBM Security han anunciado una colaboración para mejorar la protección de las organizaciones frente al creciente panorama global de ciber-amenazas. Mediante este nuevo acuerdo, Cisco e IBM Security trabajarán de forma conjunta en las áreas de productos, servicios e inteligencia frente a amenazas.
Las soluciones de seguridad de Cisco se integrarán con la plataforma QRadar de IBM para proteger a las organizaciones a través de redes, terminales y el Cloud. Los clientes también se beneficiarán del alcance del soporte de IBM Global Services para los productos de Cisco en sus ofertas gestionadas para proveedores de servicios (Managed Security Service Provider, MSSP). Igualmente, el acuerdo establece una nueva relación entre los equipos de investigación de seguridad de IBM X-Force y Cisco Talos, quienes comenzarán a colaborar en inteligencia frente a amenazas y a coordinarse frente a los grandes incidentes de ciber-seguridad.
Uno de los mayores problemas para los equipos de seguridad es la proliferación de soluciones de seguridad puntales que no se comunican o integran entre sí. Según un reciente estudio de Cisco realizado entre 3.000 directores de Seguridad, el 65 por ciento de sus organizaciones utilizan entre seis y 50 productos de seguridad diferentes. Gestionar esta complejidad es un reto para los atareados equipos de seguridad, y podría suponer agujeros potenciales. La colaboración entre Cisco e IBM Security se enfoca en ayudar a las organizaciones a reducir el tiempo necesario para detectar y mitigar las amenazas, ofreciéndoles para ello herramientas integradas que permiten automatizar la repuesta frente a amenazas con mayor velocidad y precisión.
Defensa integrada frente a amenazas a través de las redes y el Cloud

  • El coste de los incidentes de seguridad y de la pérdida de datos sigue incrementándose para las empresas. Según Ponemon Institute, en 2016 el coste medio por incidente para las compañías encuestadas alcanzó el máximo valor registrado, alcanzando los 4 millones de dólares (un 29 por ciento más frente a los últimos tres años). Una lenta respuesta frente a un incidente puede también incrementar este coste. Los incidentes que tardaron más de 30 días en resolverse suman un coste adicional de 1 millón de dólares en comparación con los resueltos en menos de 30 días. Se requiere así una mayor visibilidad frente a las amenazas y la capacidad de bloquearlas con mayor rapidez, algo esencial en una estrategia de seguridad frente a amenazas integrada.
  • La combinación de las soluciones de seguridad de Cisco de última generación, basadas en una arquitectura integrada, con Cognitive Security Operations Platform de IBM, ayudará a los clientes a blindar sus organizaciones con mayor efectividad desde la red hasta los terminales y el Cloud.
  • Como parte de la colaboración, Cisco diseñará nuevas aplicaciones para la plataforma analítica de seguridad QRadar de IBM. Las dos primeras aplicaciones ayudarán a los equipos de seguridad a comprender y controlar las amenazas avanzadas, y estarán disponibles en el portal IBM Security App Exchange. Las nuevas aplicaciones optimizarán la experiencia de usuario y ayudarán a los clientes a identificar y remediar los incidentes con mayor efectividad cuando utilicen el Firewall de Nueva Generación de Cisco (NGFW, Next-Generation Firewall), el Sistema de Protección frente a Intrusiones de Nueva Generación (NGIPS, Next-Generation Intrusion Protection System) y las soluciones Advanced Malware Protection (AMP) y Threat Grid de Cisco.
  • Igualmente, IBM Resilient Incident Response Platform (IRP) se integrará con Cisco Threat Grid para proporcionar a los equipos de seguridad la visibilidad necesaria para responder a los incidentes con mayor velocidad. Por ejemplo, los analistas de IRP pueden evaluar indicadores de compromiso con la división de inteligencia frente a amenazas de Cisco Threat Grid, o bloquear malware sospechoso mediante su tecnología de sandbox. Esto permite a los equipos de seguridad obtener valiosa información sobre incidentes en el momento de la respuesta.
Inteligencia frente a amenazas y servicios gestionados

  • Los equipos de investigación de IBM X-Force y Cisco Talos colaborarán en la investigación de seguridad para responder a los principales retos de ciber-seguridad a los que se enfrentan los clientes. Para los clientes conjuntos, IBM ofrecerá una integración de X-Force Exchange y Cisco Threat Grid. Esta integración amplía enormemente la inteligencia frente a amenazas tanto histórica como en tiempo real que los analistas de seguridad pueden correlacionar para obtener una mayor visibilidad.
  • Por ejemplo, Cisco e IBM compartieron recientemente inteligencia frente a amenazas para controlar los ataques de ransomware WannaCry. Los equipos coordinaron su respuesta y los investigadores intercambiaron conocimiento sobre la forma de propagación del malware. Y siguen colaborando en esta investigación para garantizar que los clientes y la industria tengan disponible la información más relevante.
  • A través de esta colaboración extendida, el equipo de Managed Security Services de IBM, que gestiona la seguridad para más de 3.700 clientes a escala global, trabajará con Cisco para proporcionar nuevos servicios que permitan reducir aún más la complejidad. Una de las primeras ofertas está diseñada para el creciente mercado Cloud híbrido. A media que las organizaciones migran su infraestructura de seguridad a los proveedores Cloud públicos y privados, IBM Security proporcionará servicios de seguridad gestionados dando soporte a la plataforma de seguridad de Cisco en los servicios Cloud públicos líderes.
  • David Ulevitch, vicepresidente y director general de la división de Seguridad en Cisco, comentó: “La estrategia de seguridad de Cisco, basada en arquitectura, permite a las organizaciones detectar las amenazas una vez y detenerlas en todas partes. Al combinar el completo porfolio de seguridad de Cisco con la plataforma de respuesta y operaciones de IBM Security, ofrecemos las mejores soluciones y servicios de seguridad a través de la red, los terminales y el Cloud, combinados con analítica avanzada y capacidades de orquestación”.
  • Por su parte, Marc van Zadelhoff, director general de IBM Security, señaló: “Se espera que el ciber-crimen suponga, a nivel mundial, un coste anual de 6 billones de dólares en 2021. Por esta razón, IBM apuesta desde hace tiempo por la colaboración abierta y la compartición de conocimiento para luchar frente a las ciber-amenazas. Con la colaboración de Cisco, los clientes conjuntos ampliarán enormemente su capacidad para optimizar el uso de tecnologías cognitivas como IBM Watson for Cybersecurity. Además, la colaboración entre los equipos de IBM X-Force y de Cisco Talos supone un gran avance en la lucha de los ‘buenos’ frente al ciber-crimen”.
Fuente: Diarioti.com

