NOTICIAS Y RUMORES: Seguridad Informatica

1, 2, 3
España suspende en seguridad informática


España se lleva un suspenso rotundo en materias de seguridad informática, según revela un estudio publicado por la firma especializada McAfee. No solo eso: de los países que han formado parte del estudio, solo Singapur y México quedan por detrás.

En cualquier caso, las conclusiones del estudio a nivel global no son muy halagüeñas, destacando que uno de cada seis ordenadores -17%- no tiene ningún tipo de protección, o que el 27% de las personas dan sus datos por perdidos sin tener en cuenta hacer copias de seguridad.

España, sin embargo, rebaja en bastante la nota media, con un 21,17% de equipos totalmente desprotegidos, el 78,67% con la mínima protección. En la parte alta de la lista se sitúan Finlandia, con una tasa de desprotección del 9,67%, Italia o Alemania, con un 13,8% y 14,47% respectivamente.

Podéis consultar el estudio completo aquí

Fuente: MuySeguridad
Millones de contraseñas publicadas de LinkedIn en internet


Más de seis millones de contraseñas de usuarios de LinkedIn se han publicado en Internet.

Al parecer, ha sido un foro ruso donde se ha dado a conocer la información, confirmada posteriormente por LinkedIn en su cuenta de Twitter, donde indicaban estar investigando el tema.

La lista revelada contiene unas 6,4 millones de contraseñas de usuarios de la red social, pero no en texto plano, sino el hash de las mismas, que viene a ser un código alfanumérico que enmascara la información, y que en algunos casos ha sido ya vulnerado, desvelando contraseñas y direcciones de correo electrónico.

En el blog oficial de LinkedIn, a falta de esclarecer lo ocurrido, ya han comenzado a enviar correos electrónicos a los usuarios afectados, con instrucciones a seguir para restablecer la seguridad de la cuenta.

Se recomienda revisar la configuración de la cuenta en busca de algún cambio sospechoso y, sin importar lo que se encuentre, cambiar la contraseña cuanto antes, y también que la nueva clave debería ser única para el servicio, y nunca igual a la del correo electrónico.

Fuente: MuySeguridad
hoy a entrar en lastfm te recomendaban cambiar la contraseña ¿alguien sabe algo del porque?
ofere escribió:hoy a entrar en lastfm te recomendaban cambiar la contraseña ¿alguien sabe algo del porque?


Porque también en sufrido un robo de contraseñas y están recomendando cambiarla.

Last.fm sufre un robo de contraseñas


La red social que permite compartir música y escuchar la radio Last.fm ha sufrido un robo de contraseñas. El propio portal ha reconocido el ataque y ha recomendado a todos sus usuarios que cambien sus contraseñas. La empresa está investigando la filtración de los datos de los usuarios y ha recomendado una página para tener una contraseña lo más segura posible.

Last.fm ha sufrido una situación similar a la que ocurrió este miércoles en la red social para profesionales LinkedIn. A ello han hecho referencia el equipo de Last.fm a través de un comunicado donde han dicho que "esto es similar a las recientes filtraciones de contraseñas en otros sitios y de información publicada en línea", refiriéndose a la vulnerabilidad que había sufrido LinkedIn

Ahora le ha tocado el turno a Last.fm, la propia página ha enviado un comunicado a través de su página web y a través de Twitter, donde recomiendan "encarecidamente" a sus usuarios cambiar inmediatamente sus contraseñas. "Nunca enviaremos un correo electrónico con un enlace directo para cambiarla contraseña", ha añadido el equipo para evitar que un posible estafador adquiera información confidencial de forma fraudulenta.

El equipo ha pedido perdón a los usuarios y ha mostrado su compromiso con la privacidad y ha afirmado que "llegarán al fondo de esto", por lo que investigarán cómo ha podido suceder el ataque. Además ha habilitado una página web de recomendación y de ideas para realizar contraseñas para mantener al usuario lo más seguro posible en Internet.

Aquí teneis la notificación por parte de Last.fm

Fuente: Expansion
Flame se "autodestruye"


Los responsables detrás del 'malware' Flame han enviado un nuevo código para su virus con el objetivo de que se elimine de equipos infectados y no permita su investigación. Investigadores de seguridad han descubierto varios casos en los que el virus ha desaparecido sin dejar rastro, dificultando las tareas forenses que podrían conducir a conocer más datos sobre su naturaleza.

El descubrimiento de Flame ha obligado a las compañías de seguridad a volcarse en su análisis con el objetivo de conocer su naturaleza para disponer de sistemas de protección efectivos y para poder identificar a sus autores. Sin embargo, Flame no está poniendo fácil su estudio, según han denunciado investigadores de Symantec.

Al parecer, los responsables del virus, conscientes de que ha sido descubierto, han empezado a eliminar Flame de forma remota. Los investigadores de Symantec han descubierto nuevas piezas de código para Flame que estaría destinado a que el virus desapareciese de los equipos. Los investigadores han definido este código como un desinstalador, que termina con todo rastro del virus en el equipo infectado.

El objetivo de los ciberdelincuentes detrás de Flame sería acabar con cualquier posibilidad de análisis del virus, evitando así que los investigadores puedan prosperar en su trabajo. Se trata de otra característica de Flame que confirma su complejidad.

Fuente: Portaltic
gracias por aclararme lo de lastfm, en cuanto a lo del 'malware' Flame da para una buena pelicula [Alaa!]
ofere escribió:gracias por aclararme lo de lastfm, en cuanto a lo del 'malware' Flame da para una buena pelicula [Alaa!]


De nada!! para eso estamos!

Pues la verdad es que si, y cada vez son peores....
Fynloski, el virus que controla las pulsaciones de tu teclado


Troyano que llega oculto en un documento de apoyo a activistas sirios, que instala una herramienta de control remoto del equipo que abre un puerta trasera, captura pulsaciones de teclado, roba contraseñas, captura la actividad de la webcam, abre una instancia de Internet Explorer oculta y se conecta con sitios maliciosos adonde envía la información que ha obtenido.

Carece de rutina propia de propagación. Puede llegar al sistema de las siguientes maneras:
* Correo Electrónico Selectivo
- Se envía selectivamente por correo, por ejemplo respondiendo a mensajes entrantes.
* Red Social - Comunidad Virtual
- Red Social - Comunidad Virtual.
* Servicios de Mensajería Instantánea
- Se difunde mediante Servicios de Mensajes Multimedia.
* Otro mecanismo de propagación
- Descargado por otro código malicioso o descargado sin el conocimiento del usuario al visitar una página Web infectada.
- Descargarlo de algún programa de compartición de ficheros (P2P).

Más información en INTECO

Fuente: Inteco
No se si sera una variacion o otro virus, pero cuando elimine lo de la policia, mis documentos estaban encriptados y no los podia ver . . .
Estoy leyendo todo tu trabajo y justo lo que buscaba, estar pendiente de las amenazas nuevas que van surgiendo.

Gracias por todo el trabajo que te pegas. [oki]
Piro25 escribió:Estoy leyendo todo tu trabajo y justo lo que buscaba, estar pendiente de las amenazas nuevas que van surgiendo.

Gracias por todo el trabajo que te pegas. [oki]


Muchas gracias, pero la verdad es que hace días que lo tengo bastante abandonadillo.... es un hilo para que todos podamos aportar!!

Si quieres estar al día, te recomiendo que te suscribas ;)
Problema grave de seguridad en Internet Explorer


Se ha detectado un problema de seguridad (CVE-2012-1889) en un componente del navegador (MSXML trata de acceder a un objeto en memoria que no ha sido inicializado, lo que puede provocar errores en la memoria de tal modo que un atacante podría llegar a ejecutar código) Internet Explorer.

