13 de julio de 2017

MICROSOFT. Boletines de seguridad de julio de 2017

Se han publicado 1262 artículos en el boletín de seguridad de los cuales 247 son de severidad crítica y 905 de severidad alta, catalogados de Importancia: 5 - Crítica
Recursos afectados:
·        Internet Explorer
·        Microsoft Edge
·        Microsoft Windows
·        Microsoft Office and Microsoft Office Services and Web Apps
·        .NET Framework
·        Adobe Flash Player
·        Microsoft Exchange Server
Para conocer el detalle de las versiones afectadas de cada software, por favor, consulte los enlaces de la sección "Referencias".
Recomendación
·        En cada artículo del boletín se informa de los distintos métodos de actualización en el apartado "How to get this update".
Detalle e impacto de las actualizaciones
En el boletín de actualizaciones de seguridad correspondiente al mes de julio se han publicado vulnerabilidades de seguridad de los siguientes tipos:
      Denegación de servicio
      Elevación de privilegios
      Revelación de información
      Ejecución remota de código
      Evasión de medidas de seguridad
      Suplantación
Nota importante para CVE-2017-8563: después de instalar las actualizaciones referentes al identificador CVE-2017-8563, para que la autenticación LDAP sobre SSL/TLS sea más segura, los administradores deben crear una clave de registro LdapEnforceChannelBinding en el controlador de dominio. Para obtener más información acerca de cómo establecer esta clave de registro, consulte el artículo 4034879 de la Base de Conocimiento de Microsoft desde  https://support.microsoft.com/en-us/help/4034879 .
Más información
Fuente: INCIBE

SAP. Actualización de seguridad de julio 2017

SAP ha corregido múltiples vulnerabilidades de seguridad en diferentes productos, catalogadas de Importancia: 4 - Alta
Recursos afectados:
1.    SAP Point of Sale (POS) Retail Xpress Server
2.    SAP Host Agent
3.    SAP NetWeaver
4.    Governance, Risk and Compliance Access Controls
5.    BI Promotion Management Application
6.    SAP CRM Internet Sales Administration Console
7.    BC-SRV-ALV
8.    SAP Business Objects Titan
9.    SAP BusinessObjects Enterprise
10. SAP NetWeaver Master Data Management
11. SAP Sybase products
12. SAP Netweaver Data Orchestration Engine
Recomendación
·        Visitar el portal de soporte de SAP e instalar actualizaciones o parches necesarios según indique el fabricante.
Detalle e Impacto de las actualizaciones
·        Se han publicado 10 notas de seguridad de SAP y 2 actualizaciones de notas anteriores, siendo dos notas nuevas de criticidad alta.
·        Las notas de seguridad calificadas como altas se refieren a fallos de autenticación que afectan a SAP Point of Sale (POS) Retail Xpress Server y a SAP Host Agent.
·        En el caso de SAP Point of Sale (POS) Retail Xpress Server el fallo se produce por La ausencia de una comprobación de autenticación deja al servidor SAP Xpress expuesto a un posible atacante capaz de acceder a él a través de la red. SAP indica que los detalles de esta vulnerabilidad pueden hacerse públicos próximamente y recomienda aplicar las indicaciones de las notas de seguridad.
·        La vulnerabilidad en SAP Host Agent, se refiere a un cierre malintencionado y podría permitir a un atacante reiniciar remotamente SAP Host Agent sin autenticación, a través de una petición SOAP específica.
Más información
Fuente: INCIBE

