Grave vulnerabilidad en Windows permite elevar privilegios

Se han publicado los detalles de una grave vulnerabilidad en todas las versiones de Windows que permite elevar privilegios en el sistema.

• No existe parche disponible y el exploit está al alcance de cualquiera, lo que lo convierte en un serio "0 day" para Microsoft.
• Tavis Ormandy, reputado investigador de seguridad que ha encontrado numerosos fallos de seguridad en diferentes programas, ha publicado un exploit para una vulnerabilidad que permite elevar privilegios en Windows.
• El exploit ha sido probado y funciona a la perfección.
• Evitar el fallo implica deshabilitar el soporte para aplicaciones de 16 bits, que se supone no será ningún problema para la mayoría de usuarios.

Los pasos son los siguientes:

• Desde la consola de políticas (gpedit.msc) abrir "Configuración de equipo", "Plantillas administrativas", "Componentes de Windows", "Compatibilidad de aplicación" y habilitar la política "Impedir el acceso a aplicaciones de 16 bits". Es importante asegurarse de que es aplicada a los sistemas que dependen del controlador de dominio, forzando una actualización de políticas.

Los vídeos publicados con cómo realizar esto (en inglés) desde la consola de políticas y aplicarlo a todos los clientes de un Directorio Activo están disponibles desde:

• Windows Server 2003.- http://www.youtube.com/watch?v=XRVI4iQ2Nug
• Windows Server 2008.- http://www.youtube.com/watch?v=u8pfXW7crEQ
• Para Windows XP.- http://www.youtube.com/watch?v=u7Y6d-BVwxk
• Para sistemas más antiguos, NT4, aquí se explica cómo deshabilitar esta funcionalidad: http://support.microsoft.com/kb/220159

Fuente: Hispasec

Microsoft publica la actualización del fallo de su Navegador conocido desde hace meses

Microsoft ha publicado una actualización para su navegador fuera de ciclo destinada a corregir este problema, reconociendo su existencia desde hace 5 meses.

• La razón de la publicación del boletín fuera de ciclo es debido a la vulnerabilidad del navegador, de la que ya hablamos en un boletín anterior y que estaba siendo explotada de forma activa.
• Este fallo ya conocido como "Aurora" (asignado al CVE-2010-0249), junto con otras cinco vulnerabilidades, son de naturaleza similar y en muchos casos pueden permitir la ejecución remota de código.

Fuente: Hispasec

Actualización de IBM para vulnerabilidades en AIX

AIX publicó la actualización para OpenSSL de sus sistemas operativos AIX 5 y 6.

• AIX es un sistema operativo propietario de IBM (parecido al UNIX) y ha sido de los últimos fabricantes en desarrollar parches para su OpenSSL.
• El fallo se debe a un problema de diseño en el protocolo a la hora renegociar la sesión, y ha afectado a casi todos los fabricantes.
• Las actualizaciones para este sistema operativo están disponibles según versión desde: https://www14.software.ibm.com/webapp/iwm/web/preLogin.do?source=aixbp

Fuente: Hispasec

Vulnerabilidad de tipo DoS en el protocolo NTP (Network Time Protocol)

Múltiples fabricantes se han visto afectados por un problema de seguridad en el protocolo estándar NTP (Network Time Protocol) que podría permitir a un atacante provocar una denegación de servicio.

• NTP es el protocolo usado para mantener la exactitud del reloj de sistema.
• Sincroniza los relojes de los sistemas, independientemente de la latencia que exista entre ellos, y utiliza UDP como capa de transporte.
• Los principales fabricantes que contienen este servicio ya han publicado parches oficiales que deben ser aplicados cuanto antes.

Fuente: Hispasec

Utilizan terremoto de Haití para distribuir malware

ESET advierte sobre el peligro de realizar donaciones de ayuda a los damnificados a través de enlaces que lleguen por correo electrónico o por grupos creados en redes sociales.

• La mecánica de esta nueva amenaza es muy sencilla. Simplemente, se trata de un correo en el que el atacante se dirige al usuario haciéndose pasar por “El equipo de Facebook" para que acceda a una dirección web y complete el proceso de confirmación de sus datos.
• El enlace dirige al usuario a una página de phishing, en la que se le pide que introduzca la contraseña asociada a la dirección de correo a la que se envió el mensaje, y luego da acceso a otra en la que se solicitan su nombre completo y su país de residencia.
  

