11 de octubre de 2017

Hackers norcoreanos robaron información militar a Corea del Sur y Estados Unidos

 Según un legislador surcoreano, los 235 GB de datos fueron robados de Corea del Sur y contienen planes detallados en colaboración con los Estados Unidos, así como información sobre contingencias e infraestructuras.
El servicio de noticias Yonhap informó que un miembro legislador del partido político gobernante en el país confirmó que los infiltrados de Corea del Norte adquirieron documentos militares con éxito. Según el servicio, el Pentágono no ha confirmado la naturaleza de la brecha de seguridad ya que no es una cuestión de inteligencia, pero su portavoz, el Coronel Rob Manning, aseguró: "confiamos en la seguridad de nuestros planes de operaciones y en nuestra capacidad de hacer frente a cualquier amenaza de Corea del Norte".
Según la BBC, el hack se llevó a cabo en septiembre del 2016, ya que en mayo Corea del Sur observó que se había tomado una gran cantidad de datos y aseguró que Corea del Norte pudo ser el culpable, pero no dio detalles sobre cuándo tuvo lugar el ataque.
Sea como haya sido, esta noticia llega en un momento muy delicado. El líder norcoreano ya declaró hace unas semanas que los tweets incendiarios de Trump eran equivalentes a las declaraciones de guerra en su país. Además, hace una semana se informaba que Estados Unidos había estado participando en una gran campaña para paralizar el acceso a internet del departamento de espionaje de Corea del Norte saturando sus conexiones con mucho tráfico. Aunque el país podría haber encontrado una alternativa accediendo desde Rusia.
Fuente: es.engadget.com

MICROSOFT. Publicados los boletines de seguridad de octubre de 2017

La publicación mensual de actualizaciones de seguridad de Microsoft este mes consta de 63 vulnerabilidades, 28 clasificadas como críticas y 35 como importantes, siendo el resto de severidad media o baja.
Recursos afectados:
  1. Internet Explorer
  2. Microsoft Edge
  3. Microsoft Windows
  4. Microsoft Office and Microsoft Office Services and Web Apps
  5. Skype for Business and Lync
  6. Chakra Core
Detalle de la actualización
En el boletín de actualizaciones de seguridad correspondiente al mes de septiembre se han publicado vulnerabilidades de seguridad de los siguientes tipos:
  • Ejecución remota de código
  • Evasión de la seguridad
  • Defense in Depth
  • Escalado de privilegios
  • Denegación de servicio
  • Divulgación de información
Recomendación
Más información
Fuente: INCIBE

MICROSOFT. Con S/MIME, Outlook no envíaba mensajes cifrados

El fallo de seguridad, registrado como CVE-2017-11776, fue descubierto entre mayo y junio, tanto por un investigador de seguridad como por un usuario de los foros de Microsoft que aseguraba que su Outlook no estaba cifrando correctamente los mensajes enviados con S/MIME.
Microsoft, finalmente empezó a estudiar este problema de seguridad y, tras identificarlo, finalmente lo solucionó, intentando guardarlo en secreto hasta que el parche llegara a todos los usuarios para evitar que piratas informáticos pudieran aprovecharse de él.
Sí que es verdad que para que este fallo pudiera explotarse se tenían que dar una serie de circunstancias que permitieran a un atacante hacerse con la información de estos correos, entre ellas:
  1. Que se utilizara S/MIME con claves públicas (PGP y GPG no están afectados).
  2. El filtrado solo puede realizarse al enviar los mensajes, no al recibirlos.
  3. Los mensajes en formato HTML (formato por defecto de Outlook) no se filtraban, solo los enviados como texto plano.
Microsoft ha solucionado este problema de seguridad en Outlook hoy mismo
Así es, desde hoy está disponibles los nuevos parches de seguridad de Microsoft para octubre de 2017, parches con los que la compañía ha solucionado un gran número de problemas y errores, entre los que se encuentra este fallo con el cifrado S/MIME.
Además de este fallo de seguridad de Outlook, Microsoft también ha solucionado varios fallos de seguridad en todas las versiones con soporte de Windows, por lo que es recomendable instalar estos parches cuanto antes para evitar seguir expuestos ante los fallos de seguridad ya solucionados y evitar tener que lamentarnos después por no haberlos instalado, como ocurrió hace unos meses con WannaCry.
Fuente: bleepingcomputer