Fujitsu. Impulsa la ciberseguridad para la industria 4.0

Una de las líneas estratégicas dentro de la apuesta de Fujitsu por la ciberseguridad reside en su oferta de servicios profesionales y gestionados específicos para el sector industrial y entornos de producción. La multinacional tiene su origen en este ámbito, así como una larga trayectoria y capacidades que le permiten contar con soluciones específicas, ha recalcado la compañía a través de un comunicado.
Fujitsu ha recalcado que cuenta con una "profunda experiencia" como proveedor de servicios e integrador, lo que hace que su aproximación a la ciberseguridad y la protección de entornos industriales "tenga un valor diferencial".
Fujitsu ha recordado que cuenta con un amplio catálogo de servicios en toda la cadena de valor que permite "analizar cada caso específico de sus clientes y proporcionar una respuesta personalizada basada en las necesidades percibidas", multiplicando la ciberseguridad y potenciando la protección de sus redes e infraestructuras industriales a través de las capacidades de inteligencia de ciberamenazas, protección de protocolos de comunicación, acceso remoto OT seguro y monitorización continua.
En concreto, la apuesta de servicios de Fujitsu se basa en cuatro áreas: consultoría de seguridad industrial, fortificación y segmentación de redes OT, monitorización Activa 24x7, y gestión de eventos y respuesta ante incidentes, como detalla la propia compañía.
La consultoría de seguridad industrial permite revisar las políticas y procedimientos de ciberseguridad que afecten a los procesos productivos, y realizar un análisis y verificación de su arquitectura de red, así como de las configuraciones existentes por defecto, usuarios, servicios y aplicaciones innecesarias a través de herramientas de gestión de eventos y 'logs'.
El objetivo final de este servicio es realizar un análisis multidimensional y una auditoría de ciberseguridad de las redes industriales. Con ello, se logra una visión global y certera de su estado, y elaborar un plan pormenorizado de mejora.
La fortificación y segmentación de redes OT tiene por finalidad incrementar el nivel de ciberseguridad en la red de producción, reduciendo su grado de exposición y minimizando el impacto de posibles amenazas en la misma.
Para ello, Fujitsu realiza labores de segmentación de red en base a ISA 95 e IEC 62443; análisis de protocolos y comunicaciones, con el fin de determinar activos y saber en qué medida impactan en el negocio; inspección y decodificación nativa de protocolos industriales, e implantación de cortafuegos DPI para fortificar la red OT.
A estos servicios se suman los desarrollos de IDS para la detección de anomalías en base a líneas de umbral de comportamiento y patrones, entre otros. Además, apuesta por el uso de tecnologías 'antimalware offline' y de accesos remotos seguros vía VPN o SSL para asegurar la confidencialidad e integridad de la comunicación.
Con la monitorización activa 24X7, se efectúa la detección no invasiva de amenazas y la activación de políticas necesarias ante posibles ciberataques dentro del entorno OT. Los elementos que componen este servicio se singularizan en una monitorización remota en tiempo real de 'logs' y alertas, recepción de incidencias de seguridad de clientes a través de distintos canales, teléfonos, correos electrónicos, portal web, etc.
Además, ofrece aplicación de procedimientos remotos de comprobación básicos de la monitorización activa y la elaboración de informes de las diferentes métricas registradas.
Por último, la gestión de eventos y respuesta ante incidentes supone que Fujitsu también responde a las necesidades particulares de las empresas que operan en el sector industrial en lo referente a la gestión de eventos y la respuesta ante incidentes, en aras de detectar y dar remedio a las posibles brechas de ciberseguridad que pudieran encontrarse, además de realizar un análisis e implementación de las contramedidas necesarias.
Para ello, se realiza un estudio y optimización de las distintas alertas y datos procesados por los SIEM para la rápida detección y escalado de las incidencias de ciberseguridad. Asimismo, diseña e implementa respuestas de contención o remedio adecuadas a las amenazas recibidas en los dispositivos gestionados. Y finalmente, crea una evolución de las políticas aplicadas en función de las amenazas recibidas por el SOC y las alternativas de respuestas disponibles y adecuadas para cada caso.
Fuente: Europa Press

