22/11/2014

Google publica Chrome 39 y corrige 42 vulnerabilidades

Google ya no sorprende con sus actualizaciones de Chrome, prácticamente todos los meses nos ofrecen una nueva versión. En octubre publicaba Chrome 38, y poco más de un mes después anuncia la nueva versión 39 del navegador. Se publica la versión 39.0.2171.65 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 42 nuevas vulnerabilidades.

Según el aviso de Google se ha incluido el soporte para 64 bits en Mac, se han incorporado nuevas aplicaciones y APIs así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 42 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 42 vulnerabilidades, solo se facilita información de 13 de ellas.

Una vulnerabilidad de falsificación de la barra de direcciones (CVE-2014-7899), un error que permite la navegación a los intentos que no tienen la categoría de navegable (CVE-2014-7905), una vulnerabilidad de doble liberación en Flash (CVE-2014-0574) y otro problema por memoria sin inicializar en Skia (CVE-2014-7909).

Otras vulnerabilidades están relacionadas con el uso después de liberar memoria en pdfium (CVE-2014-7900 y CVE-2014-7902), en plugins pepper (CVE-2014-7906) y en blink (CVE-2014-7907). Dos vulnerabilidades por desbordamiento de entero en pdfium (CVE-2014-7901) y en media (CVE-2014-7908). Y vulnerabilidades de desbordamiento de búfer en pdfium (CVE-2014-7903) y en Skia (CVE-2014-7904).

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2014-7910). Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 41.500 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Fuente: Hispasec

Actualización de seguridad en Wordpress 4.0.1

Se acaba de liberar una actualización importante de seguridad de Wordpress 4.0.1. Todas las instalaciones que soporten actualizaciones automáticas serán actualizadas a la versión inmediatamente superior (3.9.2 a 3.9.3, 3.8.4 a 3.8.5 y 3.7.4 a 3.7.5) pero a pesar de todo se recomienda encarecidamente que se actualice a la última y más reciente versión 4.0.1; la nueva versión corrige además 23 bugs de la versión 4.0 y algunas mejoras como una mejor validación de los datos EXIF de las imágenes subidas.

En cuanto a los problemas de seguridad hay tres de tipo Cross-site Scripting que podrían comprometer un sitio web vulnerable, engañar a un usuario para que cambie la contraseña o provocar una denegación de servicio.

Os recomendamos nuestra guía rápida para actualizar WordPress de forma manual si lo hacéis vía FTP por ejemplo, o sin usar la opción del panel e insistimos en la importancia de actualizar a la mayor brevedad.

Más información en la web oficial, lista de tickets y el changelog.

Fuente: Daboweb

NotCompatible: botnet para Android

Una versión nueva, más sofisticada y más sigilosa del troyano NotCompatible para Android [PDF], sigue reforzando una de las más longevas y avanzadas redes de bots móviles que jamás haya existido (desde mediados de 2012).

Haciéndose pasar por un "parche de seguridad" y distribuido a las víctimas a través de descargas no autorizadas de sitios web comprometidos y correos electrónicos spam desde cuentas comprometidas, NotCompatible.C muestra muchos cambios en comparación con las variantes anteriores.

El malware sirve como un proxy, y la red de bots (que se cree disponible para renta) es utilizada para campañas de spam, compra masiva de boletos, ataques de fuerza bruta (principalmente contra sitios WordPress) y para acceder a shells C99.

"Los operadores de malware para móviles no han hecho mucho para proteger su infraestructura o sus comunicaciones. NotCompatible.C, sin embargo, emplea una arquitectura de servidor de dos niveles", Tim Strazzere de Lookout explica la resistencia de la red de bots:
"El servidor de comando y control de la puerta de enlace utiliza un enfoque de balance de carga en el que los dispositivos infectados con direcciones IP de distintas regiones se filtran y segmentan geográficamente, sólo los clientes autenticados pueden conectarse. Este modelo no sólo brinda eficiencia de uso para el cliente, nuestra investigación sugiere que también ayuda en la prevención del descubrimiento. Tenemos la sospecha de que la puerta de enlace C2 hace más difícil para los sistemas de análisis de comportamiento e investigadores localizarlos a través del tráfico."
Además, todas las comunicaciones entre los clientes y los servidores de comando y control son cifradas y virtualmente indistinguibles de tráfico cifrado legítimo, señaló.

