MICROSOFT EXPLICA COMO PROTEGERSE DE “DUQU”

Microsoft publicó un boletín sobre qué vulnerabilidad aprovecha Duqu y cómo protegerse. Se trata de una elevación de privilegios en el sistema, a causa de un error en el tratamiento de ciertos tipos de fuentes.

Detalles de la vulnerabilidad:

• El problema se centra en el controlador de sistema win32k.sys. Un fallo al tratar ciertas fuentes permite que una aplicación eleve privilegios y consiga control total del sistema. Así, Duqu podría conseguir los permisos necesarios para incrustarse en Windows.

Recomendaciones de Microsoft:

• El boletín de Microsoft aconseja bloquear el acceso a la librería t2embed.dll. Como no puede solucionar el fallo en win32k.sys a través de una contramedida, para proteger a sus usuarios aconseja limitar el acceso a una de las librerías involucradas en el procesado de las fuentes incrustadas.
• Para aplicar la contramedida, Microsoft aconseja quitar todos los permisos de acceso a la librería t2embed.dll, situada en %windir%\system32\ en versiones de 32 bits y "%windir%\syswow64\ en versiones de 64 bits.

Modos de aplicar las contramedidas:

1. A través del menú contextual de seguridad del archivo (en varios pasos: tomando el control, eliminando los permisos heredados y luego negando el acceso al grupo "Todos")

2. Por medio de la línea de comandos:

Para XP y 2003:

cacls "%windir%\system32\t2embed.dll" /E /P todos:N

Para 7 y Vista:

icacls.exe "%windir%\system32\t2embed.dll" /deny todos:(F)

teniendo en cuenta que antes hay que hacerse dueño del archivo (en Windows 7 es posible que pertenezca al usuario TrustedInstaller, que protege el archivo y lo reemplaza de una caché en caso de que no lo encuentre). Para ello, se puede hacer por línea de comandos:

Takeown.exe /f "%windir%\system32\t2embed.dll"

3. Otra posibilidad, es aplicar el "Fix it" de Microsoft (un programa que automáticamente realiza estos cambios). Disponible desde: http://support.microsoft.com/kb/2639658


Más información:

Vulnerability in TrueType Font Parsing Could Allow Elevation of Privilege
http://technet.microsoft.com/en-us/security/advisory/2639658

Fuente: Hispasec

DUQU SE CUELA EN WINDOWS POR UNA VULNERABILIDAD NO CORREGIDA

Los expertos siguen investigando el origen y el alcance del troyano Duqu, nombrado como sucesor de Stuxnet, que habría aprovechado una vulnerabilidad de Windows para colarse en los equipos a través de un documento de Word.

Detalle del ataque

• Según los investigadores, este troyano ha aprovechado una vulnerabilidad día zero hasta ahora desconocida del kernel de Windows para entrar en los equipos a través de un archivo de instalación en Microsoft Word.
  
  
• Microsoft ya está al tanto del problema y aseguran que están trabajando para lanzar una solución en el próximo boletín de seguridad.

Paises afectados:  

• Los expertos han trazado un mapa para reflejar el grado de expansión de Duqu, que ya ha infectado a varias compañías de Francia, Países Bajos, Suiza, Ucrania, India, Irán, Sudán y Vietnam. Además se han registrado ataques en Austria, Hungría, Indonesia, Reino Unido e Irán, aunque aún no han sido confirmados.
• Una vez que Duqu entra en un equipo de la empresa, es capaz de propagarse hacia el resto de ordenadores a través de unidades de red compartidas o de redes peer-to-peer.

Más información en Symantec

http://www.symantec.com/connect/w32-duqu_status-updates_installer-zero-day-exploit

Fuente: The Inquirer

LAS “socialbotnets” BUSCAN AMIGOS EN “Facebook”

Un grupo de investigadores ha realizado un experimento para demostrar los peligros de las llamadas “socialbots”, redes de ordenadores zombies que buscan amigos en usuarios reales de Facebook para robar sus datos.

¿Qué son las “socialbots”?

• Al igual que una botnet “tradicional”, la socialbot consiste en una red de ordenadores infectados controlada por un ciberdelicuente, pero en este caso en lugar de utilizarse para enviar spam de forma masiva se usa para hacerse pasar por usuarios reales en Facebook.

¿Cómo actúan las “socialbots” en Facebooks ?

• Las “socialbots” toman el control de perfiles de Facebook e imitan la forma de actuar de los miembros de esta red social.
• Su objetivo es convencer al mayor número posible de usuarios para que acepten sus solicitudes de amistad y poder acceder a sus datos, que después serán utilizados en campañas masivas de spam y phishing.
• Al parecer, este tipo de programas se pueden obtener en el mercado negro de la ciberdelincuencia por tan sólo 24 dólares.

¿Detalles y conclusiones del experimento ?

• Los investigadores de la Universidad de Columbia crearon un total de 102 socialbots y una “botmaster” desde la que se enviaban las órdenes a los equipos infectados.
• El experimento se prolongó durante ocho semanas, tiempo en el que las socialbots consiguieron hacer un total de 3.055 amigos en Facebook a los que robaron 46.500 direcciones de correo electrónico y 14.500 direcciones postales.
• El sistema de detección de fraude de Facebook no se activó en ningún momento ya que sólo enviaban 25 peticiones al día para no levantar sospechas.

Respuesta desde Facebooks.

• Facebook ha calificado esta investigación como exagerada y poco ética.
• En este sentido, los portavoces de la red social sostienen que su sistema antifraude no se activó porque las direcciones IP de este experimento correspondían a las de un centro universitario de confianza.

Fuente: BBC news

CIBERATAQUES CONTRA EMPRESAS QUÍMICAS

Descubierta una red china de ciberespionaje diseñada para obtener información confidencial de empresas pertenecientes de la industria química a través de un troyano denominado “Poison Ivy”.

La red según paece, ha estado funcionando de junio a septiembre, buscando obtener información sensible sobre “patentes, fórmulas y procesos de manufactura” de empresas que fabrican compuestos y materiales químicos avanzados.

• El origen de estos ataques se ha encontrado en China, al norte del país desde donde se habrían enviado los correos electrónicos infectados.
• Los emails contenían un troyano llamado “Poison Ivy” camuflado bajo la apariencia de invitaciones a eventos empresariales o actualizaciones de software.
• Según los expertos en seguridad, el objetivo de esta red de ciberespionaje eran 48 grandes empresas, la mayoría de ellas con sede en Estados Unidos y el Reino Unido.
• De estas compañías, al menos 29 se dedican a la investigación química, mientras que el resto pertenecen al ámbito de Defensa.

Más información en :

Reuters

http://www.reuters.com/article/2011/10/31/us-cyberattack-chemicals-idUSTRE79U4K920111031

Fuente: Hispasec

NUEVAS VULNERABILIDADES EN LA SUITE “ OmniTouch Instant Communication “

Investigadores de la empresa Tele-consulting, descubrieron diferentes vulnerabilidades en la suite OmniTouch de Alcatel-Lucent.

El sistema ICS de Alcatel ofrece servicios de comunicación unificados a través de diferentes medios de acceso tales como dispositivos móviles y clientes web.

Destacar las características del cliente web webICS que permitiría servicios finales al usuario tales como acceso a directorios personales y globales, redirección de llamadas...

• Es precisamente en este cliente web donde se encontrarían las vulnerabilidades descubiertas que permitirían, entre otros, ataques de cross site scripting (XSS), tanto persistentes como no, así como cross site request forgery (CSRF).
• Uno de los posibles ataques que se podrían realizar sería el cambio de la configuración del teléfono del usuario final causando una redirección de llamada a través de un XSS almacenado en la libreta de direcciones.
• Las vulnerabilidades tienen asignados los siguientes CVE: CVE-2011-4058 y CVE-2011-4059. 
• Alcatel-Lucent ha publicado un hotfix que corregiría estas vulnerabilidades.

Más información en:

• TC-SA-2011-01: Multiple vulnerabilities in OmniTouch Instant Communication Suite

http://www.tele-consulting.com/advisories/TC-SA-2011-01.txt

Fuente: Hispasec

FALLO DE SEGURIDAD EN “Facebook “ PERMITE ENVÍO DE EJECUTABLES

El investigador de seguridad Nathan Power ha descubierto un fallo en la subida de ficheros de Facebook que podría permitir el envío de cualquier tipo de fichero a través de los mensajes de la red social.

Facebook, a través de su servicio de mensajes entre sus usuarios, permite el envío de archivos adjuntos que no sean archivos ejecutables, por tanto la plataforma realiza ciertas comprobaciones sobre el fichero enviado para evitar que se trate de un binario.

• Según ha confirmado el investigador, todas las comprobaciones sobre el contenido del mensaje se limitan a analizar la extensión del nombre del fichero indicado.
• Facebook fue avisado el día 30 de septiembre, pero no respondió hasta pasado casi un mes

Más información en:

• Facebook Attach EXE Vulnerability

http://www.securitypentest.com/2011/10/facebook-attach-exe-vulnerability.html

Fuente: Hispasec

`Hackers´ CHINOS SE HICIERON CON EL CONTROL DE 2 SATÉLITES DE EEUU.

La Comisión de Revisión de Economía y Seguridad de EEUU confirmó que entre 2007 y 2008 ciberdelincuentes chinos se hicieron con el control de dos satélites americanos aunque en ningún caso llegaron a hacer uso incorrecto de los mismos.

Los satélites Landstat-7 y Terra AM-1, que son dirigidos desde la estación noruega de Svalbard, fueron interceptados hasta en cuatro ocasiones y cada uno de los ataques tuvo una duración de entre dos y 12 minutos.

Estos satelites se utilizan para obtener datos del terreno y clima de la tierra y las informaciones reveladas por Bloomberg aseguran que los hackers chinos no hicieron uso incorrecto de los mismos aunque tuviesen su control.

•  Pero de haberlo pretendido podrían haber producido importantes daños sobre los satélites, llegando a destruirlos, bloquearlos, o falsificar sus transmisiones.

• Al parecer, los “hackers” se colaron en los sistemas de la estación Svalbard a través de su conexión a internet y pudieron acceder a sus archivos.