NOMOREPASS. La aplicación salva-contraseñas

Nomorepass es una aplicación que organiza de forma eficiente todas las claves para acceder a cualquier web, un gestor que, junto con complementos en el navegador o mediante librerías para que se incruste en los sitios web, permite realizar una autenticación mediante el móvil sin tener que acordarse de los 'passwords'.
Para la mayoría de los usuarios resulta difícil tener las contraseñas organizadas, crear contraseñas seguras que sean diferentes para cada cuenta y, además, recordarlas. Un gestor de contraseñas se encarga de todo eso y permite tener todas las contraseñas a mano cada día. Asimismo, protege todas las claves almacenadas con el mejor cifrado que existe. Todo bajo un entorno seguro.
A través de un código QR que se genera automáticamente y el móvil, el usuario de Nomorepass puede entrar en las plataformas, páginas web, redes sociales y en todo lo que necesite, como explica la compañía en un comunicado.
El gestor de contraseñas Nomorepass permite crear y utilizar contraseñas sin llegar a conocerlas y sin que haya necesidad de memorizarlas ni de copiarlas en papel. Además, permite enviar y compartir las claves con otros dispositivos y usuarios.
Nomorepass, como explica la compañía, añade "un plus" de seguridad a todos los dispositivos, dado que evita miradas indiscretas, y el usuario siempre lleva consigo las claves. Es seguro; las contraseñas pasan por un entorno cifrado.
La aplicación Nomorepass está disponible para dispositivos iOS y Android y para los principales navegadores.
Fuente: Europa Press

XIAOMI. Nuevo modelo con 6 GB de RAM que graba video en 4K

El fabricante de 'smartphones' chino Xiaomi presentará el próximo martes 11 de julio un nuevo terminal con avanzadas características técnicas como 6 GB de memoria RAM y una cámara de 22 megapíxeles capaz de capturar video en 4K, como ha anunciado la compañía china a través de un video publicado en la red social Weibo.
Junto a la memoria RAM y la cámara, Xiaomi ha adelantado también más información sobre su nuevo teléfono. En cuanto a su procesador, montará un chip diseñado por Qualcomm de la gama Snapdragon 800 --no se especifica exactamente cuál--, mientras que la batería será de 4.000 mAh, según el fabricante.
Xiaomi completa el 'teaser' de la presentación con más datos sobre el terminal, que incluyen su diseño que utiliza cristal en 3D --al igual que el Mi6--, la conectividad 4G y la presencia de puerto de USB tipo C que permite la carga rápida.
Además, la compañía china también ha revelado que el tamaño de la pantalla será mayor que en modelos anteriores, aunque nuevamente no ha sido concreta en este aspecto. El desbloqueo del terminal podría llevarse a cabo a través de un sensor de infrarrojos incorporado en el móvil.
Por el momento, Xiaomi no ha confirmado cuál es el nombre del modelo con el que corresponden las especificaciones que ha difundido, pero se especula con que podría tratarse de Xiaomi Mi6 Plus, la versión mejorada del buque insignia de la compañía, el Mi6, que comenzó a venderse en China en el mes de febrero.
Fuente: Europa Press

ENERGIAS RENOVABLES. Panel solar generador de agua potable a partir de vapor del aire

Zero Mass Water, una startup estadounidense que ha colaborado con investigadores de la Universidad de Arizona, ha creado Source, un panel solar que es capaz de generar hasta cinco litros al día de agua apta para consumo humano extrayéndola de la humedad del aire.
Mediante su funcionamiento, Source obtiene agua pura, de una composición muy próxima al agua destilada. El líquido después es almacenado en un depósito interno de 30 litros y luego se le añaden calcio y magnesio para facilitar su conservación y su consumo posterior.
El aparato está formado por un panel solar de 1,2 por 2,4 metros situado sobre una base de metal. La placa recoge energía solar que después es utilizada para extraer agua líquida del vapor de la atmósfera. La producción diaria se encuentra entre dos y cinco litros, en función de las condiciones climáticas y del sol y la humedad.
En los casos en los que no luce el sol y el panel no recoge energía solar, Source dispone también de una batería de ión de litio que permite que el panel siga recogiendo agua. En cualquiera de los casos, Source funciona de manera independiente.
Source tiene como objetivo asegurar a sus usuarios cuál es la procedencia del agua que se consume, evitando las canalizaciones antiguas y la generación de residuos plásticos del agua embotellada. A pesar de que se recoge de la atmósfera, el agua resultante está libre de los gases contaminantes presentes en el aire, según la compañía.
Los paneles Source pueden adquirirse desde la página web de Zero Mass Water, por un coste de 2.900 dólares por el primer panel y de 2.800 por cada panel adicional. El precio de la instalación asciende hasta los 500 dólares, e incluyendo el envío el coste mínimo es de 3.690 dólares.
Fuente: Europa Press