Investigadores revierten iniciativa de comprar herramientas de la NSA a hackers

Shadow Brokers Response Team, agrupación de investigadores de seguridad, decidió abandonar un polémico proyecto de crowdfunding destinado a comprar herramientas de intrusión y sabotaje informático sustraídas a la Agencia Nacional de Seguridad estadounidense (NSA) por The Shadow Brokers.
En sólo 36 horas de la campaña, ésta había recolectado 3900 dólares, aportados por 40 donantes. Sin embargo, esta mañana los responsables de la iniciativa, Matthew Hickey, hacker “white hat” que opera con el seudónimo de “hacker fantastic”, y “x0rz”, pusieron fin a la campaña aduciendo razones jurídicas
Hickey dice haber contactado a un abogado, quien le advirtió que transferir dinero a The Shadow Brokers podría tener serias consecuencias jurídicas para él y su socio. El mismo punto de vista habría sido planteado por funcionarios gubernamentales contactados por Hickey. “Nos dijeron que The Shadow Brokers tiene vínculos con el organismo de seguridad ruso FSB, lo que nos ocasionaría dificultades con el sistema judicial estadounidense”, escribe Hickey en un comunicado. “Esperamos que los datos sustraídos serán dados a conocer a la opinión pública. Hasta entonces, sólo nos queda confiar en que las partes involucradas darán a conocer las vulnerabilidades de manera responsable”.
Hickey indicó que las donaciones recibidas en bitcoin serán devueltas a quienes aporten pruebas criptográficas de haber hecho la donación mediante esa ciberdivisa. Los fondos que no puedan ser devueltos serán donados a Electronic Frontier Foundation, indicó.
Por su parte, “x0rz” comentó “personalmente, creo que The Shadow Brokers publicarán la información, ya que ésa es su agenda. No lo hacen por el dinero, sino por la atención mediática, algo que hemos podido comprobar”.
Esta semana, The Shadow Brokers anunció su intención de vender el material sustraído a la NSA por 100 Zcash, equivalentes a USD 25500. En mayo, The Shadow Brokers dieron a conocer la vulnerabilidad WannaCry.
Fuente: Diarioti.com

El cibercrimen copia técnicas de marketing para medir el éxito de sus campañas

Los métodos para rastrear un ataque durante su distribución son muy simples. Usualmente, los cibercriminales crean o usan herramientas de uso libre para modificar las URLs adjuntas a cada email, agregando un parámetro adicional. Dependiendo del nivel de sofisticación del ataque, este puede ser el email original, una codificación de este o incluso un token diseñado para la URL.
Muchos nuevos servicios de rastreo de email han surgido en los últimos años. Estos servicios ayudan a los equipos de marketing a determinar si sus campañas de email han sido exitosas tras analizar el número de emails abiertos y de clics hechos por los usuarios. A medida que estas herramientas maduran, comienzan a ofrecer más capacidades de análisis que les ayudan a los equipos de marketing a extraer datos relevantes sobre audiencia, segmentación de mercados, hábitos y demás. Pero ahora, los hackers están adoptando los mismos métodos de rastreo de email para verificar la eficacia de sus ataques, según un análisis elaborado por Easy Solutions, subsidiaria de Cyxtera Technologies.
“Aunque las campañas de email parecen fáciles de ejecutar, su diseño revela un comportamiento de grupo bien organizado. Es evidente que los cibercriminales están midiendo su retorno de inversión (ROI) como se hace en grandes compañías legalmente establecidas”, comentó Cristian David Torres, Experto en Seguridad de Correo Electrónico de Easy Solutions.
De acuerdo a Easy Solutions, el lanzamiento de un ciber ataque se puede dividir en dos etapas:

  1. La primera comienza con los vectores de infección usados para propagar la amenaza en nombre de una compañía, banco o entidad gubernamental, y termina cuando los cibercriminales han obtenido información sobre la propagación de su campaña maliciosa. Algunos métodos comúnmente usados para esta primera etapa son phishing vía email, publicidad falsa, perfiles falsos en redes sociales, etc.
  2. La segunda etapa es la ejecución, la cual comienza cuando la víctima ha sido expuesta al contenido malicioso. En esta etapa, la víctima es convencida de entregar información o abrir archivos maliciosos. Sin embargo, esto no significa que el blanco haya entregado información sensible o descargado contenido peligroso aún.
Los métodos para rastrear un ataque durante su distribución son muy simples. Usualmente, los cibercriminales crean o usan herramientas de uso libre para modificar las URLs adjuntas a cada email, agregando un parámetro adicional. Dependiendo del nivel de sofisticación del ataque, este puede ser el email original, una codificación de este o incluso un token diseñado para la URL.
“Estas herramientas de rastreo no siempre son implementadas, pero cuando lo son, les permiten a los atacantes una mejor perspectiva de sus potenciales víctimas. Así los criminales pueden estudiar sus perfiles, hábitos, necesidades y patrones para encontrar la mejor manera de expandir la amenaza”, comenta Torres. Y destaca, “es aquí donde un método de rastreo resulta útil para determinar información como las direcciones de email que reciben el mensaje y han accedido al contenido malicioso, el navegador utilizado para abrir el ataque, el número de clics hechos por el usuario, la ubicación de la víctima, etc. Usando todos estos datos, un atacante puede fácilmente segmentar a sus víctimas y mejorar su estrategia con miras a una campaña exitosa”.
Finalmente, después de que se ha engañado al usuario final, los atacantes aplican métricas y estadísticas a sus campañas, ya que generalmente construyen herramientas de reporte directamente en sus creaciones con el fin de reunir información sobre los usuarios afectados, el estado de sus dispositivos, ubicación y reportes con la información robada.
Seis recomendaciones de Easy Solutions para no contribuir con estos ataques:

