19 de abr. de 2015

¿Por qué el (e)mail está cada vez más en desuso?

Harto de que los mails sirvieran para culpar a otros, agotado de rastrear adjuntos en capas geológicas de conversaciones, y ante el cálculo de que entre los mensajes recibidos por sus 76.000 empleados sólo un 10 por ciento era útil y un 18 por ciento era spam, en 2011 el CEO de la empresa de tecnología Atom decidió tomar una medida drástica: prohibió mandar mails dentro de la empresa.

La reducción fue paulatina y hoy el caso Atom -que reportó en los años siguientes un crecimiento de sus ganancias y una reducción de sus gastos administrativos- es el primero de una tendencia imparable: el mail, como alguna vez el télex y el fax, está en peligro de extinción, por lo menos como mecanismo de comunicación interna.

La comunidad creativa lo acusa de ser una pésima herramienta para trabajar en equipo. Los adolescentes simplemente lo abandonan. En 2010, una encuesta nacional de UNICEF les preguntó a los jóvenes qué actividades realizaban en la Web. "Mandar o recibir correos electrónicos" figuró en séptimo lugar, con un 25 por ciento de menciones. Cuando repitieron la encuesta en 2013, los mails no fueron mencionados.

Entre los adultos crece la conciencia de que dedicamos mucho tiempo a los mails sin que resulten productivos. Un estudio de la consultora McKinsey mostró, en 2012, que el mundo corporativo dedica el 30 por ciento del tiempo a administrar mails y 20 por ciento a buscar información o personas dentro de la organización para resolver tareas. Esto está cambiando por varios motivos: el crecimiento de las redes sociales, la conexión permanente vía celular y la proliferación de equipos de trabajo horizontales y dispersos.

Los mails no funcionan bien en ese contexto. En un post en la red social Medium, el emprendedor Thomas Knoll explicó todas las cosas en las que el correo electrónico falla: es malo para hacer preguntas porque genera una cultura de pasarle la pelota a otro y que los proyectos se detengan; es malo para enviar adjuntos porque se terminan generando distintas versiones de lo mismo y es difícil encontrar la correcta, y es malo para compartir información porque es difícil volver a encontrar los datos.

El creativo de la agencia Circus Francisco Crescimbeni dedicó un post de su blog a los mails donde dice: "1. Siempre te van a llegar más mails de máquinas que de personas. 2. Si al mail que te mandan no lo contestás al toque no lo contestás nunca. 3. Lo difícil no es mandar un mail, lo difícil es escribir el asunto. 4. Viene lo extremadamente relevante, lo importante, lo irrelevante, lo inservible y, por último, las actualizaciones de LinkedIn. 5. No hay spam que por mail no venga".

El mercado de las aplicaciones que buscan reemplazar al mail es uno de los más competitivos del momento. Existen decenas de productos diseñados para celulares, que se sincronizan con las computadoras y emulan la lógica de las redes sociales. Desde Yammer, de Microsoft, o Asana, la aplicación de uno de los fundadores de Facebook, hasta Slack, que nació cuando los productores de un videojuego se cansaron de lidiar con los mails y crearon su propia aplicación.

Kattie Wattie, vocera de este emprendimiento, asegura: "Si todos podemos ver lo que están haciendo los demás, las cosas se vuelven más eficientes: se necesitan menos reuniones y con el tiempo se construye un archivo de conocimiento de la organización que es muy valioso y que losmails suelen ocultar".

Matías Cacciagrano es programador y fundador de Creactivis, una comunidad de tecnología y emprendedorismo para chicos de 10 a 18 años que decidió abandonar el mail: "Nos inundábamos de cadenas infinitas, con información fragmentada, desdoblada y duplicada -recuerda-. Ahora podemos direccionar la energía a lo importante y el resultado es notable: tenemos más tiempo para ser creativos, productivos y participar en forma activa de la discusión. Además, pudimos reducir drásticamente el tiempo en que un nuevo integrante está operativo".