Más información en TechEye

http://news.techeye.net/security/china-gained-control-of-two-us-satellites

Fuente: The Inquirer

CISCO LANZA 5 BOLETINES DE SEGURIDAD

Cisco ha lanzado 5 boletines de seguridad  y sus actualizaciones correspondientes sobre diversas vulnerabilidades: dos escaladas de directorios, dos ejecuciones de código y una denegación de servicio.

Productos afectados:

• Cisco Unified Contact Center Express.- Permite a un usuario remoto no autenticado obtener ficheros a través de una URL especialmente manipulada mediante una escalada de directorios. (CVE-2011-3315)
• Cisco Security Agent.- Permite una ejecución de código arbitrario, es debido a dos vulnerabilidades de software externo a Cisco, presentes en la librería 'Oracle Outside In' utilizada por Cisco Security Agent. (CVE-2011-0794 y CVE-2011-0808)
• Cisco Video Surveillance IP Cameras: Denegación de servicio causada por el envío de paquetes RTSP TCP especialmente manipulados, causaría que las cámaras dejasen de emitir las imágenes grabadas y procediesen a reiniciarse. (CVE-2011-3318)
• Cisco WebEx Player: Desbordamientos de memoria intermedia en el reproductor Cisco WebEx Recording Format (WRF), podrían permitir que un atacante remoto ejecutase código arbitrario con los permisos del usuario afectado. (CVE-2011-3319 y CVE-2011-4004)
• Cisco Unified Communications Manager: Fallo en el componente de procesamiento de llamadas IP de Cisto que permite la revelación, por medio de escalada de directorios, del contenido de archivos que en teoría no deberían ser accesibles desde el exterior del sistema. (CVE-2011-3315)

Recomendaciones:

Cisco ha publicado las correspondientes actualizaciones que corrigen todas las vulnerabilidades comentadas y que deberían intalarse de manera urgente. 

Fuente: Hispasec

ESTUDIO CONSTATA EFECTOS PERVERSOS EN LA PROTECCION "DRM"

Un estudio de las universidades de Duke y Rice afirma que si se elimina la tecnología DRM de protección de datos ayudaría a reducir la piratería. 

De las conclusiones de la investigación, se desprende que la protección contra copias ilegales dificulta la tarea de compartir ese contenido con otros usuarios, pero afecta de forma muy negativa a los clientes legales.

• Según el informe, los consumidores que adquieren los contenidos de forma legal son los únicos que sufren las restricciones que comporta la protección DRM.
• Por ello añade, que muchos usuarios se apuntan a la música y DVDs piratas ya que por culpa de la tecnología DRM encuentran con problemas a la hora de hacer copias de los contenidos originales.
• Además, los expertos recuerdan que el DRM no es obstáculo para los piratas informáticos ya que estos pueden llegar a desbloquear esa protección con relativa facilidad.

El estudio, que ha sido publicado en la revista Marketing Science, propone eliminar esas restricciones para aumentar la competitividad y bajar los precios, una estrategia que animaría a los consumidores a comprar contenidos legales.

Mas información
http://www.engadget.com/2011/10/09/ditching-drm-could-reduce-piracy-prices-inconvenience/

Fuente: The Inquirer

ANONYMOUS AMENAZA CON ATAQUES EL 5 DE NOVIEMBRE

La organización ha planeado tres acciones: contra Facebook, los bancos y la cadena estadounidense Fox

• La primera, el ataque a Facebook, anunciada hace meses y aunque dentro de Anonymous hay opositores al ataque contra Facebook. La red social se convirtió en objetivo de la organización porque, según aseguran, vende información privada a agencias gubernamentales y da acceso a la misma a firmas de seguridad.
• La segunda, el ataque a las entidades financieras. En este caso, no obstante, no lo hará mediante ataques DDoS, sino que se sumará a un movimiento surgido en Internet que pide a los ciudadanos que retiren su dinero de los grandes bancos.
• Por último, el ataque contra la cadena estadounidense Fox., que surge según ellos, por la forma en que los informativos de la cadena han tratado las protestas que tienen lugar en Wall Street y también, según su opinión, por “obligar a mentir” a sus empleados para ocultar la corrupción.

Fuente: www.abc.es

EL TROYANO "TSUNAMI" SE PASA DE "Linux" A "Mac"

Expertos en seguridad previenen sobre la amenza del troyano Tsunami en equipos Mac OS X aunque inicialmente había sido diseñada para atacar equipos con Linux.

Caractrísticas del troyano:

Los investigadores aseguran que la principal particularidad de Tsunami es que habría sido portado de Troj/Kaiten, un troyano backdoor diseñado para comprometer sistemas Linux al que los expertos en seguridad de ESET siguen la pista desde el año 2002.

Operativa del troyano:

• Una vez que este troyano logra introducirse en el ordenador de su víctima, recibe instrucciones de los atacantes a través de un canal IRC.

Objetivos del troyano:

• Este tipo de amenazas son utilizadas para reunir la mayor cantidad posible de ordenadores infectados y llevar a cado un ataque de denegación de servicio DDoS (distributed denial-of-service) cuyo principal objetivo es bloquear una web determinada con un “tsunami” de visitas.
• Además de ser utilizado con este fin, Tsunami puede permitir a los atacantes acceder al sistema del ordenador infectado de forma remota para llevar a cabo otro tipo de acciones o simplemente acceder a la información del usuario.

Más información en:

• Naked Security (Sophos).-  http://nakedsecurity.sophos.com/2011/10/25/tsunami-backdoor-trojan-for-mac-os-x-discovered/

• Ars Technica.-  http://arstechnica.com/apple/news/2011/10/tsunami-backdoor-trojan-ported-from-linux-to-take-control-of-macs-too.ars

• ESET.- http://blog.eset.com/2011/10/25/linux-tsunami-hits-os-x

Fuente: The Inquirer

AYER FALLECIO EL PRECURSOR DE LA INTELIGENCIA ARTIFICIAL

Antes de finalizar Octubre se nos va otro genio, el padre de la «inteligencia artificial» que acuñó en 1956 el término en la Conferencia de Dartmouth, y pionero del desarrollo de la informática, John McCarthy, nacido en Boston en 1927, falleció ayer a los 84 años de edad en su casa de Palo Alto, en California.

• También galardonado en 1971 con el Premio Turing, considerado el equivalente a un Nobel de Informática, desarrolló el lenguaje de programación LISP en 1958, con el que jugó la primera partida de ajedrez por ordenador de la historia con científicos soviéticos.
• Es conocido sobre todo por sus esfuerzos en el campo de la inteligencia artificial (AI, por sus siglas en inglés), disciplina que describía como «la ingeniería científica capaz de dotar de inteligencia a las máquinas».

Fuente: www.abc.es

VULNERABILIDADES EN " Joomla "

Publicados dos fallos de seguridad en Joomla! que podrían permitir a un atacante tener acceso a información sensible.

Joomla! es un sistema de gestión de contenidos y framework web muy popular para la realización de portales web. Cuenta con una la gran cantidad de extensiones de fácil integración que le proporcionan un gran potencial.

Detalles de las vulnerabilidades:

1. El primero de los fallos de seguridad fue reportado por Aung Khant, perteneciente al grupo de hacking ético YGN. El problema está en la inadecuada comprobación de errores. Un atacante remoto podría obtener información sensible. La versión de Joomla! afectada sería la 1.7.1 y anteriores. Este fallo fue reportado el dos de agosto a los desarrolladores, pero no ha sido corregido hasta el 17 de octubre.
2. El segundo de los fallos fue reportado por Jeff Channell y estaría basado en un cifrado débil que permitiría a atacante remoto obtener igualmente acceso a información sensible. La versión de Joomla! afectada sería la 1.5.23 y anteriores. Este fallo fue reportado el nueve de septiembre a los desarrolladores y corregido también el 17 de octubre.

Recomendaciones:

• Joomla recomienda la actualización a las versiones 1.5.24 o posterior y 1.7.2 o posterior.

Más información en:

• http://developer.joomla.org/security/news/371-20111002-core-information-disclosure
• http://developer.joomla.org/security/news/372-20111003-core-information-disclosure

Fuente: Hispasec

MÚLTIPLES VULNERABILIDADES EN LA PLATAFORMA EDUCATIVA “Moodle”

Publicados 15 boletines de seguridad que afectan a la plataforma Moodle. Estas vulnerabilidades permiten saltar restricciones, ejecutar código arbitrario, revelar información sensible, afectar la integridad de los datos, realizar ataques XSS, CSRF, inyección SQL, y denegación de servicio.

Moodle, acrónimo de Modular Object-Oriented Dynamic Learning Environment, es una plataforma educativa de código abierto escrita en PHP, que permite a los educadores crear y gestionar tanto usuarios como cursos de modalidad e-learning y tambien proporciona herramientas para la comunicación entre formadores y alumnos.

Detalle de los boletines:

• Se han publicado un total de 15 boletines de seguridad, del MSA-11-0027 al MSA-11-0041, que contienen diferentes vulnerabilidades que afectan a la plataforma Moodle en las versiones 1.9.x, 2.0.x,y 2.1.x.
• Ninguna de las vulnerabilidades tiene asignado un identificador CVE de momento.

Recomendaciones:

• Se encuentran disponibles para su descarga desde la página oficial de Moodle, las actualizaciones a las versiones 1.9.14, 2.0.5, y 2.1.2 que corrigen todas las vulnerabilidades anteriores y que se recomienda aplicar.

Fuente: Hispasec

NUEVA VULNERABILIDAD DE LOS “ iPad 2” CON FUNDA “ Smart Cover”

Ha sido descubierta una vulnerabilidad en el iOS 5 que afecta a los usuarios de iPad 2 con fundas Smart Cover que utilizan el sistema de desbloqueo por contraseña, que podría permitir a los ciberdelincuentes entrar en su tableta saltándose este paso de seguridad.

El descubrimiento procede del site 9to5mac, donde aseguran que un atacante podría acceder a las aplicaciones que hayan quedado abiertas en el iPad 2 antes de bloquearlo, aún sin disponer de la contraseña.