  1. 1.Verifique siempre el origen de cualquier documento recibido en caso de encontrar algo sospechoso (correos mal escritos, mensajes genéricos o información que no concuerde con su perfil).
  2. 2.La próxima vez que acceda a un enlace dentro de un email sospechoso, sea consciente de que puede estar dándoles a los criminales más información de la que usted cree.
  3. 3.Instale soluciones de antivirus para revisar cualquier archivo descargado.
  4. 4.Nunca acepte la ejecución de ningún programa que usted no haya iniciado.
  5. 5.Nunca confíe en remitentes desconocidos.
  6. 6.Asegure a sus usuarios finales al implementar técnicas de validación de dominios de email que los protejan contra suplantación de compañías. Esto también le permitirá mejorar la reputación de su dominio de email.
Fuente: Diarioti.com

Industroyer podría ser la mayor amenaza a infraestructura crítica después de Stuxnet

ESET informa sobre una amenaza informática capaz de controlar sistemas de energía eléctrica de una nación. Industroyer es un malware capaz de hacer daño significativo a los sistemas de energía eléctrica y que podría ser reconfigurado para dirigirse a otros tipos de infraestructuras críticas.
En 2016 hubo un ciberataque a la red eléctrica de Ucrania, que dejó sin suministro a parte de su capital por una hora. Desde entonces, investigadores de ESET analizaron muestras de malware capaces de ejecutar ese mismo tipo de acción.
Industroyer es una amenaza particularmente peligrosa, dado que es capaz de controlar los interruptores de una subestación eléctrica directamente. Para hacerlo, utiliza protocolos de comunicación industrial implementados mundialmente en infraestructuras de suministro de energía eléctrica, sistemas de control de transporte y otros sistemas de infraestructura crítica, como agua y gas.
“Este malware es altamente personalizable. Si bien es universal, ya que puede ser usado para atacar cualquier sistema de control industrial usando algunos de los protocolos de comunicación de la lista de objetivos, algunos de los componentes de las muestras analizadas estaban diseñados para apuntar a un tipo particular de hardware”, asegura Camilo Gutiérrez Amaya, Jefe del Laboratorio de Investigación de ESET Latinoamérica.
Estos interruptores (o switches) son equivalentes digitales a los conmutadores analógicos; técnicamente pueden ser diseñados para realizar varias funciones. Por lo tanto, el impacto potencial puede ir desde simplemente desactivar la distribución de energía hasta fallas en cascada y daños al equipo. La gravedad del mismo también puede variar de una subestación a otra.
La peligrosidad del malware Industroyer radica en el hecho de que usa los protocolos de la manera en que fueron diseñados para ser usados: “El problema es que los protocolos se crearon hace décadas, y en ese entonces la intención era que los sistemas industriales estuvieran aislados del mundo exterior. Como consecuencia, su comunicación no fue diseñada con la seguridad en mente. Esto significa que los atacantes no necesitaban buscar vulnerabilidades en los protocolos; todo lo que necesitaban era enseñarle al malware a “hablar” esos protocolos”, mencionó Gutierrez Amaya.
El corte de energía más reciente ocurrió el 17 de diciembre de 2016, casi exactamente un año después del apagón que afectó a cerca de 250.000 hogares en varias regiones de Ucrania, el 23 de diciembre de 2015. En aquella ocasión, los atacantes se infiltraron en las redes de distribución eléctrica con el malware BlackEnergy, junto con KillDisk y otros componentes, y luego abusaron de software legítimo de acceso remoto para controlar las estaciones de trabajo de los operadores y cortar el suministro.
Industroyer es un malware modular. Su componente central es un backdoor usado por los atacantes para gestionar el ataque; instala y controla los otros componentes y se conecta a un servidor remoto para recibir comandos y reportar a los criminales. “Gracias a la habilidad de persistir en el sistema y proveer información valiosa para refinar los payloads personalizables, los atacantes podrían adaptar el malware a cualquier entorno, lo que lo vuelve extremadamente peligroso. Más allá de si el reciente ataque a la red eléctrica de Ucrania fue una prueba o no, debería servir como llamado de atención para los responsables de la seguridad en sistemas críticos de todo el mundo”, concluyó Gutiérrez Amaya.
Más información
Hay más detalles del análisis técnico de este malware y los Indicadores de Sistemas Comprometidos (IoC) en el white paper de ESET (en inglés) y en GitHub. https://www.welivesecurity.com/wp-content/uploads/2017/06/Win32_Industroyer.pdf
Fuente: Diarioti.com

Microsoft distribuye nuevos parches para versiones obsoletas de Windows

Actualizaciones de seguridad para Windows Vista y Windows XP solucionan vulnerabilidades creadas por herramientas sustraídas a la NSA.
Microsoft anunció el 13 de junio la disponibilidad de actualizaciones de seguridad para Windows XP y Windows Vista, dos sistemas operativos descontinuados que ya no cuentan con soporte oficial de la empresa. Las actualizaciones están disponibles además para Windows Server 2003 y Windows 8.
En mayo, la empresa sorprendió al distribuir actualizaciones de seguridad para Windows XP, un producto descontinuado en abril de 2014.
Al igual que en la oportunidad anterior, Microsoft está mitigando el daño causado por las filtraciones del grupo autodenominado “The Shadow Brokers” de material sustraído a la NSA.
En el sitio de Microsoft Security Response Center (MSRC) la empresa escribe que los sistemas operativos Windows 7 y posteriores no son vulnerables a las herramientas de ataque EnglishmanDentist (CVE-2017-8487), EsteemAudit (CVE-2017-0176) y ExplodingCan (CVE-2017-7269), pero que las versiones posteriores, especialmente Windows XP y Vista, son susceptibles. Dos de las vulnerabilidades hacen posible ejecutar código maligno en los sistemas intervenidos.
Las actualizaciones de seguridad para los sistemas operativos descontinuados no están disponibles vía Windows Update. En lugar de ello, los usuarios deberán descargar los parches e instalarlos manualmente. La información sobre los procedimientos está disponible en ésta página.
“Hoy, como parte de nuestro plan ordinario de actualizaciones del [segundo] martes [de cada mes], hemos tomado medidas adicionales para ofrecer actualizaciones críticas que solucionan vulnerabilidades con riesgo incrementado de ser explotadas debido a actividades estatales”, escribe Eric Doerr, de Microsoft, quien agrega: “nuestra decision de hoy, de distribuir actualizaciones de seguridad para plataformas que ya no cuentan con soporte official, no debe ser interpretada como un alejamiento de nuestras prácticas estándar de servicio”. Según la empresa su decisión obedece únicamente a un análisis puntual del panorama de amenazas. Microsoft precisa que los sistemas antiguos, aún al ser parcheados, carecen de las últimas actualizaciones y avances en seguridad informática.
Fuente: Diarioti.com