Esta vulnerabilidad se puede explotar a través de una página web maliciosa, de modo que al ser visitada con el navegador Internet Explorer, sin necesidad de que el usuario realice ninguna acción, se ejecuta código malicioso en el equipo afectado. Este tipo de ataques son conocidos como drive-by-download.

Ya se han detectado ataques que tratan de explotar este problema de seguridad.

* Recursos afectados
Todas las versiones de Windows y Office 2003 y 2007.

* Solución
- Hasta que se publique una actualización de seguridad del navegador, se recomienda instalar un «parche» (solución provisional) publicado por Microsoft. Para ello siga los siguientes pasos:
- Descargue el «parche» de la web de Microsoft "Fix it for me".
- Se mostrará una ventana de descarga de archivo. Haga clic en «Ejecutar».
- Siga las instrucciones que se muestran por pantalla.

Fuente: INTECO
¡¡ULTIMO AVISO!! Los equipos afectados por el virus DNSChanger no podrán acceder a Internet a partir del 9 de julio


Google liderará la campaña de información sobre DNS-Changer que comenzará la semana próxima con notificación a los usuarios de infecciones por el troyano DNS-Changer y que no podrán navegar a partir del 9 de julio si no modifican las DNS maliciosas.

El FBI desarticuló la organización responsable de un troyano que había logrado secuestrar tras la inyección de malware, al menos a cuatro millones de ordenadores en cien países y que ha sido calificada como la red de cibercrimen más grande hasta ahora conocida y desmantelada.

Esta medida fue complementada con una orden judicial para cerrar los servidores que mantenían la red de ordenadores zombies que alcanzó a equipos informáticos de usuarios o empresas y hasta administraciones como la NASA.

El cierre de servidores supone que los equipos afectados no podrán navegar por Internet mientras mantengan las DNS maliciosas por lo que las autoridades estadounidenses han aplazado la operación hasta el 9 de julio para que haya tiempo para su cambio. Un cambio que incomprensiblemente no se ha realizado sobre medio millón de dispositivos, a pesar de las campañas de información y las herramientas publicadas.

Por ello, Google, aprovechando su gran presencia en servicios de Internet, detectará y avisará a los usuarios de equipos infectados ofreciendo recomendaciones de limpieza y restauración.

* Comprueba si estás infectado con esta herramienta.
* Si lo estás, sigue estas instrucciones para equipos Windows, Mac y Linux.

Todo lo que necesitas saber sobre DNS-Changer aquí

Fuente: MuySeguridad
Usando google, me salen bastante sitios con un mensaje de "Este sitio puede dañar tu equipo". ¿tiene algo que ver con todo esto?
453.000 usuarios y contraseñas de Yahoo! Voices al descubierto


Yahoo! ha sido víctima de una brecha de seguridad, por la que atacantes habrían obtenido unos 453.000 nombres de usuario y contraseña de usuarios de, por ahora solo se supone, Yahoo! Voices.

Los responsables del robo de información y la publicación de la misma en la Red, en texto plano, han declarado haber usado una técnica basada en inyección SQL para penetrar en el subdominio Yahoo!, con un único propósito: llamar la atención de la compañía.

Casi como si de una nota a pie de página se tratase, los hackers dejaban su mensaje: “Esperamos que las partes responsables de la gestión de la seguridad de este subdominio tomen esto como una llamada de atención, y no como una amenaza. Ha habido muchos agujeros de seguridad explotados en servidores web que pertenece a Yahoo! que han causado un daño mucho mayor que su divulgación. Por favor, no se lo tomen a la ligera. El subdominio y los parámetros vulnerables no se han publicado para evitar daños mayores.”

Así, en el artículo de CNET también han decidido no publicar el enlace a la página con la información, por lo sensible, aunque advierten que no es difícil de encontrar. También se han puesto en contacto con Yahoo! para obtener más datos, aunque de momento no han obtenido respuesta.

Fuente: MuySeguridad
La brecha de Yahoo! se extiende a Gmail, Hotmail, MSN y mas servicios


La noticia de (in)seguridad informática del día no tenía rival: más de 450.000 credenciales de usuarios de Yahoo! han sido filtradas en Internet., en un principio relacionadas únicamente con Yahoo! Voices. Pero hay mucho más tras el velo, porque no solo se han encontrado contraseñas de Yahoo!, también las hay de Gmail, Hotmail, MSN, AOL, Comcast, SBC Global, Verizon, BellSouth y Live.com.

Lo cuentan en The New York Times, donde hacen referencia a los hallazgos encontrados por la firma de análisis Rapid7, quienes aseguran, después de haber estudiado la información publicada, que , atención, también hay unas 106.000 credenciales de usuarios de Gmail, 55.000 de Hotmail, o 25.000 de AOL.

Yahoo! ya ha confirmado la noticia y dice estar investigando el caso, y a la espera de que Google, Microsoft y otras compañías afectadas hagan lo mismo, solo hay una recomendación válida en cualquier caso: si tienes cuenta en alguno de los servicios citados, cambia tu contraseña cuanto antes.

Fuente: MuySeguridad
Un troyano capaz de atacar cualquier SO


F-Secure, empresa de seguridad, ha localizado un peligroso applet de Java en una página web de Colombia que detecta el sistema operativo del usuario e instala malware compatible con el mismo. Concretamente, tal y como se ha informado, el troyano se aprovecha de un applet malicioso de Java que le permite instalar puertas traseras en ordenadores gobernados por Windows, Mac OS X o Linux.

De este modo, cuando el usuario accede a una web infectada se le solicita que instale el applet de Java. A pesar de que este no presenta su correspondiente certificado de seguridad, lo normal es que muchos usuarios caigan en la trampa y acepten su descarga.

Finalmente, cuando ya está el applet instalado en el ordenador de un usuario, éste realiza una comprobación para determinar su sistema operativo y es en ese momento cuando aparece el troyano compatible con ese equipo.

Fuente: MuySeguridad
Con la última actualización de Skype, varios usuarios de Skype han realizado quejas en los foros del programa de videoconfoerencias, sin saber como ni por qué, parece que sus conversaciones de chats están llegando a otros contactos, de cualquiera de los participantes de forma aleatoria. En principio ni siquiera era necesario que participaran en la conversación.

La versión afectada parece ser la 5.10.0.115. Gracias M$.
sonk escribió:Con la última actualización de Skype, varios usuarios de Skype han realizado quejas en los foros del programa de videoconfoerencias, sin saber como ni por qué, parece que sus conversaciones de chats están llegando a otros contactos, de cualquiera de los participantes de forma aleatoria. En principio ni siquiera era necesario que participaran en la conversación.

La versión afectada parece ser la 5.10.0.115. Gracias M$.


Efectivamente sonk, había un bug en el servicio VoIP de Microsoft que hacía que las conversaciones entre dos contactos lleguen a un tercero sin quererlo ni autorizarlo.
El error se descubrió despues de la última actualización y fué reportado en los foros de soporte de Skype, quienes reconocieron el fallo.

Fallo en Skype, resuelto!


Skype ha publicado una actualización que resuelve el bug.

La actualización está disponible para sistemas Windows (versión 5.10.0.116), para Mac (v 5.8.0.1207) y para Linux (4.0.0.8) y además del resolver el fallo de privacidad soluciona un problema relacionado con el almacenamiento de archivos de unidades formateadas como FAT32.

Los usuarios pueden actualizar a las nuevas versiones mediante la herramienta integrada en el cliente o la descarga directa:
Skype Windows
Skype Mac
Skype Linux

Fuente: MuySeguridad
OSX/Crisis, nuevo troyano para Mac


Investigadores de Intego han descubierto en el portal Virus Total (utilizado por las empresas de seguridad para compartir muestras de malware), un nuevo trojan-dropper para Mac que utiliza un proceso de instalación silencioso e instala una puerta trasera.

OSX/Crisis lleva incorporado un mecanismo que lo protege de los reinicios, es decir se mantendrá en los Macs infectados hasta que sea efectivamente eliminado.