Recomendaciones:

1. Nunca se debe llevar a cabo una transacción económica en Internet a través de sitios web que no se conozcan perfectamente.
2. Nunca se debe acceder a sitios que pidan dinero a través de un enlace que llega a través de correo electrónico.
3. Si se quiere hacer algún tipo de donación, se recomienda acudir directamente a las páginas web de las organizaciones que se encargan de tareas de asistencia humanitaria, y nunca a través de enlaces de terceros o en sitios web desconocidos.

Fuente: ESET.

Un 0-day desconocido en Internet Explorer detrás de los ataques a grandes compañías

Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras.

• En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail
• Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.
• Los laboratorios de McAffe descubrieron una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario.
• Microsoft ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto.
• Las versiones afectadas son la 6, 7 y 8 en los sistemas operativos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008.

Fuente: Hispasec

Vulnerabilidad en diversas versiones de Zope

Anunciadas diversas vulnerabilidades Cross Site Scripting en una plantilla de error de Zope en varias versiones de Zope que podría ser explotada por un atacante remoto para construir ataques de cross site scripting.

• Zope es un servidor de aplicaciones, escrito en lenguaje Python que posee una gran flexibilidad
• Este servidor posee unas características novedosas (base de datos de "objetos", fácil extensibilidad, componentes) que unidas a su bajo precio (se trata de una solución "open source") lo convierten en objeto de deseo para desarrollos web.
• Se ven afectadas las versiones de Zope anteriores a la 2.8.12, 2.9.12, 2.10.11, 2.11.6 o 2.12.3.
• Se recomienda actualizar a cualquiera de estas versiones: http://www.zope.org/Products/Zope/

Fuente: Hispasec

Actualizaciones de seguridad de Adobe

La compañía corrige un fallo que los hackers ya habían explotado y modifica el actualizador automático de Reader y Acrobat.

• Esta semana Adobe ha solucionado ocho vulnerabilidades de seguridad, seis de las cuales se consideraban críticas, en sus programas Reader y Acrobat.
• Todos los expertos en seguridad se han apresurado a pedir a empresas y particulares que realicen las actualizaciones cuanto antes al afirmar que son las más importantes que la compañía ha realizado.
• Los parches afectan a las versiones de Adobe Reader 9.3 y Adobe Acrobat 8.2 .

Fuente: Adobe

El correo basura se aprovecha de los sitios de alojamiento gratuito

El último informe de McAfee advierte que los creadores de spam están explotando a las compañías que proporcionan dominios gratuitos y alojamiento para superar los filtros antispam.

En el Spam Report de diciembre se afirma que la utilización de servicios de alojamiento gratuito es una buena táctica para los spammers

El informe se refiere a 0Catch.com como el site de alojamiento del que más abusan los creadores de spam.

Fuente: McAfee

Oracle actualizará sus productos con 24 parches de seguridad.

ORACLE tiene previsto lanzar una actualización de seguridad que afectará a diversas soluciones, fundamentalmente a Oracle Database y E-Business Suite.

• Oracle tiene prevista la publicación de una actualización compuesta por 24 parches de seguridad que afectan a diversos productos, como es el caso de Oracle Database y Oracle E-Business Suite.
• La actualización está prevista a partir de enero.
• Más información en la sitio, http://www.oracle.com/technology/deploy/security/critical-patch-updates/cpujan2010.html

Fuente: ORACLE

IBM corrigió varias vulnerabilidades en Lotus Domino Web Access

IBM ha confirmado la publicación de una actualización para IBM Lotus Domino Web Access 8.0.2 FP3 (y anteriores) destinada a corregir, entre otros problemas, tres nuevas vulnerabilidades de seguridad.

• Domino Web Access (anteriormente iNotes) es un cliente, basado en un navegador web, que proporciona a los usuarios acceso a las funciones de colaboración y mensajería de Domino.
• BM ha publicado el Hotfix 229.261 disponible desde: http://www.ibm.com/support/fixcentral

Fuente: IBM

Falsa alarma en el ataque a la web de la presidencia española.

A estas horas ya todo el mundo debe saber lo ocurrido durante el día de ayer con la web de la Presidencia española de la Unión Europea (www.eu2010.es).