Vuelve la esteganografía como herramienta de ciberataques

La esteganografía digital es usada por los cibercriminales para evitar la detección por parte de los sistemas de seguridad. Los sectores de salud, administraciones públicas y educación, principales objetivos para los ciberdelincuentes, según McAfee.
McAfee Inc. ha dado a conocer su informe de amenazas McAfee Labs Threats Report: June 2017, que examina el origen y el funcionamiento interno del ladrón de contraseñas Fareit, analiza los 30 años de historia de las técnicas de evasión utilizadas por los autores de malware, explica el concepto esteganografía como técnica de evasión, evalúa los ataques en diferentes industrias y, por último, revela las tendencias en crecimiento del malware, ransomware, malware móvil y otras amenazas acaecidas en el primer trimestre de 2017.
“Hay cientos, si no miles, de técnicas de evasión anti-seguridad, anti-sandbox y anti-analista que son utilizadas por los autores de malware y que pueden ser adquiridas en la Dark Web”, afirma Vicent Weafer, vicepresidente de McAfee Labs. “El informe de este trimestre nos recuerda que la evasión ha evolucionado, desde el intento de ocultar simples amenazas ejecutándose en un solo contenedor, hasta ocultar amenazas complejas dirigidas a entornos empresariales durante un periodo prolongado de tiempo y a paradigmas completamente nuevos como técnicas de evasión diseñadas para el ‘machine learning’.
30 años de técnicas de evasión de malware

  • Los desarrolladores de malware comenzaron a experimentar con diversas técnicas con el objetivo de esquivar los productos de seguridad en los años 80, cuando un ejemplar de malware se defendió cifrando parcialmente su propio código; de este modo, su contenido fue ilegible para los analistas de seguridad. El término “evasión técnica” engloba todos los métodos utilizados por el malware para evitar su detección, análisis y comprensión. McAfee Labs clasifica las técnicas de evasión en tres grandes categorías:
  1. Técnicas anti-seguridad. Se utilizan para evitar la detección por parte de motores antimalware, contención de aplicaciones u otras herramientas que protegen el entorno.
  2. Técnicas anti-sandbox. Se utilizan para detectar el análisis automático y esquivar a los motores que informan sobre el comportamiento del malware. La detección de las claves del registro, archivos o procesos relacionados con entornos virtuales permite al malware saber si se está ejecutando en un sandbox.
  3. Técnicas anti-analista. Se utilizan para detectar y engañar a los analistas de malware. Por ejemplo, detectando herramientas de monitorización como ‘Process Explorer’ o ‘Wireshark’.
  • El informe de McAfee Labs de junio 207 analiza alguna de las técnicas de evasión más potentes, el sólido mercado oscuro de la tecnología de evasión, cómo las nuevas familias de malware aprovechan estas técnicas y las perspectivas de futuro, incluyendo la evasión del ‘machine learning’ y de hardware.
Ocultos a plena vista: La amenaza de la esteganografía

  • La esteganografía es el arte y la ciencia de ocultar mensajes secretos. En el mundo digital, se trata de una práctica que consiste en esconder mensajes dentro de imágenes, pistas de audio, vídeos o archivos de texto. En muchas ocasiones, la esteganografía digital es usada por los cibercriminales para evitar la detección por parte de los sistemas de seguridad. El primer uso conocido de esta técnica en un ciberataque fue en el malware Duqu en 2011. Utilizando una imagen digital, la información secreta se inserta mediante un algoritmo de incrustación, la imagen se transmite al sistema de destino y se extrae la información secreta para que sea usada por el malware. La imagen alterada es, a menudo, difícil de detectar por el ojo humano y por la tecnología de seguridad.
  • McAfee Labs concibe la esteganografía como la forma más novedosa dentro de esta disciplina, como los campos no utilizados dentro de los encabezados de protocolo TCP/IP que son utilizados para ocultar los datos. Este método está en auge debido, principalmente, a que los atacantes pueden enviar una cantidad ilimitada de información a través de la red usando esta técnica.
Fareit: El ladrón de contraseñas más infame

  • Fareit apareció por primera vez en 2011. Desde entonces, ha evolucionado en una amplia variedad de formas, incluyendo nuevos vectores de ataque, arquitectura y funcionamiento interno mejorados, y nuevas formas para evitar la detección. Existe un consenso generalizado al considerar que Fareit (el malware de robo de contraseñas más infame), fue utilizado en la brecha al Comité Nacional Demócrata antes de las elecciones a la presidencia de Estados Unidos en 2016.
  • Fareit se propaga a través de mecanismos como correos electrónicos de phishing, envenenamiento de DNS o exploit kits. Una víctima podría recibir un correo electrónico no deseado que contenga un documento Word, JavaScript o un archivo comprimido como adjunto. En el momento en el que el usuario abre el archivo adjunto, Fareit infecta el sistema, enviando credenciales robadas a su servidor de control y descargando el malware.
  • La brecha DNC de 2016 fue atribuida a una campaña de malware conocida como Grizzly Steppe. McAfee Labs identificó indicios de Fareit en la lista de indicadores comprometidos publicada en el informe Grizzly Steppe del Gobierno de los Estados Unidos. Se cree que la cepa Fareit es específica para el ataque de DNC y ha aparecido en documentos maliciosos de Word extendidos a través de campañas de correo electrónico de phishing.
  • El malware hace referencia a varias direcciones de servidor de control que no se observan normalmente en las muestras de Fareit encontradas. Probablemente fue utilizada junto a otras técnicas en el ataque DNC para robar emails, FTP y otras credenciales importantes. McAfee Labs sospecha que Fareit también descargó amenazas más avanzadas como Onion Duke y Vawtrak entre los sistemas de las víctimas con el objetivo de llevar a cabo nuevos ataques.
“Los usuarios, empresas y gobiernos son cada vez más dependientes de sistemas y dispositivos que están protegidos sólo por contraseñas. Estas credenciales son débiles o pueden ser fácilmente robadas, convirtiéndolas en un objetivo atractivo para los ciberdelincuentes”, señala Weafer. “McAfee Labs cree que los ataques basados en robo de contraseñas continuarán creciendo hasta que se realice la transición de autenticación de dos factores para el acceso a los sistemas. La campaña de Grizzly Steppe es un adelanto de las nuevas y futuras tácticas.”
Primer trimestre 2017, actividad de las amenazas
En el primer trimestre de 2017, la red global de inteligencia de amenazas de McAfee Labs registró un notable crecimiento de las ciberamenazas e incidentes relacionados con ciberataques a diferentes industrias.