Operativa de la vulnerabilidad:

1. Cuando un usuario bloquea su tableta sin haber cerrado previamente la app que estaba utilizando, entonces se pulsa el botón “home” para apagar el dispositivo pero en lugar de hacerlo coloca la funda Smart Cover, de manera que al retirarla se puede utilizar el tablet sin tener la clave de acceso con sólo pulsar la opción “cancelar”.
2. A partir de ahí, el intruso tendría acceso a la aplicación que estaba en uso antes del bloqueo, sin embargo, si el usuario bloquea su iPad 2 en la pantalla de inicio no podría acceder a ninguna aplicación siguiendo este procedimiento.

Recomendaciones:

• Para evitar este tipo de problemas aconsejan desactivar el desbloqueo con Smart Cover en el menú de configuración hasta que Apple lance una solución definitiva.

Fuente: Cnet, 9to5mac

RIM FUSIONARA LOS SISTEMAS ”Blackberry” Y “Playbook” EN “BBX”

Research In Motion (RIM) ha anunciado su nuevo sistema operativo móvil BBX, que se lanzará en 2012 y será utilizado tanto en los teléfonos Blackberry como en las tabletas Playbook.

"Todo lo que hemos preparado para la BBX funcionará en todos los aparatos producidos por RIM", señaló Mike Lazaridis, codirector general de la marca, al desvelar el nuevo sistema en la conferencia anual de la compañía en San Francisco.

BBX combina la plataforma de Blackberry con el sistema operativo QNX desarrollado para sus tabletas electrónicas.

RIM también ha lanzado un kit de desarrollo de aplicaciones nativas para Playbook, que será compatible con el nuevo sistema, para los desarrolladores de aplicaciones variadas para smartphones y tabletas de la plataforma BBX de nueva generación".

Fuente: Marketwatch

DUQU ¿ ES LA NUEVA VERSION DEL VIRUS " Stuxnet " ?

Symantec ha descubierto un nuevo virus similar al gusano informático Stuxnet que afectó a las instalaciones nucleares de Irán. Este 'malware' llamado DUQU por el prefijo de los archivos que crea 'DQ'

Descripción y objetivos del virus:

• Según el blog oficial de la citada compañía de seguridad, Duqu tiene partes muy similares con Stuxnet, pero con un propósito totalmente diferente.
• "Duqu en esencia es el precursor de un nuevo ataque del tipo de Stuxnet", afirma la compañía, y explica que el propósito de Duqu es reunir datos de inteligencia y de los activos de las entidades, como información sobre los fabricantes de sistemas de control industrial, con el objetivo de preparar mas fácilmente un ataque.
  

Detalles del virus:

• Este virus usa HTTP y HTTPS para comunicarse con un servidor C&C (Comando y Control), y está programado para desaparecer del sistema en 36 días.
• Duqu, como ocurría con Stuxnet, utiliza un certificado digital privado para probar su atenticidad, en esta ocasión, aparentemente tomado de una compañía taiwanesa.
  

Para más información descargar el documento creado por Symantec desde la dirección siguiente,
http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_duqu_the_precursor_to_the_next_stuxnet.pdf

Fuente: Symantec

MALWARE INFECTA 1.000.000 DE SITIOS WEB

Expertos en seguridad informática de la empresa Armorize han detectado un malware que afectó a sitios webs que emplean las tecnologías ASP y ASP.NET.

Detalles del ataque :

• Para lograr el ataque, los ciberdelincuentes planificaron un ataque masivo de SQL, que después de infectar a los usuarios les redirige a un kit de de malware para explotar webs que se aprovecha de las vulnerabilidades em Adobe PDF, Adobe Flash o Java.
• Las pruebas efectuadas constataron que dicho malware tenía unas tasas de detección bajas y en muchos casos pasaba desapercibido para los antivirus.
• Los “hackers” llegaron a infectar con éxito los dominios nbnjkl.com y jjghui.com y según informan desde Armorize, la acción está relacionada con los ataques de infección masiva de SQL conocidos como Lizamoon, que tuvieron lugar en abril.
  

En la mayoría de los casos los ataques masivos de SQL se producen a través del reconocimiento mediante motores de búsqueda activos, seguidos de la explotación automática de las webs vulnerables.

Fuente: Zdnet

TROYANO PARA “MAC” QUE DETECTA LA VIRTUALIZACIÓN

El blog de F-Secure informa del descubrimiento del primer troyano para MAC que detecta la virtualización, para cambiar su funcionamiento y evitar ser analizado.

Si bien es un método antiguo, sí es cierto que es la primera vez que se observa este tipo de comportamiento en malware destinado al sistema operativo de Apple.

"Modus operandi" del troyano:

• La muestra analizada por F-Secure, se hacía pasar por una actualización de Adobe Flash Player, y en caso de detectar que está siendo ejecutando sobre una máquina virtual, detiene por completo su ejecución.
  
• Por el momento, la única máquina virtual que sobre la que se comprueba si está corriendo es VMWare.

Métodos de comprobación de entorno virtual:

• Existen numerosos métodos para comprobar si se está en un entorno virtual.
• Se puede encontrar información en la propia página de VMWare, con sus pros y sus contras: http://kb.vmware.com/selfservice/microsites/search.do?language=en_US&cmd=displayKC&externalId=1009458

Detalles técnicos del troyano:

• Este troyano recurre a un método descubierto por el investigador Ken Kato, que consiste en interactuar con un puerto de Entrada/Salida (puerto 'VX').
• Este puerto que no debería existir en un entorno no virtualizado, puesto que es utilizado por la máquina huésped para comunicarse con la máquina virtual.

Fuente: Hispasec

“AVG” PUBLICA INFORME GLOBAL DE AMENAZAS DEL TERCER TRIMESTRE

AVG Technologies, proveedor líder de seguridad de internet y dispositivos móviles, presenta hoy su "Reporte AVG de Amenazas Generado por la Comunidad, del Tercer Trimestre del 2011", que proporciona información, antecedentes y análisis sobre las tendencias y novedades en el panorama de las amenazas globales.

Antecedentes del informe:

1. El mes pasado, Keith Alexander, director de la Agencia de Seguridad Nacional de los Estados Unidos le dijo a los asistentes de la conferencia “Maneuvering in Cyberspace" que el costo global del cibercrimen está estimado en US$1 trillón.
2. La semana pasada, el PCeu – la unidad de crimen electrónico de la Policía Metropolitana – informó haber prevenido cibercrimenes valuados en más de £140 millones en el Renio Unido a través de los últimos seis meses.
3. Un informe del Poneman Institute – un centro de investigación de póliza de seguridad de información basada en los Estados Unidos – establece que en el último año, el costo intermedio del crimen cibernético ha incrementado un 56 por ciento y ahora le cuesta a las empresas un promedio de US$6 millones por año.
4. El cibercrimen ha pasado de vandalismo digital a un negocio criminal estructurado para obtener ganancias financieras que valen billones.
   

Robo de dinero digital :

• El dinero digital se ha hecho popular en poco tiempo. Facebook Credits, Xbox Points, monedas de Zynga y Bitcoin ahora tienen un rol vital en una economía global de juegos de multi-billones de dólares.
• Pero por encima del valor virtual, mucho de este dinero es intercambiado activamente por dinero real.
• Los cibercriminales lo han notado y ahora se centran en robar carteras digitales de las computadoras de las personas.
• En junio una cartera digital conteniendo US$500,000 fue robada cuando alguien entró en la computadora de la víctima y transfirió la mayoría, pero no todo, el dinero de su cartera.
  

Subcontratar la parte dificil , recolectar el dinero :

• En una licitación para subcontratar la molestia y riesgos de recolectar dinero, los cibercriminales se están moviendo fuera de los detalles de las tarjetas de crédito y están cada vez más y más usando operadores de teléfonos móviles para hacer las colectas para ellos.

Escuchando por medio de Androit :

• Como Android tiene el 50 % del mercado de los smartphones en el mundo, los ciberdelicuentes centran el malware en Android y se enfoca en hacer dinero de SMS Premium.

Otras conclusiones del Informe:

• Rogue AV Scanner es actualmente la amenaza más activa en la web
• Exploit Toolkits es responsable de más del 30% de todas las actividades de riesgo en los sitios web maliciosos (‘Fragus’ es el más popular, seguido por el ‘Blackhole’)
• Angry Birds Rio Unlocker es la aplicación Android mas popular maliciosa
• EEUU todavía es la fuente más grande de spam, seguido por la India y Brasil
• Un informe de Agencia de Investigación The Future Laboratory (Cybercrime_Futures), revela que los cibercriminales y malware crece en sofisticación y es más difícil de detectar, los usuarios están más desprotegidos porque están menos atentos a proteger sus propios dispositivos en línea.

Características del informe :

El Informe de AVG se basa en el tráfico y los datos de la Community Protection Network (red comunitaria de protección) y es seguido por la investigación de AVG, durante un período de tres meses. Este informe proporciona una visión general de la actividad web, de dispositivos móviles, los riesgos y las amenazas del spam. Las estadísticas de referencia se obtienen de la AVG Community Protection Network.

Para más información descargar informe completo desde la dirección:
http://aa-download.avg.com/filedir/press/AVG_Community_Powered_Threat_Report_Q3_2011.pdf

Fuente: AVG

FALLECE “Dennis Ritchie”, CREADOR DE “Uníx” Y DEL LENGUAJE “ C ”

Definitivamente octubre del 2011 está resultando fatídico para el mundo de la informática. Según informa el portal Microsiervos, Dennis Ritchie, el creador del lenguaje C y el sistema operativo Unix, ha fallecido a los 70 años.

El ingeniero informático dejó un amplio legado que forma parte de la informática moderna. Ritchie fue el creador del lenguaje "C", uno de los más utilizados y base para otros lenguajes posteriores ,como Java.

También fue el creador con Ken Thompson del sistema operativo Unix en 1969. De este sistema multitarea y multiusuario han surgido después otras variantes como Solaris, Linux o Mac OS X.

Además, Dennis Ritchie, en 1983 fue galardonado por el Premio Turing (equivalente al Nobel de Informática), y desarrolló la mayor parte de su carrera en los Laboratorios Bell de AT&T.

Fuente:www.microsiervos.com

MÚLTIPLES VULNERABILIDADES EN PRODUCTOS “Cisco”

Publicadas varias vulnerabilidades en productos Cisco que afectan al módulo Firewall Services Module (FWSM) de los switches Catalyst serie 6500 y los routers de la serie 7600 en las versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x.