El común denominador de las nuevas aplicaciones es que organizan la conversación alrededor de proyectos o trabajos, no de personas. Uno de los fundadores de Asana, Justin Rosenstein (ex responsable del desarrollo tecnológico del botón "Me gusta" en Facebook), explicó la lógica detrás de las nuevas plataformas en un editorial: "En nuestras vidas privadas, el objetivo es el amor, entendido como la conexión interpersonal auténtica. Eso requiere una red social donde las personas están en el centro. Para nuestra vida laboral, el objetivo es la creación [trabajar juntos para realizar nuestro potencial colectivo] y eso requiere una red laboral, con el trabajo en el centro".

Esta forma de entender el trabajo colectivo no es nueva y encuentra antecedentes en el mundo de los programadores. A Cacciagrano, por ejemplo, le resultó fácil dar el salto. "En Creactivis, se dio de una manera bastante natural porque muchos crecimos usando Internet Relay Chat [IRC]." Se trata de una forma de chat que, a diferencia de la mensajería instantánea tradicional, permite que todos los usuarios que participan de un canal conversen entre sí, aunque no hayan tenido contacto previo. Las nuevas aplicaciones proponen algo similar.

¿Y cómo será la herramienta que nos permita prescindir de los mails? Para Cacciagrano, todavía no se inventó, pero estamos en camino. "Tendría que estar inspirada en el uso que les dan los adolescentes a las herramientas de comunicación: no usan mail, consideran Facebook una red social vieja, no consumen minutos de plan de telefonía móvil y tienen un promedio de 15 grupos de WhatsApp. Están un paso adelante y no me extrañaría que la nueva solución la inventen estudiantes de 16 años cansados de no encontrar herramientas para hacer sus trabajos prácticos."

Por las dudas, Cacciagrano y su equipo trabajan junto con la agencia Grey en un estudio sobre cómo se comunican 100 jóvenes de entre 11 y 17 años. De ahí surgirán nuevas pistas. Seguramente no las manden como adjunto.

Fuente: La Nación

#Phishing atrapa víctimas en cuestión de minutos

Se encontró que en muchas de las empresas, alrededor del 25% de los que recibieron un correo electrónico de phishing tuvieron intenciones de abrirlo.

"La capacitación de los empleados es un elemento fundamental de la lucha contra esta amenaza", dijo Bob Rudis, autor principal del informe.

Engañar a la gente para que abra un mensaje que en realidad es una trampa, permite al atacante obtener credenciales de inicio de sesión que se podrían utilizar para traspasar una red o robar datos, indica el informe. "No tienen que usar hazañas de software complejas ya que a menudo pueden hacerse de credenciales legítimas", dijo Rudis.

En el análisis de las violaciones de datos se encontró que, en muchos casos, a los correos de phishing recién enviados les tomó menos de dos minutos encontrar su primera víctima. Y según dijo Rudis, la mitad de las víctimas habían hecho clic en el mensaje durante la primera hora después de enviarse el correo. "Aunque los atacantes acumularon víctimas rápidamente, a las empresas les tomó mucho más tiempo notar que habían sido comprometidos".

En el informe también se encontró que las empresas podrían tomar medidas directas para defenderse de correos electrónicos de phishing bien elaborados y diseñados para hacer que las personas accedan a ellos y a sus archivos adjuntos.
Capacitar al personal para detectar correos fraudulentos podría reducir el número de víctimas en uno de cada cuatro o hasta uno de cada veinte correos enviados.
Mostrar a los empleados las características que revelan un correo electrónico de phishing también podría convertirlos en otra línea de defensa que se podría encargar de los mensajes perdidos por los sistemas de detección automática. "Se les debe tratar a los empleados como herramientas en la lucha y no como corderos a la masacre", dijo el Sr. Rudis.

Después del phishing, algunos ciberladrones se enfocaron en empresas con software desactualizado y vulnerable a exploits antiguos y conocidos. Más del 99% de las vulnerabilidades explotadas en las violaciones de datos ya se conocían desde hace más de un año, dijo Rudis. Algunas otras ya se conocían desde hace una década. "Hay algunas vulnerabilidades que sólo permanecen ahí afuera".

Un buen régimen de parches ayudaría a las empresas a protegerse contra la mayoría de los abusos de vulnerabilidades de los cibercriminales, añadió el Sr. Rudis.