  1. Nuevas amenazas. En el primer trimestre de 2017, se registraron 244 nuevas amenazas cada minuto, más de cuatro cada segundo.
  2. Incidentes de seguridad. McAfee Labs registró 301 incidentes de seguridad que fueron difundidos públicamente en el Q1, un aumento del 53% respecto al cuarto trimestre de 2016. Los sectores salud, administraciones públicas y educación representan más del 50% del total.
  3. Malware. El número de nuevas muestras de malware se ha incrementado en el primer trimestre alcanzando los 32 millones. El número total de muestras de malware ha aumentado en un 22% en los últimos cuatro trimestres, alcanzando los 670 millones de muestras conocidas.
  4. Malware móvil. Los informes de malware móvil de Asia se han duplicado en el primer trimestre, contribuyendo a un crecimiento del 57% del índice de infección mundial. El total de malware móvil ha crecido en un 79% en los últimos cuatro trimestres alcanzado los 16,7 millones de muestras. La mayor contribución a este crecimiento fue Android/SMSreg, un programa potencialmente no deseado detectado en India.
  5. Malware para Mac OS. Durante los últimos tres trimestres, el nuevo malware para Mac OS ha sido potenciado por un exceso de adware. Aunque sigue siendo pequeño en comparación con las amenazas de Windows, el número total de muestras de malware de Mac OS creció un 53% en el primer trimestre.
  6. Ransomware. Las nuevas muestras de ransomware se han disparado durante el primer trimestre debido a los ataques de ransomware de Congur en dispositivos con sistema operativo Android. El número total de muestras de ransomware ha crecido en un 59% en los últimos cuatro trimestres alcanzando 9,6 millones de muestras conocidas.
  7. Spam botnes. En abril, el cerebro del botnet Kelihos fue arrestado en España. Kelihos fue el responsable durante muchos años de millones de mensajes de spam que llevaban malware bancario y ransomware. El Departamento de Justicia de Estados Unidos reconoció la cooperación internacional entre autoridades estadounidenses y extranjeras, la Fundación Shadow Server y proveedores de la industria.
Para más información acerca de estos temas o más estadísticas sobre el panorama de riesgo durante el Q1 de 2017, visite http://www.mcafee.com/ o acceda al informe completo (no requiere registro).
Fuente: Diarioti.com

Protegen las computadoras de CERN con inteligencia artificial

Miles de computadoras conectadas al experimento LHC de CERN constituyen un objetivo predilecto de intrusiones de todo tipo, dada su formidable capacidad de cálculo. Para contener los ataques, CERN utilizar inteligencia artificial.
En caso de ser intervenidas, la computadoras de CERN pueden ser utilizadas para minería de bitcoin y ataques DDoS, por ejemplo. Para neutralizar las constantes intrusiones, el departamento de TI de CERN está programando la red para distinguir entre tráfico normal e ilegítimo, escribe la publicación sea Scientific American.
Cada vez que se detecta una amenaza de seguridad, el sistema la registra y procede a bloquearla automáticamente, comenta Andrés Gómez, de CERN, que ha publicado un artículo científico sobre el tema.
Los antivirus corrientes no tienen la capacidad de proteger contra algunas amenazas, especialmente aquellas que cambian constantemente su código para eludir las herramientas tradicionales de seguridad. Esta situación llevó a CERN a diseñar un nuevo método, basado en aprendizaje automático, para reconocer y registrar el tráfico sospechoso antes que éste entre a la red. Un ejemplo en tal sentido es el tráfico que requiere gran ancho de banda sin existir una justificación aparente, o que utiliza procedimientos o puertos no autorizados en sus intentos por acceder a la red.
“Normalmente, los antivirus intentan impedir las intrusiones contra una computadora específica. En nuestra red es necesario proteger decenas de miles de máquinas, lo que hace posible para científicos externos utilizar una selección de software en sus distintos experimentos. Por tratarse de un modelo distribuido, y dado el gran volumen de los datos en el recolectados, la detección de intrusos se hace mucho más compleja”, comentó Gómez a la publicación.
Fuente: Diarioti.com

