6 de marzo de 2016

WHATSAPP. Lista de móviles sin soporte de la aplicación.

La popular aplicación de mensajería instantánea anuncia que dejará de dar soporte a los sistemas operativos BlackBerry, Symbian y versiones antiguas de Android desde este año
Según ha anunciado WhatsApp en su blog corporativo, la aplicación filial de Facebook ha decidido que a partir de ahora dejará de actualizar el servicio para los teléfonos móviles inteligentes que, a día de hoy, cuentan con una tasa de participación muy escasa. Estos terminales son los que incluyen los sistemas operativos BlackBerry -incluido la última versión BlackBerry 10-, Nokia S40, Nokia Symbian S60, Android 2.1 y Android 2.2, así como Windows Phone 7.1.
Esta decisión viene como consecuencia de la escasa penetración que cuentan estos «smartphones» en la actualidad, dominado por versiones de Android más recientes e iOS (iPhone). WhatsApp, que esta semana ha cumplido siete años, ha apostado por las plataformas más extendidas. «Ha sido un viaje increíble y en los próximos meses estaremos poniendo un mayor énfasis en las características de seguridad y nuevas formas de mantenerse en contacto con las personas que te importan», relata el equipo de desarrollo de la aplicación en su blog corporativo.
«Cuando empezamos WhatsApp en 2009 el uso de dispositivos móviles de la gente es muy diferente del actual. La App Store de Apple tenía pocos meses de edad. Alrededor del 70% de los teléfonos inteligentes vendidos en ese momento tenía sistemas operativos BlackBerry y Nokia», añaden. En comparación con aquella época, actualmente los terminales basados en iOS y Android representan el 99.5% de las ventas.
Por esta razón, WhatsApp ha decidido soltar lastre. «Al mirar hacia adelante a nuestros próximos siete años queremos centrar nuestros esfuerzos en las plataformas móviles que utiliza la gran mayoría de la gente», añade la compañía. «Aunque estos dispositivos móviles han sido una parte importante de nuestra historia ahora no ofrecen las capacidades que necesitamos para ampliar las funciones de nuestra aplicación en el futuro», justifica el equipo técnico. WhatsApp ha asegurado, no obstante, que esta es una «decisión difícil» pero considera que es la forma más adecuada de mejorar el servicio en un futuro.
Fuente: Abc.com

CIBERSEGURIDAD. La "estafa del CEO", última moda en ciberdelitos

El FBI estima que este engaño ha costado a las empresas de todo el mundo más de 2.000 millones de dólares en dos años.
Los cibercriminales ingenian nuevas estafas utilizando el correo corporativo. Un timo en alza es lo que se conoce como la "estafa del consejero delegado". En él, el criminal suplanta la identidad del consejero delegado creando una cuenta falsa con su dirección de correo electrónico. Desde la cuenta del supuesto CEO (u otro alto directivo de la compañía), ordena a un trabajador de finanzas que realice una transferencia a una cuenta bancaria en el extranjero. Cuando la empresa se da cuenta del engaño, el dinero ya ha desaparecido.
Los 'hackers' se hacen pasar por un directivo y ordenan a un empleado de finanzas que haga una transferencia
Según el FBI, la estafa mediante la que los criminales se hacen pasar por los consejeros delegados les ha costado a las empresas de todo el mundo más de 2.000 millones de dólares (1.800 millones de euros) en poco más de dos años.
El FBI ha registrado un fuerte incremento de estos delitos de acceso a cuentas de correo corporativas, una estafa que cuenta con más de 12.000 víctimas en todo el mundo.
Hasta 90 millones de dólares
  • Según las autoridades estadounidenses, el promedio de la pérdida se sitúa en 120.000 dólares. No obstante, algunas compañías que han sido engañadas enviaron cantidades de hasta 90 millones de dólares a cuentas bancarias en el exterior.
  • Las denuncias de fraude a los consejeros delegados se están incrementando. Entre octubre de 2013 y agosto de 2015, se estafaron cerca de 1.200 millones de dólares a través de este timo, tal y como sostiene el FBI. Sin embargo, estas pérdidas han aumentado en otros 800 millones de dólares en los últimos seis meses. Las autoridades de EEUU han localizado sumas de dinero provenientes de 108 países.
  • "Los criminales no tienen fronteras y estamos ante un problema global," advierte James Barnacle, director de la unidad de blanqueo de capitales del FBI. "Estamos trabajando con nuestros recursos de investigación criminal, nuestros medios cibernéticos, nuestras divisiones de operaciones internacionales -que son nuestros agregados legales en el extranjero- y estamos cooperando con nuestros compañeros de otros países para intentar abordar este problema".
  • El incremento del número de estas estafas puede atribuirse en parte a que las compañías han detectado y comunicado el fraude, pero también refleja que es un timo que puede realizarse fácilmente desde cualquier parte del mundo. "Es fácil, todo lo que necesitas es un ordenador", apunta Barnacle.
  • La mayoría de las cuentas bancarias extranjeras en donde termina el dinero están localizadas en Asia o en África, donde es más difícil para EEUU obtener ayuda de las autoridades locales.
  • El FBI ha encontrado una serie de similitudes entre los diferentes tipos de fraudes, pero aún no está claro si existe una red de estafa global. "Estamos destinando más recursos a la investigación," explica Barnacle.
  • El FBI advierte a las empresas de que deben ser más cautelosos con su información, incluso si ello significa adoptar nuevas medidas que no son rentables, como llamar al ejecutivo para confirmar la transferencia.
  • El fraude afecta tanto a las grandes compañías como a las pequeñas empresas. Últimamente, se ha informado acerca de criminales de EEUU cuyo objetivo consiste en robar a las compañías inmobiliarias los gastos de cierre que obtienen de la compraventa de viviendas.
Operación policial
  • El año pasado, la policía de Italia, España y otros países europeos arrestó a más de 60 miembros de un supuesto grupo criminal, entre los que se incluían a varios nigerianos que participaron en una estafa que afectó a miles de particulares y a decenas de empresas. Aun así, se han resuelto pocos casos, lo que refleja la dificultad a la hora de combatir los delitos informáticos internacionales.
Fuente: Expansion.com

ESET. Presenta su investigación “El ascenso de ransomware en Android”

