Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas
Mostrando entradas con la etiqueta seguridad. Mostrar todas las entradas

martes, 4 de mayo de 2010

Panda Cloud Internet Protection, seguridad desde la nube y SaaS

'Panda Security amplia su portfolio de soluciones con Panda Cloud Internet Protection. Esta nueva solución de seguridad desde la nube, comercializada en modelo SaaS, ofrece una completa funcionalidad de seguridad, permitiendo la protección del parque corporativo contra las amenazas informáticas que utilizan Internet como vector de infección, así como contra redes de bots, ataques de phishing, cross site scripting y otro tipo de ataques avanzados web 2.0. Además, también ofrece protección P2P y contra vulnerabilidades del explorador.'

Fuente y noticia completa: computing.es 16/04/2010
1 comentario:
Etiquetas: , ,

jueves, 22 de abril de 2010

La falsa detección de un virus paraliza decenas de miles de ordenadores. McAfee confunde un componente del sistema operativo Windows XP con un virus

'Miles de ordenadores en todo el mundo, quizás cientos de miles o millones, se vinieron abajo repentinamente en la tarde del miércoles debido a un fallo garrafal en la actualización del sistema antivirus de McAfee, uno de los principales proveedores de este software de seguridad informática. Una ventanita interrumpió por sorpresa en el escritorio de los equipos afectados para alertar de que el sistema de la máquina estaba a punto de apagarse.
Después de la caída, el ordenador se volvía literalmente loco y, aunque podía volver a arrancar, no funcionaba correctamente, para desesperación de los usuarios. McAfee ha conseguido encontrar una solución al problema, que se ha prolongado durante unas horas, y ha publicado en internet unas indicaciones para que los usuarios afectados puedan recuperar su computador.'
'Según ha explicado McAfee, su antivirus detectó por error un virus en los ordenadores, el falso positivo hizo saltar las alarmas e intentó eliminar al intruso. En realidad, lo que estaba atacando era el fichero svchost.exe, importante para el funcionamiento del sistema Windows XP.'


Fuente y noticia completa: ABC 21/04/2010

'Las entidades y compañías que utilizan el sistema operativo Windows XP Service Pack 3 se han visto afectadas, de acuerdo con Internet Storm Center, que ha recibido cientos de informes de este problema. El fallo causado a los ordenadores por el antivirus corrupto hace que se reinicien una y otra vez'

Fuente y noticia completa: El Mundo 22/04/2010

[23/04/2010] 'Hoy no está siendo un día fácil para muchos administradores. A las 14:00 horas GMT del 21 de abril, McAfee liberó un nuevo fichero DAT de actualización de firmas, el 5958. Dicho fichero contiene información que el motor del antivirus usa para la detección de amenazas, sin embargo su instalación ha provocado que cientos de miles de sistemas se quedaran inutilizados.

El DAT 5958 contiene una firma que le indica al antivirus de McAfee que ponga en cuarentena al proceso "svchost.exe" de los sistemas operativos Windows XP SP3, al confundirlo con el virus W32/Wecorl.a.

Esta acción provoca que cuando se reinicie el equipo éste entre en un bucle de reinicios consecutivos y vuelva a la máquina inoperable. Esta situación se agrava en entornos empresariales donde las actualizaciones se realizan en masa, a través de la herramienta "ePolicyOrchestrator",
dejando redes de máquinas eventualmente fuera de juego.'

'McAfee ha publicado una herramienta para ayudar en la recuperación de los sistemas afectados denominada "SuperDAT". En el blog oficial, Barry McPherson (vicepresidente ejecutivo de McAfee), se lamenta y disculpa del error cometido por la compañía.'

' Más información:

False positive detection of w32/wecorl.a in 5958 DAT
https://kc.mcafee.com/corporate/index?page=content&id=KB68780 '

Fuente y noticia completa: Una al día de Hispasec de 22/04/2010
No hay comentarios:
Etiquetas: ,

domingo, 18 de abril de 2010

Clamav "desactiva" todas las versiones anteriores a la 0.95 [de su antivirus libre]

'Hoy [16/04/2010] el equipo de ClamAV, el conocido antivirus GPL, ha decidido "desactivar" todas las versiones anteriores a la 0.95. Esta decisión ha provocado que miles de servidores usando este antivirus (hosting, groupware) dejasen de funcionar. He estado siguiendo este problema en Twitter y yo no era el único. Esto ya lo avisaron en su día en su web con una noticia pero a muchisimos usuarios nos ha pillado totalmente desprevenidos y esta mañana estabamos sin servicio de correo. He estado un rato largo intentando acceder a su web y sus servidores de firmas estaban totalmente colapsados.'