Nuevo ransomware sigue las explotaciones de WannaCry

Nueva variante de ransomware conocida como Petya está afectando una amplia gama de industrias y organizaciones, incluyendo infraestructura crítica como energía, banca y sistemas de transporte.
Aamir Lakhani, estratega senior de Seguridad en Fortinet, explica que se trata de una nueva generación de ransomware diseñado para aprovechar las mismas vulnerabilidades que fueron explotadas durante el reciente ataque de WannaCry el pasado mayo.
“El nuevo ataque, conocido como Petya, es algo a lo que nos referimos como un ransomworm. Esta variante, en lugar de dirigirse a una sola organización, utiliza un enfoque amplio que se dirige a cualquier dispositivo que su gusano pueda encontrar y sea capaz de explotar”, comenta Lakhani.
Según el experto, hay razones para suponer que este ataque se inició con la distribución de un documento de Excel que explota una conocida vulnerabilidad de Microsoft Office. Una vez que un dispositivo se infecta a través de este vector, Petya comienza a aprovechar la misma vulnerabilidad utilizada por WannaCry para propagarse a otros dispositivos. El comportamiento semejante a un gusano que exhibe este malware se debe a su detección activa para un servidor SMB. Parece que se está extendiendo a través de EternalBlue y WMIC.
Una vez que un dispositivo vulnerable ha sido intervenido, Petya parece afectar el registro de arranque principal (MBR, por sus siglas en inglés) durante el ciclo de infección. Luego proporciona al usuario una nota de rescate que dice: “Sus archivos ya no son accesibles porque han sido encriptados”, a la vez que exige un pago aproximado de USD300 de rescate en la moneda digital Bitcoin. Después especifica que apagar la computadora dará lugar a la pérdida completa del sistema.
“Esta es una táctica distinta a la que se ve en otras versiones de ransomware, como la de un reloj de cuenta atrás o el borrador gradual de archivos de datos. Con la mayoría de los ataques de ransomware, la única pérdida potencial son los datos. Debido a que Petya altera el registro de arranque principal, el riesgo es la pérdida de todo el sistema. Además, hace el reinicio del sistema en un ciclo de una hora, agregando un elemento adicional de denegación de servicio al ataque”, explica el representante de Fortinet.
Además de las vulnerabilidades de Microsoft Office, Petya usa el mismo vector de ataque que WannaCry, explotando las mismas vulnerabilidades de Microsoft que fueron descubiertas por los Shadow Brokers a principios de este año. Sin embargo, debido a que se utilizaron vectores de ataque adicionales en este exploit, el parche por si solo habría sido inadecuado para detenerlo completamente, lo que significa que el parche debe combinarse con buenas herramientas y prácticas de seguridad. “Los clientes de Fortinet, por ejemplo, estaban protegidos de todos los vectores de ataque, ya que fueron detectados y bloqueados por nuestras soluciones ATP, IPS y NGFW. Además, nuestro equipo AV emitió una nueva firma antivirus a las pocas horas del descubrimiento para mejorar la primera línea de defensa”, indica Lakhani.
Llama la atención que a pesar de la divulgación de las vulnerabilidades y parches de Microsoft, y la naturaleza mundial del ataque de WannaCry, aparentemente hay miles de organizaciones, incluyendo aquellas que manejan infraestructura crítica, que han fallado en parchear sus dispositivos. Esto también puede ser simplemente una prueba para entregar futuros ataques dirigidos a vulnerabilidades recientemente reveladas.
Lakhani pone de relieve que WannaCry no tuvo mucho éxito desde una perspectiva financiera ya que generó pocos ingresos para sus desarrolladores. Esto se debió, en parte, porque los investigadores fueron capaces de encontrar un interruptor que desactivó el ataque. La carga útil de Petya, sin embargo, es mucho más sofisticada aunque queda por ver si tendrá más éxito económico que su predecesor.
El experto de Fortinet indica que hasta el momento, hay dos cosas claras: 1) demasiadas organizaciones practican una mala higiene en la seguridad. Cuando un exploit apunta a una vulnerabilidad conocida para la cual un parche ha estado disponible durante meses o años, las víctimas sólo pueden culparse a ellas mismas. Los elementos claves de este ataque apuntaban a las vulnerabilidades para las cuales los parches estaban disponibles durante algún tiempo. Y 2) estas mismas organizaciones tampoco disponen de herramientas adecuadas para detectar este tipo de explotaciones.
Fuente: Diarioti.com