Detalle de las vulnerabilidades:

1. Denegación de servicio a través de un error en los mensajes 'syslog'. A esta vulnerabilidad se le ha asignado el identificador CVE-2011-3296.
2. Denegación de servicio a través de 'Authentication Proxy'. El identificador asignado a esta vulnerabilidad es el CVE-2011-3297.
3. Salto de restricciones a través de TACACS+. Su identificador es el CVE-2011-3298.
   
4. Denegación de servicio a través del motor de inspección de SunRPC. Se han publicado 4 vulnerabilidades que pueden causar la sobrecarga del dispositivo al procesar mensajes SunRPC. Los identificadores asignados a estas vulnerabilidades son: CVE-2011-3299, CVE-2011-3300, CVE-2011-3301, y CVE-2011-3302.
5. Denegación de servicio a través del motor de inspección ILS. Se le ha asignado el identificador CVE-2011-3303.

Las dos últimas series de vulnerabilidades, las de SunRPC e ILS, no se ven afectadas por el tráfico dirigido a estos dispositivos, sino únicamente por el tráfico de paso.

Además, las tres últimas series de vulnerabilidades, aquellas que se refieren a TACACS+, SunRPC, e ILS, afectan además a los módulos Adaptive Security Appliances de Cisco ASA serie 5500 y ASA Services Module de Cisco Catalyst serie 6500, en las versiones 7.0.x, 7.1.x, 7.2.x, 8.0.x, 8.1.x, 8.2.x, 8.3.x, 8.4.x, y 8.5.x.

Recomendaciones:

• Los parches que solucionan estas vulnerabilidades se encuentran disponibles para su descarga en la página de Cisco. http://www.cisco.com/en/US/products/products_security_advisory09186a0080b97904.shtml

Fuente: Hispasec

LAS BLACKBERRY FALLARON POR CULPA DE UN CONMUTADOR

La respuesta de RIM se produce casi dos días después de que los usuarios de Blackberry en Europa, Oriente Medio, África y ahora América también, empezarán a sufrir problemas con sus servicios de mensajería, correo electrónico y navegación por internet.

Research In Motion (RIM), la compañía canadiense que fabrica los teléfonos móviles Blackberry, dijo hoy que la caída de sus servicios de correo electrónico y mensajería en Europa, partes de Latinoamérica, India, Oriente Medio y África fue debida al "fallo de un conmutador central".

• "Aunque el sistema está diseñado con un conmutador de respaldo, éste no funcionó como en las pruebas. El resultado es que se generó una gran cantidad de información atrasada y ahora estamos trabajando para recuperar lo acumulado y restaurar el servicio normal lo antes posible", dijo RIM en un comunicado enviado a EFE.
• Mientras, los usuarios de Blackberry han expresado a través de Twitter y foros de internet su enfado con RIM y especialmente la falta de información sobre el problema, lo cual posiblemente aumente la pérdida de usuarios de RIM.
• En septiembre, cifras recopiladas por la firma comScore señalaban que en Estados Unidos RIM estaba perdiendo rápidamente terreno a manos de Iphone y Android y calculaba que Blackberry había perdido 4,3 millones de usuarios. Según comScore, RIM tiene ahora 16,5 millones de usuarios, la misma cifra que a finales de 2009 y está perdiendo unos 500.000 usuarios cada mes.

Fuente: EFE

LOS USUARIOS DE BLACKBERRY SIN CONEXIÓN A INTERNET

Millones de usuarios de «smartphones» sufren un fallo a escala mundial y únicamente podían efectuar llamadas de voz y envío de mensajes de texto.

Usuarios de dispositivos móviles de Europa, Oriente Medio y África pertenecientes de la compañía BlackBerry han sufrido desde el mediodía de este lunes un fallo a escala mundial que les ha impedido utilizar los servicios asociados a internet desde sus «smartphones».

• El fallo se produjo pasadas las 11.00 horas (hora peninsular española) cuando los consumidores empezaron a tener problemas, según informa «The Daily Telegraph».
• En un primer momento, los usuarios españoles del popular «smartphone» han empezado a inundar la Red de quejas dirigidas a los operadores, como Movistar, Vodafone y Orange.
• Pero el problema se ha dado con todos los operadores, por lo es evidente que la incidencia afectaba a este tipo de teléfonos, independientemente de con qué compañía se tuviera contratada la conexión.

La compañía confirmó el problema el problema hacia las 16,00 hora española y «tuiteó» que estaban trabajando en solucionar el problema que han tenido usuarios suyos en Europa y añadió. «Sentimos los inconvenientes», se ha disculpado sin entrar a explicar los motivos del error.

Fuente: www.abc.es

EL BUEN CORAZON DE LOS CIBERDELINCUENTES

Steve Jobs, fundador de Apple, ha fallecido y los ciberdelicuentes lo aprovechan para estafar a la gente desde un sitio web dónde se invita a los usuarios a contribuir con dinero para sufragar los gasto de su funeral.

El 5 de octubre, Steve Jobs, fundador de Apple, falleció y desde este blog aprovecho para rendirle un sencillo homenaje al genio que revolucinó la manera en la que escuchamos música, hablamos por teléfono y utilizamos los ordenadores.

Estafas y fraudes detectados:

Desde Eset informan que entre las amenazas detectadas se encuentra un sitio web en dónde se invita a los usuarios a contribuir con dinero para el funeral de Steve Jobs. El fraude sigue los siguientes pasos:

1. Para poder contribuir, primero deben dejar un mensaje de despedida.
   
2. Luego observar un mensaje de apoyo a la sociedad de Cáncer pancreático de los Estados Unidos y finalmente la invitación a contribuir a través de la compra de un dispositivo de Apple.

También se han reportado casos en Facebook, en dónde los usuarios pueden encontrar una página que a raíz del fallecimiento de Steve Jobs, va a sortear 50 iPad entre los participantes, que deberán seguir los siguientes pasos:

1. Nuevamente se trata de una estafa con el objetivo de recolectar información de los usuarios que luego podrían ser utilizados en campañas de spam o propagación de otras amenazas.
   
2. Al seguir el enlace en la página falsa en Facebook, el usuario podrá observar un mensaje que lo nombra como el ganador de un premio.
   
3. El idioma del mensaje puede variar según la configuración del navegador, intentando personalizar el mensaje para atraer a la mayor cantidad de víctimas.
4. Finalmente el usuario que cae en este engaño deberá ingresar su información sin saber para qué va a ser utilizada.
   

Fuente: ESET

DEMASIADOS USUARIOS NO PROTEGEN CORRECTAMENTE SUS REDES "Wi-Fi"

Un informe de la Wi-Fi Alliance con datos de Wakefield Research, asegura que la mayoría de los usuarios no son conscientes de que sus redes inalámbricas necesitan estrictas medidas de seguridad para evitar ser “hackeadas”.

Detalles del estudio:

1. El estudio revela que el 97 % de los usuarios de EEUU entrevistados consideró que el empleo de una conexión Wi-Fi es un método que garantiza seguridad y protección a la hora de enviar emails, trabajar con aplicaciones o entrar en redes de empresas.
2. En cuanto a la seguridad de sus redes domésticas, el 86 % confirmó que cuenta con algún tipo de protección contra los intrusos, pero solo el 59 % ha instaurado contraseñas que sean difíciles de descubrir.
3. Al ser preguntados por si sabían que sus dispositivos Wi-Fi permiten desactivar el intercambio de datos automático, el 85 % señaló que conocía esa posibilidad, pero sólo el 62 % la tenía activada.
4. En lo que se refiere a aquellos usuarios empresariales que se conectan a través de puntos Wi-Fi públicos, el estudio concluye que apenas el 18 % de ellos emplea software VPN para proteger sus redes corporativas.
   

Fuente: ZDNet

VULNERABILIDAD EN EL GESTOR DE PAQUETES " RPM "

Red Hat ha publicado en el boletín Security Advisory 2011-1349-01, fallos de seguridad que afectan al gestor de paquetes RPM.

RMP Manager Packet, más conocido por sus siglas RPM, es un gestor de paquetes utilizado por múltiples sistemas operativos GNU/Linux, aunque originalmente fue desarrollado por Red Hat.

Detalles de los fallos encontrados:

• Detectados múltiples fallos en la forma en que la biblioteca RPM que analiza las cabeceras de dichos paquetes, de forma que podría permitir a un atacante remoto llevar a cabo una denegación de servicio o, incluso, ejecutar código arbitrario utilizando un paquete RPM especialmente manipulado.
• La vulnerabilidad se le ha asiganado el identificador CVE-2011-3378.

Recomendaciones:

• Las distribuciones de GNU/Linux que utilizan el gestor de paquetes RPM, tales como Red Hat, CentOS, Mandriva, etc. ya han comenzado a actualizarlo para corregir este problema.
• Por tanto sería recomendable actualizar los sistemas afectados en cuanto aparezcan las actualizaciones correspondientes.
  

Más información en http://rhn.redhat.com/errata/RHSA-2011-1349.html
Fuente: Hispasec

FALLO DE SEGURIDAD EN LOS TELEFONOS MOVILES " HTC "

La compañía taiwanesa HTC ha confirmado el fallo de seguridad que afecta a sus 'smartphones' con sistema operativo Android.

Modelos afectados:

• El blog Android Police publicó que la vulnerabilidad afectaba a los dispositivos HTC modelos, 3D EVO, EVO 4G y Thunderbolt.
  

Repercusiones del anuncio de la vulnerabilidad :

• La compañía taiwanesa ha confirmado esta vulnerabilidad y promete una rápida solución para los usuarios.
• Esta vulnerabilidad supone que cualquier aplicación a la que el usuario da permiso también puede tener acceso a datos privados del usuarios, desde la ubicación GPS y las llamadas de su teléfono hasta los registros del sistema.
  

Actualizaciones y recomendaciones:

• HTC ha confirmado que están trabajando intensamente para solucionar la vulnerabilidad, tal y como recoge All Things Digital.
• En cuanto al parche para la vulnerabilidad, estará disponible después de "un pequeño período de prueba con operadores asociados".
• La compañía taiwanesa pide a los usuarios que no instalen aplicaciones que no sean de confianza.
  