CISCO. Vulnerabilidades en múltiples de sus dispositivos

Cisco ha publicado 19 boletines de seguridad para informar de otras tantas vulnerabilidades (tres consideradas críticas y cuatro de gravedad alta, el resto de importancia media) en múltiples productos que podrían permitir provocar denegaciones de servicio, cross-site scripting, ejecutar código arbitrario o acceder al dispositivo sin autorización entre otros ataques.
Recursos afectados
  1. Cisco Ultra Services Framework
  2. Cisco Elastic Services Controller
  3. Cisco StarOS
  4. Cisco Nexus Series Switches
  5. Cisco Wide Area Application Services
  6. Cisco Prime Network
  7. Cisco Identity Services Engine
  8. Cisco IOS XR
  9. Cisco FireSIGHT
Detalle e Impacto de las vulnerabilidaes
·        El primer problema crítico, con CVE-2017-6714, reside en el servicio AutoIT de Cisco Ultra Services Framework Staging Server que podría permitir a un atacante remoto sin autenticar ejecutar comandos shell arbitrarios como usuario root.
·        También crítica, con CVE-2017-6711, la configuración insegura por defecto del servicio Apache ZooKeeper en Ultra Automation Service (UAS) de Cisco Ultra Services Framework podría permitir a un atacante remoto sin autenticar conseguir acceso sin autorización al dispositivo.
·        El tercer problema crítico, con CVE-2017-6713, afecta a Play Framework de Cisco Elastic Services Controller (ESC). Una vez más el fallo que parece afectar de forma recurrente a una gran mayoría de dispositivos Cisco, el recurrente problema de las credenciales estáticas por defecto. Podrían permitir a un atacante remoto sin autenticar el acceso y control total de los dispositivos afectados.
·        De gravedad alta dos vulnerabilidades en la herramienta AutoVNF de Cisco Ultra Services Framework. Una podría permitir que un atacante remoto no autenticado acceder a las credenciales administrativas de Cisco Elastic Services Controller (ESC) y Cisco OpenStack (CVE-2017-6709). Por otra parte, con CVE-2017-6708, una vulnerabilidad en la creación de enlaces simbólicos podría permitir la ejecución de código arbitrario.
·        También de gravedad alta, con CVE-2017-6712, afecta a Cisco Elastic Services Controller porque el usuario tomcat del sistema puede ejecutar determinados comandos shell lo que podría permitir a un atacante remoto ejecutar comandos arbitrarios y elevar sus privilegios a root. La última vulnerabilidad de gravedad alta reside en el intérprete de línea de comandos del sistema operativo Cisco StarOS de los dispositivos Cisco ASR 5000, 5500 y 5700 y Cisco Virtualized Packet Core (VPC). Un atacante local autenticado podría ejecutar comandos shell arbitrarios como usuario root (CVE-2017-6707).
Otros problemas de gravedad media son:
1.    Inyección de comandos en el Telnet de switches Cisco Nexus (CVE-2017-6650)
2.    Inyección de comandos en switches Cisco Nexus (CVE-2017-6649)
3.    Obtención de información sensible en la administración central de Cisco Wide Area Application Services (CVE-2017-6730)
4.    Denegación de servicio en Cisco Wide Area Application Services (CVE-2017-6727)
5.    Denegación de servicio en el protocolo BGP de Cisco StarOS (CVE-2017-6729)
6.    Elevación de privilegios en Cisco Prime Network (CVE-2017-6732)
7.    Cross-Site Scripting en Cisco Identity Services Engine (CVE-2017-6734)
8.    Cross-Site Scripting almacenado en Cisco Identity Services Engine (CVE-2017-6733)
9.    Denegación de servicio por el protocolo Multicast Source Discovery Protocol (MSDP) de Cisco IOS XR (CVE-2017-6731)
10. Elevación de privilegios por asignación incorrecta de permisos en Cisco IOS XR (CVE-2017-6728)
11. Obtención de información sensible en Cisco Prime Network (CVE-2017-6726)
12. Ejecución arbitraria de código en Cisco FireSIGHT System (CVE-2017-6735)
Recomendación
  • Cisco ha publicado actualizaciones para las vulnerabilidades consideradas de gravedad crítica y alta. Se recomienda consultar las alertas publicadas para obtener información sobre disponibilidad de parches y actualizaciones.
Más información:
·        Cisco Ultra Services Framework Staging Server Arbitrary Command Execution Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-usf3
·        Cisco Ultra Services Framework UAS Unauthenticated Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-uas
·        Cisco Elastic Services Controller Unauthorized Access Vulnerability https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170705-esc2