Fuente: jordiv en Barrapunto 16/04/2010
No hay comentarios:
Etiquetas: ,

martes, 6 de abril de 2010

Microsoft publica actualización para Internet Explorer fuera de ciclo

'Hoy no es el segundo martes del mes [día del mes en la que MS publica sus boletines de seguridad de forma periódica] pero Microsoft acaba de publicar el boletín de seguridad MS10-018 de carácter crítico, en el que se solucionan hasta diez vulnerabilidades diferentes en Internet Explorer.

Si bien la publicación con carácter de urgencia se debe a la última vulnerabilidad recientemente anunciada y que está siendo utilizada de forma activa.

La vulnerabilidad que ha propiciado la publicación del boletín afecta a Internet Explorer 6 y 7. Con el CVE-2010-0806 asignado, se encuentra en "iepeers.dll" y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado. Ya tratamos anteriormente este problema en una-al-día.'


'La actualización publicada puede descargarse a través de Windows Update o consultando el boletín de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización del navegador con la mayor brevedad posible.

Se puede ver el boletín de Microsoft en:
http://www.microsoft.com/spain/technet/security/bulletin/ms10-018.mspx '

Fuente y noticia completa: Una al día de Hispasec 31/03/2010


Entradas relacionadas:

1 comentario:
Etiquetas: , , , ,

viernes, 26 de marzo de 2010

Representantes de médicos y pacientes dudan de la seguridad y cofidencialidad de la nueva Historia Clínica Digital

'El Instituto Europeo de Salud y Bienestar Social ha celebrado un debate sobre la implantación de las Tecnologías de la Información y la Comunicación como generador de calidad y seguridad en el ámbito sanitario, un encuentro durante el que médicos y pacientes han defendido cuestiones como la confidencialidad y la intimidad de los datos de su Historia Clínica Digital Compartida cuando ésta abarque a toda España.

Durante el debate, que sirvió de marco para la presentación del libro 'e-health', editado por el Instituto Europeo y presentado por Pablo Rivero, director de la Agencia de Calidad del Ministerio de Sanidad, quien informó de que se estab pilotando este sistema en diez Comunidades Autónomas, de manera que, tras ser analizados sus resultados, pueda desarrollarse su implantación final a todos los sistemas de salud y estar integrados en un único sistema de sanidad digital dentro de un año.


Tal y como anunció la propia ministra de Sanidad, Trinidad Jiménez, durante la inauguración de la Conferencia Europea Ministerial e-Health 2010, que se acaba de celebrar en Barcelona, esta medida permitirá que todo español pueda ser atendido en cualquier centro público sanitario del país y que el médico que lo atienda tenga acceso a parte de su historial. Precisamente fue esta cuestión la que más controversias generó entre los ponentes y los asistentes al debate de ayer, en el que Pedro Hidalgo, presidente del Consejo Extremeño de Colegios de Médicos y del Colegio de Médicos de Badajoz, dudó de la seguridad del sistema.'

Fuente y noticia completa: Acta Sanitaria 26/03/2010
Imagen: Acta Sanitaria
No hay comentarios:
Etiquetas: , , , , , ,

sábado, 13 de marzo de 2010

Entendiendo el Esquema Nacional de Seguridad

'Resumen: Tras la reciente publicación del Real Decreto 3/2010 por el que se regula el Esquema Nacional de Seguridad, el objeto de este artículo es tratar de explicar de manera sencilla las implicaciones que dicha regulación va a tener de cara a la aplicación de medidas de seguridad en los servicios electrónicos prestados por las Administraciones Públicas, destacando algunos de sus aspectos prácticos más significativos.'


[PDF con el documento completo:] Entendiendo el Esquema Nacional de Seguridad

Fuente:Joseba Enjuto Gozalo e Nextel, en CryptoRed de la UPM Febrero 2010


Entradas relacionadas:
No hay comentarios:
Etiquetas: , , ,

miércoles, 10 de marzo de 2010

Nuevo 0-day [vulnerabilidad explotada sin parche disponible] en Microsoft Internet Explorer

'Microsoft informa de una vulnerabilidad en el navegador Internet Explorer que podría permitir a un atacante remoto ejecutar código arbitrario, con los permisos del usuario, a través de un sitio web especialmente manipulado.

La vulnerabilidad, a la que se le ha asignado el CVE-2010-0806, se encuentra en "iepeers.dll" y está causada por un puntero inválido al que se podría acceder, bajo ciertas condiciones, tras liberar el objeto apuntado.