• 
  La noticia ha causado gran revuelo, y más después de saberse el coste del proyecto de unos 11 millones de euros, que incluyen  alojamiento, desarrollo y seguridad del sitio y asuntos relacionados con la instalación y funcionamiento de telecomunicaciones, sistemas informáticos y servicios de videostreaming de los centros de prensa que se habilitarán en las cumbres internacionales.
• El problema radicaba en un cross-site scripting (XSS) que a través de una petición especialmente manipulada, había circulado en forma de URL por redes sociales, mensajería, etc. Alguien pulsó sobre el enlace del XSS y la noticia ya estaba creada.
• Aunque en este caso no llegaron a entrar en el servidor (tal como múltiples medios aseguraban), a efectos prácticos el resultado final que se ha transmitido a la conciencia colectiva es equivalente a si hubieran tomado el control.
• La imagen que se ha transmitido sobre el gobierno español y sobre Telefónica como encargada del proyecto, tanto en España como en Europa (donde el incidente también ha transcendido), no es nada positiva.

Fuente: Hispasec

Sophos presenta el nuevo software de cifrado gratuito “Free Encryption”

Las principales características de Free Encryption”, cifra y comprime archivos de forma instantánea, lo que permite una transferencia segura y sencilla de los datos, o el almacenamiento de información sensible.

• Sophos Free Encryption facilita la creación de archivos cifrados protegidos por contraseña, lo que permite compartir datos confidenciales.
• Gracias a estas funcionalidades, los usuarios pueden crear o extraer un documento con seguridad, simplemente pulsando el botón derecho del ratón sobre un archivo en el Explorador de Windows.
• Además , la herramienta se integra con la mayoría de aplicaciones de correo electrónico, lo que permite la creación automática de un nuevo mensaje con el archivo cifrado seleccionado ya incluido en el adjunto.
• La función de comprensión integrada en Sophos Free Encryption asegura el archivado de paquetes, lo que supone un ahorro de tiempo y dinero en los costes por transferencia de datos.
• Otras características a destacar son: histórico de contraseñas, archivos autoextraíbles y las secuencias de comandos para simplificar el proceso automático del manejo de datos.
• Descargar desde esta dirección, http://www.sophos.com/products/free-tools/sophos-free-encryption.html

Fuente: Sophos

Bloqueo de tarjetas bancarias de Alemania por un problema en un chip

Los clientes de varios bancos alemanes no pueden usar su tarjeta de crédito desde la entrada del Año Nuevo de 2010 debido a un problema informático, según ha admitido a The Wall Street Journal la asociación de la banca alemana (ZKA).

• Se trata de la tarjeta de Eurocheques, muy difundida entre bancos y cajas regionales. Los portavoces de la banca alemana no han querido precisar el número de clientes que pueden estar perjudicados por este problema. Algunas fuentes hablan de veinte millones de tarjetas bloqueadas.
• Estas tarjetas estarían sufriendo un defecto cuyo origen es un chip especial insertado en las mismas y que no ha procesado debidamente el cambio de año. Un error que recuerda al llamado efecto 2000.
• Fuentes de la banca comercial aseguran que están afectados todos los sectores, incluídas las cooperativas bancarias y el sector del ahorro.

Fuente: www.elpais.com

Los hackers atacan la página de la presidencia española de la UE

Los ciberdelincuentes han conseguido introducir una imagen de Mister Bean e impedir el acceso a la información de la web.

• Hoy, primer día de trabajo para España en su recién iniciada Presidencia del Consejo Europeo la Administración ha visto como la seguridad de su página web era vulnerada.
• La web estaba además bloqueada y no era posible acceder a ninguno de sus contenidos.
• Aunque los responsables de seguridad de la página aseguran que el problema ya está subsanado lo cierto es que hasta hoy 5 de Enero no se ha podido acceder.

Fuente: www.itespresso.es

Actualización de seguridad para Sendmail

Se ha publicado Sendmail 8.14.4 que corrige (entre otros errores) una vulnerabilidad relacionada con caracteres NULL en certificados en formato X.509.

• Un atacante podría aprovechar este fallo para falsificar autenticaciones de cliente o servidor y provocar por ejemplo que las aplicaciones afectadas acepten certificados falsificados. Para ello, debería disponer de acceso a la conexión y actuar como hombre en el medio (man-in-the-middle).
• Se recomienda actualizar a Sendmail versión 8.14.4, que también corrige otra serie de fallos y se encuentra disponible desde: ftp://ftp.sendmail.org/pub/sendmail/sendmail.8.14.4.tar.gz

Fuente: Hispasec

Anuncio de la tecnología VISION Pro de AMD

AMD presentará oficialmente en el CES su nueva plataforma VISION Pro para el mercado profesional, con soporte para videoconferencia o varios monitores .

