MICROSOFT LANZARÁ SU MAYOR ACTUALIZACIÓN DE SEGURIDAD

Microsoft publicará el 12 de abril, la mayor reparación de seguridad con el lanzamiento de un total de 17 actualizaciones que solventará 64 vulnerabilidades en Windows, Office y Explorer.

Los 17 boletines de seguridad solucionarán 64 agujeros de seguridad. Del total de actualizaciones, 9 están consideradas como “críticas”, el nivel más elevado de riesgo para la seguridad.El resto de actualizaciones pertenece a la categoría de “importantes”.

Las vulnerabilidades se encuentran en diferentes aplicaciones del sistema operativo Windows en todas sus versiones: el navegador Internet Explorer en las versiones 6,7 y 8, varias ediciones de Office, así como Visual Studio, .NET Framework o GDI+.

La nueva actualización también corregirá algunos fallos conocidos como:

• El descubierto en Windows Server Message Block (SMB) que podría permitir a los ciberdelincuentes tomar el control remoto del ordenador
• El del protocolo MHTML (Multipurpose Internet Mail Extension HTML) que fue detectado el pasado mes de enero.

Fuente: The Inquirer

ATAQUE “SLAAC” EN “IPV6”

Investigadores de InfoSec Institute han descubierto una nueva forma de secuestrar el tráfico de una red interna gracias a la configuración por defecto de IPv6 en Windows y MacOS X por medio de una especie de “hombre en el medio”, llamado SLAAC, que no es un 0 day.

Obtener y redirigir el tráfico de una red interna hacia una máquina controlada por un atacante es una técnica conocida en el mundo de IPv4. Confundir la caché ARP de los sistemas, es uno de los métodos más empleados. Ahora, el ataque SLAAC consigue un efecto parecido pero de forma más "limpia".

Detalle técnico:

1. El atacante debe introducir un router (o algún dispositivo que actúe como tal, puede ser su propio ordenador) en la red interna con dos interfaces (virtuales o no): una de cara a la red interna, que soporte solamente IPv6 y otra con la conexión a Internet (solamente IPv4). En esos momentos existirá una red adicional IPv6, pero el atacante no controlará el tráfico.
2. El intruso comenzará a enviar RA (router advertisements, anuncios de rutas), que es una especie de DHCP para IPv6. El objetivo es que el tráfico pase a través de la interfaz IPv6 sin que los clientes noten nada y esto se consigue gracias a una especificación obsoleta.
3. En resumen, la víctima utiliza sin darse cuenta el DNS del atacante para resolver direcciones y, por tanto, puede ser redirigido a cualquier página (que no use certificados) de forma transparente.

¿ Porque ocurre en Windows y Mac OS X ?

• Gracias a Stateless address autoconfiguration (SLAAC) los sistemas operativos como Windows y Mac OS X, preferirán usar IPv6 en una red siempre que sea posible.
  

• IPv6 está ideado para autoconfigurarse al máximo. Por tanto, obtendrán automáticamente información del router fraudulento introducido por el atacante sin que se note, y comenzarán a usar su servidor DNS fraudulento. Además, es poco probable que en una red exista algún router IPv6, por tanto el atacante no tendrá "interferencias".

Recomendaciones :

• Deshabilitar lo que no se utilice.

• En este caso, el soporte IPv6 desde las propiedades de red.

Fuente: Hispasec

CORREO BASURA CON TROYANO SIMULA SER NOTIFICACIÓN DE DHL

La empresa “Antispameurope” advierte de multiples correos “basura" con una supuesta notificación de la empresa logística DHL.

Detalle del troyano:

1. El correo spam oculta un Troyano.
2. El asunto hace referencia a una supuesta notificación de la compañía logística DHL.
3. El texto del e-mail avisa de un hipotético paquete.
4. Y Para obtener más información acerca del envío se facilita un número de seguimiento en el documento adjunto.
5. Los archivos ZIP que adjunta el email tienen distintos nombres como:

Carta de Servicio de Notificación, documento UPS, número de identificación UPS o identificación DHL. Si el usuario abre estos archivos, automáticamente el Troyano se instala en el PC del usuario.

Recomendaciones:

• Según Olaf Petry, Director IT de antispameurope. “El objetivo del e-mail es que el usuario abra el archivo adjunto casi sin leer el contenido del e-mail.
  
• Porque si alguien, leyera el e-mail, con las faltas de ortografía que tiene, sospecharía enseguida.
  