Microsoft ha detectado y confirma que la vulnerabilidad está siendo explotada activamente. Se consideran vulnerables las versiones 6 y 7.

Se recomienda seguir las indicaciones de Microsoft a fin de minimizar el impacto. Microsoft está trabajando para publicar un parche que solucione esta vulnerabilidad.

Opina sobre esta noticia

Más Información:

Microsoft Security Advisory (981374) [N.E. MS ofrece las siguientes opciones disponibles y válidas por sí solas para evitar el ataque por ahora disponible, pero todas ellas con algún efecto "colateral", especialmente importante en el caso de las dos últimas:
  • Modificar la lista de control de acceso de iepeers.dll
  • Establecer el nivel de seguridad de la zona de Internet en IE a "Alto" y responder que no a las preguntas sobre ejecución de ActiveX durante la navegación en sitios "no de confianza" (i.e. aquellos sitios web que confiemos nadie, personas ajenas o malware automático, pueda modificar sus páginas)
  • Desactivar "Active Scripting" (y por tanto JavaScript) al menos para los sitios "no de confianza")]

Security Advisory 981374 Released (blog MSRC) '

Fuente: Hispasec 9/03/2010


Entradas relacionadas:

No hay comentarios:
Etiquetas: , , ,

jueves, 4 de marzo de 2010

Tres españoles dirigían una de las mayores redes de ordenadores 'zombis'

'Tres españoles controlaban la mayor red de ordenadores 'zombis' desmantelada en el mundo con trece millones de equipos infectados, que había conseguido información personal y bancaria de más de 800.000 usuarios de todo el mundo, y que había logrado infectar 500 empresas y más de 40 entidades bancarias.

La red 'Mariposa', desarticulada por la Guardia Civil en colaboración con el FBI y Panda Security, podría haber realizado un ataque de ciberterrorismo mucho más letal que los realizados en el pasado contra Estonia y Georgia.

Los tres españoles detenidos, 'netkairo' o 'hamlet1917' en Balmaseda (Vizcaya), 'OsTiaToR' en Molina de Segura (Murcia) y 'Johnyloleante' en Santiago de Compostela, 'alquilaron' parte de la red de ordenadores 'zombis' -controlados a distancia- a otros 'ciberdelincuentes', con lo que obtenían ingresos que les permitían vivir holgadamente..'


'La red no había sido diseñada por los tres españoles detenidos, que la habían comprado en el mercado negro, ya que no eran grandes expertos informáticos, sino que se limitaban a administrar la 'botnet'.

Una red de 'ordenadores zombis' o 'botnet' es un conjunto de ordenadores que han sido infectados con un tipo de 'software' malicioso, con funcionalidad de puerta trasera ('backdoor'), que permite al atacante controlar dichas maquinas sin tener acceso físico a ellas y sin el conocimiento del propietario.

Se trata de uno de los métodos más extendidos como manera de cometer delitos en la Red, tales como ataques de denegación de servicio distribuido (es decir, el bloque de un servidor por un exceso de peticiones en muy poco tiempo), el envío de 'spam' o una amplia variedad de fraudes, que pueden implicar incluso la sustracción de datos personales y financieros.'

Fuente y noticia completa: El Mundo 03/03/2010

Entradas relacionadas:

[03/03/2010] Detenidos tres españoles de una red criminal que controlaba 13 millones de ordenadores zombis (El País)
No hay comentarios:
Etiquetas: ,

miércoles, 3 de marzo de 2010

Detenidos tres españoles de una red criminal que controlaba 13 millones de ordenadores zombis

'El Grupo de Delitos Telemáticos de la Unidad Central Operativa de la Guardia Civil (UCO) ha detenido a tres personas que gestionaban una red de más de 13 millones de ordenadores zombis (controlados a distancia). Los tres detenidos formaban parte de una red más extensa de alcance internacional.

Gracias al empleo de virus troyanos, los delincuentes se hacían con el control remoto de los ordenadores y los programas maliciosos instalados en las máquinas les suministraban toda la información que manejaba la víctima en los mismos. Los ordenadores zombies son utilizados frecuentemente por redes criminales para apoderarse de datos bancarios y en ocasiones se utilizan para lanzar un ataque contra los sistemas financieros o gubernamentales.

Los discos duros que manejaban los detenidos españoles y que albergaban infinidad de datos bancarios y personales de las víctimas. La Unidad Central Operativa de la Guardia Civil ofrecerá más datos en una rueda de prensa, según fuentes del instituto armado.'