MICROSOFT. Grave fallo en los DNS de Windows permite ejecutar código

Hace algunas horas, Microsoft daba a conocer un nuevo fallo de seguridad descubierto por un investigador de seguridad de la empresa BishopFox para su sistema operativo, un fallo bastante grave que podía permitir a piratas informáticos ejecutar código remoto en el sistema con el máximo nivel de privilegios en el sistema. 
Detalle de la vulnerabilidad
El fallo de seguridad se encuentra en la librería DNSAPI.dll y afecta a todas las versiones de Windows 8, 8.1 y Windows 10.
Este fallo de seguridad ha sido registrado como CVE-2017-11779 y, a continuación, vamos a ver en detalle cómo funciona.
La grave vulnerabilidad permite ejecutar código malicioso con permisos SYSTEM
Tal como ha explicado el experto de seguridad, un pirata informático podría enviar una respuesta DNS modificada de una forma especial de manera que la librería DNSAPI.dll del sistema operativo no fuera capaz de procesar correctamente dicha respuesta y abriera la puerta a la ejecución de código remoto.
Para poder explotar este fallo de seguridad, lo único que necesita el pirata informático es configurar un servidor DNS malicioso de manera que pueda tomar el control del tráfico DNS y suplantarlo por los paquetes maliciosos. Una vez que el servidor DNS malicioso está en funcionamiento, el atacante solo necesita que una aplicación con un elevado permiso en el sistema (es decir, prácticamente cualquier aplicación) haga una petición DNS para poder ejecutar el código remoto a través de la librería DNS de Windows.
Además, la librería DNSAPI.dll también se encarga de gestionar las peticiones DNS de distintos servicios base de Windows, por lo que no sería muy complicado tomar el control de estas peticiones DNS y devolver los paquetes maliciosos para ejecutar código con permisos SYSTEM en Windows, el máximo nivel de privilegios del sistema operativo.
Por si fuera poco, el servicio de caché DNS de Windows se reinicia solo cuando este servicio falla, por lo que los atacantes pueden tener intentos ilimitados para explotar esta vulnerabilidad.
Cómo protegernos de esta vulnerabilidad DNS en Windows
Este, y otros fallos de seguridad, han sido solucionados por Microsoft con los últimos parches de seguridad de Microsoft correspondientes a octubre de 2017, parches que debemos instalar lo antes posible para protegernos de todos estos fallos de seguridad y poder hacer un uso lo más seguro posible de nuestro sistema operativo.
Además, debemos tener en cuenta que para poder explotar este fallo el atacante debe situarse en un punto intermedio entre nuestro ordenador y los DNS legítimos, es decir, dentro de una red local. Fuera de la misma, al responder los DNS (como el de Google) a estas peticiones, los piratas informáticos no podrán hacer mucho. Eso sí, tanto en nuestra red local (si ha sido comprometida) como en bares o puntos de acceso públicos, estamos totalmente expuestos a esta amenaza, por lo que, si nos conectamos a estas redes debemos tener cuidado, o al menos haber actualizado ya nuestro Windows con los últimos parches de seguridad.
Fuente:Microsoft

SAP. Actualización de seguridad de octubre 2017

SAP ha corregido problemas de seguridad en diferentes productos, catalogados de Importancia: 4 - Alta
Recursos afectados:
  1. SAP NetWeaver AS Java Web Container
  2. SAP Standalone Enqueue Server
  3. SAP Mobile Platform SDK 3.0
  4. SAP NetWeaver Instance Agent Service
  5. e-recruiting
  6. SAP ERP Funds Management Account Assignments
  7. Adobe Document Services
  8. SAP CRM Mail Form Editor
  9. SAP CRM IC WebClient
  10. SAP NetWeaver Instance Agent Service
  11. LDAP Authentication for SAP BusinessObjects Enterprise
  12. SAP NetWeaver System Landscape Directory
  13. SAP Point of Sale Store Manager
  14. SAP NetWeaver Mobile Client
Recomendación
Visite el portal de soporte de SAP para localizar e instalar los parches de seguridad que el fabricante haya proporcionado.
Detalle de la actualización
SAP, en su comunicado mensual de privacidad ha publicado 13 notas de seguridad y 4 actualizaciones, siendo 2 de ellas de criticidad alta, 11 de criticidad media y 4 calificadas con criticidad baja.
Las notas de seguridad calificadas como altas se refieren a:
Vulnerabilidad de salto de directorio en SAP NetWeaver AS Java Web Container, la cual podría permitir a un atacante leer archivos arbitrarios que no debería accederse.
Vulnerabilidad de denegación de servicio en SAP Standalone Enqueue Server, la cual podría permitir a un atacante explotar remotamente el servidor Enqueue, haciendo que sus recursos no estén disponibles.
Más información
Fuente: INCIBE

ATMII. Malware para robo en cajeros simple pero efectivo.