Dependiendo de los permisos de usuarios el troyano instala 17 o 14 archivos de nombre aleatorio aunque hay una carpeta común: /Library/ScriptingAdditions/appleHID/. El componente de puerta trasera llama a la dirección IP 176.58.100.37 cada cinco minutos.

Crisis sólo afecta a las versiones Mac OS X Snow Leopard y Lion 10.6 and 10.7 y no al nuevo Mac OS X Mountain Lion 10.8 publicado hoy mismo. Aunque no se prevé una infección masiva como con Flashback, OSX/Crisis confirma la tendencia al alza de malware para plataformas Mac.

Fuente: MuySeguridad
Mejorar tu seguridad y proteger tu equipo de ataques desde Internet


Si se me permite exponerlo aquí, daré un par de consejos sobre como mejorar en gran medida la seguridad de los equipos expuestos a Internet.

En este aspecto hay 2 puntos clave (muy clave) que son el Flash y Java, son absolutos coladeros de seguridad, además de otras formas de "vulnerabilidad" como son por ejemplo, en el caso del Flash de un instalador automático, fácilmente suplantable por otro que haga lo que quiera en el sistema, a ver si se enteran los de Adobe que las actualizaciones no deberían exigir introducir la clave de administrador, y en el caso de Java es posible acceder a través del navegador al equipo, sí tal y como se lee, escribiendo ficheros en disco y etc.etc.

Mi consejo:

1) Flash: intenta prescindir de éste, puedes configurar YouTube para usar HTML5 (enlace), si no te queda más remedio, al instalar Flash configúralo para que NUNCA ACTUALICE, así para actualizarlo serás tú mismo quien se descargue el nuevo instalador y lo ejecute, sabiendo entonces de que es realmente el instalador de Flash y no un suplantador.

2) Java: de nuevo, si no usas programas como JDownloader o LibreOffice, prescinde de éste. En caso de no poder, pues por lo menos elimina la parte más peligrosa, la de los navegadores que es por donde entran los malwares.
Abre el panel de Java (está por el panel de control, según la versión de Windows), y en la pestaña "Avanzado" desmarcar la casilla que hay en "Java Plugin" lo que lo desactiva para el Internet Explorer para todos los usuarios.
Desactivarlo justo en la opción encima para Firefox NO funciona, por lo que habrá que desactivarlo para cada usuario que use Firefox de manera individual, botón Firefox -> Complementos -> Plugins -> desactivar todos los "Java". Una forma de quitarlo para todos los usuarios es la que se comenta aquí (parte Plugins), traducido a lo simple, los plugins globales se registran en "HKEY_LOCAL_MACHINE\Software\MozillaPlugins" así que usar regedit y borrar lo que no interese.
Para Safari, pues en las opciones hay una casilla para desactivar Java.
Si usas Chrome u Opera deberás buscar el método ya que lo desconozco.

A mí por lo menos cada vez que un malware me ha entrado desde Internet SIEMPRE, y nunca ha fallado, justo el momento antes el navegador se quedó "congelado" un momento, exactamente lo que hace cuando se carga por 1ª vez el módulo de Java para dicho navegador, mucha casualidad.
Si una web usa Java, pues que se joda, prefiero tener mi equipo seguro, que usen PHP/AJAX que es lo que debieran hacer.

Y para el que se confunda, Java NO es Javascript, y este último hay que dejarlo puesto para que funcionen el 90% de las webs, además de que no es peligroso, salvo por los agujeros de seguridad que pueda tener el propio navegador, pero no la tecnología en sí misma.
darksch escribió:2) Java: de nuevo, si no usas programas como JDownloader o LibreOffice, prescinde de éste.

Aclarar que LibreOffice no necesita Java para funcionar, ya que es totalmente opcional.
El plugin de navegador de Ubisoft, permite a un atacante ejecutar cualquier programa

Tavis Ormandy ha descubierto un error de ejecución de código en el plugin para los navegadores web que proporciona Uplay. El fallo es muy simple, tanto su explotación como su concepto.


Uplay es una aplicación de Ubisoft necesaria para registrar los juegos al comprarlos (en definitiva, un DRM) y a la vez, jugar con otros jugadores a través de Internet. Uplay dispone de un plugin para los navegadores web, que es donde se encuentra la vulnerabilidad.

El plugin, oficialmente, permite al usuario lanzar en su equipo un juego de la compañía a través de una página web. Esta ejecución se hace a través de JavaScript, creando un objeto con ciertas características y "ejecutándolo", así sabe el plugin qué juego debe lanzar. El problema viene cuando este plugin no hace comprobación acerca del programa que se está ejecutando, pudiendo lanzar cualquier aplicación que el usuario tenga en su sistema.

La prueba de concepto demuestra la posible ejecución de cualquier programa alojado en el sistema, con lo que la ejecución de código arbitrario es posible. Para que una víctima se vea afectada, debe solo visitar una web especialmente manipulada que llame el componente de Uplay. Cabe destacar que al no tratarse de una vulnerabilidad que deba ser explotada a través de la "inyección" de comandos, las medidas de seguridad para prevenir este tipo de fallos tradicionales que permiten ejecución de código (ASRL, DEP...) no tienen cabida. La única limitación serían los permisos con los que se lanza el programa vulnerable.

Mozilla ha introducido en su "lista negra" el plugin de Uplay para que no pueda ser ejecutado en el navegador, y así evitar el posible riesgo.

Los usuarios que hayan utilizado juegos de Ubisoft que instalen este plugin (Anno 2070, Assassin's Creed, Heroes of Might...) deben actualizar Uplay a la versión 2.04, que elimina este fallo de seguridad.


Fuente: Hispasec
Blizzard comunica que ha sufrido un acceso no autorizado en sus servidores


La compañía Blizzard Entertainment ha confirmado que su equipo de seguridad ha descubierto un acceso no autorizado e ilegal a su red interna. La información robada es la siguiente:

Cuentas de todas las regiones globales fuera de China (incluidas Europa y Rusia):
- Direcciones de correo electrónico

Cuentas en Norteamérica (incluye a jugadores de Latinoamérica, Australia, Nueva Zelanda y el Sureste asiático):
- Direcciones de correo electrónico
- Respuestas a preguntas de seguridad secretas
- Versiones cifradas criptográficamente de contraseñas (no contraseñas reales)
- Información relacionada con el Authenticator para móviles
- Información relacionada con el Dial-In Authenticator
- Información relacionada con el Phone Lock, un sistema de seguridad asociado solo a cuentas de Taiwán

Blizzard ha emprendido las siguientes acciones tras el incidente:

«Cuando descubrimos el acceso no autorizado, trabajamos rápidamente para restablecer la seguridad de la red. Inmediatamente después, notificamos a las autoridades y a expertos en seguridad y dimos comienzo a una investigación aún en curso para determinar lo sucedido. También tomamos medidas para notificar a los jugadores, lo que tuvo lugar en cuestión de días tras del descubrimiento del acceso.»

Además de lo anteriormente mencionado, Blizzard en su comunicado oficial explica lo siguiente:

«Durante los próximos días advertiremos a los jugadores de Norteamérica para que cambien sus preguntas y respuestas secretas mediante un proceso automatizado. Además, advertiremos a los usuarios del Authenticator para móviles para que actualicen el software de su Authenticator. Os recordamos también que los correos electrónicos fraudulentos (phishing) os pedirán vuestra contraseña o vuestra información de inicio de sesión. Los correos electrónicos de Blizzard Entertainment jamás os pedirán vuestra contraseña.»

Desde Blizzard Entertainment piden disculpas por la situación y hacen hincapié en que la seguridad de los datos de sus usuarios son muy importantes.

«Lamentamos profundamente los inconvenientes que esto os ha podido causar y entendemos que tendréis preguntas. Encontraréis información adicional aqui.

