NOTICIAS Y RUMORES: Seguridad Informatica

Vías de infección a través de documentos de Office

Uno de los métodos preferidos por los ciberdelincuentes para comprometer equipos es crear documentos ofimáticos maliciosos que posteriormente enviarán por correo de forma masiva. La idea es crear un correo con una temática que enganche para conseguir que sean los propios usuarios los que reenvíen el mismo a sus contactos, produciendo así un efecto multiplicador. Generalmente este tipo de correos llevan adjunto algún tipo de documento ofimático (.doc, .ppt, .xls, etc.) que se aprovecha de alguna vulnerabilidad para ejecutar código en el equipo del usuario.

Una de las técnicas principales es crear macros VBA con las que ejecutar el código deseado. Desde frameworks como Metasploit es realmente sencillo inyectar el payload deseado dentro de documentos ofimáticos como Word o Excel. Otra opción más eficiente de cara a evadir antivirus es mediante shellcodexec , el cual, de forma similar al anterior, permite ejecutar una shellcode en memoria.

Otra opción para ejecutar código, es aprovechando de alguna vulnerabilidad en el propio software ofimático del usuario. Ejemplo de ello es el exploit ms10_087_rtf_pfragments_bof.rb, el cual, se aprovechaba de una vulnerabilidad (CVE-2010-3333) en ficheros Microsoft Word RTF y que permitía un desbordamiento de búfer basado en pila en el parámetro _pFragments cuando se parchea (análisis sintáctico de) un fichero RTF.

La reciente vulnerabilidad en Microsoft Excel (CVE-2012-0141) o la famosa (CVE-2011-0609), la cual fue utilizada para comprometer los sistemas de RSA mediante un fichero .xls con un swf embebido sirven de ejemplo para ver las implicaciones que puede llegar a tener, para una organización, un fichero ofimático malicioso.

Para prevenir este tipo de ataques es fundamental disponer siempre de las versiones más recientes del software ofimático, además de disponer de una política que restringa al máximo el uso de macros en estas aplicaciones. Desde la ayuda online de Microsoft Office puede consultarse como habilitar o deshabilitar las macros en los diversos formatos ofimáticos.

Además, para evitar ser víctima de este tipo de engaños, recomendamos seguir unas pautas de seguridad sobre el correo electrónico:

• Nunca abrir correos de usuarios desconocidos o que no haya solicitado, elimínelos directamente.
• No contestar en ningún caso a estos correos.
• Nunca seguir los enlaces que aparecen en correos sospechosos.
• Puede denunciar este correo ante los cuerpos y fuerzas de seguridad del estado.

Fuente: INTECO

DNS-Changer - ¡Tienes hasta el 9 de Julio!

Google liderará la campaña de información sobre DNS-Changer que comenzará la semana próxima con notificación a los usuarios de infecciones por el troyano DNS-Changer y que no podrán navegar a partir del 9 de julio si no modifican las DNS maliciosas.

El FBI desarticuló la organización responsable de un troyano que había logrado secuestrar tras la inyección de malware, al menos a cuatro millones de ordenadores en cien países y que ha sido calificada como la red de cibercrimen más grande hasta ahora conocida y desmantelada.

Esta medida fue complementada con una orden judicial para cerrar los servidores que mantenían la red de ordenadores zombies que alcanzó a equipos informáticos de usuarios o empresas y hasta administraciones como la NASA.

El cierre de servidores supone que los equipos afectados no podrán navegar por Internet mientras mantengan las DNS maliciosas por lo que las autoridades estadounidenses han aplazado la operación hasta el 9 de julio para que haya tiempo para su cambio. Un cambio que incomprensiblemente no se ha realizado sobre medio millón de dispositivos, a pesar de las campañas de información y las herramientas publicadas.

Por ello, Google, aprovechando su gran presencia en servicios de Internet, detectará y avisará a los usuarios de equipos infectados ofreciendo recomendaciones de limpieza y restauración.

* Comprueba si estás infectado con esta herramienta.
* Si lo estás, sigue estas instrucciones para equipos Windows, Mac y Linux.