Fuente: Hispasec

LINUX. Actualización del kernel para Red Hat Enterprise Linux 7

Red Hat ha publicado una actualización (considerada importante) del kernel para toda la familia Red Hat Enterprise Linux 7 que solventa cinco nuevas vulnerabilidades que podrían ser aprovechadas por atacantes para provocar denegaciones de servicio o elevar privilegios.
El primer problema, con CVE-2017-7477, un desbordamiento de búfer basado en la memoria heap cuando se usa el parámetro 'MAX_SKB_FRAGS + 1' y la función 'NETIF_F_FRAGLIST' que podría permitir a un atacante elevar sus privilegios en el sistema. El cliente RPC NFS2/3 puede enviar argumentos muy largos al servidor NTS lo que puede dar lugar a un acceso a memoria fuera de límites, que podría permitir a un atacante remoto provocar condiciones de denegación de servicio (CVE-2017-7645).
Las implementaciones del servidor NFSv2 y NFSv3 en el kernel de Linux hasta 4.10.13 carecen de determinadas comprobaciones para finalización de un búfer. Un atacante remoto podría provocar denegaciones de servicio (CVE-2017-7895). Los kernel compilados con soporte Virtual Machine (CONFIG_KVM) basado se ven afectados por una denegación de servicio o una elevación de privilegios dentro de la máquina invitada (CVE-2017-2583). Por último, un error en el tratamiento de paquetes con la bandera URG puede provocar denegaciones de servicio (CVE-2017-6214).
También se han corregido otros seis fallos no relacionados directamente con problemas de seguridad.
Más información:
Fuente: Hispasec