Fuente: www.abc.es

EL 27% DE EXTENSIONES DEL NAVEGADOR "Chrome" VULNERABLE

Investigadores de la universidad de Berkeley han realizado un estudio de 100 extensiones para Chrome que demostró que un 27% contenían vulnerabilidades.

Detalles y conclusiones del estudio:

1. Para la muestra de su estudio, los expertos eligieron las extensiones que se encuentran en el top 50 de las más descargadas junto a otras 50 que se escogieron al azar.
2. Se detectaron 51 agujeros en los núcleos de esas 27 extensiones, una cifra que no deja en buen lugar la seguridad del navegador.
3. Las extensiones vulnerables pueden ser explotadas para otorgar todos sus privilegios a los atacantes vía web o a través del Wi-Fi, y de tener éxito en sus ataques, los ciberdelincuentes podrían hacerse con información privada de los usuarios en temas sensibles como las contraseñas o su historial.
4. Afortunadamente, 49 de las 51 vulnerabilidades localizadas podrían arreglarse si se adaptan las extensiones a las directrices CSP (Política de Seguridad de contenido).
   

Recomendaciones a tener en cuenta:

• Es de suponer que tras el aviso de los expertos de Berkeley, los administradores de esas extensiones corrijan sus fallos y así pongan fin a la desprotección de los usuarios afectados.
  

Fuente: ZDnet

LIBERADA LA NUEVA VERSION DEL NAVEGADOR FIREFOX

La nueva versión, disponible para descarga, permite una reducción en el consumo de memoria que puede llegar al 50%.

• Mozilla ha lanzado la versión 7 de su navegador Firefox, y la novedad más importante en este build es el uso más eficiente de la memoria.

En versiones pasadas, el consumo de memoria RAM era el talón de Aquiles del navegador Firefox, pero en esta nueva versión se pueden apreciar los primeros resultados del proyecto MemShrink, que se traducen en una reducción del consumo de memoria que puede llegar al cincuenta por ciento bajo algunos sistemas.

Características destacadas de la nueva versión:

1. Según Mozilla, la reducción en el consumo de memoria debería ubicarse en un 20 por ciento como mínimo, mientras que en algunos casos puede escalar hasta el 50 por ciento.
2. Otras nuevas características son una mejor aceleración de hardware para Canvas en HTML5, y la inclusión de “Telemetría”, que con la aprobación previa del usuario puede enviar estadísticas de uso del navegador, como su tiempo de inicio y el consumo de memoria general.
3. También se agregó el API para la especificación “Navigation Timing”, a través del cual los desarrolladores podrán medir con precisión cuánto le toma a su página cargarse, y finalmente, un pequeño toque estético al quitar el “http” y “https” de las direcciones Web, aunque puedes hacerlos regresar cambiando “browser.urlbar.trimURLs” a “false” dentro del about:config.

Recomendaciones:

• Como siempre se recomienda la actualización inmediata y más en estos casos que permite un gran ahorro en el comsumo de memoria RAM de los dispositivos.
• Se puede descargar la nueva versión desde: http://www.mozilla.org/es-ES/firefox/

Fuente : www.abc.es

Firefox ESTUDIA DESHABILITAR EL " plug-in de Java "

Tras el descubrimiento de una vulnerabilidad SSL/TLS en Firefox que los hackers pueden explotar a través del plug-in de Java, los desarrolladores del navegador están estudiando la posibilidad de desactivarlo de forma temporal.

• Aunque desde Mozilla piensen que la responsabilidad recae en Oracle para solucionar el problema, barajan la propuesta de lanzar una actualización que deshabilite todos los plug-ins de Java con el objetivo de proteger a los usuarios.

De optar por esta medida, los usuarios podrían tener ciertos problemas al trabajar con el videochat de facebook y otras aplicaciones corporativas que están basadas en Java, tal y como ha reconocido Johnathan Nightingale, director de Ingenieria de Facebook.

Soluciones propuestas por los responsables de Google y Microsoft:

1. Google Chrome propone otra solución al problema como es complicar sobremanera la inyección de texto plano en su navegador con la esperanza de que los hackers no puedan llevar a buen puerto sus ataques, una medida que ya han probado con éxito y que en breve podrían implantar en las versiones estables del software.
2. Microsoft recomiendan a los usuarios que cambien de TLS 1.0 a TLS 1.1, una medida dificíl de llevar a cabo al ser pocos los servidores compatibles con TLS 1.1, y que según Mozilla no solucionará el problema, ya que Java solo es compatible con TLS 1.0.

Fuente: The Inquirer

MOZILLA PUBLICA 10 BOLETINES DE SEGURIDAD

La Fundación Mozilla ha lanzado hasta 10 boletines de seguridad que solucionan multiples vulnerabilidades encontradas en diferentes productos de la firma.

Desde Mozilla han realizado la siguiente clasificación de los boletines publicados :
Siete de los boletines con un impacto crítico, uno con un impacto alto y dos con un impacto moderado.

Listado de los boletines clasificados como "críticos" :

• MFSA 2011-36: Tres problemas de corrupción de memoria.
• MFSA 2011-37: Desbordamiento de enteros al emplear expresiones JavaScript RegExp (sólo afecta a la rama 3.x).
• MFSA 2011-40: Dos problemas de instalación de software al presionar la tecla "Intro".
• MFSA 2011-41: Dos fallos de potencial ejecución de código a través de WebGL.
• MFSA 2011-42: Un problema de potencial ejecución de código a través de la librería de expresiones regulares YARR.
• MFSA 2011-43: Elevación de privilegios a través de JSSubScriptLoader.
• MFSA 2011-44: Ejecución de código a través de ficheros .ogg.
  

Listado de boletines clasificados con " impacto alto" :

• MFSA 2011-38: XSS a través de plugins y objetos "window.location"
  

Listado de boletines clasificados con " impacto moderado " :

• MFSA 2011-39: Problemas de potencial inyección CRLF a través de cabeceras Location.
• MFSA 2011-45: Captura de pulsaciones a través de "motion data".

Las vulnerabilidades clasificadas con un impacto crítico permitirían a un atacante ejecutar código e instalar software sin requerir la interacción con el usuario.

Productos afectados:

• Los productos afectados han sido principalmente su navegador web Firefox y el cliente de correo electrónico Thunderbird.
  

Recomendaciones:

• Desde Mozilla se recomienda la actualización a la última versión de dichos productos.
  

Fuente: Hispasec

VULNERABILIDAD DE "NetworkManager" EN "Red Hat Enterprise Linux"

Publicada una vulnerabilidad que afecta al producto NetworkManager que podría permitir un atacante local elevar privilegios en el sistema.

NetworkManager es un conjunto de utilidades destinadas a simplificar la configuración de redes WIFI, Ethernet, 3G, o bluetooth disponible para la mayoría de sistemas Linux.

Detalles de la vulnerabilidad:

• La vulnerabilidad reportada por Matt McCutchen, se encuentra en el plug-in 'ifcfg-rh', más concretamente en el fichero 'src/settings/plugins/ifcfg-rh/shvar.c' al no realizar correctamente la validación de los datos introducidos por el usuario.
• Un atacante local podría elevar privilegios a través de la creación de un nombre de conexión especialmente manipulado.
  

Los pasos a seguir para explotar la vulnerabilidad ,como usuario sin privilegios, serían los siguientes:

1. Crear una conexión ethernet con nombre, por ejemplo, "test".
2. Cambiar el nombre a "test\nUSERCTL=true\n/bin/bash" donde '\n' se refiere a una nueva línea introducida a través de Ctrl+Shift+U, A.
3. Introducir el comando "usernetctl test up"
4. Nos devuelve una shell con privilegios root.
   

Versiones afectadas :

• Las versiones afectadas por esta vulnerabilidad son la NetworkManager-0.9.0-1.fc15 y anteriores.

Recomendaciones:

• Red Hat recomienda la actualización de dicho software.

Fuente: Red Hat

LA WEB DE MySQL ATACADA

La página de software open source MySQL.com ha sido hackeada con el objetivo de infectar a los usuarios con sólo entrar en la web.

Detalles del ataque:

• Los hackers lograron instalar un código JavaScript capaz de infectar a todos los internautas que visitaban la página de la base de datos open source MySQL que es propiedad de Oracle.
• El malware infecta equipos Windows con navegadores desactualizados o versiones de Reader, Flash o Java sin parchear.
• Los responsables de MySQL eliminaron el malware pero “eso no significa que limpiaran los backdoors que los atacantes dejaron en el sitio”, advierte Wayne Huang, CEO de la firma de seguridad Amorize.

Consecuencias del ataque:

• Se desconoce el tiempo que la página ha estado infectando a los visitantes y la cantidad de usuarios que podrían haberse visto afectados pero los expertos temen que la cifra sea elevada ya que MySQL.com recibe más de 34.000 visitantes únicos cada día y registra más de 100.000 páginas vistas diariamente.
• Tampoco se conoce el alcance exacto de las infecciones, pero Huang asegura que este tipo de malware puede ser muy difícil de eliminar ya que modofica algunos Windows .dlls (Dynamic-link libraries) para permanecer instalado en el equipo.
• Al parecer, la página hackeada redirigía a los usuarios a un kit de exploit BlackHole que instalaba malware en el equipo de la víctima sin que esta fuera consciente y sin que fuera necesario pulsar en ninguna opción ni aceptar descarga alguna.
  

Fuentes: Eweek, Cnet

ACTUALIZACION DE SEGURIDAD PARA "Adobe Flash Player"

Adobe ha lanzado una actualización de seguridad que soluciona 6 vulnerabilidades críticas en Adobe Flash Player

Detalle de las vulnerabilidades:

• Las vulnerabilidades, con identificadores CVE-2011-2426, CVE-2011-2427, CVE-2011-2428, CVE-2011-2429, CVE-2011-2430 y CVE-2011-2444, pueden permitir a un atacante provocar la caída del sistema e incluso llegar a tomar el control de los sistemas afectados.
• Según confirma Adobe, al menos una de las vulnerabilidades, se está explotando activamente en ataques dirigidos a través de correos electrónicos.
• Las vulnerabilidades están relacionadas con problemas de cross-site scripting, desbordamientos de pila en AVM (ActionScript Virtual Machine), errores lógicos y evasión de controles de seguridad.