• Además, las empresas logísticas suelen incluir en el cuerpo del e-mail un enlace.
  
• En ningún caso el usuario debe abrir el archivo adjunto".

Fuente: Antispameurope

CHROME PROTEGERÁ DEL MALWARE EN LA PROXIMA VERSIÓN

Google ha desarrollado una función de seguridad para el navegador Google Chrome que protegerá a los usuarios de las descargas de malware.

En la primera fase se ha decidido integrar una función que ayudará exclusivamente a combatir los archivos maliciosos ejecutables en Windows.

Modus operandi :

• El navegador, insertará un mensaje de peligro que avisará a los usuarios cuando intenten bajar contenido peligroso.

• Desde Google, han explicado que el aviso se presentará en la pantalla cada vez que un usuario descargue una URL que coincida con la lista de webs maliciosas publicadas por la API Safe Browsing.

Disponibilidad :

• Por ahora sólo está disponible para usuarios suscritos al Chrome development release channel, (canal especial para probar novedades del navegador), pero desde Google aseguran que estará disponible en la próxima versión del navegador.

Fuente: www.v3.co.uk

MILLONES DE CLIENTES EN “EEUU” EXPUESTOS POR FALLO DE SEGURIDAD DE “EPSILON”

Datos personales de millones de clientes de empresas como Target, Best Buy, Hilton, JPMorgan Chase o Citigroup se encuentran expuestos, aunque algunas de las empresas ya han avisado a sus clientes.

Al parecer, varias cadenas de hoteles como Hilton, Red Roof Inn, Ritz-Carlton y Marriott también se han visto afectadas, además de clientes de entidades financieras como JPMorgan Chase y Citigroup.

Según Epsilon, “la entrada no autorizada en el sistema de correo electrónico” ha afectado sólo al 2% de sus clientes.

Según Rik Ferguson, Director de Investigación de Seguridad y Comunicaciones para EMEA de Trend Micro, el riesgo principal son los ataques de phishing, pero puede extenderse a otros tipos de ataques, aunque sólo el nombre y el correo electrónico de los clientes han sido comprometidos, sin asociarlos con información bancaria.

Fuente: Silicon News

“Google” INFORMA DE SUS PLANES SOBRE SEGURIDAD SSL

Google en un post publicado por Ben Laurie, ingeniero de seguridad de la compañía, en el blog Google Online Security, expone los planes futuros sobre seguridad SSL.

Google prepara un catálogo de certificados SSL y además se asociará a un grupo de trabajo para desarrollar una plataforma que valide las firmas en los certificados digitales.

• El primer proyecto es un catálogo online para los certificados, que según Laurie la compañía utiliza su software de rastreo web para estudiar minuciosamente los sitios y recopilar información sobre los certificados de seguridad.

• La compañía también, pretende reunir la colección en Google Certificate Catalog, un servicio que funcionará como una base de datos de certificados SSL, permitiendo que se establezcan conexiones para verificar la autenticidad de los datos certificados online.

• Además de esta base de datos, Google añade que se asociará con el DNS-based Authentication of Named Entries (DANE), grupo de trabajo que está desarrollando una plataforma que pueda especificar y validar la firma en los certificados online.

Fuente: Itespresso

VULNERABILIDADES EN LOS PRODUCTOS "CISCO" (ACS) y (NAC)

Cisco publicó 2 alertas de seguridad para sus productos Cisco Secure Access Control System (ACS) y Network Access Control (NAC).

Descripción de los productos afectados:

• Cisco ACS opera como un servidor RADUIS y TACACS+ que combina la autenticación de usuarios, la administración de los dispositivos de control de acceso y las políticas de control de una red centralizada.
• Cisco NAC es un sistema que permite gestionar automáticamente los dispositivos que acceden a la red según ciertas características definidas.

Detalle de la vulnerabilidades:

La vulnerabilidad que afecta a Cisco (ACS), nombrada CVE-2011-0951 permite que un ciberdelincuente no autenticado cambiar contraseña de usuarios sin saber la contraseña anterior. Están exentas del problema:

1. Las cuentas de usuario definidas en un almacenamiento externo (como servidores LDAP o RADIUS externos).
2. Cuentas de administrador si se han configuro a través de la interfaz web.
3. Cuentas de usuario que hayan sido configuradas a través de comandos CLI.