En el marco del Mobile World Congress la compañía de seguridad informática acerca su estudio sobre el incremento de amenazas destinadas a teléfonos móviles con sistema operativo Android.
ESET publicó su informe titulado “El ascenso de Android ransomware”. El informe registra el desarrollo de le tendencia sobre este malware. Ya sea a través de las capacidades de cifrado, de bloqueo de PIN o simplemente de bloqueo de pantalla, este tipo de malware cada vez pone en mayor peligro a los usuarios de Android y mantiene a los investigadores ocupados. El trabajo de investigación de ESET, publicado en el contexto del Mobile World Congress de Barcelona, aborda este tema.
Los autores del trabajo, los investigadores de ESET Robert Lipovský, Lukas Stefanko y Gabriel Branisa,  concluyen que el ransomware es un problema cada vez mayor para los usuarios de dispositivos móviles. El bloqueo de pantalla y los archivos de cifrado tipo “cripto-ransomware”, los cuales por muchos años han estado causando grandes pérdidas de datos financieros ya comenzaron su camino en la plataforma Android. Al igual que otros tipos de malware destinados a este sistema operativo – troyanos SMS, por ejemplo – las amenazas de ransomware han evolucionado en los últimos años y los creadores de malware adoptaron muchas de las mismas técnicas que han demostrado ser eficaces en el malware de escritorio normal.
Tanto en Windows como en Android, los bloqueos de pantallas por lo general son del tipo “ransomware de la policía”, los cuales tratan de asustar a las víctimas a que paguen después de acusarlos (falsamente) de descargar contenidos ilegales en sus dispositivos. Del mismo modo que Windows Cryptolocker, cripto-ransomware en Android utiliza criptografía fuerte, lo que significa que los usuarios afectados no tienen forma práctica de recuperar los archivos secuestrados. Debido a que los datos de todos los días, tales como las fotos, por ejemplo, se mantienen en los teléfonos inteligentes en lugar de PCs, la amenaza de la pérdida de estos datos es ahora mayor que nunca.
Una observación interesante que se ha hecho es que el centro de atención de los atacantes ya no son sólo los países de Europa del Este. Un número de familias recientes, como Android / Simplocker y Android / Lockerpin, por ejemplo, han sido dirigidas a las víctimas en su mayoría ubicados en los EE.UU.
Tendencia de ransomware en Android (de abril 2014 a enero 2016)
  • “Con los usuarios trasladándose cada vez más de las PC a los dispositivos móviles, los datos más valiosos están siendo almacenados en estos dispositivos, lo que conduce al hecho de que la información valiosa se almacena en estos dispositivos que todos transportamos constantemente, y es por eso que el ransomware para Android se está convirtiendo cada vez más útil para los atacantes “, explica Robert Lipovsky, Investigador de ESET.
  • “Para los usuarios de dispositivos Android es importante estar al tanto de las amenazas y tomar medidas preventivas, entre las que se destacan evitar las tiendas de aplicaciones no oficiales y tener una aplicación de seguridad móvil instalada y actualizada. Además, es importante tener una copia de seguridad funcional de todos los datos importantes que se encuentren en el dispositivo “, añade Lipovsky.
Fuente: Diarioti.com

CIBERSEGURIDAD. Como proteger las cuentas online de accesos no autorizados

Existen muchas formas diferentes de robar los credenciales de una cuenta. Mientras que algunas de las formas están fuera del control del propio usuario (por ejemplo, mediante un ataque informático contra la plataforma responsable), otras sí que son culpa de estos ya que caen víctimas de ataques, facilitan sus contraseñas sin peligro a través de Internet y no controlan el acceso a sus cuentas y el uso que se hace de ellas.
Los piratas informáticos cada vez están más interesados en robar los credenciales y las cuentas de los usuarios. Según el tipo de cuenta que vayan a robar pueden permitir desde suplantar la identidad de una persona (por ejemplo, si se roba la cuenta de una red social) hasta recopilar información sensible del usuario o utilizar dicha cuenta para llevar a cabo campañas de distribución de malware (por ejemplo, robando una cuenta de correo electrónico).
Aunque nunca vamos a poder asegurar una cuenta al 100%, es posible mejorar el control que tenemos sobre ella y reducir la repercusión frente a un robo de datos teniendo en cuenta varios factores y llevando a cabo 4 sencillas técnicas que vamos a ver a continuación.
4 pasos para mejorar y garantizar la seguridad de nuestras cuentas online
  1. Autenticación segura, el primer paso hacia la seguridad.- La autenticación es el proceso mediante el cual nos identificamos de cara a un servidor, de manera que este sepa quiénes somos y cargue nuestro contenido personal y no el de otro usuario. Para ello, lo más habitual es registrarnos con un nombre de usuario y una contraseña de manera que, sin estos dos elementos, nadie pueda acceder a nuestros datos sin permiso. El uso de un nombre de usuario que no tenga relación con nosotros mismos y una contraseña larga, segura y compleja nos ayudará a protegernos contra los ataques dirigidos contra nosotros mismos. Igualmente, a la hora de enviar robos de datos, debemos asegurarnos de iniciar sesión desde redes privadas y utilizando protocolos HTTPS.
  2. Medidas de seguridad adicionales.- Lo primero que debemos configurar de nuestra cuenta es un nombre de usuario y una contraseña, sin embargo, existen otras funciones que nos van a permitir añadir capas de seguridad adicionales antes de brindar acceso a un usuario ni autorizado, aunque este haya conseguido, por distintos medios, nuestro nombre de usuario y la contraseña correspondientes. Una de estas capas adicionales es la doble autenticación, una medida de seguridad intermedia donde el usuario debe introducir un código aleatorio que recibe en su móvil cada vez que intenta iniciar sesión en la plataforma. Las claves aleatorias de la autenticación en dos pases se basan en el tiempo, por lo que son prácticamente imposibles de adivinar, siendo, a día de hoy, una de las medidas de seguridad más eficaces para proteger nuestras cuentas.
  3. Controlar la actividad y el acceso a nuestras cuentas nos ayuda a identificar posibles fallos de seguridad.- Otro de los consejos que debemos tener en cuenta es revisar las listas de actividad con todo lo que ocurre en nuestra cuenta. Si, por ejemplo, se publican mensajes sin nuestro permiso o se envían correos electrónicos que no hemos enviado nosotros mismos, es posible que algún pirata informático o malware tenga acceso a nuestra cuenta, por lo que debemos analizar nuestro sistema y cambiar la contraseña lo antes posible para evitar que esto siga siendo así. También es posible que si alguien se conecta a nuestra cuenta no nos demos cuenta de ello ya que, por ejemplo, no realiza cambios en ella y simplemente se dedica a “espiar” la actividad de la cuenta y a recopilar información personal de la cuenta. Prácticamente todas las plataformas web cuentan con un apartado de control de acceso, donde podremos ver un historial con todos los inicios de sesión, así como IPs, origen e incluso dispositivo y navegador utilizados para la conexión. De esta manera podremos saber si alguien está haciendo un uso no autorizado de nuestra cuenta, teniendo que aplicar las medidas necesarias en caso de que así sea.
  4. Limpieza del equipo y cambio de contraseñas, vitales para preservar la seguridad.- Es posible que, aunque utilicemos contraseñas seguras, estas estén siendo facilitadas a los piratas informáticos por medio de un software espía o troyano instalado en nuestro sistema, por lo que nuestra cuenta está siendo comprometida igualmente. También es posible que la web se haya visto comprometida y los piratas informáticos hayan robado la base de datos de usuarios y contraseñas de la plataforma (incluso de otra web, si utilizamos la misma contraseña en varias), por lo que nuestra cuenta también puede verse comprometida. Para mitigar este tipo de problemas, lo más recomendable es optar por cambiar de forma periódica las contraseñas de nuestras webs (utilizando la misma contraseña en el menor número de sitios web diferentes) y utilizar contraseñas seguras y complejas, consiguiendo que, aunque una base de datos se vea comprometida, la contraseña sea difícil de descifrar y, de hacerlo, solo comprometa nuestra web y no es resto de las mismas gracias al uso de una contraseña diferente en cada una de ellas.También debemos auditar la seguridad y analizar nuestro sistema en busca de malware de forma periódica para evitar que este esté robando nuestros datos de acceso.
Fuente: diarioti.com