Versiones afectadas:

• Flash Player versión 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris, y Adobe Flash Player 10.3.186.6 (y versiones anteriores) para Android.
  

Recomendaciones:

1. Adobe recomienda a los usuarios de Adobe Flash Player 10.3.183.7 (y anteriores) para Windows, Macintosh, Linux y Solaris la actualización a la versión 10.3.183.10 disponible en http://get.adobe.com/flashplayer/ ó desde la opción de actualización automática.
2. A los usuarios de Adobe Flash Player 10.3.186.6 (y anteriores) para Android actualizar a la versión 10.3.186.7 desde Android Market: https://market.android.com/details?id=com.adobe.flashplayer&hl=en
   

Fuente: Hispasec

NUEVA AMENAZA PARA "Apple"

Descubierto un nuevo virus troyano diseñado para ordenadores MAC que intenta roba información de usuarios de dichos equipos.

Primero antes del verano se detectó el famoso malware MacDefender que en forma de un falso antivirus atacaba al S.O. de Apple, y ahora, se ha dado a conocer una nueva amenaza en forma de un agente malicioso del tipo Troyan Dropper, que instala malware en el equipo infectado.

Funcionamiento del troyano

1. Las empresas F-Security y Sophos explican que una vez el Troyan Dropper se pone en funcionamiento se dedica a abrir un documento en PDF con un documento en chino mientras se instala una aplicación de malware que abrirá una puerta trasera en el “sistema”.
2. Si se llega a activar la “puerta trasera” esta configurará una herramienta para que el malware esté siempre activo en el sistema, y se intentará conectar a un servidor remoto con el fin de poder enviar allí el nombre del usuario y la dirección del ordenador MAC.
3. Una vez hecho esto, el servidor envía instrucciones al equipo de forma que pueda guardar o subir archivos y poder tomar capturas de la pantalla.
   

Advertencias

• Desde F-Secure aseguran que aunque sus pruebas muestran que por el momento el malware no es demasiado eficaz, existe un riesgo para los ordenadores de que puedan llevar a cabo algunas acciones maliciosas.
  

Fuente: Cnet

Oracle ARREGLA UNA GRAVE VIULNERABILIDAD DE Apache EN "Fusion Middleware y Application Server"

Oracle soluciona una grave vulnerabilidad de denegación de servicio en servidores httpd de Apache decubierta en agosto y para ello ha publicado un parche crítico para actualizar las ediciones de Oracle Fusion Middleware y Application Server que se sirven internamente de este servidor.

La plataforma Oracle Fusion Middleware y su componente Oracle Applicaction Server ofrecen un conjunto de aplicaciones y soluciones de desarrollo, implementación y gestión integrado para empresas basados en la arquitectura SOA.

Detalles de la vulnerabilidad:

• Recordamos que la vulnerabilidad CVE-2011-3192 ya comentada anteriormente se caracterizaba por una denegación de servicio a través del envío de peticiones Range especialmente manipuladas que originan un consumo excesivo de memoria en el módulo 'mod_deflate'.
  

Versiones afectadas:

1. Oracle Fusion Middleware 11g Release 1, versiones 11.1.1.3.0, 11.1.1.4.0, 11.1.1.5.0
2. Oracle Application Server 10g Release 3, versiones 10.1.3.5.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
3. Oracle Application Server 10g Release 2, versión 10.1.2.3.0 (solamente si Oracle HTTP Server 10g basada en Apache 2.0 ha sido instalado desde el CD Application Server Companion).
   

Recomendaciones:

• Desde Oracle se recomienda encarecidamente la aplicación urgente de ésta actualización.
  

Fuente: Oracle

ALERTAN DE UN TROYANO BANCARIO PARA "Android"

Se trata del troyano Spitmo que logra colarse en los teléfonos y tablets Android a través de falsas páginas web que simulan ser los sites de las principales entidades bancarias.

Detalles del troyano:

• Este troyano es una variante de SpyEye, un malware para PC conocido por su capacidad para “robar datos de operaciones bancarias online y engañar a los usuarios, haciéndoles creer que están realizando operaciones válidas", según explican los expertos en seguridad de ESET.
  

Funcionamiento del troyano:

1. Cuando el usuario visita esta página falsa aparece un mensaje en el que se le insta a descargar una aplicación de seguridad con el objetivo de evitar la intercepción de mensajes.
2. Si el internauta no se percata de que la web que está visitando no es realmente la de su banco y accede a instalar la aplicación, Spitmo tiene vía libre para introducirse en el dispositivo.
3. Una vez que el troyano ha logrado entrar en el sistema comienza a interceptar todos los SMS que recibe el usuario, también los que le envía su entidad bancaria para verificar la identidad del usuario y recibir su autorización cuando se realizan operaciones.
4. De esta forma, Spitmo es capaz de obtener datos personales relativos a los servicios de banca online de sus víctimas y enviarlos a servidores externos.
   

Fuente: Eset

VULNERABILIDAD EN "Mac OS X Lion"

Patrick Dunstan, experto en Seguridad de la Información, afirma que el sistema operativo Mac OS X Lion permite a usuarios estándar sin privilegios de “root” acceder a las “contraseñas hash” de otros usuarios.

Detalles de la vulnerabilidad:

• Según parece, en Mac OS X las “contraseñas hash” de los usuarios se almacenan en archivos que sólo pueden ver los “usuarios root”, mientras que en la nueva versión Lion se ha modificado el método de autenticación, y presenta un agujero de seguridad que permite a los hackers acceder a esos datos a través de archivos ocultos del sistema.
• Y una vez han obtenido esos archivos lo someten a lo que se conoce como “ataque de fuerza bruta” que les permitirá obtener la contraseña.
  

Versiones afectadas:

• Por último, conviene aclarar que este problema solo afectaría a sistemas multi-usuarios donde cada usuario individual posee su propia cuenta personal.
  

Fuente: The Inquirer

VULNERABILIDAD EN "Skype" PERMITE ACCESO A DATOS PERSONALES

Fallo de seguridad en la aplicación del servicio de telefonía por Internet Skype para dispositivos iOS, sistema operativo de Apple, podría permitir que los ciberdelincuentes sustrajesen información personal.

• Un miembro de la compañía de sistemas de seguridad AppSec Consulting, Phil Purviance fue quien descubrió esta vulnerabilidad en la aplicación para iOS y ha realizado un vídeo donde explica detenidamente este error.
• La nueva versión 3.0.1 de Skype para iOS fue lanzada el pasado mes de febrero entre sus novedades destacaba la posibilidad de realizar videollamadas desde un dispositivo móvil de Apple a televisores que soporten esta tecnología.

Detalle de la vulnerabilidad y versiones afectadas:

1. Esta vulnerabilidad está presente en las versiones de Skype para iOS 3.0.1 y anteriores.
2. Se trata de la vulnerabilidad denominada cross-site scripting (XSS) permite a un atacante crear un código JavaScript malicioso que se ejecuta cuando el usuario ve un mensaje de texto en la ventana de chat de Skype.
3. Este código se puede utilizar para acceder a cualquier archivo a la que la propia aplicación de Skype tiene acceso, como la libreta de direcciones del iPhone.

Recomendaciones:

• Por otro lado, el equipo de Skype recomienda a los usuarios "mantener la precaución" y aceptar solo solicitudes de amistad de aquellas personas que son conocidas, además de "utilizar siempre el sentido común".
• La compañía reconoce estar trabajando en solucionar el problema.
  

Fuente: www.elpais.com

"Android" EL SISTEMA PARA MOVILES MÁS ATACADO.

Android se ha convertido en el sistema operativo móvil preferido de los usuarios por cantidad de aplicaciones disponibles y, tambien por el catálogo de aplicaciones gratuitas. Pero también se ha convertido en el sistema preferido de los creadores de malware para móviles.

La compañía Kaspersky ha elaborado el Top 20 de programas maliciosos detectado el pasado mes de agosto y asegura que el malware para Android supone el 24% del total de programas maliciosos en plataformas móviles.

Hace poco más de un año, inicio de agosto de 2010, el equipo de Kaspersky Lab detectó el primer programa malicioso para el sistema operativo Android: el troyano SMS FakePlayer.

• En menos de un año, la cantidad de programas maliciosos para Android ha superado la de programas maliciosos para Symbian (el primer programa malicioso para Symbian apareció en 2004).
• Desde la aparición de SMS FakePlayer, Kaspersky Lab ha detectado 628 modificaciones de diferentes programas maliciosos para Android.
• Del total de programas maliciosos para 'smartphones' (sin J2ME) detectados desde el 1 de agosto de 2010 hasta el 31 de agosto de 2011, el 85 por ciento corresponde a Android.
• Hoy en día, el 99 por ciento de todos los programas maliciosos para plataformas móviles detectados por Kaspersky Lab son programas que de una forma u otra persiguen un objetivo, el lucro ilegal directo o indirecto.
  

El troyano Nickspy,en agosto, ha sido capaz de grabar todas las conversaciones realizadas en los móviles afectados.

• Una de las últimas modificaciones de este troyano, que se enmascara como una aplicación de la red social Google+, puede responder a las llamadas entrantes del número de teléfono indicado por los ciberdelincuentes en el fichero de configuración del programa malicioso.
• Cuando un teléfono infectado responde a una de estas llamadas, los delincuentes pueden escuchar todo lo que ocurre cerca del móvil infectado, incluso las charlas de su dueño. Además, el troyano se ha mostrado interesado en los SMS, conversaciones y coordenadas GPS, y posteriormente envía esa información al servidor remoto del delincuente.

El troyano ZeuS (Trojan-Spy.Win32.Zbot) ha sido la amenaza más difundida entre los usuarios de la banca por internet.

• Por la cantidad de incidentes y los perjuicios que ha ocasionado es considerado por el equipo de Kaspersky como el "dios" de los delincuentes informáticos.
• "Ice IX" nueva versión del troyano ZeuS, se vende por unos 450 euros, hasta los 1.350 euros. Una de las novedades más serias de Ice IX es el nuevo módulo web de administración de la botnet, que permite a los delincuentes usar hostings "legales" en lugar de los servidores a prueba de abuso (abuse servers).
  