La otra vulnerabilidad afecta a Cisco Network Access Control (NAC) Guest Server en su versión anterior a 2.0.3 y se la ha nombrado CVE-2011-0963.

1. El fallo está en el archivo de configuración de RADIUS que un ciberdelincuente no autenticado podría aprovechar para acceder a una red protegida, saltándose restricciones y sin necesidad de usuario y contraseña.

Recomendaciones:

Actualizar el software afectado de Cisco desde:

http://www.cisco.com/cisco/software/release.html?mdfid=282450822&flowid=4363&softwareid=282562545.

Enlaces de interés:

• Sobre (ACS).- http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74117.shtml

• Sobre (NAC).-http://www.cisco.com/en/US/products/products_security_advisory09186a0080b74114.shtml

Fuente: Hispasec

MALWARE PARA ANDROID ROBA DATOS DE USUARIOS Y ENVÍA MENSAJES DE SPAM

Nuevo malware que llega a los dispositivos de los usuarios si éstos se descargan la aplicación Walk and Text (versión pirata) de páginas de intercambio de archivos.

Modus operandi:

Una vez instalada la aplicación pirata, aparece una ventana en la pantalla del móvil Android, que indica que está siendo crackeada, de tal forma que el usuario se piensa que se está eliminando la protección al programa para poder usarlo de forma gratuita, cuando en realidad el software malicioso está en marcha.

Efectos de la infección:

• El malware está obteniendo acceso a datos personales del titular del teléfono, como su nombre de usuario, número de teléfono, y la clave identificadora del dispositivo, e intentará enviarlos a un servidor externo.
• El software malicioso también envía un mensaje a todos los números presentes en la lista de contactos del usuario, donde se rie del dueño del smartphone por desacargarse el programa pirata y ahorrarse el irrisorio precio del mismo.
• Por último, aparece una ventana donde se señala que esperan que el usuario haya aprendido la lección y se incluyen un enlace para descargarse la versión legal.

Walk and Text ( software original) es un programa que se puede descargar del Android Market por 1,53 dólares, que utilizando la cámara del teléfono muestra al usuario lo que tiene en frente suyo mientras camina y escribe un mensaje.

Fuente: The Inquirer

500.000 SITIOS WEB ATACADOS

Websense advierte de un ataque masivo, llamado 'Lizamoon', que afecta a más de 500.000 sitios web, y que aprovecha un fallo de seguridad para insertar código en páginas web.

Descripción del ataque:

• Llamado 'Lizamooon' por el primer dominio falso localizado (lizamoon.com).
• La compañía advierte que existen 21 dominios falsos más relacionados con este ataque.
• EL ataque es del tipo "inyección SQL".

Detalle del ataque:

• Esta amenaza consiste en que el usuarios, al entrar en una de estas páginas afectadas por el ataque, sufre una redirección hacia un sitio web falso de seguridad, llamado Windows Stability Center.

• El usuario afectado llega al final a este sitio falso de seguridad que le 'alerta' de que ha sido infectado con varios virus, con el fin de que éste se registre y proporcione sus datos para descargar un antivirus falso.

Recomendación:

• Obviamente, se recomienda no descargar el falso antivirus.

Fuente: Websense

SAMSUNG NO ESPÍA A LOS USUARIOS DE SUS PORTÁTILES

Samsung ha desmentido las declaraciones del Mohammed Hassan, experto en seguridad, que aseguraba haber encontrado un software keylogger instalado de fábrica en los ordenadores portátiles R525 y 540.

La compañía ha sido rotunda al afirmar que no instalado ningún programa keylogger en sus equipos y que todo se debe a un error en el programa que el investigador utilizó para llevar a cabo sus pruebas.

De esta forma han podido demostrar que todo se ha debido a un fallo en VIPRE, que confundió una carpeta de Windows Live que da soporte al idioma de Eslovenia con el programa keylogger StarLogger.

Fuente: Eweek Europe

¿ PORTÁTILES DE SAMSUNG INCLUYEN SOFTWARE ESPIA ?

Un investigador asegura haber descubierto software de ‘keylogging’ instalado en dos modelos de portátiles de Samsung, que podrían utilizarse para vigilar todas las actividades que se realicen en el ordenador de manera remota.

• Mohamed Hassan, fundador de NetSec Consulting, ha descubierto el software StarLogger en portátiles de Samsung, los modelos R525 y 540, tras hacer una exploración con un software de seguridad en los sistemas cuando los compró el mes pasado.