El dispositivo recibe un archivo de configuración desde el servidor de comando y control el cual incluye apuntadores a los demás servidores que se utilizan para controlar la botnet, pero también a otros clientes infectados. De esta manera puede ponerse en contacto con éstos últimos en caso de que su comunicación con los servidores de la lista haya sido bloqueada o impedida (por ejemplo, los servidores se han dado de baja por aplicación de la ley).

Además de ser una molestia obvia y un peligro para los usuarios de teléfonos regulares, NotCompatible también representa una amenaza para las redes corporativas.

"Creemos que NotCompatible ya está presente en muchas redes corporativas ya que hemos observado, a través de la base de usuarios de Lookout, cientos de redes corporativas con dispositivos que se han encontrado con NotCompatible" compartió Strazzere.

A pesar de que aún no se ha descubierto si se utiliza para atacar a redes protegidas, un dispositivo infectado con el malware que se conecte a la red de alguna organización, puede ser utilizado para enumerar equipos vulnerables dentro de la red, aprovechar vulnerabilidades, búsqueda de datos expuestos y otros.

Fuente: UNAM

21/11/2014

¿Los gobiernos te vigilan? Descúbrelo con Detekt

Después de declaraciones tan contundentes como las que suele hacer Edward Snowden, y de datos tan significativos como los que apuntan a que los gobiernos son los responsables del 87% del ciberespionaje, a más de uno se le habrá pasado por la cabeza la idea de que su ordenador también podría estar infectado con algún tipo de spyware gubernamental.

Para sacarnos de dudas ha sido lanzado Detekt, un nuevo software gratuito y de código abierto que protegerá nuestros equipos de los programas de spyware más utilizados por las agencias gubernamentales. La aplicación, desarrollada por el investigador de seguridad alemán Claudio Guarnieri, ha sido lanzada en asociación con Amnistía Internacional y diferentes organizaciones pro derechos civiles y de protección al consumidor.

La función de Detekt es la de escanear y analizar nuestros equipos para detectar si estamos infectados con alguno de los programas de ciberespionaje más utilizados por los gobiernos. Esta herramienta será de especial utilidad para todos los periodistas y activistas que, según Amnistía Internacional, son espiados en docenas de países alrededor del mundo.

Algunos de estos malwares espía, como el programa FinSpy desarrollado por la empresa FinFisher, son capaces de leer nuestros correos electrónicos, monitorizar nuestras conversaciones por Skype, extraer archivos de nuestros discos duros o sacarnos una foto utilizando la cámara web de nuestro ordenador.

Amnistía Internacional avisa de que lo más normal es que los desarrolladores de spyware reaccionen al lanzamiento de este programa, y que actualicen sus aplicaciones para evitar que sean detectadas. Por eso la asociación avisa de que, aunque los análisis de Detekt en nuestro equipo den negativo, podríamos igualmente estar infectados.

Fuente: GenBeta y Amnistía Internacional

Arrestan a los creadores de WireLurker, el malware para Mac OS X

Tres individuos han sido arrestados en China, sospechosos de haber estado involucrados en la creación y distribución de WireLurker, un malware que apunta a usuarios de Apple descubierto a principios de mes.
Los sospechosos, identificados por sus apellidos Wang, Lee y Chen, según reporta Security Week, quedaron bajo custodia el pasado jueves 13 de noviembre. Así lo confirmaron autoridades de Beijing.

WireLurker fue la primera amenaza conocida capaz de infectar iPhones que no han sido liberados, es decir, que no tienen proceso de jailbreak. ESET la detecta como OSX/WireLurker.A y luego de su análisis, se determinó que infecta usuarios a través de la tienda china de aplicaciones de terceros para Mac denominada Maiyadi. Una vez en la iMac o Macbook, espera que se produzca una conexión vía USB de un iPhone o iPad, y en cuanto se conecte el dispositivo al equipo, WireLurker se propagará al dispositivo.

Palo Alto Networks informó que también se ha encontrado una versión para Windows de este malware, que ESET detecta como Win32/WireLurker.A.