Fuente: UNAM y BBC

18 de abr. de 2015

Decompiladores de Java online

Si te encuentras en la necesidad, por el motivo que sea, de tener que acceder al código fuente de una aplicación Java y obviamente no tienes acceso al mismo, la mejor opción en la mayoría de los casos es usar un decompilador.

Por la naturaleza de la arquitectura del lenguaje Java, a menos que la aplicación que tenemos entre manos haya sido ofuscada, el resultado de la decompilación suele ser bastante precisa, con quizás algunas excepciones.

Si no tienes a mano un decompilador o no sabes cual usar o simplemente es una tarea esporádica y no te quieres molestar en instalar nada, desde la web javadecompilers, puedes decompilar un fichero .class o un archivo .JAR.

En dicha web, no sólo tienes un decompilador, sino 5:
  • CFR – Moderno, capaz de decompilar Java 8, gratuito, pero de código propietario.
  • Procyon – También capaz de decompilar Java 8 y open source.
  • JD – No tan actualizado como los anteriores, decompila Java 5 y gratuito para uso no comercial.
  • Fernflower – Actualizado, muy prometedor e integrado con el popular IDE ItelliJ
  • JAD – Un viejo conocido, pero algo anticuado.
Desde la web, puedes subir tus ficheros y una vez hayan sido procesados, podrás descargarte un archivo .zip en el resultado de la decompilación.

Una buena web para tareas esporádicas y/o para probar los distintos decompiladores arriba mencionados.
Si ninguna de las opciones ofrecidas te satisfacen, aquí tienes una buena lista con más opciones, pero en esta caso tendrás que descargarte las herramientas y probarlas por ti mismo.

Fuente: Cyberhades

"Mi ex sube fotos de nuestros hijos en las redes sociales"

Muchas veces las separaciones de parejas con hijos son traumáticas y se realzan las personalidades de cada padre, el permisivo y el estricto. Dentro de las múltiples causas de peleas que pueden aparecer, cabe preguntarse si un padre puede prohibir que el otro suba fotos de sus hijos menores en redes sociales.
Cualquiera de los cónyuges puede oponerse a que el otro “cuelgue” fotos de sus hijos menores.
La pregunta que debemos formularnos a continuación es: ¿Es recomendable subir fotos de nuestros hijos menores a redes sociales?

Dice la frase “En Internet ten cuidado con tus hijos … No todo el mundo es quien dice ser”, y revela una gran verdad. Por ello, en primer lugar siempre se recomienda que los perfiles no sean públicos, de modo que cualquier usuario de la red social pueda ver fotografías de tus hijos.

¿Que sucede con las instituciones, colegios, asociaciones, clubes, que para publicitar sus actividades suben fotos como usuarios de los chicos menores de edad? Ello también esta prohibido y solo lo pueden hacer con autorización escrita de ambos padres. Además, esa autorización debe contener información sobre el uso que van a tener esas fotos, a quien se les va a ceder, en que soporte se van almacenar y deben estar inscriptos conforme a la Ley de Protección de Datos Personales 25326, para que los padres puedan ejercer el derecho de acceso, rectificación y cancelación de las fotografías y cualquier otro dato de los menores. Por supuesto que ese consentimiento lo podemos revocar cuando queramos.
Otro tema que genera duda es que sucede si nuestros hijos están en compañía de otra persona, y es este quién cuelga la foto, supongamos en el ámbito de un cumpleaños. También en este caso se precisa el consentimiento de los padres, o pueden los padres pedir que se saquen las fotos de internet.