• El software StarLogger arranca cuando el ordenador está encendido y lo que hace es grabar todas las pulsaciones de teclas realizadas en el ordenador; se trata de un programa difícil de detectar y que puede enviar correos electrónicos con la información recabada sin el conocimiento del usuario.

Samsung está investigando el asunto y asegura que se ha tomado “muy en serio” las afirmaciones de Hassan, sobre todo después de que el investigador lo haya contado todo en una columna publicada en NetworkWorld.com.

Fuente: Itespresso

¿UN IRANÍ DE 21 AÑOS RESPONSABLE DEL ROBO DE CERTIFICADOS SSL?

Este hacker iraní, que dice tener 21 años, ha publicado varios mensajes en diversos foros vanagloriándose de su hazaña y tratando de convencer “a algunos estúpidos” de que él es el único responsable.

La semana pasada varios servicios como Gmail, Hotmail o Skype sufrieron un ataque en el que sus certificados SSL fueron robados, ahora un hacker asegura que ha sido el único responsable y que lo ha hecho como respuesta a Stuxnet.

El ataque ha puesto en duda la seguridad del protocolo https, la versión segura del http, que permite el cifrado de los datos.

Los expertos en seguridad sospechaban que existía un grupo organizado detrás del ciberataque, y que incluso el gobierno de Irán podría tener algo que ver.

Algunas de las compañías afectadas ya han implementado soluciones para solventar este ataque, es el caso de Google con la última actualización de Chrome.

Fuente: El País

ACTUALIZACIÓN DEL KERNEL DE UBUNTU

La distribución Ubuntu ha lanzado una actualización para el kernel de las versiones 10.10 y 10.04 que solventa 57 vulnerabilidades.

Códigos de las vulnerabilidades más peligrosas:

Los códigos de las vulnerabilidades más peligrosas que podrían provocar denegación de servicio y potencialmente elevar privilegios son estos:

CVE-2010-2954; CVE-2010-2960; CVE-2010-2962; CVE-2010-2963;

CVE-2010-3080;CVE-2010-3084; CVE-2010-3442; CVE-2010-3848;

CVE-2010-3865; CVE-2010-3904; CVE-2010-4527

• Para más información visitar la siguiente URL:

http://www.ubuntu.com/usn/usn-1093-1

Recomendaciones:

Se recomienda actualizar mediante la herramienta apt-get.

Fuente: Hispasec

ROUTERS BASADOS EN LINUX AFECTADOS POR MALWARE

La empresa de seguridad Trend Micro ha descubierto un malware que afecta a routers basados en Linux, distribuido en Latinoamérica por el momento.

Los ataques a equipamiento de red son menos habituales, pero muy efectivos, porque permite a los atacantes dirigir todo el tráfico del usuario para, por ejemplo, realizar ataques DDoS o de inyección de SQL.

Detalles del malware:

• El malware llamado ELF_TSUNAMI.R utiliza una combinación de ataques para extenderse.
  
• Además de utilizar ataques de fuerza bruta contra los routers, también es capaz de explotar un fallo en el router D-Link DWL-900AP+.
• Por otra parte, el código añade las máquinas infectadas a una botnet a través de canales IRC.
• Se cree que el malware es una variante de una cadena de código descubierta en 2008, pero que se ha adaptado y ahora es más eficiente.

Distribución del malware y otros dispositivos afectados:

• La empresa de seguridad Trend Micro, que es quien ha realizado el descubrimiento de ELF_TSUNAMI.R, asegura en un blog que el malware predomina en Latinoamérica, pero que está extendiéndose a otras regiones.“

• Los ataques también funcionan contra routers de D-Link, y estamos verificando si funcionan con otros”, dicen desde Trend Micro.

Fuente: Itespresso

NUEVO ANTIVIRUS PARA “ANDROID”

Trend Micro presenta una solución de seguridad ante el incremento de amenazas web y ataques cribercriminales contra la plataforma de Google para móviles.

Trend Micro ha creado una solución denominada Trend Micro Mobile Security for Android que chequea los programas descargados en los dispositivos en busca de virus y está pensado para detectar y detener los ciberataques antes de que se produzcan.

Este sistema de seguridad está orientado a operaciones de compra y banca online, especialmente.

La firma de seguridad señala que su aplicación requiere poco espacio, garantizando la movilidad del usuario, y está específicamente diseñada para dispositivos que usan el sistema operativo de Google.