Fuente: www.abc.es

SUSTITUYEN EL CLIENTE "uTorrent" POR MALWARE EN "utorrent.com"

El 13 de septiembre, los servidores de la compañía BitTorrent fueron atacados y como consecuencia los clientes P2P legítimos fueron reemplazados por malware.

BitTorrent es la empresa desarrolladora de los clientes Torrent más populares entre los usuarios de redes P2P como BitTorrent y uTorrent.

• Durante un par de horas,el 13 de Septiembre, las versiones para Windows de los clientes torrent alojados en los servidores utorrent.com fueron reemplazados por un malware que simula ser un antivirus.
• Después de la instalación, un programa llamado "Security Shield" lanza mensajes de alerta acerca de detecciones de virus, y solicita al usuario un pago para la desinfección del sistema.

El resultado de la instalación del malware (típico rogueware) es como sigue:

• Se calcula que alrededor de 28.000 usuarios han descargado el programa durante ese tiempo.
• Aunque en un principio afirmaron que bittorrent.com también había sido comprometido, parece que el software descargado desde esa web finalmente no ha sido atacado.

Según datos de VirusTotal, la primera muestra de este rogueware llega el día 13 a las 16:27 GMT, y era detectado (por firmas) por 9 de 44 motores.

1. BitDefender....Gen:Variant.FakeAlert.88
2. DrWeb...........Trojan.Fakealert.22515
3. GData.............Gen:Variant.FakeAlert.88
4. K7AntiVirus....Trojan
5. McAfee...........FakeAlert-SecurityTool.bt
6. Microsoft........Rogue:Win32/Winwebsec
7. NOD32..........a variant of Win32/Kryptik.SSY
8. Norman..........W32/FakeAV.AEQY
9. Sophos...........Mal/FakeAV-KL

En la actualidad ya es detectado por 21 de 44 motores.

Fuente: Hispasec

TELEFONICA ESTRENA RED PARA NAVEGAR A 600 GIGAS POR SEGUNDO

Telefónica ha lanzado su Content Delivery Network (CDN) o red que tendrá una capacidad de distribución de datos por encima del medio terabyte antes de fin de año.

• La red ya está lista en España y Argentina, donde la usan ya en fase precomercial Tuenti, Red.es, la Agencia Tributaria y el Cabildo Insular de La Palma.
• Algunas fuentes aseguran que Google negocia con Telefónica para empezar a utilizar esta tecnología, que permitirá a la operadora no solo mejorar la calidad y capacidad de navegación sino también monetizar la porpia red ofreciendo servicios exclusivos a proveedores de contenidos como las televisiones.
• La compañía presidida por César Alierta prevé además desplegar su CDN en Chile, Perú, Brasil, Alemania y Venezuela este mismo año.

Esta red, acerca la información que está en internet al lugar desde donde accede el usuario mediante nodos, sin tener que acudir a la fuente original, tiene ya desplegados más de 40 nodos en 10 países y se espera que a final de año cuente con 70 puntos en 11 países y 22 ciudades con una capacidad de transmisión de datos de unos 600 gigabytes por segundo.

Fuente: www.abc.es

OpenSSL 1.0.0e SOLVENTA DOS VULNERABILIDADES

Publicada la versión 1.0.0e de OpenSSL que corrige dos vulnerabilidades.

OpenSSL es un proyecto para desarrollar una implementación robusta del Protocolo de Capa de Conexión Segura (SSL v2/v3), de los protocolos de seguridad en la capa de transporte (TLS v1) así como de una librería criptográfica de propósito general.

• La primera de las vulnerabilidades corregidas, es un error al validar CRL que permite a un atacante validar como correcto un certificado especialmente diseñado.
• El segundo fallo de seguridad solventado es un error en 'ephemeral ECDH ciphersuites', que permite provocar una denegación de servicio a través de peticiones en un orden incorrecto.
  

Fuente; Hispasec

LOS SERVIDORES DE "Linux Foundation" ATACADOS DE NUEVO

Linux ha detectado brechas de seguridad en sus propios servidores probablemente relacionadas con el ataque de agosto al repositorio del núcleo.

Linux Foundation es un consorcio sin ánimo de lucro surgido en 2007 de la unión de Open Source Development Labs (OSDL) y Free Standards Group (FSG) con el objetivo de fomentar el crecimiento del sistema operativo GNU/Linux. Promociona, protege y estandariza los recursos y servicios necesarios para que el software libre pueda competir con plataformas cerradas.

• En estos momentos y desde el día 8, al visitar los sitios web LinuxFoundation.org, Linux.com, y sus correspondientes subdominios se puede observar un mensaje que informa del mantenimiento que se está llevando a cabo.
• Además se insta a los usuarios a cambiar las contraseñas y claves SSH que hayan utilizado en estos sitios comprometidos, así como aquellas contraseñas que sean reutilizadas en sitios ajenos a ellos por motivos de seguridad.
  

Fuente: Hispasec

MALWARE PARA BIOS Award DE Phoenix Technologies

La empresa china 360 de seguridad informática ha descubierto un virus que se instala en la BIOS de los ordenadores y no puede ser descubierta por los antivirus convencionales.

Detalles del malware:

1. El agente malicioso, denominado Mebromi o BMW, afecta sólo a las BIOS Award comercializadas por Phoenix Technologies.
2. Mebromi emplea la herramienta CBROM que le permite llegar hasta la BIOS y añadir código malicioso al MBR (Master Boot Record) del disco duro.
3. Con esa acción logra infectar procesos de los sistemas afectados.
   

Sistemas operativos y procesos afectados:

• El proceso "winlogon.exe" en Windows XP, Windows Server 2003 o Windows 2000
• Y el proceso "wininit.exe" en Windows Vista y Windows 7.

Recomendaciones:

• Los expertos aseguran que los consumidores pueden estar tranquilos ya que es casi imposible que se pudiera desarrollar código malicioso que funcione en varios sistemas, debido a la variedad de actualizaciones que presentan las BIOS de los fabricantes de placas base.
  

Fuente: h-online

VULNERABILIDAD DEL TIPO "Cross Site Scripting" EN "jQuery 1.6"

Resuelta la vulnerabilidad que permitía realizar ataques cross site scripting (XSS ) en jQuery 1.6 y que podía ser explotada en ciertos sitios que utilizaran la variable 'location.hash' en un contexto que no fuera el de Cascading Style Sheets (CSS).

Detalles de la biblioteca jQuery:

• jQuery es una biblioteca o framework JavaScript de software libre y código abierto.
• Es compatible con la mayoría de navegadores actuales y ofrece una serie de funcionalidades basadas en JavaScript que permite simplificar la manera de interactuar con los documentos HTML, manipular el árbol DOM, manejar eventos, desarrollar animaciones y agregar interacción con la técnica AJAX a páginas web.
  

Detalles de la resolución:

La solución adoptada es que sea el propio jQuery el que filtra el código HTML que pueda ser incrustado a través de la variable 'location.hash', y no delegar esta responsabilidad a todos los programadores que vayan a utilizarla.

Recomendaciones:

• La vulnerabilidad, que era funcional en Internet Explorer, Firefox, Chrome y Opera, se ha arreglado en la versión 1.6.3 de jQuery.
• Los usuarios del navegador Safari no se veían afectados porque este navegador se encargaba de codificar el contenido de esta variable mediante el símbolo de porcentaje '%'.
  

Fuente: Hispasec

CONTRASEÑA FACIL, FACIL, PARA SISTEMA ONLINE DE SUMINISTRO DE AGUA POTABLE EN OSLO

Digitando mediante Bluetooth la contraseña "0-0-0-0" desconocidos pudieron haber accedido al sistema de control y suministro de agua potable en la capital de Noruega, Oslo.

• La información ha sido presentada en exclusiva por el periódico noruego VG, según el cual al conocerse el informe sobre la seguridad del sistema de agua potable de Oslo, éste fue inmediatamente clasificado como secreto por las autoridades.
• El potencial de sabotaje va desde el terrorismo bioquímico a la inundación del embalse de agua potable con aguas servidas

Detalles del fallo de seguridad:

1. Según VG, el informe revela una seguridad tan deficiente que "es casi imposible de creer".
2. Cualquier intruso pudo haber asumido el control del suministro de agua potable de Oslo mediante un teléfono móvil y conexión Bluetooth.
3. La contraseña para acceder al sistema era la pre-establecida por el fabricante; "0-0-0-0".

Consecuencias de un posible acto terrorista:

1. Al tener acceso al sistema, un saboteador pudo haber interrumpido el suministro de agua, alterado la presión o, en el peor de los casos, envenenado el agua con substancias tóxicas.
2. El potencial de daño mediante un acto terrorista es desolador.
   

Antecedentes del caso:

• El tema es especialmente sensible, y por cierto inexplicable, ya que en 2004 se elaboró un informe sobre la seguridad de diversos servicios e infraestructuras básicas de Oslo, concluyéndose que el agua potable era un tema vulnerable.
• Aún así, la autoridad responsable optó por conservar la contraseña "0-0-0-0" en un sistema de importancia crítica.

Fuente: Diario VG, Noruega.

NUEVO TROYANO SECUESTRADOR DE "PC"

El troyano “secuestra" al equipo de la víctima hasta que se introduce un código determinado. Para obtener el código, los ciberdelincuentes solicitan a la víctima 100 euros por el “rescate" .

• “Este tipo de troyanos son muy peligrosos ya que una vez infectado el equipo, es tremendamente complicado eliminarlo de forma manual, lo que obliga a muchos usuarios a pagar el rescate o formatear la PC", comenta Luis Corrons, Director Técnico de Pandalabs.
• Y añade: “Además, al simular proceder de Microsoft y amenazar con actuaciones de las autoridades, muchos usuarios creerán lo que dice el troyano y realizarán el pago sin dudarlo, para no buscarse problemas".
  

Detalles del malware:

• PandaLabs, el laboratorio de malware de Panda Security, – The Cloud Security Company – ha descubierto un nuevo troyano del tipo ransomware que simula proceder de Microsoft.
• El troyano, bautizado como Ransom.AN, alerta al usuario de que su copia de Windows no es legal y amenaza con inutilizar el dispositivo si no se introduce un código específico, el cual, se le facilitará al usuario tras pagar la suma de 100 euros.
  