Es primordial que los padres sepan ejercer los derechos que tienen sobre los niños e informarse sobre las prácticas seguras en internet. Aquí puedes leer algunos consejos:
  1. Nunca se recomienda publicar fotos de tus hijos desnudos o en ropa interior. Puede parecer de sentido común, pero es llamativo ver la cantidad de fotografías de niños desnudos que se encuentran en las redes sociales. Para nosotros son fotos inocentes, pero hay personas que las pueden utilizar con fines pornográficos.
  2. Deben evitar publicar información para que terceros sepan dónde están tus hijos o puedan inferirlo. Por ejemplo, se recomienda no publicar fotos de tus hijos en la puerta del colegio.
  3. En el mismo sentido, no subas fotos donde también aparezca tu auto y se pueda ver la patente. Ese dato permite fácilmente conocer el domicilio del menor.
  4. Jamás identifiques a tu hijo con nombre y apellido. Se recomienda usar algún apodo o el nombre solo.
  5. No es necesario que divulgues información sobre lo hacen tus hijos, como actividades extracurriculares. Recuerda que la información que mejor se conserva es la que no se divulga.
  6. Si has sacado la foto con un smartphone o una tablet asegúrate de desconectar la función de GPS. Si no lo haces cualquiera podrá saber dónde se sacó la foto.
  7. Pedile a tus familiares y amigos que te pidan permiso antes de publicar una fotografía de tu hijo en internet.
  8. Configura correctamente la privacidad y los filtros de tu perfil en las redes sociales.
Fuente: El Cordillerano

17 de abr. de 2015

IBM comparte décadas de inteligencia sobre ciberamenazas

IBM anuncia la apertura a la comunidad de su biblioteca de conocimiento sobre seguridad a través de IBM X-Force Exchange. De este modo, los expertos en seguridad podrán acceder libremente a décadas de información práctica de IBM y de terceros sobre amenazas, incluyendo indicadores en tiempo real de ataques que están teniendo lugar en ese momento y pueden servir para defenderse de los ciberdelincuentes.

La necesidad de una información fiable acerca de las amenazas es mayor que nunca, ya que el 80% de los ciberataques los dirigen organizaciones criminales que comparten activamente los datos, las herramientas y la experiencia técnica. Aunque los hackers han evolucionado, sus objetivos no lo han hecho. La mayoría (el 65%) de los equipos internos de ciberseguridad usan múltiples fuentes de información externa fiable y no fiable para luchar contra los atacantes.

X-Force Exchange se basa en la inteligencia de seguridad de IBM y en su propuesta tecnológica de investigación de amenazas con soluciones como QRadar, así como en la experiencia de miles de clientes y una red global de analistas de seguridad de IBM Managed Security Services. De este modo, a través de una potente infraestructura abierta en la nube, los usuarios pueden acceder a diversas fuentes, que incluyen:
  • Uno de los catálogos más amplios y completos sobre vulnerabilidades del mundo.
  • Información acerca de amenazas basada en la supervisión de más de 15.000 millones de eventos diarios de seguridad.
  • Información sobre malware de una red de 270 millones de terminales.
  • Datos sobre amenazas basados en más de 25.000 millones de páginas web e imágenes.
  • Información en profundidad sobre más de 8 millones de ataques de spam y phishing.
  • Datos acerca de la reputación de casi 1 millón de direcciones IP maliciosas.
Actualmente, X-Force Exchange contiene más de 700 terabytes de datos agregados sin procesar facilitados por IBM. Esta cantidad seguirá aumentando, actualizándose y compartiéndose ya que la plataforma puede añadir hasta 1.000 indicadores maliciosos por hora. Entre estos datos se incluye información en tiempo real que podría resultar crítica en la lucha contra la ciberdelincuencia.

Compartir de una forma automatizada y social

IBM X-Force Exchange es una nueva plataforma en la nube que permite a las organizaciones colaborar de un modo sencillo en incidentes de seguridad, así como beneficiarse de las continuas contribuciones de los expertos de IBM y los miembros de la comunidad.

Al consumir, compartir y actuar con inteligencia en tiempo real gracias al repositorio de amenazas conocidas de IBM, los usuarios pueden identificar y ayudar a detener las amenazas a través de:
  • Una interfaz social colaborativa con la que interactuar fácilmente y validar información de otras empresas del sector, analistas e investigadores.
  • Volúmenes de información de terceros, que seguirán aumentando a medida que lo hace la base de usuarios de la plataforma.
  • Una herramienta de recopilación para organizar y anotar conclusiones con facilidad, poniendo en un primer plano la información prioritaria.
  • Acceso libre en la red para los analistas e investigadores de seguridad.
  • Una biblioteca de APIs para favorecer las consultas programáticas entre plataforma, máquinas y aplicaciones; permitiendo a las empresas emprender acciones.
IBM también tiene previsto dar soporte en la plataforma a STIX y TAXII, el estándar emergente para compartir información sobre amenazas de un modo automatizado, obtener y compartir información de intercambio de manera sencilla y para una integración perfecta en los sistemas de seguridad actuales.