iOS 9.3. Informará si su empresa le está monitorizando el iPhone

Si tienes un 'smartphone' de empresa, es más que probable que esté siendo controlado de alguna manera. De hecho, las compapñías están en su derecho de saber cómo se usan los dispositivos que proporciona a sus empleados con fines laborales. Ahora, con iOS 9.3, Apple permitirá a aquellos empleados con un iPhone de trabajo saber si su empresa les está monitorizando.
Un usuario de Reddit con acceso a una versión preliminar de la nueva versión del sistema operativo móvil de Apple ha publicado una imagen en la que muestra cómo los empleados con un iPhone de empresa podrán saber que están siendo monitorizados o que la empresa está gestionando ese dispositivo.
Forma parte de una de las funciones del programa para empresas de Apple, que permite a compañías adquirir un gran número de dispositivos iOS o Mac para sus empleados. Este programa incluye una función de control de los dispositivos (Mobile Device Management o MDM), que permite a las compañías gestionar, supervisar o actualizar distintas opciones del 'software'.
Quién sabe si esta novedades que están en camino es un ejercicio extra de transparencia por parte de Apple para ganar la simpatía de los ciudadanos estadounidenses, ahora que está en el ojo del huracán por su conflicto con las autoridades federales, que quieren acceso al dispositivo utilizado por el terrorista de San Bernardino. También puede ser una mera coincidencia.
En cualquier caso, esta novedad no evitará que una empresa monitorice la actividad de sus iPhones corporativos, pero sí que mostrará de forma transparente a los empleados si están siendo controlados de alguna forma. Lo cual es de agradecer.
Fuente: Europa Press

GOOGLE. Lanza Chrome 49 y corrige 26 vulnerabilidades

Google anuncia una nueva versión de su navegador Google Chrome 49. Se publica la versión 49.0.2623.75 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 26 nuevas vulnerabilidades.
Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 26 nuevas vulnerabilidades, solo se facilita información de 13 de ellas (ocho de gravedad alta y cinco de importancia media).
Detalle de la actualización
  • Se corrigen vulnerabilidades por un casting incorrecto en Extensions, por salto de la política de mismo origen en Blink y en el plugin Pepper y por uso de memoria después de liberarla en Blink, en WebRTC y en Favicon. También problemas por salto de la validación SRI, salto de la WebAPI, acceso fuera de límites en libpng, fuga de información en Skia y confusión de origen en Extensions UI. Se han asignado los CVE-2016-1630 al CVE-2016-1641 y el CVE-2015-8126.
  • También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2016-1642). Así como múltiples vulnerabilidades en V8 en la rama 4.9 (actualmente 4.9.385.26).
Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de casi 36.500 dólares en recompensas a los descubridores de los problemas. Google informa de otros 14.500 dólares en recompensas por vulnerbailidades en versions en desarrollo (no estables).
Recomendación
  • Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

RUBY ON RAILS. Publicadas actualizaciones

Se han publicado las versiones Rails 4.2.5.2, 4.1.14.2 y 3.2.22.2 de Ruby on Rails, que corrigen dos vulnerabilidades que podría permitir a atacantes remotos conseguir información sensible o ejecutar código arbitrario.
Ruby on Rails, también conocido simplemente como Rails, es un framework de aplicaciones web de código abierto escrito en el lenguaje de programación Ruby, que sigue la arquitectura Modelo-Vista-Controlador (MVC).
Detalle de las vulnerabilidades coregidas
  • El primero de los problemas, con CVE-2016-2097, una posible escalada de directorios y fuga de información en Action View que se corrigió con el CVE-2016-0752. Sin embargo en la anterior actualización no se trataron todos los escenarios. 
  • Por otra parte, con CVE-2016-0751 una vulnerabilidad de ejecución remota de código Action Pack debido a que no se filtran adecuadamente los datos introducidos por el usuario en el método "render".
Más información:
Fuente: Hispasec

WIRESHARK. Lanza actualizaciones que corrigen múltiples vulnerabilidades

Wireshark Foundation ha publicado las versiones 1.12.10 y 2.0.2, que incluyen la corrección de hasta 19 vulnerabilidades; la mayoría podrían provocar condiciones de denegación de servicio, aunque una de ellas podría permitir la ejecución de código.
Wireshark es una popular aplicación de auditoría orientada al análisis de tráfico en redes, que soporta una gran cantidad de protocolos y es de fácil manejo. Además Wireshark se encuentra bajo licencia GPL y disponible para la mayoría de sistemas operativos Unix y compatibles, así como Microsoft Windows.
Detalle de la actualización
  • En esta ocasión la fundación Wireshark ha publicado 18 boletines de seguridad en total, todos afectan a la rama 2.0 (y solucionan 19 vulnerabilidades), mientras que solo siete de esos boletines (y 8 vulnerabilidades) también afectan también a la rama 1.12.
  • Como es habitual, la mayoría de las vulnerabilidades presentes corregidas en ambas versiones son fallos en la implementación de disectores, que son los módulos responsables de analizar los paquetes de cada uno de los protocolos. El impacto de estas vulnerabilidades suele ser simplemente el cierre inesperado de Wireshark, o en algunos casos, la entrada en un bucle infinito que bloquee la aplicación. Ambos impactos se encuentran en la categoría de denegación de servicio.
  • Aunque en esta ocasión también se soluciona una vulnerabilidad de suplantación de DLLs que podría permitir la ejecución de código malicioso, mediante la inclusión de una DLL específicamente construida en el mismo directorio de un archivo capturado.
  • La lista de los disectores corregidos es larga, y contiene disectores para protocolos bastante exóticos. Los protocolos afectados son ASN.1 BER, DNP, X.509AF, HTTP/2, HiQnet, LBMC, RSL, LLRP, IEEE 802.11, GSM A-bis OML, SPICE y NFS. De forma similar, también se corrigen problemas en el tratamiento de archivos 3GPP TS 32.42, iSeries e Ixia IxVeriWave.
  • Aunque no todos los problemas tienen asignado un CVE, ´se han determinado los CVE-2016-2521 al CVE-2016-2532. También se ha solucionado una larga lista de problemas, no relacionados directamente con vulnerabilidades de seguridad.
Recomendación
  • Las vulnerabilidades mencionadas se han solucionado en las versiones 1.12.10 y 2.0.2, ya disponibles para descargar de la página oficial del proyecto desde la dirección https://www.wireshark.org/download.html
Más información:
Fuente: Hispasec