GOOGLE. Arregla 138 vulnerabilidades en Android

Google ha publicado el boletín de seguridad Android correspondiente al mes de junio en el que corrige un total de 138 vulnerabilidades, 11 de ellas calificadas como críticas.
Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-07-01 ("2017-07-01 security patch level") se encuentran los que afectan al núcleo de servicios Android, controladores y componentes que se puede considerar comunes a todos los dispositivos.
En este bloque se solucionan 43 vulnerabilidades, diez de ellas se consideran críticas y podrían permitir la ejecución remota de código al tratar archivos multimedia. Otras 28 de ellas son de gravedad alta y cinco de importancia moderada.
Por otra parte en el nivel de parches de seguridad 2017-07-05 ("2017-07-05 security patch level") se solucionan un total de 95 fallos en subsistemas del kernel, controladores y componentes OEM de diferentes fabricantes (en esta ocasión Broadcom, HTC, MediaTek, NVIDIA y Qualcomm).
En este grupo solo una de las vulnerabilidades está considerada crítica, 66 de gravedad alta, 27 de riesgo medio y una de importancia baja. Cabe destacar que los componentes Qualcomm son los más afectados. La vulnerabilidad crítica reside en una ejecución remota de código a través del controlador Wi-Fi de Broadcom.
A pesar de las actualizaciones de Google para Android, estas solo llegan puntualmente a los dispositivos Pixel y Nexus, los propios de Google. Es destacable el esfuerzo realizado por otros fabricantes, como Samsung o Blackberry, que también están aplicando las actualizaciones con periodicidad. Pero esto no ocurre en todos los casos, lamentablemente el proceso de actualización de Android en muchos casos también incluye a las operadoras de telefonía, lo cual alarga aun más el proceso de actualización. Por ello, como ya hemos comentado en múltiples ocasiones que las actualizaciones lleguen a todos los usuarios sigue siendo uno de los principales puntos débiles de Android.
Más información

Fuente: Hispasec

JOOMLA!. Corregidas tres vulnerabilidades

Joomla! ha publicado la versión 3.7.3 destinada a corregir tres nuevas vulnerabilidades de gravedad alta que podrían permitir a atacantes remotos conseguir información sensible y la realización de ataques de cross-site scripting.
Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.
El primer problema, con CVE-2017-9933, se debe a una validación incorrecta de la caché que da lugar a la divulgación del contenido de formularios. Por otra parte, con CVE-2017-9934, un cross-site scripting por la ausencia de comprobaciones del token CSRF y una validación incorrecta de entradas. Por último, con CVE-2017-7985, cross-site scriptings en varios componentes por el filtrado inadecuado de caracteres multibyte.
También se han corregido más de 230 problemas no relacionados de forma directa con la seguridad.
Recomendación
Publicada la versión 3.7.3 disponible desde:
2.    Para actualizaciones, https://downloads.joomla.org/cms/joomla3/3-7-3
Más información:
      Security Announcements https://developer.joomla.org/security-centre.html
      Core - Information Disclosure (affecting Joomla 1.7.3-3.7.2) https://developer.joomla.org/security-centre/696-20170601-core-information-disclosure
      Core - XSS Vulnerability (affecting Joomla 1.7.3-3.7.2) https://developer.joomla.org/security-centre/697-20170602-core-xss-vulnerability
      Core - XSS Vulnerability (affecting Joomla 1.5.0-3.6.5) https://developer.joomla.org/security-centre/698-20170603-core-xss-vulnerability.html
Fuente: Hispasec