Ciberamenazas en contexto

Por primera vez, las organizaciones son capaces de interactuar directamente con los analistas e investigadores de seguridad de IBM, así como con otros actores de este sector, a través de la plataforma con el fin de validar los resultados y revelárselos a otras compañías que están luchando contra la ciberdelincuencia.

Por ejemplo, un investigador de seguridad puede descubrir un nuevo dominio con malware, señalándolo como malicioso dentro de la plataforma. A raíz de esto, un analista de otra compañía podría encontrarlo en su red y consultarlo con otros expertos para validar su peligro. Después, el analista aplicaría normas en su propia compañía para bloquear la amenaza, deteniendo el tráfico malicioso, y –a través de la plataforma– alertaría enseguida al Chief Information Security Officer (CISO) acerca de la amenaza. Posteriormente, el CISO agregaría esta fuente maliciosa a una recopilación pública en la plataforma, compartiéndola con otras firmas del sector. El objetivo último es detener la amenaza rápidamente antes de que pueda infectar a otras empresas.

Para más información, puede visitar http://www.ibm.com/security.

Fuente: DiarioTI

Darwin Nuke: paquete IP puede "noquear" un dispositivo Apple

En diciembre de 2014 Kaspersky Lab descubrió una vulnerabilidad en el Kernel Darwin, la parte de código abierto de OS X e iOS, por la que mediante un único paquete IP, con algunas opciones IP no válidas y un tamaño específico, se podía crashear un dispositivo con OS X 10.10 o iOS 8 instalado.

La vulnerabilidad ha sido bautizada como Darwin Nuke y ocurre al parsear las opciones de un paquete ICMP y generar un mensaje de error mediante la función icmp_error().

Cuando se cumplen las condiciones establecidas en el código, la función panic se activa y el sistema se apaga en modo de emergencia. Esto sucede porque las estructuras internas del kernel han cambiado y el nuevo tamaño del buffer no es suficiente para guardar un paquete ICMP recién generado. Para hacer esto, el paquete IP debe cumplir los siguientes criterios:
  • El tamaño de la cabecera IP debe ser de 60 bytes.
  • El tamaño del payload IP debe ser de al menos 65 bytes
  • Debe haber errores en las opciones IP (tamaño no válido de opción, de clase, etc.)

¿La solución? Actualizar a OS X 10.10.3 y iOS 8.3.

Fuente: Hackplayers

Sorpresa: aterrizó con minihelicóptero en el Congreso de EEUU

Un hombre aterrizó un minihelicóptero en los jardines del Capitolo en Washington DC, en una protesta contra la corrupción del sistema político estadounidense, dando lugar a su arresto y a una alerta de seguridad, informó la policía.

La Administración Federal de Aviación (FAA) indicó en un comunicado que está investigando el incidente junto con otras autoridades estadounidenses, añadiendo que el piloto no se había comunicado con los controladores aéreos.

"La FAA no lo autorizó a ingresar al espacio aéreo restringido", señaló.
Según el diario Tampa Bay Times del estado de Florida (sureste), el piloto es Doug Hughes, un cartero de Florida de 61 años, a quien entrevistó y grabó durante el acto.

Su objetivo era hacer un acto de desobediencia civil para interpelar a los parlamentarios sobre la corrupción a raíz de la creciente liberalización del financiamiento de las campañas electorales.

"Exijo una reforma y declaro una rebelión del elector coherente con la descripción de (Thomas) Jefferson sobre los derechos en la declaración de la independencia", escribe el hombre en una carta que iba a enviar a cada uno de los 535 legisladores estadounidenses.

El sujeto explicó al Tampa Bay Times, que lo filmó preparando las cartas, que también preveía notificar anticipadamente a las autoridades.

El incidente ocasionó el cierre de las calles en torno al edificio, que está a unos dos kilómetros de la Casa Blanca.

El sobrevuelo de las inmediaciones del Capitolio, en el corazón de Washington, está estrictamente prohibido y hay restricciones fuertes en el área. Los aviones tienen que ser autorizados previamente.