OpenSSL. Soluciona ocho vulnerabilidades

El proyecto OpenSSL ha anunciado la publicación de nuevas versiones de OpenSSL destinadas a corregir ocho vulnerabilidades, dos calificadas de impacto alto, una de gravedad media y otras cinco de importancia baja.
Detalle de la actualización 
  • El primero de los problemas corregidos reside en una vulnerabilidad, de gravedad alta, que puede permitir descifrar sesiones TLS mediante el uso de un servidor que soporte SSLv2 y suites de cifrado de categoría EXPORT. Una vulnerabilidad de esas que llevan nombre, logo y hasta página web, bautizada como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption).
  • DROWN (con identificador CVE-2016-0800) es una nueva forma de protocolo cruzado Bleichenbacher padding oracle attack, que permite a un atacante descifrar conexiones TLS interceptadas mediante conexiones específicamente creadas a un servidor SSLv2 que use la misma clave privada.
  • Por otra parte, dos vulnerabilidades, una de gravedad alta y otra moderada (con CVE-2016-0703 y CVE-2016-0704), que solo afectan a versiones de OpenSSL anteriores a marzo de 2015, momento en el cual el código fue rediseñado para hacer frente a la vulnerabilidad CVE-2015-0293. Estas vulnerabilidades afectan a OpenSSL versiones 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze y anteriores. Fueron corregidas en OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf.
  • La importancia de señalar estos problemas en la actualidad reside en que cualquiera de los dos pueden permitir versiones más eficientes de DROWN, incluso eficaces contra conjuntos de cifrado que no sean de exportación, y sin necesidad de requerir un cálculo significativo.
  • De gravedad baja, una vulnerabilidad de denegación de servicio por una dobre liberación cuando OpenSSL trata claves DSA privadas mal construidas (CVE-2016-0705), una fuga de memoria en búsquedas SRP (CVE-2016-0798), referencia a puntero nulo y corrupción de heap en funciones BN_hex2bn y BN_dec2bn (CVE-2016-0797) y problemas de memoria en funciones BIO_*printf (CVE-2016-0799).
Recomendaciones
  • OpenSSL ha publicado las versiones 1.0.2g y 1.0.1s disponibles desde http://openssl.org/source/
  • También se recuerda por parte de OpenSSL que las versiones 1.0.1 acaban su soporte a finales de año.
Más información:
Fuente: Hispasec

DROWN. Un nuevo ataque que intenta asfixiar la criptografía

Junto a la publicación de una nueva versión de OpenSSL, saltó a la luz una nueva vulnerabilidad de esas que van a dar que hablar durante mucho tiempo. Se suma a las ya vistas en el 2014 e igualmente importantes en OpenSSL como Heartbleed y POODLE. Esta nueva vulnerabilidad podría permitir a un atacante descifrar comunicaciones seguras con relativa sencillez.
Sin ninguna duda esta vulnerabilidad es de gran importancia, según las estimaciones un 33% de los sitios son vulnerables a este ataque. Y como no podía ser de otra forma, la vulnerabilidad viene con nombre, logo y hasta página web; ha quedado bautizada como DROWN (Decrypting RSA with Obsolete and Weakened eNcryption).
La vulnerabilidad es grave en cierto contexto, podría permitir descifrar sesiones TLS si el servidor soporta SSL versión 2 o suites de cifrado marcadas como EXPORT. El problema, con identificador CVE-2016-0800, es una nueva forma de ataque de protocolo cruzado, similar o inspirado en el Padding Oracle Attack de años atrás, debido al uso que hace de un protocolo obsoleto, como SSL versión 2, mientras que la víctima sigue usando TLS, un protocolo actualmente seguro, sin percatarse del ataque.
La misma página web del problema dispone de un test que permite comprobar, con la simple introducción de un dominio (o dirección IP), ver todos los dominios y certificados vulnerables. Huelga decir que no se trata de un test "en directo" sino de una consulta a una base de datos que han hecho pública. No obstante se ha hecho pública de una herramienta que permite comprobarlo en local.
Los servidores y clientes actuales emplean TLS como protocolo de cifrado. Sin embargo, debido a errores o descuidos de configuración, muchos servidores todavía siguen soportando SSLv2. Este soporte, incluso en algunos casos se apoya debido a que algunos clientes sin actualizar todavía utilizan SSLv2. Por lo tanto, a pesar de que SSLv2 se sabe que es inseguro hasta el tuétano, soportar SSLv2 no se consideraba, en ciertos ambientes, un problema de seguridad grave por el reducido parque de clientes anticuados que lo usan.
DROWN muestra que simplemente el soporte de SSLv2 representa un riego para los servidores y clientes; ya que puede permitir descifrar las conexiones TLS entre servidor y cliente mediante el envío de sondas a un servidor que soporte SSLv2 y utilice la misma clave privada. El ataque en sí, a grandes rasgos, se basa en la posibilidad de obtención de la clave privada de la sesión segura gracias a SSL versión 2. Es decir, mientras que el cliente se conecta al servidor por TLS, el atacante hace hombre en el medio entre los dos e inyecta peticiones SSL. Debido a las vulnerabilidades de SSL es capaz de obtener la clave privada de esa sesión (ojo, no la clave privada del servidor como hemos escuchado por ahí) y posteriormente utilizarla para descifrar el tráfico capturado.
Como proteger un servidor ante DROWN
  • Para OpenSSL la forma más sencilla y recomendable es que se actualice a la versión OpenSSL 1.0.2g o OpenSSL 1.0.1s.
  • Para Microsoft IIS (Windows Server) las versiones de IIS 7.0 y superiors deben tener SSLv2 desactivado por defecto. Los usuarios que hayan activado SSLv2 de forma manual deberán tomar los pasos para desactivarlo de nuevo. De todas formas se recomienda comprobar si su clave privada está expuesta en otro lugar. Las versiones de IIS inferiores a 7.0 ya no están soportadas por Microsoft y deberían actualizarse a las versiones soportadas.
  • Para Network Security Services (NSS), librería criptográfica incluida en múltiples productos de servidor, las versiones 3.13 (publicada en 2012) y superiores deben tener SSLv2 desactivado por defecto. Los usuarios que hayan activado SSLv2 de forma manual deberán tomar los pasos para desactivarlo de Nuevo. Usuarios de versiones anteriores deberían actualizarse a una versión más reciente. De igual forma se recomienda comprobar si su clave privada está expuesta en otro lugar.
  • Hay que señalar que DROWN puede empeorar debido a otras vulnerabilidades (con CVE-2016-0703 y CVE-2016-0704) en OpenSSL, que afectan a versiones de OpenSSL anteriores a marzo de 2015, momento en el cual el código fue rediseñado para hacer frente a la vulnerabilidad CVE-2015-0293. Estas vulnerabilidades afectan a OpenSSL versiones 1.0.2, 1.0.1l, 1.0.0q, 0.9.8ze y anteriores. Fueron corregidas en OpenSSL 1.0.2a, 1.0.1m, 1.0.0r y 0.9.8zf. Estos problemas podrían permitir ataques de DROWN mucho más eficientes, incluso eficaces contra conjuntos de cifrado que no sean de exportación, y sin necesidad de requerir un cálculo significativo.
  • Y con CVE-2015-3197 un problema que afecta a OpenSSL versiones anteriores a 1.0.2f y 1.0.1r, permite a un atacante emplear DROWN para conectar a un servidor con SSLv2 desactivado, si el soporte para SSLv2 todavía se encuentra habilitado.
Más información:
Fuente: Hispasec