Todo lo que necesitas saber sobre DNS-Changer aquí

Fuente: MuySeguridad

IBM bloquea Dropbox, iCloud y Google Drive al considerarlos una amenaza

El gigante azul ha ordenado el bloqueo en su red interna de una buena cantidad de servicios principalmente de almacenamiento y servicios de correo, como el sistema de almacenamiento cloud Dropbox, almacenamiento en nube iCloud de Apple, el asistente de voz Siri, Box o Google Drive.

Aunque IBM ha repartido unas decenas de miles de BlackBerry a sus empleados, permite como otras empresas, el fenómeno BYOD (Bring Your Own Device), por el que los trabajadores (se cree que 80.000 en IBM) pueden utilizar sus dispositivos móviles (principalmente tablets y smartphones) en su trabajo.

Un método con múltiples ventajas pero con un problema muy grave: seguridad. Por ello, IBM se ha puesto seria estableciendo políticas restrictivas frente a un buen número de aplicaciones y servicios libres que la compañía considera como una amenaza corporativa.

IBM considera que los datos corporativos no están seguros a través de ellas y que los trabajadores han incumplido varias políticas a través de unos dispositivos que la compañía no controla. “Hemos encontrado una tremenda falta de conciencia de lo que constituye un serio riesgo”, indican responsables de la compañía.

IBM pone el ejemplo del asistente de voz Siri de Apple que, recoge toda la información que pasa por la aplicación y además datos personales o la libreta de direcciones, con los datos almacenados y procesados por los servidores de Apple.

Información confidencial que acaba en manos de terceros y de ahí el bloqueo y la obligatoriedad de utilizar el servicio de correo interno de la compañía, el servicio de cifrado o el sistema de almacenamiento cloud MyMobileHub, desarrollado por IBM para uso seguro en la red corporativa.

La estrategia de IBM la ha resumido la CIO Jeanette Horan: “Somos extraordinariamente conservadores… es la naturaleza de nuestro negocio”, explica.

Fuente: MuySeguridad

Nuevo virus llamado Flame

Karspersky ha descubierto un virus denominado Flame. Se trata de un virus de espionaje industrial, diseñado para recopilar información sensible y presente en ordenadores de Irán, Oriente Próximo e incluso Estados Unidos.

Por el momento no se ha descubierto quién o quiénes son los responsables de Flame, pero Karspersky ha hallado similitudes con virus como Stuxnet o Duqu, diseñados para atacar o recabar información sobre el programa nuclear iraní aprovechando un fallo de seguridad del sistema operativo Windows.

Los investigadores apenas están comenzando a comprender el funcionamiento de Flame debido a su complejidad, pero sí saben que puede hacer capturas de pantalla, activar los micrófonos de los ordenadores para grabar conversaciones, enviar archivos y remitir mensajes instantáneos.

En cuanto a su extensión, Karspersky señala de que los más de 5.000 equipos infectados detectados hasta la fecha, la mayoría se encuentran en Irán, seguidos de la región de Israel-Palestina, Sudán y Siria.

Fuente: MuySeguridad

Agujero crítico en los NAS BlackArmor 440 de Seagate

El servidor de almacenamiento de red BlackArmor 440 de la firma Seagate tiene una vulnerabilidad que permite a un atacante el restablecimiento remoto de la contraseña de administración y con ello el control del dispositivo.

La gama de dispositivos de almacenamiento en red (NAS) BlackArmor están destinados a uso de pequeñas empresas y ofrecen opciones de almacenamiento de 1 a 12 Tbytes y copia de seguridad en sistemas Windows y Mac.

La vulnerabilidad ha sido documentada por US-CERT explicando la existencia de un fichero estático php que se utiliza para restablecer la contraseña de administrador. Un atacante remoto no autenticado con acceso al servidor puede acceder directamente a la página web http://DevicesIpAddress/d41d8cd98f00b20 ... f8427e.php y restablecer la contraseña de administrador.

La vulnerabilidad ha sido notificada a Seagate pero de momento no hay solución ya que el firmware fue actualizado por última vez en febrero de 2011. Se recomienda restringir el acceso mediante la interfaz web u otros dispositivos que utilizan protocolos abiertos como HTTP.