DELL. Ordenadores vulnerables por software preinstalado

Se han reportado tres vulnerabilidades en ordenadores Dell que podrían permitir a atacantes desactivar protecciones de seguridad, elevar privilegios y ejecutar código arbitrario. Una vez más los problemas residen en el software propietario preinstalado por Dell.
El software propietario preinstalado por los fabricantes, también conocido como "bloatware", suele ser causa habitual de problemas junto con un consumo innecesario de espacio y recursos. Pero además, no suele estar exento de vulnerabilidades que pueden llegar a comprometer gravemente la seguridad de los sistemas.
Los problemas han sido anunciados por el investigador Marcin 'Icewall' Noga del equipo Cisco Talos y antiguo compañero de Hispasec. Los problemas se encuentran en el software de servicio Dell Precision Optimizer y en Invincea-X e Invincea Dell Protected Workspace.
Vulnerability Spotlight: Dell Precision Optimizer and Invincea Vulnerabilities https://t.co/qiYFzqpA0i
— Talos Group (@TalosSecurity) 30 de junio de 2017
El primer problema, con CVE-2016-9038, reside en una doble búsqueda en el controlador SboxDrv.sys. La vulnerabilidad se puede explotar mediante el envío de datos específicos al controlador de dispositivo \Device\SandboxDriverApi que es accesible para todos como de lectura y escritura. Esto puede permitir la escritura de un valor arbitrario en el espacio de memoria del kernel, que puede conducir a la escalada de privilegios locales. Afecta a Invincea-X y Dell Protected Workspace 6.1.3-24058.
Por otra parte, con CVE-2016-8732, múltiples vulnerabilidades en uno de los componentes del controlador 'InvProtectDrv.sys' incluido en la versión 5.1.1-22303 de Invincea Dell Protected Workspace; una solución de seguridad ofrecida por Dell que pretende proporcionar una protección mejorada para los puntos finales. Los problemas residen en las débiles restricciones en el canal de comunicaciones del controlador, así como a una validación insuficiente. De forma que un atacante podría aprovechar este controlador para desactivar algunos de los mecanismos de protección proporcionados por el software. Afecta a Invincea Dell Protected Workspace 5.1.1-22303. Esta vulnerabilidad está corregida en la versión 6.3.0 del software.
Por último, con CVE-2017-2802, un problema de carga de librerías en la aplicación Dell Precision Optimizer. Durante el arranque del servicio 'Dell PPO Service', incluido en la aplicación Dell Precision Optimizer, el programa 'c:\Archivos de programa\Dell\PPO\poaService.exe' carga la dll, 'c:\Archivos de programa\Dell\PPO\ati.dll'. Que a su vez intenta cargar 'atiadlxx.dll', que no está presente de forma predeterminada en el directorio de la aplicación. El programa buscará la DLL en los directorios especificados por la variable de entorno PATH. Si encuentra una dll con el mismo nombre, se cargará la dll en poaService.exe sin comprobar la firma de la dll. Esto puede llevar a la ejecución de código arbitrario si un atacante suministra una DLL malintencionada con el nombre correcto.
Afecta a Dell Precision Tower 5810 con tarjeta gráfica nvidia, PPO Policy Processing Engine (3.5.5.0), ati.dll (PPR Monitoring Plugin) (3.5.5.0). Dell ha publicado una actualización para solucionar este problema. Todas las versiones desde la v4.0 no son vulnerables.
No es la primera vez que ocurre algo así, podemos recordar el caso Superfish en Lenovo y a la propia Dell con dos certificados raíz preinstalados.
Más Información:
      Vulnerability Spotlight: Dell Precision Optimizer and Invincea Vulnerabilities http://blog.talosintelligence.com/2017/06/vulnerability-spotlight-dell-precision.html
Fuente: Hispasec

TRICKBOT. El troyano bancario que desembarca en España

Hace tiempo que llevamos siguiendo las andanzas del troyano bancario Trickbot. Se ha recorrido medio mundo: Australia, Irlanda, Inglaterra, Alemania, Canadá… y hoy mismo acabamos de detectar una muestra que ataca a entidades españolas.
Con el paso del tiempo, el rango de victimas ha ido aumentando, así como el de países afectados hasta finalmente incluir España dentro de su alcance.
Detalle del ataque
El ataque llega a través de un correo electrónico que incluye un documento adjunto malicioso.
En el correo se menciona una falsa querella contra la empresa, intentando lograr que el usuario haga click sobre el documento.
Al abrir el documento se ejecuta una macro automáticamente que lanza un comando a través de Powershell. Este comando se encargará de descargar desde un servidor remoto un binario (el malware propiamente dicho) que posteriormente será ejecutado por el script. De esta manera el ordenador de la víctima queda infectado.
La muestra cuenta con una tarea que se ejecutará constantemente para asegurarse que el troyano bancario siga ejecutándose sin problemas.
Contamos también con el listado de infraestructuras remotas utilizadas por el troyano bancario, además de los módulos y configuración obtenido por este. En total se encuentran afectadas un total de 76 entidades de todo el mundo, incluyendo españolas. Cabe destacar, que esta muestra afecta incluso a entidades del sector farmacéutico.
Entre las nuevas entidades españolas incluidas podemos encontrar: 
      Bancofar
      caja-sur
      Kutxabank
      caja-ingenieros
      Ruralvia
El hash de la muestra:
88bef4abd4db5e07764358ca39fe5bbf257603dbf3f0e4eeec2e8c127cfa7bfd 36b83f1df7c918efcde6ec5a895b4b53ec0307b1b8603a5ba3a3ab63ab7c2265
Como siempre, ante este tipo de amenazas, se recomienda mantener los antivirus actualizados, así como evitar abrir e-mails adjuntos de desconocidos. También recordar que si recibís correos que consideréis falsos, con facturas falsas, fraude o malware podéis enviárnoslo a report@hispasec.com
Más información:
Laboratorio Hispasec
Fuente: Hispasec