Nos tomamos la seguridad de vuestra información personal muy en serio y lamentamos sinceramente que haya sucedido esto.»

Imagen

Solución:
Se recomienda a todos los usuarios cambiar la contraseña de su cuenta lo antes posible. Los pasos a seguir son los siguientes:
- Iniciar sesión
- Cambiar contraseña

Muy importante, la contraseña debe cumplir unos requisitos mínimos para que sea segura.

En el caso de que se estuviese utilizando la misma contraseña para acceder a otros servicios –Facebook, Twitter, Hotmail, Gmail, etc.- se recomienda modificar también la contraseña en estos servicios.

Hay que estar pendientes durante estos días, es posible que los delincuentes aprovechen esta situación para estafar a los usuarios utilizando técnicas de ingeniería social, phishing, etc.

Ante cualquier duda, puede solicitar ayuda a través del tfno. 901 111 121 del «Centro de Atención Telefónica de la OSI».

Fuente: INTECO
Gauss, nuevo troyano especializado en ataques a cuentas bancarias


Kaspersky Lab ha publicado información de un nuevo especimen bautizado como Gauss capaz de espiar las transacciones bancarias, robar información de acceso a redes sociales o correo electrónico y atacar infraestructuras críticas.

De la misma saga que armas cibernéticas como Stuxnet y Flame, con los que comparten algunas funciones como subrutinas de infección por USB, se cree que Gauss fue creado a mediados de 2011 y desplegado en septiembre del mismo año en oriente Medio, con objetivos como las entidades BlomBank en Líbano, ByblosBank y Credit Libanais, además de Citibank y PayPal.

Gauss fue descubierto en el transcurso de los esfuerzos iniciados por la Unión Internacional de Telecomunicaciones (UIT), tras la aparición de Flame. El esfuerzo está dirigido a la mitigación de los riesgos planteados por las ciberarmas, un componente clave en la consecución del objetivo general global en materia de paz.

Gauss es un complejo conjunto de herramientas de espionaje cibernético creado por los mismos actores detrás de la plataforma de software malicioso Flame. Es altamente modular y soporta nuevas funciones que se pueden desplegar de forma remota por los operadores en forma de plug-ins.

Además de robar varios tipos de datos de máquinas Windows infectadas, incluye una carga desconocida, cifrada, que se activa en determinadas configuraciones del sistema.

“Todas estas herramientas de ataque representan el extremo del ciberespionaje y las operaciones de guerra cibernética patrocinadas por los estados”, señalan desde Kaspersky Lab en el informe sobre Gauss descargable en .pdf.

DETECCIÓN
Para comprobar que no estés infectado simplemente pincha en esta dirección y deberías obtener la siguiente imagen:

Imagen

DESINFECCIÓN:
De lo contrario puedes utilizar las herramientas de desinfección gratuitas que pueden eliminarlo, como:

- Kaspersky Virus Removal Tool 2011

- BitDefender para Windows de 32 bits

- BitDefender para Windows de 64 bits

Fuente: MuySeguridad
El último boletín de Acrobat y Reader deja al menos 16 problemas de seguridad conocidos sin resolver


Tras la publicación del último boletín de Adobe para Reader y Acrobat (APSB12-16), los investigadores Mateusz Jurczyk y Gynvael Coldwind del Google Security Team (y antiguos compañeros de Hispasec) han publicado su análisis en el que concluyen que Adobe, aparte de dejar desprotegidos a los usuarios de Linux (al no haberse publicado aún ninguna versión corregida) no ha resuelto todas las vulnerabilidades reportadas por ellos mismos.


El grupo se encargó del proyecto de "fuzzing" del lector de PDF integrado en Google Chrome. Detectaron más de 50 problemas. Los más críticos han sido ya corregidos en el lector del navegador. Dado el "éxito" de la operación, decidieron realizar las mismas pruebas contra el lector de Adobe.

Concluyeron sus pruebas con 60 fallos. 31 problemas podían ser "trivialmente explotables" y 9 potencialmente explotables. En junio, se pusieron en contacto con el equipo de seguridad de Adobe, que se mostraron muy colaborativos desde el principio. Pero el último boletín solo se corrigen alrededor de 25 de estos fallos en sus 12 CVEs.

Así, los investigadores concluyen que existen unos 16 problemas no corregidos aún, que podrían representar quizás unas 8 vulnerabilidades graves (puesto que 25 problemas dieron origen a 12 CVEs). Hay que tener en cuenta que los problemas detectados por "fuzzing" pueden tener origen en una misma vulnerabilidad, y ser corregidos con una misma modificación del código.

Adobe afirma que lo solucionará en un futuro. El 27 de agosto se cumple el límite de 60 días que los investigadores impusieron como condición para dar detalles, pero puesto que Adobe no tiene intención de publicar un boletín fuera de ciclo, parece que se cumplirá el plazo sin que haya parches. Así que han decidido, ya, poner a disposición de todos sus descubrimientos, dado el riesgo al que se enfrentan los usuarios.

Fuente: Hispasec
Timo nigeriano contra tiendas en línea españolas


Desde ESET España están alertando de un aumento de casos de estafas producidos por un nuevo timo nigeriano cometido a través de tiendas en línea españolas de artículos de segunda mano, cuyo resultado para el vendedor es preocupante: entrega el producto y nunca recibe el dinero solicitado.

El “modus operandi” es muy sencillo: alguien interesado en nuestro producto se pone en contacto con nosotros y nos hace varias preguntas al respecto. Una vez contestadas sus preguntas, el falso comprador suele aceptar sin rechistar las condiciones de venta que estipulamos, e incluso más de una vez suele ofrecer más dinero del que pedimos. Es entonces cuando recibimos un correo con los datos del destinatario del artículo, que, en muchas ocasiones, desvela encontrarse en un país determinado pero solicita el envío del producto a un familiar residente en otro país: Nigeria.

Tras este intercambio de información, el vendedor recibe un e-mail que parece proceder de PayPal y que le informa de que el posible comprador ha realizado la transferencia de dinero correspondiente al pago del producto, pero que el efectivo está siendo retenido hasta la recepción del número de seguimiento del paquete que, supuestamente, tenemos que enviar al propio PayPal. En ese momento, afirma la comunicación, el vendedor recibirá el dinero.

Todo aparentemente normal si no fuese por dos detalles: PayPal no realiza estas retenciones, ya que transfiere directamente el dinero de una cuenta a otra sin requerir ningún número de seguimiento; y a pesar de que aparentemente la dirección de correo pertenece a PayPal, la verdadera dirección de respuesta va asociada a un dominio que nada tiene que ver con esta empresa.

Al poco de recibir el falso mensaje de PayPal, si no se procede al envío del paquete, el vendedor comienza a recibir e-mails del comprador instándole al envío del producto, haciéndose estos correos cada vez más insistentes y groseros.

Las recomendaciones pasan por contactar personal o telefónicamente con el comprador, para intentar revelar su identidad; buscar en Internet el nombre del comprador como del correo electrónico que utiliza; desconfiar de usuarios que solicitan los envíos al extranjero y recordar que PayPal jamás solicita números de envío. Por último, conviene denunciar ante las autoridades cualquier intento de estos fraudes.

Fuente. MuySeguridad
Anonymous ataca webs gubernamentales británicas en apoyo de Assange


El grupo ciberactivista internacional Anonymous se ha responsabilizado de los ataques a portales web del gobierno británico en apoyo de Julian Assange, el fundador de Wikileaks.

Anonymous ha amenazado con extender la ‘Operación Libertad para Assange’ que tumbó ayer mediante ataques DDoS los sitios web del Ministerio de Justicia, el de Interior y la Downing Street, la destinada a la oficina del primer ministro David Cameron, aunque las autoridades descartan el robo de información sensible.