Investigadores de Kaspersky recibieron en Abril de 2017 una muestra correspondiente a un malware cuyo objetivo era robar dinero de cajeros automáticos, de ahora en adelante ATM.
Este malware conocido como ATMii, requiere de acceso a un cajero ya sea a través de red o físicamente (vía USB). En caso de instalarse con éxito, los ladrones podrán sacar todo el dinero del cajero.
Se trata de un malware sencillo a la par que efectivo, compuesto por un ejecutable que hace de inyector y una DLL que cuenta con la funcionalidad del troyano. Debido a que el valor de la constante PROCESS_ALL_ACCESS difiere entre versiones de Windows, no se ejecuta en versiones XP a pesar de ser la más utilizada aún.
Los cajeros funcionan bajo la arquitectura XFS, por lo que primero el malware debe encontrar el servicio que se encargue de dispensar dinero. En caso de exito, la información se guardará en un log como podremos ver a continuación.
Los atacantes necesitan saber el contenido de los cartuchos, por tanto implementan el comando info para obtener dicha información.
El comando cmd_disp se utiliza para obtener el dinero del cajero. Los argumentos de la función son concretamente la cantidad y la moneda. La moneda se recoge en un struct y solo acepta aquellas recogidas en el.
Este malware es un ejemplo de lo que los criminales son capaces de hacer con muy poco código. Como medidas cautelares, una gestión control de los dispositivos y politicas permitirian no ejecutar dispositivos USB o prevenir la ejecución de código no autorizado
Más información:
ATMii: a small but effective ATM robber:
Fuente: Hispasec

ESPAÑA. Conexión a Internet de Movistar, caída durante hora y media en grandes ciudades

Desde las 15.00 horas del martes y hasta las 16.30 horas ha sido prácticamente imposible conectarse a Internet a través de Movistar, tal y como ha reconocido la propia compañía.
Por razones que no ha detallado, se ha registrado un fallo técnico que ha impedido a los usuarios, tanto de ADSL como a los de fibra, poder acceder a Internet, lo que ha provocado un colapso del número de atención al cliente, el 1004.
Las más afectadas han resultado ser las grandes ciudadades, con mayor número de usuarios de fibra, y las incidencias han sido múltiples en Madrid, Barcelona, Valencia, Bilbao y Sevilla, entre otras ciudades.
Nada más tener conocimiento de la incidencia, que no ha concretado, la compañía se ha disculpado a través de su Twitter, notificando que estaba intentando resolver el problema.
La conexión a internet a través de dispositivos móviles no se ha visto afectada y desde los teléfonos se ha podido hacer uso normal de las aplicaciones.
Para los que nos comentáis problemas de conexión, os indicamos que nuestros técnicos están trabajando en ello. Disculpad las molestias.— Movistar España (@movistar_es) 10 de octubre de 2017
Os comunicamos que la incidencia que afectaba a algunas zonas ha quedado prácticamente resuelta. Nuevamente disculpad las molestias.— Movistar España (@movistar_es) 10 de octubre de 2017
Fuente: 20minutos.es