Por algo Trend Micro es la única empresa que utiliza inteligencia de seguridad basada en la nube para proteger de la actuación de códigos maliciosos a los Android.

Fuente: Eweek Europe

EL SITIO WEB DE LA “NASA” VULNERABLE A LOS CIBERATAQUES

Alonso Vidales, experto en seguridad informática, descubrió una vulnerabilidad básica en el sitio web oficial de la NASA,

"El pasado mes de septiembre descubrí un 'bug' del que informé a la NASA, y que han 'parcheado' de forma bastante cutre en los comentarios, pero que persiste en la página", comenta Alonso.

Detalle de la vulnerabilidad:

• Es una vulnerabilidad XSS (Cross Site Scripting), que consiste en la posibilidad de introducir y ejecutar código de 'scripting' (como JavaScript) en un sitio web ajeno a través, por ejemplo, de un formulario.
• "Si se mete un 'tag stript' en lugar del nombre y los apellidos en la página, en lugar de mostrar la cuenta de este nombre se mostrará el 'tag script' con lo que se permitirá inyectar código JavaScript desde cualquier otra página".

Fuente: El mundo

DISTRIBUYEN MALWARE A TRAVÉS DE PUBLICIDAD DE “Spotify“

Spotify retira un anuncio de su plataforma que ofrecía un antivirus gratuito, que lo que en realidad hacía era instalar malware en los equipos con S.O. Windows.

La infección se iniciaba con la reproducción del exploit que descargaba el falso programa.

“Yo no había pinchado en ningún anuncio, parece que se descargó al mismo tiempo que la primera imagen del anuncio apareció en Spotify”, explica uno de los usuarios infectados, “el virus comenzó a aparecer en mi escritorio, me decía que tenía un fallo crítico en el disco duro y que tenía que reiniciarlo”.

Al parecer, los usuarios potencialmente afectados son los que disponen de una cuenta gratuita y se conectan a través de un ordenador Windows.

Según las primeras investigaciones, el malware ha afectado principalmente a usuarios de Reino Unido y Suecia, aunque no se descarta que haya más países implicados.

Fuente: BBC

EMPRESA CHINA, INSTALA MALWARE EN MÓVILES

La aplicación de malware "Feiliu" desinstala otros productos antivirus y hace que los teléfonos funcionen con lentitud y muestren fallos.

Sophos advierte de la existencia de informes que afirman la supuesta colaboración entre la empresa de seguridad móvil en China NetQin y creadores de aplicaciones de malware.

Modus operandi:

Cuando los usuarios afectados instalan de nuevo la aplicación de NetQin, se reporta la infección y se informa al usuario de que si paga una cantidad de dinero (dos Yuan) puede eliminar la aplicación que daña su dispositivo.

Fuente: Sophos

“Google” PARCHEA 6 VULNERABILIDADES DEL NAVEGADOR “ Chrome”

Google informó del lanzamiento de la actualización de la versión 10.0.648.204 del navegador Chrome que incluye parches de seguridad para seis vulnerabilidades calificadas como “de alto riesgo”.

Esta nueva versión de Chrome añade también soporte para el administrador de contraseñas del navegador en Linux y mejora el rendimiento y la estabilidad.

Además, la última actualización de Chrome incluye dos nuevos certificados SSL (Security Sockets Layer) para protegerse de los ataques de los cibercriminales .

Fuente: Google.

“MYSQL” ATACADA POR MEDIO DE INYECCIÓN SQL

MySQL ha sufrido un ciberataque a través de inyección SQL por medio del cual han accesado a las bases de datos y robado información personal de los usuarios.

MySQL, ofrece software de bases de datos y soluciones empresariales, pero tiene otra vulnerabilidad XSS conocida desde enero y aún no solucionada, informaron expertos en seguridad.

Según algunos expertos en seguridad los ataques fueron dirgidos hacia las siguientes sitios:

MySQL.com, MySQL.fr, MySQL.de y MySQL.it a través de una inyección SQL.

Los atacantes conseguieron:

• nombres de usuario, direcciones de correo y contraseñas de MySQL que han sido publicados en pastebin.com.
• Además, han robado otros datos de clientes y partners, que también han sido publicados en la red.

SUN, empresa responsable de MySQL, también fue atacada, robando direcciones de correo electrónico de varios de sus sistemas, aunque no las contraseñas.

Fuente: Sophos