Anonymous se ha unido -a su manera- a múltiples organizaciones y a la opinión generalizada en Internet que opina que el caso se trata de una ‘caza de brujas’ y de denuncias falsas contra Assange, al que no se perdona la publicación de unos informes que han revelado los más aspectos más sucios de la política mundial. El objetivo sería el cierre total de Wikileaks y un aviso a futuros portales que se atrevan a publicar este tipo de material.

Fuente: MuySeguridad
Siguiendo con temas de seguridad relacionados con Assange

Correo sobre falso video de Julian Assange propaga Dorkbot

Desde el laboratorio de ESET en Latinoamérioca, nuestro compañero Fernando Catoira nos informa  de un correo electrónico en el cual se alega la existencia de un supuesto vídeo donde la policía de Gran Bretaña accede a la embajada de Ecuador con la finalidad de capturar a Julian Assange. Asimismo, el correo incluye un remitente falso indicando que el mismo, supuestamente, proviene de un importante diario de Ecuador.

El correo electrónico informa de la existencia de un supuesto vídeo donde se observarían imágenes de un operativo jamás visto por parte de la policía de Gran Bretaña accediendo a la embajada de Ecuador en el país anglosajón. Continuando con el engaño, al final del correo se provee un enlace hacia el supuesto vídeo pero, en realidad, se inicia la descarga de un archivo ejecutable que es detectado por ESET NOD32 Antivirus como Dorkbot. Este código malicioso corresponde a una botnet que tiene una fuerte presencia en Latinoamérica. El impacto de este malware en la región es muy alto y puede reflejarse en el post titulado Infografía dorkbot: más de 80.000 bots en países hispanohablantes. A continuación se observa una captura del correo recibido:

Imagen

Realizando un análisis más profundo de la muestra se pudo comprobar que descarga un archivo con un listado de diferentes URLs correspondientes a distintos bancos. Su finalidad es redireccionar a la víctima que se ha infectado a sitios de phishing para así poder robar sus datos bancarios. El listado antes mencionado contiene diferentes bancos de gran relevancia pertenecientes a Ecuador, Colombia y Chile. A continuación se adjunta una captura que permite comprobar como la víctima es redirigida a un sitio que no es el verdadero:
Imagen

Es importante que los usuarios tengan conciencia sobre la utilización de Ingeniería Social con temas sumamente actuales. Estas actividades convergen en el aumento de las probabilidades de infección debido al fuerte interés que genera en la potencial víctima. Es por esto que recomendamos a nuestros usuarios la lectura de la guía para identificar correos falsos así como también el post sobre ataques y realidades del phishing.
Gracias por la información
Vulnerabilidad en W8 y W7 para obtener contraseña de administrador


Un investigador ha descubierto una vulnerabilidad en los sistemas operativos cliente de Microsoft Windows 8 y Windows 7 que facilita la obtención de la contraseña de administrador para inicios de sesión y control del sistema.

El investigador explica que la vulnerabilidad reside en la función ‘indicio’ o ‘sugerencia’ de contraseñas, útil para el usuario si olvida la contraseña pero también para un atacante.

Estas sugerencias de contraseñas de Windows 8 y Windows 7 se almacenan en el registro del sistema operativo y aunque están en un formato cifrado parece que se pueden convertir fácilmente en un formato legible.

El investigador ha escrito un script que automatiza el ataque y lo ha publicado en Metasploit, el portal para herramientas de código abierto muy popular entre los hackers.

Si normalmente para ‘piratear’ las contraseñas de inicio de sesión de Windows se necesita acceso físico al equipo, este tipo de exploit (combinado con otras herramientas) permitiría acceder remotamente a estas ‘sugerencias’ de contraseñas y tras obtenerla inicios de sesión remoto.

La recomendación (hasta que Microsoft confirme y parchee en su caso la vulnerabilidad) sería dejar en blanco la sugerencia de contraseña. No hace falta recordar que 2012 es el año de robo de contraseñas y por ello obligatorio contar con una contraseña robusta.

Fuente: MuySeguridad
Apple Remote Desktop no cifraba el tráfico aunque así estuviese marcado


Se ha confirmado la existencia de una vulnerabilidad en Apple Remote Desktop. Podría permitir a usuarios maliciosos acceder a información sensible.


Apple Remote Desktop es una herramienta para la gestión remota de equipos Mac, diseñada para la gestión de equipos en red. Es compatible con VNC y permite usarse como "visor" para otros servidores que funcionen como servidor VNC.

El problema (con CVE-2012-0681) se da porque, aun conectando a un servidor VNC de un tercero con la opción "Encrypt all network data" (cifrar todos los datos de red) activada, la información se envía sin cifrar. El programa tampoco alerta sobre el hecho de que los datos no serán cifrados.

Para evitar esto, se debe crear un túnel SSH para la conexión VNC. El problema fue introducido en la versión 3.5.2, de junio de este año, y se ha mantenido hasta la 3.6. Se recomienda la actualización a la versión 3.6.1.

Fuente: Hispasec
Vulnerabilidad 0-day en Java 7

Importancia: 5 - Crítica
Fecha de publicación: 27/08/2012
Recursos afectados

La vulnerabilidad explotada hasta el momento afecta a Java 7 (1.7) Update 0-6. No afecta a la versión 6 de Java ni versiones inferiores. Funciona en todas las versiones de Internet Explorer, Firefox y Opera excepto en Chrome.
Descripción
Se ha descubierto una vulnerabilidad 0-day que afecta a Java 7 (1.7) Update 0-6.
Solución

Por el momento no existe ningún parche oficial. Se recomienda desactivar Java en el navegador hasta que se solucione la vulnerabilidad.

Michael 'mihi' Schierl (schierlm at gmx.de) propone una solución temporal (no oficial) con la que mitigar el exlpoit actual en instalaciones con Java 7. Dicha solución consiste en crear un sub-directorio dentro de lib (dentro del directorio de instalación de Java 7), nombrarlo como endorsed, copiar el parche temporal en dicho directorio y reiniciar el navegador. Para más información sobre esta solución así como para solicitar dicho parche consulte DeependResearch. No obstante se recomienda deshabilitar java hasta que exista un parche oficial.
Detalle

Aunque el número de ataques reportados hasta el momento ha sido relativamente bajo (en FirEye se describe el exploit utilizado en algunos ataques dirigidos), es probable que su número aumente debido a la naturaleza de la vulnerabilidad.

Actualización: según informan en Rapid7, habrá un exploit funcional para Metasploit en un par de horas.

Impacto:

Ejecución de código

Fuente: http://cert.inteco.es/securityAdvice/Actualidad/Avisos_seguridad_tecnicos/vulnerabilidad_0day_java_7_20120827
Secuestran cuentas de Twitter de futbolistas durante la Supercopa

Mientras media España estaba viendo anoche la vuelta de la Supercopa entre el Real Madrid y el Fútbol Club Barcelona en el Santiago Bernabeu, en Twitter un misterioso usuario comenzaba a publicar sus comentarios en las cuentas de futbolistas conocidos. Casi desde el inicio del partido, las cuentas de Twitter de futbolistas como David De Gea, Rafael Márquez, Sergio Agüero, Daniel Alves, Bojan Krkic, Jonathan dos Santos, Javier Mascherano, Samir Nasri, Iker Muniain o Charlie Adam, entre otros, empezaron a publicar tweets que claramente no habían sido escritos por sus dueños.

Imagen
Casi enseguida, los usuarios de Twitter empezaron a hacerse eco de esta situación y los hashtags #ReyPadorowsky y #Desmadrowsky2012 se hicieron un hueco entre los temas más comentados tanto en España como en otras partes del mundo. Al poco tiempo la cuenta del usuario Padorowsky fue suspendida, pero eso no evitó que siguiera haciendo de las suyas durante más tiempo.
No solo los futbolistas fueron víctimas de esta suplantación de identidad en sus cuentas de Twitter. También el cantante Pablo Alborán y el grupo La Oreja de Van Gogh fueron víctimas de este ataque, aunque recuperaron sus cuentas al poco tiempo como casi todos los restantes afectados.