• Este conjunto de plataformas empresariales, intentarán aportar mayor productividad, ahorro de costes y una mejor experiencia visual.
• Así, los usuarios profesionales podrán disfrutar de una claridad de imagen mejorada, colores vibrantes y soporte para varios monitores, una tendencia que ya ha demostrado sus capacidades para mejorar la productividad.
• Además se han optimizado las plataformas para la eficiencia energética para reducir el consumo y aumentar la autonomía de las baterías en el caso de los ordenadores portátiles. Y también para su uso con Windows 7
• Quizás lo más interesante para los profesionales y empresas sea el soporte directo para la videoconferencia, lo que permitirá a las empresas ahorrar costes al reducir los viajes.

Fuente: Eweek Europe

Michael “Monty” Widenius, creador de MySQL, quiere bloquear el acuerdo entre Oracle y Sun

El co-creador de la base de datos MySQL ahora propiedad de Sun Microsystems, ha iniciado una campaña a favor de “mantener Internet gratuito” e impedir que Oracle compra Sun

• Según Widenius no es de interés para el usuario que una de las piezas clave de Internet pueda pasar a ser propiedad de una compañia que tiene más que ganar si la limita en un futuro, e incluso si acaba con ella, que si la mantiene viva.
• También dice que si a Oracle se le permite adquirir MySQL se verá menos competencia entre las bases de datos, lo que significa que aumentarán los precios de las licencias y del soporte.
• Widenius también ha explicado que ha lanzado la petición “SaveMySQL” en varios idiomas con el objetivo de persuadir a la Comisión Europea de que impida el acuerdo de compra, donde se pueda votar y expresar la opinión.
• Y es que, los reguladores de Estados Unidos han dado el visto bueno a la adquisición,
• Pero los de Europa siguen investigando si el acuerdo podría ser anticompetitivo. Y la decisión final se tomará el próximo 27 de enero.

Fuente: SaveMySQL

Los virus "estrella" del 2009

PandaLabs ha publicado su anecdotario vírico, donde se publican los virus que más llamaron la atención durante el 2009 cuya lista presento a continuación.

1. 
   EL VIRUS MÁS PESADO.-Conficker.C, , causó graves infecciones tanto a empresas como a particulares.
2. EL VIRUS DE HARRY POTTER.- Cuando el ordenador se infecta, aparece un mensaje que dice “Ah ah no has dicho la palabra mágica”, y el cursor queda parpadeando esperando que el usuario introduzca algo. En realidad, da igual lo que se teclee, ya que después de introducir tres veces algún valor, dice que “Samael ha llegado. Este es el fin”, y a continuación se reinicia el ordenador.
3. V DE VENDETTA.- Se venga del usuario al que infecta, ya que sustituye progresivamente las carpetas de los diferentes directorios del ordenador afectado con una copia de sí mismo. Este gusano llega en un archivo llamado Vendetta.exe y tiene el icono de una carpeta lícita de Windows para engañar a los usuarios.
4. EL MÁS VIAJERO.-El troyano Sinowal.VZR ha conseguido infectar a miles de usuarios disfrazándose de tickets electrónicos de viajes de avión, supuestamente comprados por el usuario. Todo ello para intentar engañarle, por supuesto.
5. EL VIRUS MÁS MARCHOSO.-Y además decorador. Hablamos de Whizz.A. Una vez infectado el PC, éste comienza a emitir pitidos, el puntero del ratón se mueve constantemente, la bandeja de la unidad de CD o DVD se abre y se cierra y comienza a decorarse la pantalla con una serie de barras como la de la imagen.
6. EL VIRUS ESPÍA O “CAZA-AMANTES”. Se trata de Waledac.AX que para engañar a sus víctimas ofrecía una supuesta aplicación gratuita que permitía leer los SMS de cualquier teléfono móvil.
7. EL BESUCÓN DE 2009. Esta categoría la ha ganado BckPatcher.C, que cambiaba el fondo de escritorio ofreciendo una imagen donde se lee “virus kiss 2009” .
8. LOS MÁS MOCOSOS DEL AÑO.- Se tratan de dos virus, WinVNC.A y Sinowal.WRN que han utilizado la Gripe A como gancho para infectar a los usuarios.
9. EL NOVATO DE AÑO.- Ransom.K. Este troyano encripta los documentos que encuentra en el ordenador infectado y pide 100$ a cambio de su liberación. Pero su autor, probablemente poco experimentado, lo creó con un error que permite que el usuario libre a sus rehenes mediante una sencilla combinación de teclas.
10. EL MENTIROSO.- Este año, esta categoría se la ha llevado FakeWindows.A, que se hace pasar por el proceso de activación de la licencia original de Windows XP para infectar a sus usuarios.
11. EL MÁS JUERGUISTA.-Sin duda, este año se ha llevado este título el Banbra.GMH, que llega en un correo electrónico donde se prometen fotos de fiestas brasileñas.
    