Según investigadores de la compañía, se identificaron 467 aplicaciones maliciosas, que para mediados de octubre habían sido descargadas cerca de 350 mil veces por usuarios chinos de la tienda Maiyadi. Una vez que, vía conexión USB, pasa (por ejemplo) de una Mac a un iPhone, WireLurker instala apps maliciosas capaces de robar información de los dispositivos, incluso en aquellos sin jailbreak. Esto es posible ya que los atacantes usaron certificados corporativos, es decir, aprovecharon la técnica de Apple que permite a las empresas instalar software especial en los dispositivos de sus empleados.

Según afirma la Oficina Municipal de Seguridad Pública de Beijing en su cuenta de Sina Weibo, los tres sospechosos conspiraron para desarrollar el malware en busca de ganancias ilegales, y luego de la detención, el sitio usado para distribuir el malware ha sido dado de baja.

Nuevamente, vemos cómo esfuerzos policiales y de autoridades de aplicación de la ley siguen esforzándose para desbaratar amenazas informáticas y dar de baja redes criminales. Hace poco, vimos cómo el FBI, Europol y el Departamento de Seguridad Nacional de los Estados Unidos, en conjunto con otros, ejecutaron un operativo en el que dieron de baja el mercado ilegal Silk Road 2.

Fuente: WeLiveSecurity

Firing Range: herramienta de Google para encontrar XSS

Google lanzó una herramienta de prueba de seguridad llamada Firing Range, destinada a analizar la eficacia de las herramientas de analisis Web y evaluarlas con una amplia gama de pruebas contra Cross-site Scripting (XSS) y algunas otras vulnerabilidades web muy comunes.

Firing Range proporciona un entorno de prueba muy básico para probar la eficacia de las herramientas de detección de vulnerabilidad XSS. Según Google, el 70 por ciento de los errores encontrados por su programa de recompensa son defectos relacionados a este tipo de vulnerabilidades. Además de las vulnerabilidades XSS, el nuevo escáner también analiza otros tipos de vulnerabilidades incluyendo Clickjacking, inyecciones en Flash, contenido de HTML/JS mixto y Cross-origin Resource Sharing.

La herramienta fue desarrollada por Google con la ayuda de los investigadores de seguridad del Politecnico di Milano. La idea es construir una herramienta en desarrollo continuo que permita agregar a mayor cantidad de errores posibles.


En la Google Test Automation Conference (GTAC), la empresa señaló que detectar vulnerabilidades XSS a mano es como beber del océano y según indican, la diferencia con otras herramientas está en la capacidad de automatización, lo que hace que sea más productiva su utilización: Firing Range se basa en una colección de patrones de fallos extraídos de vulnerabilidades encontradas In-the-Wild y observadas por Google.

Actualmente Google se encuentra desarrollando una herramienta de auditoría de vulnerabilidades para uso interno (a la que llaman Inquisition) para la cual necesitaban casos reales de vulnerabilidades para probar su eficacia.

Firing Range es una aplicación Java construida sobre Google App Engine y su código está disponible Github y se puede utilizar desde public-firing-range.appspot.com.

Fuente: The Hacker News

20/11/2014

Operación Toohash: ataque dirigido a empresas

Los expertos de G Data Security Labs han descubierto una campaña de spyware: TooHash [PDF], un ataque cibernético dirigido a empresas y organismos. El objetivo del ataque es robar información sensible de las empresas elegidas como blanco. Para ello usan un "lanza-phishing", un tipo refinado de phishing con un objetivo claro.

La mayoría de los archivos descubiertos provienen de Taiwán. A partir del análisis de caracteres, los expertos en seguridad creen que el spyware también ha sido utilizado en otros objetivos en diversas regiones de China, ya que parte de los documentos en cuestión están escritos en chino simplificado, el cual se habla principalmente en China continental. Las soluciones de G DATA detectan el spyware como Win32.Trojan.Cohhoc.A y Win32.Trojan.DirectsX.A.