Hughes volaba un girocóptero monoplaza de cabina abierta tipo Bensen, que la FAA clasifica como un "vehículo" ultraligero que no requiere ser registrado.

El girocóptero puede volar a unos 105 km por hora, durante no más de 90 minutos. No requiere despegar de un aeropuerto usa una hélice trasera para propulsarse.

Fuente: Ambito

16 de abr. de 2015

Operación Simda: cooperación internacional para desmanterlar botnets

Operación SIMDA es una iniciativa para eliminar un botnet masivo global que ha infectado a más de 770.000 equipos informáticos en todo el mundo. SIMDA ha sido utilizada por los ciberdelincuentes para obtener acceso remoto a ordenadores que permiten el robo de información personal, incluyendo contraseñas bancarias, así como instalar y propagar otro tipo malware. Las redes de bots son una red de equipos comprometidos que se mueve muy rápidamente y son utilizados para lanzar ciberataques informáticos de forma remota o difundir spam.
La desactivación de botnets requiere habilidad, precisión y coordinación para garantizar que la amenaza no se propague. Además de Trend Micro e INTERPOL, entre los participantes que contribuyen a la desarticulación se encuentran Microsoft, Kaspersky Labs y autoridades de ciberdefensa japonesas.

INTERPOL World 2015 es el primer evento bienal de este tipo para mostrar innovación, logros conjuntos y potenciales entre sector público y privado en el ámbito de la seguridad. Dirige la creciente demanda de tecnología y cooperación público-privada para enfrentar los desafíos globales de seguridad en cuatro áreas principales: ciberseguridad, ciudades seguras, gestión de fronteras y seguridad de la cadena de suministro.

Tratando de anticiparse al futuro de la ciberdelincuencia y permitir a gobiernos, empresas y ciudadanos prepararse ante desafíos y oportunidades de la próxima década, el Proyecto 2020 es una iniciativa de la Alianza Internacional de Protección de la Ciberseguridad (ICSPA, por sus siglas en inglés) apoyado por Trend Micro y Europol.

Con el tiempo, los ciberdelincuentes se han congregado en foros clandestinos y han desarrollado servicios, habilidades, modelos de negocio y plataformas para hacer del cibercrimen automatizado una realidad, incluso operando en la parte inescrutable de Internet, conocida como DeepWeb.

Fuente: DiarioTI

Chrome 42: desactiva por defecto Java y otros plugins

Google Chrome en su versión 42.0.2311.90, ha terminado por cumplir lo que ya había anunciado: finalmente, se ha deshabilitado el soporte para plugins NPAPI, entre los cuales se encuentran algunos reconocidos como Netscape, Java y Silverlight.

Esta versión, además de presentar 45 actualizaciones de seguridad, implementa el esperado nuevo sistema de notificaciones push, que llegará para darle un importante empujón a las aplicaciones web.

Esta última actualización, como ya anunció Google hace tiempo, se ha deshabilitado la API que utilizaban anteriormente los plugins. Este cambio afecta a los plugins NPAPI, mientras que los más recientes PPAPI funcionan a la perfección, como es el caso de Adobe Flash, entre otros.

En la versión justo anterior, Google permitía a los usuarios habilitar, de forma manual, la compatibilidad con este tipo de plugins. Sin embargo, con este último lanzamiento se ha deshabilitado por completo el soporte para plugins NPAPI. Sin embargo, se desconoce aún si los navegadores web basados en Chromium seguirán la estela de Google Chrome en sus próximas actualizaciones, o bien continuarán un camino paralelo. Por otra parte, se contempla también que estos últimos apuren el plazo durante algunas semanas más, lo que sería conveniente para dar tiempo a adaptarse a los desarrolladores.

Además, pensando especialmente en los dispositivos móviles, Google ha lanzado una nueva API para su plataforma web con la que las webapps podrán ejecutar notificaciones push, de manera que ganarán una de las características más importantes para que su experiencia sea parecida a la de las aplicaciones nativas.

¿Qué hago si mis plugins no son compatibles con Google Chrome?