Fuente: PandaLabs

Las 10 razones de la relevancia de Sun Microsystems

Consideraciones de las 10 razones por las que Sun aún después de ser adquirida por ORACLE, seguirá siendo relevante en la industria tecnológica, al menos durante varios años más.

1. JAVA.- Lenguaje de programación y componente básico de la plataforma Java, del que se deriva en gran parte de la sintaxis de otros programas como C y C++. Y el código fuente puede compilarse y ejecutarse de forma independiente a la arquitectura de PC.
2. MySQL .- Es la base de datos abierta más popular y extendida del mundo con más de 100 millones de copias descargadas o distribuidas. Además, es un componente clave de LAMP (Linux, Apache, MySQL, PHP/Perl/Python), o el software de código abierto de mayor crecimiento.
3. EL PORTFOLIO DE PATENTES DE SUN.- La gran colección de patentes que ha ido guardando Sun representa una gran reserva. Sun invierte aproximadamente la mitad de su presupuesto en I+D para el desarrollo de software, que cubre desde las tecnologías fundamentales de componentes de hardware, chips, sistemas operativos, networking, herramientas de desarrollo, tecnologías web, utilidades y mucho más.
4. CÓDIGO ABIERTO.- El compromiso de Sun con respecto al código abierto fue duramente criticado hasta abrirse a este espacio la plataforma Java. Después, llegaron tecnologías como el servidor de aplicaciones GlassFish, las herramientas de desarrollo NetBeans para desarrolladores Java o el sistema operativo OpenSolaris, entre otras cosas.
5. JAVAFX.- JavaFX es una plataforma cliente para crear y desplegar aplicaciones ricas para Internet (RIA) a través de cualquier sistema. Combina lo mejor de la plataforma Java pero enfocándose en una mayor funcionalidad en medios digitales, todo ello a través de una plataforma de desarrollo intuitiva.
6. JAVA STORE.- La tienda de aplicaciones de Java está precisamente creada en JavaFX y ofrece a los desarrolladores la posibilidad de dar a conocer sus creaciones a través de un interfaz seguro y sencillo. 
7. LOS CEREBROS DE SUN.- Sun Microsystems mantiene a los máximos responsables en materia técnica desde sus inicios, como es el caso de James Gosling, el creador del lenguaje Java, así como otros profesionales como Guy Steele, Greg Papadopoulos, Andy Bechtolsheim, Ian Murdock, etc. que han contribuido notablemente en la propiedad intelectual de la compañía.
8. LA ADMINISTRACIÓN DE LA COMUNIDAD JAVA.- El estricto control de Sun en la Comunidad Java JCP ha ayudado a que el lenguaje y la plataforma Java evolucionaran año tras año.
9. LA RELACIÓN DE JAVA CON LOS DESARROLLADORES.- El éxito de la conferencia anual JavaOne indica lo bien que Sun ha conectado con los desarrolladores de Java. Año tras año, desde 1996, el evento ha ido mejorando a los anteriores y se conforma como el punto de partida para estos profesionales. 
   
10. EL SOPORTE DE SUN EN LA COMPUTACIÓN DE ALTO RENDIMIENTO (HPC).- La última lista Top 500 de los supercomputadores más potentes, publicada en noviembre, ha visto como se duplicaban los sistemas desarrollados por Sun con respecto al anterior estudio anterior realizado en junio de 2009. En total son 11 implementaciones de Sun dentro de los capaces de suministrar una potencia en torno a los 2 petaFLOPS.
    

Fuente: Eweek Europe