Petya: cómo prevenirlo y detener el próximo ciberataque global

Petya se está propagando rápidamente a través de las redes corporativas de la misma manera que WannaCry hizo el mes pasado.
El equipo de Respuesta a Incidentes de Check Point® Software Technologies Ltd. (Nasdaq: CHKP), el mayor proveedor mundial especializado en seguridad, ha detectado numerosos ataques de una nueva variante del malware Petya, que se está expandiendo lateralmente dentro de redes corporativas. Todo parece indicar que está utilizando el exploit SMBv1 ‘EternalBlue’, al igual que WannaCry en mayo. En un primer momento, fue detectado atacando a entidades financieras ucranianas, y se ha extendido de forma masiva por Europa, América del Norte, América del Sur y Asia.
Petya se está propagando rápidamente a través de las redes corporativas de la misma manera que WannaCry hizo el mes pasado. Sin embargo, a diferencia de otros tipos de ransomware, no cifra los archivos de las máquinas infectadas de forma individual. En su lugar, bloquea toda la unidad de disco duro del equipo.
¿Qué ha pasado?
El ataque comenzó en Ucrania, donde causó una interrupción masiva de las infraestructuras críticas del país, antes de extenderse por Europa, infectando a una serie de empresas. Se ha especulado que la fuente de la infección ha sido una actualización de software corrupta de un programa de contabilidad llamado M.E. Doc, que se extendió a todos sus clientes. M.E. Doc niega esta versión.
24 horas después del inicio del ataque, el sistema por el que las víctimas pueden pagar el rescate se ha quedado inutilizado: la dirección de correo electrónico proporcionada por los criminales la ha cerrado el proveedor de alojamiento, y los ciberdelincuentes no han accedido a la cuenta de Bitcoins en la que se depositaba el dinero de los rescates, que no llega a los 10.000 dólares.
A la vez que surgió Petya, el equipo de investigación de Check Point detectó la distribución simultánea del bot Loki a través de documentos RTF infectados, que instalan una aplicación de robo de credenciales a dispositivos infectados. Sin embargo, por el momento, los dos ataques no parecen estar directamente conectados.
Puntos clave del ataque
Check Point sostiene que existen tres aspectos principales relativos a este último ataque de ransomware:
1. El ataque podría haberse evitado, y los que veremos en el futuro podrán evitarse también. Dado que más del 93% de las empresas no disponen de la tecnología necesaria para protegerse contra este tipo de amenaza, no es de extrañar que se estén propagando con tanta rapidez. Para próximas ocasiones los negocios deben desplegar soluciones que prevengan el ransomware, y aplicar todos los parches de seguridad de su software.
2. Es hora de que las empresas, los gobiernos y las organizaciones supranacionales impulsen la agenda de la ciberseguridad. Los ataques globales demuestran que necesitamos invertir en el futuro de la ciberseguridad. Es esencial que las tecnologías modernas de protección se desplieguen desde el Estado para evitar que vuelvan a suceder. Sabemos que los ciberdelincuentes continuarán lanzando nuevos tipos de malware una y otra vez, por lo que necesitamos tomar medidas para protegernos.
3. La seguridad fragmentada es parte del problema. Hay demasiadas tecnologías sin coordinación entre ellas que se dedican a detectar un ataque después de que el daño está hecho. Para defender a las compañías de todos los tamaños y sectores, se necesitan arquitecturas unificadas que se centren en prevenir los ataques antes de que lleguen a las redes corporativas.
¿Cómo pueden protegerse las personas y las empresas?
   Petya demuestra dos tendencias principales: en primer lugar, que los ciberdelincuentes pueden crear y difundir nuevas amenazas a escala mundial a una velocidad increíble. Segundo que, a pesar del impacto de WannaCry, muchas compañías todavía no están bien preparadas para evitar que el malware se filtre en sus sistemas.
   Estos ataques tienen el potencial de crear un daño masivo, como se ve por el impacto en la infraestructura crítica en Ucrania. Y las consecuencias de una propagación tan rápida de las infecciones pueden tener un efecto dramático en la vida de los ciudadanos, incapacitando servicios críticos e interrumpiendo sus rutinas diarias.
Para evitar ser víctima de futuras ciberamenazas, Check Point recomienda:
1. Aplicar todos los parches de seguridad en cuanto se distribuyan. Las actualizaciones que solucionan las vulnerabilidades explotadas por Petya y WannaCry están disponibles desde hace varios meses. Las organizaciones deben aplicarlas en sus redes de inmediato. También deben asegurarse de que se desplieguen y apliquen nuevos parches a medida que estén disponibles.
2. Bloquear los ataques antes de que penetren en la compañía con Prevención de Amenazas de Nueva Generación. Las empresas deben centrarse en prevenir los ataques antes de que sucedan. Detectar este tipo de amenaza avanzada después de que haya sucedido no es suficiente: el daño ya está hecho. La Prevención de Amenazas de Nueva Generación es esencial para buscar, bloquear y filtrar el contenido de los archivos sospechosos antes de que entren en las redes. También es clave que el personal esté informado sobre los riesgos potenciales de los emails enviados por personas desconocidas o los sospechosos que provienen supuestamente de contactos conocidos.
Fuente: Diarioti.com

El 50% de los objetivos de ExPetr son empresas industriales

El análisis de Kaspersky Lab demuestra que al menos la mitad de los objetivos del malware de cifrado de ExPetr eran varias organizaciones industriales.
La lista incluye electricidad, petróleo y gas, transporte, logística y otras empresas. ExPetr es un tipo de malware ransomware. Tras la infección del equipo de la víctima, cifra el disco duro y hace que el equipo quede inactivo, mostrando un mensaje a la víctima exigiendo un rescate.
Según los analistas de Kaspersky Lab, ExPetr está construido de una manera que resulta completamente imposible descifrar archivos, incluso si se paga el rescate. Para instalaciones industriales e infraestructuras críticas, las consecuencias de un ataque exitoso utilizando este malware podrían ser devastadoras.
 “Por el momento es difícil decir si ExPetr está dirigido específicamente a una industria en particular, o si ha afectado a tantas entidades industriales por casualidad. Sin embargo, la naturaleza de este malware es tal que podría fácilmente detener el funcionamiento de una instalación de producción durante un tiempo considerable. Es por eso que este ataque es un ejemplo claro de por qué las entidades industriales deben estar protegidas de forma contra las amenazas cibernéticas”, afirma Kirill Kruglov, experto en seguridad de Kaspersky Lab.
El brote mundial de ExPetr se desencadenó el 27 de junio. El malware atacó al menos 2000 objetivos – en su mayoría organizaciones en Ucrania y Rusia. También se han registrado ataques en España, Polonia, Italia, Alemania, Reino Unido, China, Francia y varios otros países.
Kaspersky Lab confirmó que el malware comparte algunas cadenas con Petya y también utiliza las herramientas de PsExec; Pero tiene una funcionalidad totalmente diferente a Petya.
Fuente: Diarioti.com

Importante vulnerabilidad remota en Linux a través de systemd

Anunciada grave vulnerabilidad que afecta a varias distribuciones Linux que puede permitir a un atacante remoto provocar condiciones de denegación de servicio o ejecutar código arbitrario.
El investigador Chris Coulson de Canonical (desarrolladores de Ubuntu) ha anunciado una vulnerabilidad de escritura fuera de límites en systemd-resolved. Un servidor DNS malicioso puede aprovechar la vulnerabilidad con el envío de una respuesta TCP especialmente diseñada para engañar systemd-resolved, de forma que determinados tamaños pasados a dns_packet_new pueden hacer que asigne un búfer demasiado pequeño y posteriormente escribir datos arbitrarios más allá del final del mismo. El atacante podría conseguir provocar la caída del sistema o ejecutar código arbitrario.
Hello, you might want to update systemd https://t.co/OJItPb0XAF https://t.co/4rvt69ZW0l
— Chris Coulson 🌩️ (@chrisccoulson) 27 de junio de 2017
Según confirma Ubuntu la vulnerabilidad, con CVE-2017-9445, se introdujo en systemd en la versión 233 en 2015.
Ubuntu ha publicado actualizaciones del sistema que corrigen el problema:
Ubuntu 17.04:
Ubuntu 16.10:
O simplemente actualizando con:
$ sudo apt-get update
$ sudo apt-get dist-upgrade
Systemd fue creado por desarrolladores de RedHat y también se ha incluido en otras distribuciones Linux como Debian, openSUSE, Ubuntu, Arch Linux, SUSE Linux Enterprise Server, Gentoo Linux, Fedora o CentOS.
Debian por su parte confirma que esta vulnerabilidad afecta a Debian Stretch y Buster (aunque no a Debian Wheezy y Jessie). Red Hat y SUSE confirman que no se ven afectadas.
Más información:
CVE-2017-9445: Out-of-bounds write in systemd-resolved with crafted TCP payload http://seclists.org/oss-sec/2017/q2/618
USN-3341-1: Systemd vulnerability.  Ubuntu Security Notice USN-3341-1.  https://www.ubuntu.com/usn/usn-3341-1/
Fuente: Hispasec.com