MALWARE. Detectan troyano que ataca al cerebro de los smartphones Android

Kaspersky Lab ha descubierto Triada, un nuevo troyano dirigido a dispositivos Android comparable, por su complejidad, con el malware basado en Windows. Según la empresa de seguridad informática, el malware es sigiloso, modular, persistente y creado por ciberdelincuentes muy profesionales. Los dispositivos que ejecutan la versión de Android 4.4.4. y anteriores son los que presentan mayor riesgo de infección.
Según el reciente informe Mobile Virusology de Kaspersky Lab, casi la mitad del Top 20 de los troyanos de 2015 eran programas maliciosos con capacidad para robar los derechos de acceso de superusuario, es decir, que dan a los cibercriminales la posibilidad de instalar las aplicaciones en el teléfono sin el conocimiento del usuario. Este tipo de malware se propaga a través de aplicaciones que los usuarios se descargan/instalan de fuentes no fiables. Otras veces, estas aplicaciones se pueden encontrar en la tienda oficial Google Play y se hacen pasar por una aplicación de juego o entretenimiento. También se pueden instalar durante la actualización de las aplicaciones, incluso en las que están preinstaladas en el dispositivo móvil.
Existen 11 familias de troyanos móviles conocidos que utilizan los privilegios de root. Tres de ellos – Ztorg, Gorpo y Leech – actúan en cooperación con los demás. Normalmente, los dispositivos infectados con estos troyanos se organizan en una red, creando una especie de red de bots de publicidad que los agentes pueden utilizar para instalar diferentes tipos de programas publicitarios. Pero eso no es todo, poco después de rootear el dispositivo, los troyanos descargan e instalan un backdoor. Esta descarga activa dos módulos que tienen la capacidad de descargar, instalar y ejecutar aplicaciones.
El cargador de aplicaciones y sus módulos de instalación se refieren a diferentes tipos de troyanos, pero todos ellos se han añadido a las bases de datos antivirus de Kaspersky Lab bajo un nombre común – Triada.
Entrar en el proceso de Android
  • Una característica distintiva de este malware es el uso de Zygote ( creador del proceso de aplicaciones en un dispositivo Android ) que contiene bibliotecas del sistema y los marcos utilizados por cada aplicación instalada en el dispositivo. En otras palabras, es un “demonio” cuyo objetivo es poner en marcha aplicaciones de Android y esto significa que tan pronto como el troyano entra en el sistema, se convierte en parte del proceso de aplicación y puede incluso cambiar la lógica de todas sus operaciones.
  • Las prestaciones de este malware son muy avanzadas. Tras entrar en el dispositivo del usuario, Triada se implementa en casi todos los procesos de trabajo y sigue existiendo en la memoria a corto plazo. Esto hace que sea casi imposible de detectar y eliminar. Triada opera en silencio, lo que significa que todas las actividades maliciosas están ocultas tanto desde el usuario como desde otras aplicaciones.
  • Por la complejidad de la funcionalidad del troyano es evidente que los cibercriminales que están detrás de este malware son muy profesionales, con un profundo conocimiento de la plataforma móvil.
El modelo comercial de Triada
  • Triada puede modificar los mensajes SMS salientes enviados por otras aplicaciones. Cuando un usuario está haciendo compras en la aplicación a través de SMS para juegos de Android, los ciberdefraudadores modifican los SMS salientes para recibir el dinero ellos.
  • “La Triada de Ztrog, Gorpo y Leech marca una nueva etapa en la evolución de las amenazas basadas en Android. Son los primeros programas maliciosos con potencial de escalar sus privilegios a casi todos los dispositivos. La mayoría de los usuarios atacados por los troyanos se encuentra en Rusia, India y Ucrania, así como los países en APAC. Su principal amenaza está en que proporciona acceso a aplicaciones maliciosas mucho más avanzadas y peligrosas. También tienen una arquitectura bien pensada, desarrollada por los ciberdelincuentes que tienen un profundo conocimiento de la plataforma móvil de destino”, afirma Nikita Buchka, analista junior de malware de Kaspersky Lab.
  • Ya que es casi imposible desinstalar este malware desde un dispositivo, los usuarios tienen dos opciones para deshacerse de él. La primera es rootear el dispositivo y borrar las aplicaciones maliciosas de forma manual. La segunda opción es hacer jailbreak al sistema Android en el dispositivo.
Fuente: Diarioti.com

CERBER. Nuevo ransomware que habla después de cifrar y secuestrar los archivos

Expertos de seguridad han detectado una nueva amenaza de ransomware que se está distribuyendo a través de Internet a una velocidad preocupante. Esta nueva amenaza, de origen ruso, recibe el nombre de Cerber y llega con una característica no vista hasta ahora: habla. Esto se debe a que este ransomware cuenta con un módulo TTS (text-to-speech) que permite leer la nota de rescate a los usuarios afectados.
Según los expertos de seguridad, el ransomware ha sido programado por un grupo de piratas informáticos rusos, sin embargo, estos lo distribuyen como un RaaS (Ransomware as a Service), es decir, ellos permiten a otros piratas informáticos utilizar su ransomware recibiendo, a cambio, un porcentaje de los beneficios cuando las víctimas pagan el rescate.
Por el momento no se conocen con seguridad las técnicas que utilizan los piratas informáticos para distribuir el malware e infectar a sus víctimas (aunque se cree que se hace mediante campañas de spam y phishing), sin embargo, sí se ha podido ver cómo los piratas informáticos han incluido en el fichero de configuración del ransomware instrucciones claras de que su ransomware no debe utilizarse para infectar a ni un solo usuario de países soviéticos. En este fichero podemos ver también la gran cantidad de formatos que busca y cifra, por ejemplo, documentos, imágenes, archivos comprimidos, audio, vídeo, etc.
Cómo funciona Cerber, el ransomware que habla
1.   El funcionamiento de Cerber es, también, algo diferente de lo visto hasta ahora. Cuando este malware infecta a los usuarios, automáticamente muestra un error en el sistema que obliga al usuario a reiniciar el equipo. El malware fuerza a Windows a reiniciar en modo a prueba de fallos con permisos de red. Dicho modo del sistema es utilizado para instalarse de forma persistente en el equipo para, posteriormente, volver a reiniciar el equipo en modo normal, empezando así el proceso de cifrado.
2.   Cuando este ransomware termina de cifrar los datos de los usuarios, genera en cada carpeta 3 tipos de ficheros diferentes: un documento de texto, un HTML y un fichero VBS con las instrucciones de cifrado. Cuando el usuario ejecuta este último, el sistema operativo carga las librerías TTS y el ransomware lee la nota de rescate con lo que debe hacer para recuperar los datos.
3.   El rescate que pide Cerber es de 1,24 Bitcoin (alrededor de 475 euros), los cuales deben pagarse a una cuenta a través de la Deep Web. Por el momento no hay vulnerabilidades en este ransomware, aunque los investigadores de seguridad ya se encuentran trabajando en encontrar alguna que permita a los usuarios recuperar los archivos de forma gratuita.
Fuente: Redeszone.net