Fuente: El País 2/03/2010

No hay comentarios:
Etiquetas: ,

domingo, 28 de febrero de 2010

[Cercanos los respectivos] Fin de soporte para Windows XP SP2 y Windows Vista sin service packs instalados

'Windows Vista sin service packs instalados dejará de recibir soporte el 13 de abril de 2010. Windows XP SP2 dejará de recibir soporte el 13 de julio de 2010. En ambos casos, el soporte para el service pack expirará de acuerdo con la política de soporte de Service Pack.'

'... Los service packs actuales para estos productos son Windows XPSP3 y Windows Vista SP2, los cuales están disponibles para los clientes sin costo alguno....'

'Ahora, definamos lo que significa fin de soporte. Fin de soporte significa que Microsoft ya no dará soporte a este nivel específico de service pack. Esto significa que los clientes deben actualizar a un service pack con soporte para continuar recibiendo actualizaciones de seguridad, parches o soporte asistido por parte de Microsoft Customer Service & Support.

Si usted está ejecutando una de estas versiones para las cuales se acerca el fin de soporte, le recomiendo que piense actualizar a Windows 7...'

Fuente y noticia completa: Microsoft 25/02/2010

Entradas relacionadas:

No hay comentarios:
Etiquetas: , , ,

sábado, 27 de febrero de 2010

Esquema Nacional de Seguridad

'Resumen: El Real Decreto 3/2010, de 8 de enero, por el que se aprueba el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica Española constituye todo un hito de extraordinarias consecuencias jurídicas, tecnológicas y organizativas para las Administraciones públicas, que se sitúan en la vanguardia internacional de los países que incorporan las tecnologías a su actividad administrativa en condiciones de seguridad.

Mediante el ENS se establecen las condiciones de seguridad necesarias en el uso de los medios electrónicos previstos en la Ley 11/2007, de 27 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. Y, con ello, se crea la confianza necesaria que requiere la implantación efectiva de la Administración Electrónica, mediante la seguridad de los sistemas, los datos, las comunicaciones y los servicios electrónicos, de forma que permite a los ciudadanos y a las Administraciones, ejercer sus derechos y cumplir con sus deberes a través de los mismos.

La Ley 11/2007, de 27 de junio, vino a incorporar la seguridad de forma obligatoria a las Administraciones públicas y sus procedimientos, con las exigencias técnicas derivadas del Esquema Nacional de Seguridad, que acaba de publicarse y las consecuencias jurídicas derivadas del ordenamiento administrativo.

Como dato curioso, aunque también significativo, el Real Decreto 3/2010, de 8 de enero, tiene el honor de ser la primera norma que se publica incorporando colores en su sólido Anexo II, lo que también constituye un hito en la historia legislativa española y de las organizaciones que la hicieron posible mediante la publicación de las normas. Y, todo ello, gracias a la Administración Electrónica.'

[PDF con el documento completo:] 'Esquema Nacional de Seguridad '

Fuente: José María Molina Mateos en CriptoRed UPM, Febrero 2010

Entradas relacionadas:
No hay comentarios:
Etiquetas: , , ,

martes, 23 de febrero de 2010

La botnet Kneber en los medios

'Se viene informado en los medios de la existencia de esta botnet, que afecta a más de 75.000 sistemas en 196 países. En realidad, no es nada nuevo. Ni el hecho de que una compañía de seguridad aparezca ante las cámaras como descubridora de algo contra lo que muchos luchamos cada día, ni que los medios no entiendan el mensaje que se ha querido transmitir.

NetWitness dice ser la empresa descubridora de esta botnet, y hagenerado bastante atención de los medios
(NetWitness ha puesto a disposición de todos los que le dejen sus datos de contacto, un documento técnico sobre el asunto). Lo que parece haber ocurrido es que
NetWitness se ha colado en el panel de control de una de las centenas de botnets controladas por la misma familia de malware: Zeus. ..'

'..Un software que se vende en el mercado negro para que cualquiera se construya su propia botnet y la personalice como desee. Se tienen constancia de redes botnets Zeus desde octubre de 2007, manejadas tanto por el crimen informático organizado, como por atacantes ocasionales con un perfil mucho más bajo que infectan solo a algunas decenas de sistemas (Windows, habitualmente).'
'Los medios también se dejan encandilar por las cifras, cuando en realidad, la botnet llamada Kneber puede ser una simple gota en el mar de las botnets mundiales. Existen más de 700 sistemas de control de redes Zeus conocidos, cada uno con un número indeterminado de sistemas zombis en su poder. La que NetWitness ha encontrado en una de esas 700 redes son una gran cantidad de datos robados y zombis a su cargo, pero
no tiene que ser la mayor, y desde luego no es el único kit para crear botnets que se conoce...'