Distribución y "modus operandi" del malware:

1. Este malware, dirigido específicamente a usuarios de habla alemana, puede distribuirse de múltiples formas, siendo las más utilizadas mensajes de spam y descargas P2P.
2. Tras alertar al usuario de que su copia de Windows no es legítima, le informa de las posibilidades de pago invitándolo a realizarlo a través de una página web maliciosa, donde se le solicitarán los datos de su tarjeta de crédito.
3. Incluso, para incentivar el pago, Ransom.AN amenaza a la víctima comunicándole que la fiscalía ya cuenta con sus datos para tomar medidas si no se realiza el pago antes de que expire un plazo de 48 horas, tras el cual además se perdería toda la información de la PC.

Recomendaciones:

Para estar protegido de esta y otras amenazas, siempre recomendamos contar con una buena protección instalada y actualizada en el PC.

Fuente: PandaLabs

DigiNotar: TERCERA REVOCACION MASIVA EN 10 AÑOS

Hoy Microsoft ha lanzado la segunda revocación masiva de 2011 y tercera en 10 años, en forma de actualización automática , que ha mejorado en cantidad y calidad.

Marzo 2001. VeriSign

• VeriSign, la empresa líder en emisión de certificados para Internet, en marzo de 2001 emitieron 2 certificados a un impostor que se hizo pasar por trabajador de Microsoft que hubiera permitido, por ejemplo, firmar programas o cualquier software malicioso como si fueran aplicaciones originales de Microsoft.
• McAfee y Symantec se apresuraron en anunciar que sus antivirus cuentan con actualizaciones para detectar los certificados fraudulentos, como si de un virus se tratara.
• Los certificados fueron revocados en la actualización de Microsoft MS01-017. El origen del fallo fue el protocolo de validación, usando la ingeniería social.

Marzo 2011. Comodo

• Comodo reconoció que un atacante con IP de Irán se hizo con usuario y contraseña de una autoridad secundaria de Comodo en el sur de Europa. El atacante utilizó estos datos para hacerse pasar por esa autoridad secundaria y emitir certificados fraudulentos de páginas como login.live.com, mail.google.com, www.google.com, login.yahoo.com, login.skype.com, addons.mozilla.org...
• Es la primera vez que se hizo una revocación masiva de certificados SSL y a nivel de dominios importantes.

Septiembre 2011. DigiNotar

• Al parecer, el mismo intruso que consiguió emitir los certificados fraudulentos de Comodo, compromete por completo la compañía DigiNotar y se detectan certificados de decenas de dominios importantes.
• La "calidad" de la revocación aumenta, y no sólo se invalidan certificados concretos por "fraudulentos" sino a la entidad entera (sus certificados raíz) por "no confiables". El atacante entró hasta el último recodo de la empresa.
  

Consecuencias y últimas noticias .....

• La confianza en DigiNotar es nula y probablemente desaparezca o cambiará de nombre para intentarlo de nuevo.
• GlobalSign, otra importante empresa certificadora, acaba de confirmar que ha sufrido una intrusión.
• El atacante iraní que afirma ser el autor del compromiso de DigiNotar, también asegura tener acceso a otras entidades certificadoras y la posibilidad de emitir nuevos certificados falsos.
• Aunque PKI esté concebida para sufrir este tipo de revocaciones ocasionales, el hecho de que se utilicen con tanta asiduidad merma la confianza en el modelo.
• Los dispositivos móviles, por ejemplo, cada vez más utilizados para navegar, no es tan sencillo actualizar y revocar certificados...

Fuente: Hispasec

VULVERABILIDAD EN " Novell Cloud Manager y PlateSpin Orchestrate "

Novell Cloud Manager y PlateSpin Orchestrate tienen un fallo que podría permitir a un ciberdelincuente causar una denegación de servicio y ejecutar código arbitrario con los permisos que estuviera funcionando el servicio explotado.

Descripción de la vulnerabilidad:

• El CVE asignado a esta vulnerabilidad es el CVE-2011-2654.
• El fallo se encuentra en la implementación de los métodos RPC. Al no realizar una validación suficiente de los datos suministrados por el usuario, proceden a la creación de una sesión parcialmente inicializada.
• Esta sesión parcialmente inicializada es la que permitirá, sin necesidad de ningún tipo de autenticación, realizar llamadas RPC privilegiadas en el servidor, y por lo tanto, ejecutar código arbitrario en el contexto sobre el que esté funcionando el servicio explotado. No se han dado más detalles de dicha vulnerabilidad.

Versiones afectadas :

• Las versiones afectadas son Novell Cloud Manager 1.1.x y PlateSpin Orchestrate 2.6.0.

Recomendaciones:

• Novell ya ha publicado un parche que solventa esta vulnerabilidad.

Fuente: Hispasec

OPERA ARREGLA UN FALLO EN SU NAVEGADOR

Opera ha lanzado una nueva versión que corrige un fallo que permitía a una página sin conexión SSL mostrarse como si estuviera protegida por ese protocolo engañando a los usuarios que accediesen a ella.

Detalles del fallo:

• El fallo permitía que a través de una pagina web (con conexión "habitual", sin cifrar ni autenticar) especialmente manipulada que sí cargaba contenido SSL, del que se mostrada la información de seguridad en la barra de direcciones de la web principal.
• No se ha informado de más detalles de cómo se conseguía explotar esta vulnerabilidad.

Recomendaciones:

• La última versión del navegador soluciona este fallo junto con otra vulnerabilidad de severidad baja, descubierta y reportada por Thai Duong y Juliano Rizzo, de la que no se ha dado ningún detalle hasta la fecha.
• Para los certificados fraudulentos emitidos por DigiNotar, no ha sido necesaria una actualización del navegador por el propio funcionamiento de Opera al comprobar las listas de revocación.
• Se recomienda actualizar el navegador con la versión (Opera 11.51) para quedar a salvo de este tipo de fraudes.
  

Fuente:Hispasec

VULNERABILIDAD EN "ABAD" DE "SAP"

SAP Netweaver, plataforma de tecnología integrada para todas las aplicaciones SAP en el plano técnico, ha publicado un fallo en su producto ABAP a través del cual sería posible evadir restricciones.

Este fallo ha sido descubierto por Alexey Sintsov, miembro del grupo de investigación Digital security que ha creado un exploit disponible tanto en la versión comercial de ERPScan security scanner así como en la herramienta de pentesting ERPScan.

Detalles de la vulenrabilidad:

1. Si un usuario tiene acceso a la función 'EPS_DELETE_FILE' le permitiría realizar un salto de restricciones y así eliminar ficheros remotamente escalando directorios.
2. También apoderarse de los hashes de las contraseñas SAP en un servidor Windows, a través de un ataque SMB Relay y llamadas a la función 'EPS_DELETE_FILE' especialmente manipuladas. El atacante se ayudaría de las cuentas de usuario por defecto: TMSADM o SAPCPIC.

Recomendaciones:

• Por otro lado SAP ha publicado los parches necesarios para poder corregir esta vulnerabilidad en la SAP Security Note 1554030.

Fuente: Hispasec

CIERRE TEMPORAL DEL SITE DE DESARROLLADORES DE "Nokia"

Nokia ha clausurado temporalmente su web para desarrolladores después de que un ciberataque accediera a datos personales de sus miembros.

Consecuencias del ataque:

• Responsables del área de seguridad de Nokia han reconocido que los atacantes han conseguido acceder a “una base de datos con las direcciones de email de los miembros del foro de desarrolladores”.
• Aunque los mismos responsables han negado que datos más sensibles, como contraseñas o información bancaria, se vieran comprometidos y aseguran que por el momento no han tenido constancia de que los hackers estén haciendo “un uso indebido” de los datos robados.
• Además de las direcciones de correo electrónico los hackers también han accedido aunque en menor proporción a fechas de nacimiento, direcciones web o nombres de usuario de plataformas como MSN, Skype o Yahoo.

Detalles del ataque:

1. El ataque se produjo mediante una inyección SQL que fue posible gracias a la existencia de una vulnerabilidad en el software.
2. Los usuarios que visitaron la web atacada eran redirigidos a otra página en la que se mostraba una imagen de Homer Simpson con el subtítulo: “¡La compañía móvil número uno del mundo no gasta un centavo para la seguridad del servidor!”

Recomendaciones:

• En cualquier caso la compañía se está poniendo en contacto con los desarrolladores afectados para advertirles de que pueden ser objeto de ataques de phising y campañas de spam.

Fuente: The Inquirer

NUEVO MALWARE QUE ATACA LA ULTIMA VERSIÓN DE "Android"

Expertos en seguridad descubrieron un malware llamado GingerMaster que utiliza una vulnerabilidad descubierta en la última versión de Android para entrar en los smartphones y tomar el control.

Descripción del malware GingerMaster:

• Se trata de una variante del malware conocido como DroidKungFu, descubierto el pasado mes de junio.
• El profesor Xuxian Jiang de la Universidad de Carolina del Norte, explicó que si el malware consigue entrar en los teléfonos es capaz de hacerse con privilegios root, descargar e instalar otras aplicaciones maliciosas sin permiso del usuario y enviar los datos almacenados en el terminal a servidores remotos.

Funcionamiento del malware GingerMaster:

• Como viene siendo habitual en las amenazas diseñadas para infectar dispositivos Android, este malware se camufla en aplicaciones legítimas distribuidas en China y logra pasar desapercibido para los programas de detección de virus.
• Además de atacar a los teléfonos gobernados por Gingerbread, este malware también tiene capacidad para atacar smartphones con versiones 2.2 y anteriores.
• Una vez que el usuario cae en la trampa y descarga este tipo de aplicaciones infectadas se le piden hasta 16 permisos para acceder a la tarjeta SD, al sistema de archivos o a datos del propietario. Si accede está dando vía libre al malware para “entrar hasta la cocina” de su teléfono, por lo que una vez más los expertos destacan la importancia de leer detenidamente los permisos.

Recomendaciones:

• No existe actualizaciones hasta el momento que solucionen el problema.

Fuente: Eweek