Imagen
Pero, ¿cómo es posible que tanta gente famosa haya sufrido un ataque de estas características al mismo tiempo? Aunque muchos de los comentarios de los usuarios hablaban de “hackeo” de esas cuentas (lo que significaría la existencia de un fallo de seguridad en Twitter), en el laboratorio de ESET en Ontinet.com nos decantamos por otra teoría menos sofisticada. Lo más probable es que los datos de acceso a estas cuentas hayan sido recopilados durante los últimos días o semanas, engañando a sus propietarios para que los introduzcan en páginas falsas de acceso a sus cuentas, algo no muy complicado y que, con un buen uso de la ingeniería social, puede engañar a cualquiera.
Con respecto al usuario que realizó esta suplantación de identidad, si indagamos un poco comprobaremos que no es la primera vez que lo hace. Ya a finales del año pasado realizó algo parecido con cuentas de políticos y famosos en México. Lo que desconocemos es si se trata de una única persona o de un grupo de individuos.
Si algo podemos aprender de este caso es que nadie está a salvo de sufrir un ataque similar. Basta con que nos despistemos un instante y no revisemos que esa página que simula ser la de Facebook, Twitter o cualquier servicio similar es auténtica para que nuestros datos de acceso caigan en malas manos y suframos las consecuencias.
Fuente:http://blogs.protegerse.com/laboratorio/2012/08/30/secuestran-cuentas-de-twitter-de-futbolistas-durante-la-supercopa/
Mozilla corrige 30 vulnerabilidades en la última versión de Firefox, Thunderbird y Seamonkey


En sus últimas versiones (la 15 para Thunderbird y Firefox y la 2.12 para Seamonkey), la fundación Mozilla ha corregido 31 vulnerabilidades repartidas en 16 boletines para sus productos. Además, en esta versión introduce las actualizaciones "silenciosas", al más puro estilo Chrome y Flash.


La fundación Mozilla acaba depublicar 16 boletines numerados de MFSA 2012-57 al MFSA 2012-72 que cubren 31 vulnerabilidades. Una de ellas para Firefox para Android, y el resto de las 30 para Firefox principalmente, puesto que Thunderbird y Seamonkey no se ven afectados por todas.

Siete boletines son de carácter crítico (ejecución remota), seis alto, y otros tres de moderado. Por supuesto, las vulnerabilidades son de todo tipo: desde las que permiten ejecución de código hasta las que facilitan ataques de cross site scripting.

La última actualización de Mozilla ocurrió el 17 de julio, y fueron 15 boletines que corregían alrededor de 20 vulnerabilidades. Tenemos que remontarnos hasta el 13 de abril de 2006 para superar este número de boletines. En aquella ocasión fueron 19 (MFSA 2006-09 a MFSA 2006-29) pero no cubrían tantas vulnerabilidades. Agrupar CVEs en un único boletín es una práctica que los fabricantes vienen haciendo de un tiempo a esta parte.

Por otro lado, con esta actualización Firefox introduce la actualización silenciosa. Esta es una técnica popularizada por Chrome, que deja de contar con la aprobación del usuario para actualizar el navegador. Por defecto Chrome realizará su mantenimiento sin esperar confirmación o consentimiento alguno por parte del usuario. Esto ha permitido el éxito de Chrome, que cuenta con el parque "más nuevo" de usuarios, puesto que la inmensa mayoría se encuentran actualizados y, por tanto, son mucho menos vulnerables. Plagiando el método, Adobe introdujo un sistema de actualización automática sin contar con el usuario hace unos meses. Firefox, si bien se lleva anunciando un tiempo, lo introduce en su versión 15. Oficialmente, se hace para "evitar que el usuario tenga que hacer click en UAC".

Si se desea, puede ser deshabilitado. En las opciones avanzadas, se puede desactivar la funcionalidad, que no es más que un servicio de Windows corriendo bajo privilegios de SYSTEM.

Fuente: Hispasec
Actualización de seguridad para Google Chrome

Google ha actualizado la rama estable de su navegador Chrome con la versión 21.0.1180.89, para todas las plataformas (Windows, Mac, Linux y Chrome Frame), corrigiendo ocho nuevas vulnerabilidades, tres de ellas con un nivel de gravedad alto.

[*] Con gravedad baja una caída del navegador con SPDY (CVE-2012-2867) y problemas de poca gravedad en la gestión de memoria en XPath (CVE-2012-2870).

[*] Clasificadas como de gravedad media: Una lectura fuera de límites en los saltos de línea (CVE-2012-2865), una condición de carrera con workers y XHR (con CVE-2012-2868) y un cross-site scripting en SSL (CVE-2012-2872).

[*] Por último tres vulnerabilidades de gravedad alta: en run-ins (CVE-2012-2866), un problema en el uso de un buffer en la carga de URLS (CVE-2012-2869) y un fallo en transformaciones en XSL (CVE-2012-2871).

Google recuerda además, que parte de las vulnerabilidades solucionadas fueron detectadas a través de su proyecto público de detección de errores en memoria para aplicaciones escritas en C/C++: AddressSanitizer.

http://code.google.com/p/address-saniti ... sSanitizer

Además la actualización incluye otras correcciones en complementos y funcionalidades, como Pepper Flash, con el micrófono, una regresión en "devtools", en Mini Ninjas y cambios de colores rojo/verde aleatorios en ciertas páginas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados. Según la política de la compañía estas vulnerabilidades han supuesto un total de 3.500 dólares en recompensas a los descubridores de los problemas.

Fuente: Hispasec
GMail puede ser atacado, asegura Google


La página de noticias NBCNews ha publicado una información que hace referencia a un aviso emitido por Google para los usuarios de Gmail en el que comenta que las cuentas de correo podrían estar en el punto de mira de los piratas informáticos. Esta advertencia por parte del gigante de las búsquedas, no es la primera, ya mandó otra a principios de junio de este año.

Google advierte a todos los usuarios de su correo electrónico Gmail de la posible inferencia de piratas informáticos en las cuentas que gestiona a través de emails que contienen archivos adjuntos maliciosos, enlaces a descargas sospechosas o links a sitios web falsos, diseñados para robar contraseñas u otra información personas. También añaden en su advertencia que, los sistemas internos de Google, no están comprometidos y que este mensaje de aviso no se refiere a una campaña concreta, sino que es una recomendación general emitida por la empresa para que sus usuarios se protejan de este tipo de ataques (incluido un enlace a una página de asistencia de Google).

Imagen

Siguiendo con este aviso, la multinacional anima a los usuarios a comprobar las fuentes que envían este tipo de enlaces y archivos adjuntos, y a asegurarse de que están en las páginas reales y verdaderas cuando inician una sesión a través de Google. También se recomienda tener actualizado el software, en el que se incluyen todas las opciones de seguridad pertinentes. Es más, Mike Wiacek, director del departamento seguridad de la información, ha señalado que Google ha estado reuniendo datos acerca de grupos de piratas informáticos y de las técnicas que emplean, añadiendo que los ataques provenían de “una gran cantidad de países”. Aunque Wiacek se ha negado a dar nombre concretos, dice que se ha producido un aumento de ataques patrocinados por ciertos gobiernos (tenemos el ejemplo de China en enero de 2010 que empleó métodos “piratas” para entrar en las cuentas de Gmail de disidentes chinos y defensores de derechos humanos). Además, añade que este tipo de acciones es poco probable que disminuyan a corto plazo.

¿Qué hacemos?

Primero, preocuparnos. Si la propia Google tiene tan claro estos ataques, es por algo. En segundo lugar, mantener, o aumentar, el cuidado que hay que tener siempre, protegiendo nuestra información personal y evitando cualquier adjunto, link, enlace o página, de la que no sepamos su procedencia. Vamos, lo de siempre.