Múltiples vulnerabilidades en Symantec Messaging Gateway

Symantec ha publicado una actualización para solucionar tres vulnerabilidades en Symantec Messaging Gateway Appliance 10.x que podrían permitir a un usuario incluir archivos, evitar funcionalidades de seguridad o ejecutar código arbitrario.
Symantec Messaging Gateway está destinado a proteger la infraestructura de correo electrónico y productividad con protección en tiempo real contra software malicioso, spam, y ataques dirigidos. Incluye protección contra ataques dirigidos, datos de reputación de URL ampliados y administración simplificada con autenticación LDAP.
El primer problema, con CVE-2017-6326 y gravedad alta, reside en una vulnerabilidad que podría permitir a un atacante remoto ejecutar comandos en el sistema afectado. Por otra parte, con CVE-2017-6324 y también gravedad alta, se puede evitar la funcionalidad de desarme de una macro potencialmente malintencionada al procesar un archivo Word malformado en un adjunto de un correo electrónico, a pesar de que el administrador tenga habilitada dicha funcionalidad. Por último, de gravedad media con CVE-2017-6325, una vulnerabilidad de inclusión de archivos que podría dar lugar incluso a la ejecución de código remoto.
Se ven afectadas todas las versiones de Symantec Messaging Gateway Appliance anteriores a 10.6.3. Symantec recomienda actualizar a la versión 10.6.3 y aplicar el parche 10.6.3-266.
Más información:
Security Advisories Relating to Symantec Products - Symantec Messaging Gateway Multiple Vulnerabilities https://www.symantec.com/security_response/securityupdates/detail.jsp?fid=security_advisory&pvid=security_advisory&year=&suid=20170621_00
Fuente: Hispasec.com

Elevación de privilegios en Azure Active Directory

Microsoft ha publicado un aviso de seguridad por la publicación de una nueva versión de Azure Active Directory (AD) Connect para corregir una vulnerabilidad de elevación de privilegios considerada como importante.
El problema, con CVE-2017-8613, consiste en una elevación de privilegios si la opción de escritura diferida de contraseñas ("writeback password") está mal configurada durante la habilitación. Un atacante que explote esta vulnerabilidad con éxito podría restablecer las contraseñas y obtener acceso no autorizado a cualquier cuenta privilegiada de usuarios locales del directorio activo.
La escritura diferida de contraseñas le permite configurar Azure AD para que escriba contraseñas en diferido en Active Directory local. Esto elimina la necesidad de configurar y administrar una solución de restablecimiento de contraseña y ofrece una manera conveniente basada en la nube para que los usuarios restablezcan sus contraseñas locales dondequiera que estén.
Para habilitar la escritura diferida de contraseñas, Azure AD Connect debe tener permiso de restablecer contraseña en las cuentas de usuario de AD locales. Al configurar el permiso, un administrador de AD local puede haber otorgado inadvertidamente el permiso de Azure AD Connect con la opción Restablecer contraseña a las cuentas privilegiadas de AD locales (incluidas las cuentas de administrador de empresa y dominio). Para obtener información acerca de las cuentas de usuario privilegiadas de AD, consulte Cuentas y grupos protegidos en Active Directory.
El problema solo afecta a los usuarios que hayan habilitado la característica de recuperación de contraseñas ("writeback password") en Azure AD Connect. En el servidor Azure AD Connect, START Azure AD Connect, Configurar, en la pantalla de tareas seleccionar Ver la configuración actual y bajo la configuración de sincronización comprobar la opción "Password Writeback".
El problema está corregido en la última versión de Azure AD Connect (1.1.553.0) al no permitir el restablecimiento arbitrario de contraseñas en las cuentas privilegiadas de usuarios locales de AD. La nueva versión se encuentra disponible desde
Más Información:
Microsoft Security Advisory 4033453. Vulnerability in Azure AD Connect Could Allow Elevation of Privilege. https://technet.microsoft.com/library/security/4033453.aspx
Fuente: Hispasec.com

IBM DB2. Desbordamientos de búfer

Se han confirmado dos vulnerabilidades en IBM DB2 (el popular gestor de base de datos de IBM), que podrían permitir a usuarios locales sobrescribir archivos, provocar condiciones de denegación de servicio o la ejecución de código arbitrario.
El primer problema, con CVE-2017-1105, reside en un desbordamiento de búfer que podría permitir a un usuario local sobrescribir archivos DB2 o provocar condiciones de denegación de servicio. Este problema afecta a todas las ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en AIX, Linux, Solaris y HP. DB2 en Windows no se ve afectado.
Por otra parte, con CVE-2017-1297, otro desbordamiento de búfer basado en pila en el procesador de línea de comandos (Command Line Process, CLP), debido a una comprobación inadecuada de límites que podría permitir a un atacante local ejecutar código arbitrario. Afecta a todas las versiones y ediciones de IBM DB2 V9.7, V10.1, V10.5 y V11.1 en todas las plataformas.
IBM ha publicado la versión V11.1.2 FP2 que soluciona el problema en V11.1.1 disponible desde Fix Central http://www-01.ibm.com/support/docview.wss?uid=swg24043789
También se han publicado parches y actualizaciones para el resto de versiones afectadas. Dada la diversidad de versiones y sistemas se recomienda consultar los boletines publicados:
Más información:
Security Bulletin: Buffer overflow vulnerability in IBM® DB2® LUW (CVE-2017-1105) http://www-01.ibm.com/support/docview.wss?uid=swg22003877
Security Bulletin: IBM® DB2® LUW's Command Line Processor Contains Buffer Overflow Vulnerability (CVE-2017-1297). http://www-01.ibm.com/support/docview.wss?uid=swg22004878
Fuente: Hispasec.com