"El malware adjunto en el correo aprovecha específicamente una vulnerabilidad de Microsoft Office y descarga una herramienta de acceso remoto en el equipo comprometido", explica Eddy Willems, experto en ciberseguridad en G DATA. "En esta campaña hemos identificado dos tipos diferentes de malware. Ambos contienen componentes de espionaje cibernético verificados, tales como código de ejecución automática, listado de archivos, robo de datos, etc."

Durante su análisis, los expertos de G Data Security Labs han encontrado cerca de 75 servidores de control que son usados para administrar los equipos infectados. La mayoría de los servidores están localizados en Hong Kong y Estados Unidos.

"Sorprendentemente, no es difícil encontrar comprador para estos datos. Competidores o incluso servicios de inteligencia pueden pagar por ellos sin demasiados escrúpulos. La pérdida de datos puede suponer la quiebra comercial y financiera de cualquier empresa", concluye Willems.

Fuente: Muy Seguridad

Libro de Hugo Scolnik: Qué es la seguridad informática

Nuevo libro de Hugo Scolnik
Prácticamente no pasa un día sin que nos enteremos de noticias sobre una singular batalla global que abarca tanto a gobiernos, como a empresas e incluso individuos. Desde filtraciones de programas de vigilancia masiva por Internet, hasta la difusión de fotos y videos íntimos de celebridades, tomados de sitios de almacenamiento on line supuestamente seguros, escandalizan y ponen de relieve la vulnerabilidad de los usuarios del paraíso digital que construimos y al que estamos transfiriendo nuestra vida en forma de datos.

Porque creíamos en la inviolabilidad de nuestros dispositivos, la seguridad informática está cada vez más en el centro de las preocupaciones de todos. "Se vaticina que para el final de esta década existirán unos 22.000.000.000 de dispositivos conectados a Internet. Desde el amanecer de la civilización hasta 2003, se crearon más de 5 Exabytes (equivalentes a 5 x 1018 caracteres) de información. En la actualidad, esta cantidad se está generando cada dos días", escribe Hugo Scolnik.

Estos fenómenos son una consecuencia natural del desarrollo tecnológico, que implica grandes avances en el acceso a la información, y mejoras en el sistema productivo y la educación, pero al mismo tiempo presentan enormes desafíos a la privacidad, protección de datos personales, y múltiples posibilidades de delitos informáticos.

El libro Hugo Scolnik: Qué es la seguridad informática es revelador e imprescindible y nos permite entrever la novela de piratas y espías que se desarrolla tras bambalinas, explica cuáles son los artilugios que se emplean y, especialmente importante, ofrece medidas prácticas para protegernos.

Sobre el autor

Hugo D. Scolnik es Licenciado en Ciencias Matemáticas de la Universidad de Buenos Aires (UBA) y doctor en Matemática por la Universidad de Zurich. Es también el creador del Departamento de Computación (DC) de la Facultad de Ciencias Exactas de la UBA. Actualmente se desempeña como profesor consulto del DC y consultor especialista en criptografía. Además es titular de la Comisión Coordinadora de la Maestría en Seguridad Informática de la UBA. Es referente indiscutido de la computación e Internet en Argentina y Latinoamérica.

Fuente: UBA-Departamento de Computación

Windows Server: como detectar signos de explotación antes de la actualización MS14-068

Microsoft ha compartido más detalles acerca de la vulnerabilidad crítica en Microsoft Windows Kerberos Key Distribution Center (CVE-2014-6324) que permite elevación privilegios y que ha dado lugar a la actualización MS14-068. Según el boletín oficial, la vulnerabilidad está siendo explotada en "ataques limitados y dirigidos" y por eso se ha instado a los administradores y usuarios a aplicar el parche emitido.

La vulnerabilidad es fácilmente explotable de forma remota y permite la elevación de privilegios en controladores de dominio de Windows. Un atacante en posesión de credenciales de cualquier usuario de dominio puede elevar sus privilegios a la de cualquier otra cuenta en el dominio, incluyendo cuentas de administrador.

Después de explicar cómo funciona Kerberos, Microsoft indica que actualmente, sólo los controladores de dominio que ejecutan Windows Server 2008R2 y menores están bajo ataque, y que deberían ser los únicos a actualizar urgentemente.