Fuente: MovilZona
Voy a dar mi granito de arena, Gmail tiene un fallo como a tenido hotmail. Yahoo , Aol ( TAMPERDATA ) durante años y activo que permite cambiar contraseñas con nada y en 2 minutos. la unica que corrijio el bug correctamente fue MS, las demas cambiando el ataque siguen siendo vulnerables.
Mozilla actualiza urgentemente Firefox 16 por vulnerabilidad que revela las URLs

Se ha anunciado una vulnerabilidad en el navegador Mozilla Firefox 16.0 que podría permitir a un usuario remoto conocer las urls visitadas por un usuario.


Este fallo ha provocado que Mozilla se viera obligada a eliminar la versión 16.0 de la página de descargas durante unas horas (y llegar incluso a recomendar volver a instalar la versión 15.0.1). Podemos confirmar que Mozilla acaba de publicar la versión Firefox 16.0.1 (para Windows, Mac y Linux) destinada a corrigir la vulnerabilidad. También avisa que se ha publicado una actualización para la versión de Android.

La vulnerabilidad podría permitir a un atacante a través de una página web maliciosa determinar que sitios web han visitado los usuarios, así como acceder a las URLs o los parámetros de las URLs. En el aviso Mozilla afirma no tener conocimiento de que la vulnerabilidad se esté explotando en la actualidad.

Los usuarios de la versión 16.0 recibirán la actualización de forma automática, y la nueva versión 16.0.1 ya actualizada se encuentra disponible para descarga.

Fuente: Hispasec
Actualizaciones de seguridad de Java para Apple Mac OS X

Apple ha lanzado nuevas actualizaciones de seguridad de Java para su sistema operativo Mac OS X que solventa hasta 20 vulnerabilidades que podrían ser aprovechadas con diversos efectos.


Esta es actualización afecta a las versiones Mac OS X v10.6.8, Mac OS X Server v10.6.8, OS X Lion v10.7 (o posterior), OS X Lion Server v10.7 (o posterior), OS X Mountain Lion v10.8 (o posterior). Las vulnerabilidades corregidas corresponden a la versión 1.6.0_25 de Java que ahora queda actualizado a la 1.6.0_27.

Las vulnerabilidades corregidas son de diversa gravedad, sin embargo tal y como avisa Apple la más seria permite a un applet no fiable ejecutar código arbitrario fuera de la sandbox. Visitar una página web que contenga un applet maliciosamente creado podría dar lugar a la ejecución remota de código con los privilegios del usuario. No está de más recordar que en la actualidad gran parte de las infecciones por troyanos bancarios es una máquina virtual Java desactualizada.

Por otra parte, esta última actualización de Java para OSX ya no solo desactiva el plugin en el navegador, sino que lo desinstala en todos los navegadores. Para usar los applets en una página aconseja a los usuarios pulsar en la zona marcada como "Missing plug-in" para descargar la última versión del plug-in directamente desde Oracle.

También cabe destacar que en esta ocasión Apple ha publicado la actualización bastante rápido. Tan solo han transcurrido un par de días desde el lanzamiento de la versión oficial por parte de Oracle. Cuando frecuentemente solían transcurrir semanas para que Apple actualizara sus propios paquetes.

Las actualizaciones pueden ser instaladas a través de la funcionalidad de actualización (Software Update) de Mac OS X o, según versión y plataforma, descargándolas directamente desde:
http://support.apple.com/downloads/

Fuente: Hispasec
Adobe soluciona seis vulnerabilidades críticas en Shockwave Player

Adobe Systems ha publicado un nuevo boletín de seguridad (APSB12-23) que soluciona seis vulnerabilidades críticas en Shockwave Player.


Shockwave es la tecnología desarrollada inicialmente por Macromedia y posteriormente comprada y ampliada por Adobe para la creación y reproducción de contenidos multimedia y juegos. Aunque no es tan popular como Flash, todavía es ampliamente utilizado para juegos online y presentaciones, tanto en plataformas Windows como Macintosh.

Las vulnerabilidades, relacionadas con desbordamientos de memoria producidos en el reproductor, permitirían a los atacantes la ejecución remota de código, a través de ficheros Shockware (.DCR) especialmente manipulados. Los CVEs completos son los siguientes: CVE-2012-4172, CVE-2012-4173, CVE-2012-4174, CVE-2012-4175, CVE-2012-4176, CVE-2012-5273

Adobe recomienda actualizar a la versión 11.6.8.638 de Shockwave Player, disponible desde:
http://get.adobe.com/shockwave/.

Fuente: Hispasec
Yo he infectado mi propio imac con una simple variante del troyano Dark-comet teniendo total acceso remoto a el, el problema entonces fue que no habia manera de desinstalar el server por lo que tuve que formatear mi pc victima, mi imac.
Me da para pensar que cientos o miles de imacs pueden estar infectados sin que las victimas se den cuenta al confiar en mac y en los antivirus que hay para mac que en mi opinion son una basura que no detectan un server puro, osea sin encryptar ni nada, hablo del clam-av por ejemplo.
VIVA LINUX Y FREEBSD
Vulnerabilidades en productos Mozilla

Se han publicado tres vulnerabilidades en productos Mozilla relacionadas con el objeto 'Location' que podrían permitir a un atacante remoto realizar ataques Cross-Site Scripting o evadir restricciones de seguridad. Afectan a al navegador Firefox, al gestor de correo Thunderbird y la suite SeaMonkey.


Mozilla ha publicado un boletín de seguridad de carácter crítico alertando de tres vulnerabilidades en sus productos estrellas Firefox, Thunderbird y SeaMonkey.

La primera de ellas ha sido descubierta por Mariusz Mlynski e identificada como CVE-2012-4194. Se trata de un error a la hora de proteger el valor del objeto 'window.location' que podría ser simulado mediante el método 'valueOf' y utilizarse para realizar ataques Cross-Site Scripting (XSS) de forma remota. Thunderbird solo se vería afectado a través de RSS y complementos que carguen contenido web.

La vulnerabilidad con CVE-2012-4195 ha sido descubierta por 'moz_bug_r_a4' y se basa en un error en la función 'CheckURL' en 'window.location' al no determinar correctamente el documento llamado en los valores de retorno. Esto podría ser aprovechado para realizar ataques XSS y ejecutar código HTML y Javascript arbitrario en el navegador de un usuario.

Por último, Antoine Delignat-Lavaud del equipo de investigación Prosecco descubrió cómo eludir las protecciones de seguridad 'Same Origin' y acceder al objeto 'Location' usando un ataque de inyección de propiedades. A esta vulnerabilidad se le ha asignado el identificador CVE-2012-4196.

Estos errores han sido corregidos en las versiones 16.0.2 de Firefox y Thunderbird, y en SeaMonkey 2.13.2. Es posible descargar estas versiones desde la página oficial y el FTP de Mozilla.

Fuente: Hispasec
Windows 8: lanzado el viernes y ya existe un virus que lo vulnera

Windows 8 fue lanzado al mercado por Microsoft el pasado viernes y a día de hoy, ya existe un virus que compromete su seguridad. En un momento como el actual, en el que el citado sistema operativo empieza a venderse a muchísimos usuarios, se antoja ideal el contexto para una rápida proliferación del malware.

El malware en cuestión, se hace pasar por antivirus y realiza un escaneo para intimidar a los usuarios al notificar posibles amenazas, provocando que el usuario decida instalarlo para solventarlos. La característica llamativa es que el malware se presenta yestá empaquetado como un programa para Windows 8.


Por cortesía de Trend Micro, se ha comprobado que el malware se detecta como TROJ_FAKEAV.EHM. Es un problema para el usuario porque es reciente y se presenta como un programa para Windows 8, algo complicado de anticipar por la temprana salida del sistema operativo a la venta.