27 de febrero de 2016

NSA. Preferiría mantener las vulnerabilidades zero-day existentes ocultas

Desde la NSA han manifestado que son descubridores de más del 91% de las vulnerabilidades zero-day y que no van a desvelar ningún tipo de información relacionada, tratando que estén disponibles la mayor cantidad de tiempo posible.
La EFF (del inglés Electronic Frontier Foundation) también se ha visto envuelta en esta polémica como la parte que ha acusado a la agencia de no revelar suficiente información sobre los fallos de seguridad detectados en una gran cantidad de productos software. Esta ha llevado el caso ante los tribunales exigiendo que se publique información sobre estas vulnerabilidades para que los responsables de los mismo sean capaces de resolver el problema y publicar una actualización. Sin embargo, desde la NSA no están colaborando y afirman que en lo que a ellos concierne no van a dar más detalles de los estrictamente necesarios. Añaden que entienden que la fundación tenga como finalidad la publicación de estos problemas para poner fin de alguna forma pero hasta que no se diga lo contrario van a dilatar ofrecer detalles sobre las vulnerabilidades zero-day lo máximo posible.
Aunque este pasado mes de enero parecía que la situación se ponía muy de cara para los intereses de la EFF, la realidad ha sido muy distinta y desde la agencia han publicado un documento en el que se detallan qué pasos se van a seguir desde la NSA para dar a conocer algunos fallos, sin embargo, otros quedarán por el momento ocultos.
Mientras la postura de la fundación es clara, la de la agencia ha quedado manifiesta tras este último movimiento, intentando sacar provecho de aquellos fallos para conseguir información de los equipos sin la necesidad de desarrollar aplicaciones en forma de puertas traseras.
EFF cree que debe informarse de utilización de NSA de dichas vulnerabilidades
  • Desde la fundación creen que es vital para llegar a buen puerto con la causa que se entienda el papel que desempeñan estos fallos de seguridad en tareas de espionaje y cuál es la actividad de la agencia con respecto a estos problemas detectados, siendo su puerta de entrada tanto en los equipos de los usuarios como en aquellos que se encuentran en compañías.
  • En definitiva, cada vez que encuentren algo erróneo en un software desde la agencia no soltarán prenda sea cual sea el tipo de vulnerabilidad, siendo en este caso las zero-day las que interesan a la NSA.
Fuente: Softpedia

ENCUESTA. Estadounidenses apoyan a Apple en lucha por encriptación del iPhone

Casi la mitad de los estadounidenses apoya la decisión de Apple Inc de oponerse a un tribunal federal que exige que desbloquee un teléfono avanzado que usó Rizwan Farook, uno de los autores del tiroteo de diciembre en San Bernardino, California, según una encuesta nacional online de Reuters e Ipsos.
Un 46 por ciento de los encuestados dijo estar de acuerdo con la posición de Apple, un 35 por ciento se manifestó en desacuerdo y un 20 por ciento afirmó que no sabía, según la encuesta publicada el miércoles.
Otras preguntas en el estudio revelaron que la mayoría de los estadounidenses no quiere que el Gobierno tenga acceso a sus comunicaciones telefónicas y por Internet, aunque se haga para detener ataques terroristas.
La mayoría de los encuestados cree que desbloquear el teléfono de Farook establecería un precedente peligroso que las autoridades usarían para forzar a la compañía a hacer lo mismo a más teléfonos, dijo el presidente ejecutivo de Apple, Tim Cook, en una carta abierta a sus clientes la semana pasada.
Ante la pregunta de si el Gobierno usaría la capacidad de desbloquear teléfonos para "espiar a los usuarios de iPhones", un 55 por ciento dio una respuesta afirmativa, un 28 por ciento dijo que no y el resto dijo que no estar seguro.
"No creo en ceder nuestro derecho a la privacidad para hacer que la gente se sienta más segura", dijo Steve Clevenger, un tasador inmobiliario de 55 años de Wheelersburg, Ohio, que participó en la encuesta y que apoya a Apple.
Sin embargo, cuando se les preguntó si el Gobierno de Estados Unidos debería tener acceso a datos en los teléfonos de los estadounidenses para protegerlos ante amenazas terroristas, un 46 por ciento estuvo de acuerdo, un 42 por ciento no lo estuvo y el resto dijo que no estar seguro.
El Gobierno dijo que Apple debe ayudar porque no hay forma de obtener los datos del teléfono de Farook sin que la empresa programe un software especial. Los ejecutivos de Apple se han negado, argumentando que es una solicitud que pone en riesgo la seguridad de sus clientes.
Fuente: Reuters

APPLE Desarrolla sistema que dificulta el "pirateo" de teléfonos iPhone

Pretende hacerlo mediante una contraseña usando métodos similares a los que enfrentan a la compañía con el FBI
Apple desarrolla nuevas medidas de seguridad que harían que al Gobierno le resultase imposible acceder a un teléfono iPhone bloqueado mediante una contraseña usando métodos similares a los que enfrentan a la compañía con el FBI, según el diario The New York Times.
El Times indicó que si Apple tiene éxito en la actualización de las medidas de seguridad, algo que los expertos dan por hecho, la compañía crearía un enorme desafío técnico para el FBI y otras agencias incluso si el Gobierno gana el caso abierto contra la firma con sede en la localidad californiana de Cupertino (EEUU).
El Gobierno estadounidense ha pedido a Apple ayuda con un iPhone utilizado por uno de los autores del tiroteo en diciembre en la ciudad californiana de San Bernardino (EEUU), en el que murieron 14 personas y 22 resultaron heridas.
El FBI tiene en su poder el teléfono pero no ha podido acceder a los datos y ha solicitado a Apple que desarrolle una nueva versión de su sistema operativo para esquivar las funciones de seguridad en el dispositivo móvil.
Una juez federal estadounidense ordenó a Apple la semana pasada colaborar con el FBI, exigencia a la que la empresa tecnológica se niega en un controvertido caso que podría llegar hasta el tribunal Supremo del país.
El consejero delegado de Apple, Tim Cook, dijo hoy, en una entrevista con la cadena de televisión ABC, que la seguridad de los estadounidenses es "increíblemente importante".
Precisó, con todo, que la protección de los datos de los ciudadanos también lo es e insistió en que el acceder a las peticiones del FBI haría que sus usuarios fuesen "increíblemente vulnerables"."Crearía un precedente que ofendería a mucha gente", afirmó el responsable de Apple.
El director del FBI, James Comey, ha insistido en que el caso de San Bernardino tiene un alcance "reducido" y afecta a un único teléfono pero Cook asegura que eso no es cierto.
Cook sostiene que la técnica que Apple debería de desarrollar para allanar el camino al FBI "podría utilizarse una y otra vez en muchos dispositivos".Sería, dijo, el equivalente a "una llave maestra capaz de abrir cientos de millones de cerraduras, desde restaurantes y tiendas a casas". "Ninguna persona razonable consideraría que eso es aceptable", dijo Cook la semana pasada.
Apple pidió el lunes al Gobierno de Estados Unidos retirar la petición que exige a la compañía ayudar al FBI y crear en lugar de ello una comisión oficial para evaluar los problemas generados por el creciente uso de la encriptación.
"Nuestro país siempre ha sido más fuerte cuando está unido", aseguró Apple en una información publicada ayer en su sitio web, donde dice que la mejor forma de avanzar en este caso sería que el Gobierno "retire" sus exigencias y forme una comisión o algún tipo de panel para evaluar la situación.
"Apple participaría encantada en un esfuerzo de ese tipo", aseguró la compañía.
Fuente: El Mundo.es

TTIP. Eurodiputado del partido político de Podemos: "Todas las sospechas son ciertas"