Pero, los controladores de dominio que ejecutan Windows 2012 también son vulnerables a ataques relacionados, pero que más difíciles de ejecutar.

Para detectar si la organización está siendo atacada, se deben visualizar los registros de eventos de los controladores de dominio, para detectar signos de la explotación del bug.

La pieza clave de la información en la imagen son los campos "SecurityID" y "Account Name" porque los mismos deberían coincidir y no lo hacen. En la imagen, el usuario "nonadmin" ha utilizado el exploit para elevar sus privilegios a "TESTLAB\Administrator".

Después de instalar la actualización, para Windows 2008R2, puede utilizarse el registro de eventos con ID 4769 para detectar intentos de ataques ya que cualquier evento relacionado que fracase ("Audit Failure") estará relacionado a la explotación de la vulnerabilidad.

Finalmente, si el dominio ya ha sido comprometido, la única forma de remediar dicho compromiso es la reconstrucción completa del dominio.

Fuente: Microsoft

Uno de cada 8 usuarios no cree en ciberamenazas

Según una encuesta conjunta realizada por B2B Internacional y Kaspersky Lab [PDF], el 13% de los usuarios de Internet no cree que los ataques cibernéticos sean reales. Sienten que la amenaza es una exageración de las empresas de seguridad para Internet. "Sin embargo, esa autosuficiencia los deja sin ningún tipo de protección contra un riesgo que amenaza sus datos y vidas virtuales cada día", escribe Kaspersky Lab.

De acuerdo con las estadísticas, incluso las personas que aceptan que las ciberamenazas son reales no siempre están convencidas que necesitan protección contra las mismas. "Sin embargo, en la realidad el dispositivo de cualquier persona puede ser de interés para los atacantes. Aun cuando el propietario no almacene datos valiosos en el dispositivo y no realice transacciones financieras en línea, los ciberdelincuentes pueden hacer uso de cualquier computador, smartphone o tableta – quizás convirtiéndola en un bot que envíe spam, llevar a cabo ataques DDoS o enviar enlaces de phishing a través de mensajería instantánea y correo electrónico", explica Karspersky.

Casi un tercio (32%) de los usuarios no siente preocupación ante la posibilidad de que sus cuentas en línea pudieran estar comprometidas, o están incluso ajenos a este riesgo. Lo más importante es que esto no sólo aplica a páginas personales en sitios de redes sociales sino a cuentas bancarias en línea, que podrían entregar las finanzas personales del usuario a un ciberdelincuente. Sin embargo, muchas personas sienten que las pérdidas financieras resultantes de ataques cibernéticos son extremadamente poco probables – el 42% de los encuestados no conocen o no están preocupados por la posibilidad de tales pérdidas. Ante ello, Kaspersky comenta: "Una cosa de la que no se dan cuenta es que tales pérdidas no forzosamente se pueden deber al robo directo de dinero de sus cuentas bancarias. Una infección por malware también puede conducir a gastos imprevistos, incluyendo costos relacionados con los servicios de un especialista en TI, la reinstalación de software o la indisponibilidad temporal de un dispositivo. En general, el 21% de los encuestados que han tenido malware en sus dispositivos han incurrido en pérdidas como resultado del incidente".

Según los resultados de la encuesta, el 20% de los encuestados no están conscientes que el uso de redes Wi-Fi públicas es arriesgado porque los datos que se envían a través de estas redes pueden ser interceptadas por ciberdelincuentes. Una proporción ligeramente mayor de usuarios, el 27%, están conscientes de esta amenaza, pero no creen que se deben preocupar por ello. Al mismo tiempo, el 55% de los encuestados utilizan redes públicas y 12% introducen sus credenciales en sitios web mientras están conectado a una red pública.

"Las personas que piensan que están seguras, porque los ciberdelincuentes no los molestarán o que no estarán interesados, simplemente no entienden la naturaleza de las amenazas en línea. Los hackers no suelen centrarse en objetivos específicos, tratan de tener tantas víctimas como sea posible. Esta es la razón por la que resulta muy arriesgado utilizar Internet sin una solución de seguridad", dice Elena Kharchenko, Jefa de Administración de Productos de Consumo, Kaspersky Lab.

Fuente: DiarioTI