Como adelantábamos, hasta ahora habíamos podido habilitar el soporte para plugins NPAPI de forma manual. Ahora bien, con este nuevo lanzamiento, Google Chrome 42, la compañía de Mountain View no lo permite. Por lo tanto, las dos únicas opciones que tenemos actualmente son optar por plugins alternativos que sí sean compatibles, o bien cambiar a otro navegador web, como por ejemplo Firefox, de Mozilla.

Fuente: ADSLZone, Genbeta

MS15-034: Vulnerabilidad crítica en IIS (Parchea de immediato!)

Microsoft acaba de lanzar la actualización MS15-034 (CVE-2015-1635), que soluciona una vulnerabilidad crítica en el archivo http.sys utilizado Internet Information Services (IIS) y otros servicios de Windows. Dicha vulnerabilidad permite ejecución remota de código y denegación de servicio.

Algunos puntos importantes de la vulnerabilidad:
  1. Como esto no es un error específico de IIS, no aplica sólo a los servidores IIS, puede haber otros componentes afectados.
  2. Los sistemas vulnerables son Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, 8.1 Windows y Windows Server 2012 R2
  3. En principio, el fallo afecta a casi cualquier software de Windows que utiliza http.sys para responder a las solicitudes HTTP. Todo tipo de software podría caer en esa categoría: sistemas de mensajería, logs, agentes de configuración; redes Peer-to peer, demoniios, servicios y hasta una infección de malware ya existente.
  4. El fallo permite la ejecución remota de código. El exploit puede disparar una petición HTTP en apariencia inocente y, en teoría, esto se podría convertir en un gusano lo fue SQL Slammer. Este (por ahora teórico) gusano se podría difundir sin tener que esperar ninguna acción del usuario.
  5. El fallo está en un componente del núcleo, y su explotación exitosa dá el atacante privilegios de System.
  6. El código de explotación y una Prueba de Concepto (PoC) ya puede encontrarse en Internet. Por ahora esta PoC no intenta explotar el bug ni hacer algo deliberadamente malintencionado. La PoC realmente provoca un desbordamiento de búfer.

Detalles

La cabecera HTTP "Range" se utiliza para solicitar parte de un objeto del servidor y es usado comúnmente por gestores de descarga, para reanudar las mismas. El error viene de agregar el siguiente encabezado a una solicitud HTTP como la siguiente:
Range:
bytes=0-18446744073709551615

Como puede ver, es sólo un desbordamiento de enteros (64-bit) estándar, donde el número 18446744073709551615 es igual a -1.
Un ejemplo sería:
$ telnet IP PORT
GET / HTTP/1.1
Host: www.site.com
Range: bytes=0-18446744073709551615


$ curl -v http://IP/ -H "Host: irrelevant" -H "Range: bytes=0-18446744073709551615"
$ wget --header="Range: bytes=18-18446744073709551615" http://IP/default.aspx
Cuidado: esta firma específica parece inofensiva, pero hay otras variaciones que pueden causar un problema serio e incluso una blue screen.
Sin embargo, sirve como prueba útil para comprobar si el servidor está parcheado. Si el servidor está sin parchear, devolverá el siguiente error:
HTTP/1.1 416 Requested Range Not Satisfiable

En cambio si la respuesta es la siguiente, la vulnerabilidad está parcheada:
The request has an invalid header name
Sin embargo, las pruebas no son concluyentes porque se pueden encontrar algunas respuestas vulnerables sin que el servidor lo sea o viceversa.

Metasploit ya ha lanzado un módulo para su explotación al igual que NMAP.

Mitigación especial para IIS

Si tienes un servidor IIS, se puede evitar el daño incluso antes de aplicar la actualización M15-034, usando una solución publicada por Microsoft:
Deshabilitar IIS kernel caching. Esta solución es específica de IIS y puede causar problemas de rendimiento.
Tenga en cuenta que Kernel caching está activado por defecto en IIS 7 y versiones posteriores. Así se puede desactivar en el web.conifg o machine.config.

[configuration]
[system.webServer]
[caching enableKernelCache="false"/]
[/system.webServer]
[/configuration]

Referencias adicionales

Existe online checker sobre cualquier sitio, al igual que este otro.
    Recomendación: instalar de forma inmediata la actualización MS15-034.

    Cristian de la Redacción de Segu-Info