Xabier Benito afirma, tras acceder por primera vez a la 'cámara secreta' en la que Bruselas custodia los textos, que estos priorizan "la defensa de los intereses de las empresas por encima de los derechos de las personas" en cada uno de los folios que ha podido leer.
Los eurodiputados de Podemos Lola Sánchez y Xabier Benito criticaron este jueves la "opacidad" de las negociaciones del tratado de libre comercio e inversiones (conocido como TTIP) entre la Unión Europea (UE) y Estados Unidos, y pidieron a la ciudadanía mantener la movilización en su contra.
"La única manera de parar este tratado es arrojar luz, seguir ejerciendo presión desde la ciudadanía y no darnos por vencidos en ningún momento", declaró ante la prensa Benito al término de una sesión plenaria del Parlamento Europeo.
Benito consideró que las dos partes, que concluyen mañana en Bruselas la duodécima ronda de negociaciones, "lógicamente van a apretar el acelerador" para conseguir su objetivo de cerrar el texto del acuerdo antes de que concluya este año su mandato el presidente estadounidense, Barack Obama. "Creo que lo pueden conseguir, porque ya son doce rondas de negociaciones y hay puntos en común, y los que son en teoría puntos de desacuerdo pensamos que en el último momento puede darse un cambio", indicó, y advirtió de que "al final puede acelerarse ese proceso".
Benito: "Al final la 'reading room' es una medida de maquillaje. Todo lo que se lee no se puede usar"
El eurodiputado de Podemos se pronunciaba de esta forma tras acceder a la reading room, la suerte de cámara secreta en la que Bruselas permite la lectura de parte de los documentos de las negociaciones.
"Es bastante simbólica la situación de opacidad y no transparencia de las negociaciones del TTIP. Sobre todo por las formas en que accedemos a esa sala", apuntó. Tras acceder a algunos documentos, el europarlamentario grabó un vídeo que posteriormente colgó en la red, para asegurar que "todas las sospechas" en relación al tratado "son ciertas".
"La defensa de los intereses económicos de las empresas está por encima de los derechos de las personas en cada párrafo del tratado". "Estamos ante el golpe de estado de las multinacionales sin que lo podamos siquiera leer".
Por otra parte, Benito destacó que en el debate este jueves en el pleno de la Eurocámara con la defensora del Pueblo de la UE, Emily O'Reilly, "la mayoría de los grupos incidió en la falta de transparencia de la Comisión Europea (CE) -institución encargada de la negociación de ese acuerdo en nombre de los Veintiocho- y valoró el trabajo que la defensora ha hecho sobre la opacidad en el TTIP".
"Ha pedido que desde la sociedad se hagan más denuncias para que entonces ella pueda trasladarlas a la CE y aumentar esa presión", señaló, y lamentó que el Ejecutivo comunitario "esgrima el argumento de que en una negociación te tienes que guardar tus cartas" por ser "el protocolo de las negociaciones"."No están negociando con sus cartas, ni con su casa ni sus derechos, sino con los de todas las personas", comentó.
Por su parte, Sánchez lamentó la mala acogida por parte de la Cámara de Comercio estadounidense de la propuesta de la CE de crear un sistema de tribunales para resolver los posibles conflictos entre multinacionales y Estados dentro del TTIP, que sustituiría al mecanismo clásico de protección de inversores en caso de litigios Estado-inversor.
Ese asunto está en la mesa de discusiones en la ronda que se celebra esta semana.Al mismo tiempo, pidió más información sobre los encuentros entre partes interesadas, que en su mayoría son, aseguró, "los grandes 'lobbies' (grupos de presión) de la industria", y los negociadores.
Fuente: Publico.es

FRANCIA. Gobierno reclama a Google 1.600 millones de euros en impuestos

El gobierno francés le exigirá a Google la devolución de 1.600 millones de euros en impuestos que consideran no pagados por la multinacional estadounidense, según una fuente del Ministerio de Economía francés, que ha declinado dar su nombre, según una información de Reuters.
Una portavoz de Google Francia también ha rechazado, por el momento, hacer ningún tipo de declaración. En 2012 se publicó una información en medios franceses que ya mencionó que las autoridades galas podrían reclamar esta cantidad, una información que, por aquel entonces Google negó.
La autoridad tributaria francesa permite a las compañías una evaluación preliminar de los hechos antes de llegar a un veredicto que además podría ser impugnado en los tribunales en caso de no ser admitido.
A principios de este mes, el ministro francés de Finanzas y Hacienda, Michel Sapin, descartó llegar a un acuerdo con Google parecido a lo que alcanzó el gobierno británico, recordando que "la suma de las cantidades que se le adeudan a Francia es muy superior a la británica". La cifra que pactó Google con Reino Unido por impagos desde 2005 fue de 181 millones de euros , una cantidad que algunos juristas británicos criticaron como 'desproporcionadamente pequeña".
Curiosamente la situación se produce en el mismo momento el que el consejero delegado de Google, Sundar Pichai, se encuentra en París y que además tiene prevista una reunión con Emmanuel Macron, ministro de Economía, Industria y Tecnología que según fuentes de France Presse no tienen, a priori, intención de abordar el tema de la recuperación de impuestos atrasados.
Fuente: El Mundo.es

ALEMANIA. Gobierno podrá espiar las actividades digitales de sus ciudadanos

Polémica en Alemania después de que el gobierno haya creado un troyano para poder controlar a sus ciudadanos.
El gobierno alemán ha anunciado que ha desarrollado un avanzado troyano con el que podrán espiar a sus ciudadanos, no solo en las actividades que realizan a través de sus ordenadores, sino también en los chats y conversaciones que tienen lugar desde sus móviles.
Un portavoz del ministerio del Interior ha explicado que ahora cuentan con unas posibilidades de control en un campo donde no disponían de ello, informan en Deutsche Welle.
Los críticos a la medida, exponen que el gobierno alemán puede funcionar como un “Gran Hermano”, invadiendo la privacidad de sus ciudadanos, y apuntan que deberían limitarse las funcionalidades del troyano.
Para tranquilizar a los ciudadanos, las autoridades germanas han precisado que para instalar el troyano en el dispositivo de algún sospechoso deberán contar con una orden judicial.
Eso sí, aquellas personas que acaben teniendo el troyano instalado tendrán intervenidas sus actividades digitales, ya que este podrá recopilar datos de sus ordenadores, así como monitorizar cualquier actividad de mensajería desde sus dispositivos móviles.
Fuente: Silicon.es