NVIDIA. Presenta su nuevo cerebro para coches autónomos de nivel 5

El fabricante ha presentado su primer ordenador con inteligencia artificial, el Drive PX Pegasus, una plataforma que será capaz de ofrecer conducción autónoma de nivel 5, la máxima categoría de dependencia humana que permite al conductor despreocuparse de pedales, volante y cualquier tipo de atención en la carretera.
Este nuevo cerebro de cálculo es capaz de ofrecer 320 billones de operaciones por segundo, 10 veces más que su predecesor, y aunque creas que formará parte de tu futuro coche, en realidad este hardware está pensado para utilizarlo en taxis robotizados que nos lleven de un lado a otro.
De hecho, NVIDIA asegura que 25 de sus clientes ya trabajan en taxis completamente autónomos. La idea de NVIDIA no es otra que conseguir una solución de hardware compacta que elimine la gran cantidad de ordenadores conectados que inundan los prototipos que actualmente se usan para los cálculos.
Además, el anuncio llega como una bocanada de aire fresco para los fabricantes de vehículos, ya que el nuevo hardware reducirá el número de componentes que se necesitan para procesar todos los datos a la máxima velocidad, un poder de cálculo que hasta ahora requería un nivel de computación con bastante hardware, a lo que había que sumar los numerosos sensores, cámaras, sensores LiDAR y radares. ¿Y qué necesita todo eso? Energía de la batería.
Pero el trabajo de NVIDIA es tan bueno que han conseguido reducir el tamaño del Drive PX Pegasus al de una matrícula, y para colmo, consume menos energía que la anterior generación. Todavía tendremos que esperar mucho para ver a este cerebro tomar las riendas de un coche (el hardware no estará listo hasta la segunda mitad del 2018), aunque algunas compañías como DHL ya planean colocar en las calles camiones de reparto con el Drive PX en su interior.
Fuente : NVIDIA

Google Home Mini. El Chiquitín ha estado grabando todo como un campeón

El problema lo ha descubierto Artem Russakovskii de Android Police, quien se percató de que los leds de su unidad no paraban de parpadear. Estos leds suelen activarse tras pronunciar "OK Google" o pulsando el panel táctil del frontal, pero en el caso del Home Mini de Artem no era así. Sus sospechas se confirmaron cuando revisó el panel de actividad de su cuenta de Google, donde pudo comprobar la infinidad de grabaciones en el servidor de Google.
Un ingeniero de Google ya ha revisado el dispositivo y ha podido descubrir que el panel táctil no funcionaba correctamente, provocando continuas activaciones del asistente en todo momento. Esto provocaba que el micrófono del altavoz estuviese escuchando prácticamente las 24 horas del día, algo que desde luego suena aterrador. Tras este análisis, Google lanzó una actualización que desactivaba inmediatamente el panel táctil, por lo que los usuarios ahora sólo podrán hacer la llamada del asistente por voz.
El dispositivo se pondrá a la venta el próximo 19 de octubre, así que si piensas hacerte con uno deberías de revisar que el firmware instalado sea el 1.28.100122, que ha sido el último lanzado el 7 de octubre con la desactivación del panel táctil.
Fuente:  9to5google

ONEPLUS. Recopila datos privados de los smatphones sin permiso

Chris Moore, ingeniero especializado en seguridad, ha publicado un artículo en su blog en el que acusa a OnePlus y concretamente a su sistema OxygenOS (basado en Android) de a recolectar información privada sin permiso de sus usuarios. Además el fabricante estaría vinculando dicha información a dispositivos individuales y cuentas de usuario particulares. 
Gran parte de los datos almacenados son bastante "ordinarios", como el número de veces que desbloqueas el teléfono, las aplicaciones que abres y usas o las redes WiFi a las que te conectas. El problema es que OnePlus está transfiriendo esta información junto con el número de serie de tu teléfono, lo que significa que tu actividad es personalmente identificable.
OnePlus no se ha hecho de rogar y ha emitido un breve comunicado en el que se excusa explicando que recoge dos "flujos" de datos bajo HTTPS y que son enviados a un servidor de Amazon. 
  1. El primero se denomina "análisis de uso" y está destinado a mejorar su software. 
  2. El segundo es el perteneciente a la información del dispositivo y se recoge para ofrecer una mejor ayuda de post-venta. 
La firma apunta que el intercambio de los "análisis de uso" se puede desactivar entrando en la configuración del teléfono, seleccionando "Avanzado" y desactivando la opción "Unirse al programa de experiencia del usuario". Respecto al segundo flujo, no dice nada más.
We securely transmit analytics in two different streams over HTTPS to an Amazon server. The first stream is usage analytics, which we collect in order for us to more precisely fine tune our software according to user behavior. This transmission of usage activity can be turned off by navigating to 'Settings' -> 'Advanced' -> 'Join user experience program'. The second stream is device information, which we collect to provide better after-sales support.
La compañía china no es ni mucho menos la primera que recopila datos de sus usuarios, el problema radica en cómo lo está haciendo. OnePlus no pide explícitamente permiso a sus usuarios para acumular este tipo de información y la gran mayoría de ellos muy probablemente desconocen qué tipo de datos están compartiendo. 
Fuente: es.engadget.com