IBM. Cross-Site Scripting en WebSphere Portal

Se ha anunciado una vulnerabilidad de cross-site scripting en IBM WebSphere Portal 8.5 y 9.0. Un atacante remoto podría emplear este problema para ejecutar código script arbitrario.
IBM WebSphere Portal ofrece una aplicación compuesta o infraestructura de "mashup" empresarial y las herramientas para crear soluciones basadas en SOA (Arquitectura Orientada a Servicios). WebSphere Portal contiene una amplia variedad de tecnologías destinadas a desarrollar y mantener portales B2C, B2B y B2E.
El problema, con CVE-2017-1217, reside en un error de validación de entradas que podría permitir a un atacante remoto crear una URL, que al ser cargada por el usuario permita la ejecución de código script arbitrario. El código se origina desde el sitio que ejecuta WebSphere por lo que se ejecutará en el contexto de seguridad de dicho sitio. Con ello el atacante podría acceder a las cookies (incluyendo las de autenticación) y a información recientemente enviada, además de poder realizar acciones en el sitio haciéndose pasar por la víctima.
Recomendación
IBM ha publicado una corrección para evitar este problema, disponible con la identificación PI79202.
1.    Actualizar a Cumulative Fix 14 (CF14)
2.    Actualizaciones combinadas acumulativas para WebSphere Portal 8.5.0.0 y 9.0.0 http://www-01.ibm.com/support/docview.wss?uid=swg24037786
Más información:
Fuente: Hispasec

BIND 9. Dos nuevas vulnerabilidades

ISC ha publicado nuevas versiones del servidor DNS BIND 9, destinadas a solucionar dos vulnerabilidades (una considerada de gravedad alta y otra de importancia media).
El servidor de nombres BIND es uno de los más usados en Internet. Creado en 1988, en la universidad de Berkeley, actualmente es desarrollado por el ISC (Internet System Consortium). BIND se encuentra disponible para una amplia gama de sistemas tanto Unix como Microsoft Windows.
Los dos problemas se deben a fallos en la autenticación TSIG y podrían permitir la transferencia de zonas no autorizada (CVE-2017-3142) o actualizaciones dinámicas sin autorización (CVE-2017-3143). Afectan a las versiones 9.4.0 a 9.8.8, 9.9.0 a 9.9.10-P1, 9.10.0 a 9.10.5-P1, 9.11.0 a 9.11.1-P1, 9.9.3-S1 a 9.9.10-S2 y 9.10.5-S1 a 9.10.5-S2.
Recomendación
      Se recomienda actualizar a las versiones más recientes BIND 9 versión 9.9.10-P2, 9.10.5-P2 y 9.11.1-P2, disponibles desde http://www.isc.org/downloads
Más información:
      una-al-dia (16/06/2017) Nuevas versiones de BIND 9 http://unaaldia.hispasec.com/2017/06/nuevas-versiones-de-bind-9.html
      CVE-2017-3143: An error in TSIG authentication can permit unauthorized dynamic updates https://kb.isc.org/article/AA-01503/
      CVE-2017-3142: An error in TSIG authentication can permit unauthorized zone transfers https://kb.isc.org/article/AA-01504/
Fuente: Hispasec