DRUPAL. Publicada actualización que corrige múltiples vulnerabilidades

El equipo de seguridad de Drupal ha publicado actualizaciones para solucionar varias vulnerabilidades, algunas de ellas críticas, que afectan a distintos módulos del core de Drupal., catalogada de Importancia: 5 Crítica
Recursos afectados
  • Versiones Drupal core 6.x anteriores a 6.38
  • Versiones Drupal core 7.x anteriores a 7.43
  • Versiones Drupal core 8.0.x anteriores a 8.0.4
Detalle de la actualización de las vulnerabilidades corregidas
  1. Módulo File. Drupal 7 y 8. Acceso no autorizado a ficheros y denegación de servicio. (Grave).- Un atacante podría manipular el enlace a ficheros en el formulario de subida y bloquear el proceso.
  2. Servidor XML y RPC. Drupal 6 y 7. Amplificación de ataques de fuerza bruta vía XML-RPC. (Grave).- El sistema XML-RPC permite un elevado número de peticiones que puede utilizarse para ataques de fuerza bruta
  3. Redirección abierta por manipulación de ruta. Sistema base. Drupal 6, 7 y 8. (Grave).- A través de manipulación de la ruta puede redirigirse la navegación a una URL externa.
  4. Fallo en restricciones de acceso en la API Form. API Form. Drupal 6 (Crítica).-La restricción de acceso a ciertos elementos restringidos puede evadirse, como por ejemplo el acceso vía JavaScript a botones de formulario bloqueados.
  5. Inyección de cabeceras HTTP. Sistema base. Drupal 6 (Grave).- Una vulnerabilidad en la función drupal_set_header() posibilita ataques de inyección de cabeceras HTTP.
  6. Redirección abierta a través del parámetro 'destination'. Sistema base. Drupal 6, 7 y 8. (Grave).- La función drupal_goto() descodifica incorrectamente el contenido del parámetro $_REQUEST['destination'] previo a su uso, lo que permite realizar la redirección a una URL arbitraria.
  7. Vulnerabilidad de descarga de ficheros (reflected file download vulnerability). Módulo System. Drupal 6 y 7. (Grave).- Una vulnerabilidad en el core de Drupal permitiría a un atacante lograr que un usuario descargue y ejecute un fichero con un contenido arbitrario en JSON.
  8. Vulenerabilidad en función para guardar cuentas. Módulo User. Drupal 6 y 7. (Moderada).- Un atacante podría asignarse todos los roles debido un comportamiento distinto al esperado de la función user_save() cuando es referenciada por un código específico diferente al utilizado por el core de Drupal.
  9. Fuga de información. Módulo User. Drupal 7 y 8. (Moderada).- Direcciones de correo electrónico pueden ser usadas en lugar de nombre de usuario en formularios de acceso lo que permite averiguar la asociación nombre de usuario con dirección de correo e inferir identidades.
  10. Truncamiento y manipulación de datos de sesión. Sistema Base. Drupal 6. (Moderada).- Bajo ciertas versiones de PHP, los datos de sesión de usuario pueden ser manipulados y posiblemente provocar ejecución de código de forma remota.
Recomendación
  • Si utiliza Drupal 6.x, actualice a Drupal core 6.38
  • Si utiliza Drupal 7.x, actualice a Drupal core 7.43
  • Si utiliza Drupal 8.0.x, actualice a Drupal core 8.0.4
  • Para ampliar información y descargar actualizaciones dirigirse al siguiente enlace: https://www.drupal.org/project/drupal
Más información
Fuente: INCIBE

CISCO. Actualización para Cisco ACE Application Control Engine

Cisco ha publicado una actualización de seguridad de su producto Cisco ACE Application Control Engine. Esta actualización resuelve una vulnerabilidad que permitiría a un atacante remoto ejecutar cualquier comando en CLI con privilegios de administrador, catalogada de Importancia: 4 Alta
Recursos afectados
  • Cisco ACE 4710 Application Control Engine.
Detalle de la actualización
  • Cisco ACE 4710 Application Control Engine es vulnerable cuando se configuran los permisos para permitir el acceso a la GUI del Device Manager. La vulnerabilidad se produce por la insuficiente validación de los datos de acceso proporcionados por el usuario. El atacante podría aprovechar una petición HTTP POST inyectando comandos en los parámetros de la petición, permitiendo sortear las restricciones del RBAC -role-based access control-.
Recomendación
Más información
Fuente: INCIBE

Denegación de servicio en Squid Proxy Cache

Una vulnerabilidad en Squid permite causar una denegación de servicio a todos los clientes accediendo al servicio, catalogada de Importancia: 4 Alta
Recursos afectados
  • Squid 3.x hasta 3.5.14
  • Squid 4.x hasta 4.0.7
Detalle e Impacto de la vulnera
  • Se trata de dos vulnerabilidades independientes que permiten enviar respuestas HTML mal formadas para causar la denegación de servicio.
  • Una de ellas es debida a un incorrecto chequeo de los límites de memoria utilizados y la otra al incorrecto manejo de errores.
Recomendación
  • Actualizar a las versiones 3.5.15 o 4.0.7
Más información
Fuente: INCIBE

GOOGLE. Corrige vulnerabilidad crítica en Chrome

Google ha publicado una actualización de seguridad para su navegador Google Chrome (versión 48.0.2564.116) para todas las plataformas (Windows, Mac y Linux) para corregir una nueva vulnerabilidad crítica.
En esta ocasión la vulnerabilidad corregida, con CVE-2016-162, reside en un salto de la política de mismo origen en Blink y una fuga de la Sandbox del navegador. Según la política de la compañía el reporte de este problema ha supuesto 25.633,7 dólares de recompensa al descubridor del fallo.
Esta actualización se realiza apenas una semana después de que publicara otra actualización que ya corrigió otros seis problemas de seguridad (tres de gravedad alta y dos de importancia media). La publicación de esta nueva versión con tan poco tiempo de diferencia, junto con la cuantía de la recompensa, puede indicar la gravedad del problema corregido; además de la importancia que Google presta a la seguridad de su navegador.
Como es habitual, esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).
Más información:
Fuente: Hispasec

PIRATERIA. Utilizan un fallo de seguridad en EMET para atacar equipos

Varios expertos de seguridad han detectado un fallo de seguridad en esta herramienta que permite a los piratas informáticos tomar el control del sistema utilizando EMET a su favor, e incluso desactivando sus capas de seguridad.
EMET, acrónimo de “Enhanced Mitigation Experience Toolkit”, es una herramienta desarrollada por Microsoft con el fin de ofrecer a los usuarios y a las empresas (aunque especialmente a estas) una capa de seguridad adicional a su sistema operativo. 
Esta herramienta está pensada para proteger a los usuarios de ataques informáticos a través de software, por ejemplo, utilizando exploits y otro tipo de malware con el que se consigue tomar el control del sistema.
Detalle del ataque
  • A grandes rasgos, el funcionamiento de EMET es sencillo. Esta herramienta se encarga de inyectar varias librerías DLL en los procesos de las aplicaciones de terceros ejecutadas en el sistema. De esa manera, la herramienta monitoriza todas las llamadas de estas aplicaciones a los elementos críticos del sistema, pudiendo determinar si son llamadas legítimas, las cuales permite, o si estas llamadas pueden ser peligrosas e intentan aprovechar una vulnerabilidad, en cuyo caso las bloquean sin repercutir en el proceso original de la aplicación.
  • Para poder desactivar la capa de protección adicional de EMET, lo único que debe hacer el pirata informático es localizar una función concreta y llamarla para deshabilitar la capa de seguridad. 
Recomendación
  • Para protegernos, simplemente basta con instalar la última versión  de la herramienta en este caso la versión 5.5
Enhanced Mitigation Experience Toolkit - EMET 5.5 en Windows 10
  • EMET 5.5 soluciona este problema, pero el número de usuarios que ha actualizado es mínimo
  • EMET 5.5 es la versión más reciente de esta herramienta. Esta última versión fue publicada el pasado 2 de febrero, sin embargo, en su lista de cambios destacaba como único cambio la compatibilidad total con Windows 10 y carecía tanto de esta solución como de nuevas medidas de mitigación, por lo que el número de equipos que han instalado esta nueva versión es prácticamente insignificante.
  • Este tipo de ataques contra EMET son totalmente funcionales en prácticamente cualquier versión de la herramienta con soporte, desde la 5.0 hasta la 5.2. También se ha podido comprobar que las versiones anteriores, ya fuera de soporte, como la 4.x también son vulnerables a este tipo de ataques.
  • Para evitar caer víctimas de los piratas informáticos a través de esta herramienta es necesario instalar la versión más reciente, la 5.5, la cual incluye, además de la ya mencionada compatibilidad con Windows 10, una configuración mejorada, la posibilidad de gestionar la protección desde las directivas de grupo y un mejor rendimiento en las mitigaciones EAF y EAF+.

Fuente: ComputerWorld