Fuente: MuySeguridad

¿Ha salido alguna version mas fuerte del virus de la policia?

por que he probado lo de los CDs booteables y nada, no me arranca ninguno, y mi lectora iba bien... pero es que no me pasa de la primera pantalla de todas y creo que no da tiempo a que se inicie el CD.

Hispanograna escribió:¿Ha salido alguna version mas fuerte del virus de la policia?

por que he probado lo de los CDs booteables y nada, no me arranca ninguno, y mi lectora iba bien... pero es que no me pasa de la primera pantalla de todas y creo que no da tiempo a que se inicie el CD.

tienes un MP, espero que te sirva de ayuda

Bitdefender publica una herramienta gratuita para eliminar el virus Flame

La compañía de seguridad Bitdefender ha publicado una herramienta gratuita para eliminar el virus Flame, considerado el ‘arma virtual más poderosa’ de la historia de la computación y que ha hecho saltar todas las alarmas.

“Flame es la más terrorífica herramienta de espionaje cibernético que hemos visto hasta ahora. Llega a lugares donde otros programas espía no llegan, roba información que otros no pueden, y pasa casi desapercibida”, explican desde BitDefender Labs.

De ahí la necesidad de contar con herramientas de desinfección como la publicada por Bitdefender para sistemas Windows de 32 y 64 bits y que puedes descargar gratuitamente desde el enlace:

http://labs.bitdefender.com/2012/05/cyber-espionage-reaches-new-levels-with-flamer/

Fuente: MuySeguridad

La ONU emitirá una advertencia sobre el viurs Flame

La agencia de las Naciones Unidas, prevé emitir una advertencia rigurosa sobre el riesgo del virus Flame, recientemente descubierto en Irán y otras zonas de Oriente Medio.

“Es la advertencia más seria que hemos emitido”, dijo Marco Obiso, coordinador de ciberseguridad de la Unión Internacional de Telecomunicaciones de la ONU. La advertencia confidencial comunicará a los países miembros, que el virus Flame es una peligrosa herramienta de espionaje que podría ser usada potencialmente para atacar infraestructuras críticas.

La evidencia sugiere que el virus podría haber sido desarrollado para el mismo país o países que encargaron el gusano Stuxnet, virus que atacó al programa nuclear de Irán en el 2010, según Kaspersky Lab, el fabricante ruso de programas de seguridad informática que dijo haber descubierto el virus.

Por su parte, Kaspersky Lab dijo que halló a “Flame” después de que la agencia de la ONU le solicitó investigar los recientes reportes de Irán de que un misterioso virus era el responsable de la pérdida masiva de datos en algunos sistemas informáticos.

Fuente: MuySeguridad

Actualización de emergencia para certificados fraudulentos de Microsoft

Microsoft ha detectado varios certificados emitidos por Microsoft, firmados por un certificado CA de Microsoft, que están siendo utilizados en ataques informáticos.

Parece que Microsoft ha descubierto esta vulnerabilidad a través del análisis del virus Flame, que contiene varios módulos firmados por certificados de CA intermedios de Microsoft. Microsoft ha identificado una vulnerabilidad en un algoritmo criptográfico antiguo que permite firmar código con certificados intermedios de CA de Microsoft. Lo que en la práctica, a la hora de instalar el software firmado de esta manera, supone que se informe al usuario de que el programa procede o ha sido verificado por Microsoft.

En concreto, el servicio de licencias de Terminal Server (Terminal Server Licensing Service), que permite autorizar servicios de escritorio remoto, utilizaba ese algoritmo antiguo e incluía certificados que permitían firmar código.

La vulnerabilidad está calificada de riesgo máximo y afecta a todos los sistemas operativos Windows por lo que se recomienda el parcheo inmediato.

Puede hacerse de alguna de las siguientes maneras:
A través de la web Microsoft Update.
Mediante la actualización automática para que, siempre que surja una actualización, se instale sin intervención del usuario.

Fuentes: INTECO, MuySeguridad