En este punto, cabe recordar las recomendaciones del FBI sobre smartphones y los virus a los que están expuestos. Es importante que esta vulnerabilidad sea de dominio público lo más rápido posible para evitar que los ciberdelicuentes aprovechen de nuevo un reciente lanzamiento, como ya ocurriera con Instagram y Bad Piggies.

Fuente
coyote escribió:Windows 8: lanzado el viernes y ya existe un virus que lo vulnera
...
El malware en cuestión, se hace pasar por antivirus y realiza un escaneo para intimidar a los usuarios al notificar posibles amenazas, provocando que el usuario decida instalarlo para solventarlos. La característica llamativa es que el malware se presenta y está empaquetado como un programa para Windows 8.
...

Si bueno lo que pasa es que eso es un "virus" de los de ahora, resulta que tú mismo te lo instalas y le das permisos para que te infecte.

Y es que desde que la informática se abrió al público mendrugo a cualquier cosa se le llama virus. De hecho no es muy difícil que digamos hacer uno mismo un "virus" de estos sabiendo que el usuario nos va a permitir acceder a lo que queramos. Pero incluso en Linux, lo que pasa es que en lugar de hacer saltar el UAC pues haces saltar el gksudo o kdesudo y, a partir de ahí, haces lo que te venga en gana los próximos 5 minutos (configuración por defecto), mucho más de lo que necesita un programa para dejarte el sistema a tu antojo.

Los informáticos estamos un poco hartos ya que nos digan que nuestros productos están mal hechos y tienen agujeros cuando no los tienen y la culpa es del mendrugo del usuario. Un claro ejemplo con el que me hierve la sangre es con el famoso phising, en el que la culpa es por supuesto del servicio online y no del usuario que le llega un correo, le mete su usuario y clave y se queda tan pancho.

A ver si de una puñetera vez se empieza a enseñar seguridad informática de una forma general y que dejen de echar la culpa a los informáticos, y todo para tener contento al populacho mendrugo, para no decirles a la cara "¡es que eres tonto!".
El virus no "vulnera" nada. La mayoría de virus no vulneran el sistema porque los virus son programas. El único sistema operativo 100% seguro sería el que no dejase ejecutar aplicaciones.

Otra cosa es que haya salido un virus pensado para Windows 8.
Este hilo es muy útil para informarnos de todas las cosas nuevas y amenazas que nos puede llegar a la pc, lo voy a seguir y desde ya agradezco a todos los colaboradores que esten aportando en el tema.
El antivirus Sophos introduce numerosas vulnerabilidades en el sistema

Tavis Ormandy lo ha vuelto a hacer. Se ha remangado y estudiado a fondo el comportamiento de este antivirus hasta encontrar numerosas vulnerabilidades muy interesantes tanto de diseño como de implementación. Pero lo que es peor, se ha topado con un producto que empeora la seguridad del sistema operativo, y con un laboratorio al que le cuesta corregir los problemas encontrados.

En agosto de 2011, Ormandypublicó un extenso estudio sobre Sophos, (llamado irónicamente "Sophail") en el que "ridiculizaba" la implementación de las protecciones que ofrecía el motor, desde el sistema de firmas hasta la protección de los desbordamientos de memoria que prometían, entre otras. Criticaba el uso de XOR para "cifrar", la parafernalia "psuedocientífica" que ostentaba su publicidad en contraste con la realidad de una implementación "inocente" contra algunos ataques... Incluso estudiaba abiertamente cómo el propio antivirus abría una superficie de ataque en el sistema para quien quisiera aprovecharla.

Bajo la versión 2 de ese documento, Ormandy se centra ahora en encontrar vulnerabilidades en el motor en sí y más problemas en la implementación. No han sido pocos los problemas encontrados. Entre ellos, algunos que empeoran la seguridad de Windows:

* Ejecución de código al mandar analizar un binario especialmente manipulado en formato RAR, PDF, un ejecutable en Visual Basic y CAB.

* Elevación de privilegios gracias a un problema de permisos en Sophos.

* CrossSite Scripting a la hora de mostrar código HTML podría permitir el robo de cookies del usuario. Esto ocurre en la página de bloqueo de contenido supuestamente malicioso que muestra el antivirus en el navegador.

* La protección Buffer Overflow Protection System (BOPS) de Sophos, lejos de proteger, carga en cada proceso del sistema una DLL sin ASRL activo, por lo que a efectos prácticos, inutiliza el ASRL del sistema.

* El servicio Layered Service Provider (LSP, que bloquea contenido de Internet Explorer) carga módulos desde un directorio de integridad baja y escribible, lo que en la práctica inutiliza el modo protegido de Internet Explorer.

Los últimos dos errores, son bastante sencillos de encontrar y a su vez bastante burdos y que entrañan un profundo desconocimiento de la seguridad básica actual de Windows. Para detectarlas solo se necesitan mirar las características de los binarios que componen el producto Sophos. De hecho, Tavis arremete en el documento contra Sophos en este sentido:

Uno de los "product manager" de Sophos dijo "La librería de Sophos Sophos_detoured.dll se ha compilado sin ASLR por motivos de rendimiento". Luego aclararon que esto no representa la posición del equipo de seguridad de la empresa y se debía a un malentendido.

Por tanto, no se trata solo de vulnerabilidades en el código: esos problemas ocurren en cualquier software y son totalmente comprensibles... Los fallos de Sophos parecen un grave problema de entendimiento de la seguridad de base, o al menos, descuidos imperdonables teniendo en cuenta que precisamente pretenden proteger al usuario. La frase de Ormandy con la que concluye el estudio, es muy reveladora:

"Sophos pudo convencerme de que trabajaban con buenas intenciones, pero realmente no disponían del equipo necesario para manejar la información descubierta por un investigador de seguridad que coopera en su tiempo libre. Me dijeron que trabajarían en esto y que mejorarían sus prácticas internas de seguridad."


De hecho, la mayoría de problemas (comunicados el 10 de septiembre) han sido resueltos ya y para los que no, está programada una actualización.

Fuente
Twitter podría haber recibido un ataque hacker masivo


Miles de usuarios han recibido hoy un correo electrónico en el que Twitter les obliga a cambiar la contraseña, lo que podría indicar un ataque hacker masivo a perfiles de esta red.

La causa más comun por la cual Twitter envía este tipo de mails es porque muchas de las cuentas han sido atacadas, aunque esto no significa que todas hayan sido víctimas de piratas cibernéticos, si no que lo hace para asegurar la seguridad de todas las sí lo han sido.

Twitter no ha lanzado ningún comunicado oficial ni ha dado ninguna explicación a las preguntas hechas al respecto.

Estos son los consejos que da Twitter desde su blog para cuentas que hayan sido atacadas

Fuente: LaVanguardia
Microsoft publicará 6 boletines de seguridad el próximo martes

Microsoft ha publicado un avance de los boletines de seguridad que publicará el próximo martes. Serán un total de seis boletines que solucionarán 13 vulnerabilidades. Es la primera vez que se publicarán parches oficiales para Windows 8 y Server 2012 dentro del ciclo de actualización.

Un pequeño resumen de lo que se publicará (que siguiendo su nomenclatura habitual, abarcará desde el boletín MS12-071 hasta el MS12-076):

* Un boletín de carácter moderado que afectará a Microsoft Windows Vista, 2008, Server 2008, Server 2012 (por primera vez) y 7, y corregirá una revelación de información sensible.

* Un boletín de carácter importante afectará a la suite Office en todas las versiones soportadas. Corregirá un error de ejecución de código arbitrario.

* Cuatro boletines serán de carácter crítico y solucionarán varios errores de ejecución de código arbitrario. Se verán afectados todos los sistemas operativos Windows, Internet Explorer 9 y el framework .NET.


Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Fuente
147 respuestas
1, 2, 3