Fuente: Una al día de Hispasec 21/02/2010

Entradas relacionadas:
No hay comentarios:
Etiquetas: ,

jueves, 18 de febrero de 2010

Detectan un ataque pirata que afecta a casi 200 países [y compromete información corporativa]

'Un ataque informático de gran escala ha permitido acceder a 74.000 ordenadores en 196 países, principalmente en Estados Unidos, México, Arabia Saudí, Egipto y Turquía, según ha revelado una empresa de seguridad informática.

La compañía NetWitness ha identificado más de 2.400 organizaciones afectadas por estos ataques a lo largo de un año, entre las que se encuentran administraciones públicas, grandes empresas de sectores como la banca, la tecnología o la energía, y centros educativos.

La sociedad explica que los primeros datos vinculados este ataque, realizado mediante un programa malicioso -o Botnet- se remontan marzo de 2009 y que las redes sociales se utilizan como vectores, con falsas invitaciones cargar programas de seguridad. El programa se aprovecha de vulnerabilidades de los sistemas operativos XP y Vista para lograr contraseñas y el acceso a cuentas de correo y redes sociales.

Mediante el programa, conocido como ZeuS botnet, los malhechores pueden acceder a información corporativa y gubernamental y tomar el control de las cuentas de correo corporativas y de sitios externos como Facebook, Yahoo o Hotmail.'

Fuente y noticia completa: El Mundo 18/02/2010


No hay comentarios:
Etiquetas: ,

martes, 2 de febrero de 2010

Seguridad e interoperabilidad en la Admón. Electrónica

'En el BOE (Boletín Oficial del Estado español) del viernes 29 de enero de 2010 aparecen el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica y el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica. Efectivamente, se trata del esquema nacional de interoperabilidad, en el que el Gobierno ha sido asesorado por Opentia y en el que, al menos, hay alguna referencia al código abierto.'

Fuente y noticia completa: Barrapunto 31/01/2010
No hay comentarios:
Etiquetas: , , , ,

jueves, 28 de enero de 2010

¿El gobierno de EEUU usa una puerta trasera en Gmail?

'Leyendo la noticia titulada U.S. enables Chinese hacking of Google, se puede leer entre líneas que Google tiene una puerta trasera que permite al gobierno de EE.UU. acceder libremente a las cuentas de Gmail: "Con el objetivo de cumplir con los requisitos del gobierno sobre búsquedas en datos de los usuarios, Google creó una puerta trasera para acceder a las cuentas de Gmail. Esta característica fue la que los hackers chinos aprovecharon para ganar acceso al sistema".'

Fuente y noticia completa: Boriel vía Barrapunto 26/01/2010

Entradas relacionadas:
No hay comentarios:
Etiquetas: ,

sábado, 23 de enero de 2010

Microsoft conocía el fallo de Internet Explorer desde hace cinco meses, publica hoy la actualización con carácter de urgencia

'Tras la grave vulnerabilidad detectada en Internet Explorer, y que tanto ha dado que hablar en los últimos días, Microsoft ha publicado una actualización para su navegador fuera de ciclo destinada a corregir este problema. Para añadir más polémica a todo lo tratado, Microsoft ha reconocido que conocía la existencia de este fallo desde hace cinco meses.

Sin ser el segundo martes de mes, Microsoft acaba de publicar un boletín de seguridad (con identificador MS10-002). Debido a su gravedad, los fallos podrían ser aprovechados por un atacante remoto para ejecutar código arbitrario y comprometer por completo un sistema vulnerable.'

'La razón de la publicación del boletín fuera de ciclo es debido a la vulnerabilidad del navegador, de la que ya hablamos en un boletín anterior y que estaba siendo explotada de forma activa. Este fallo ya conocido como "Aurora" (asignado al CVE-2010-0249), junto con otras cinco vulnerabilidades, son de naturaleza similar y en muchos casos pueden permitir la ejecución remota de código.

Pero lo más polémico puede surgir tras el reconocimiento por la propia firma de Redmond de que conocía de la existencia del fallo empleado en los ataques contra Google y Adobe (entre otras) desde el pasado mes de agosto. Meron Sellen, un investigador de la firma israelí BugSec había reportado el fallo el pasado mes de agosto y la propia Microsoft confirmó su gravedad en septiembre. Otros fallos similares corregidos en esta actualización también habían sido reportados a Microsoft hace seis meses por Zero Day Initiative. Microsoft tenía planeada la distribución de este boletín para su ciclo habitual de actualizaciones de febrero, sin embargo los ataques han obligado a adelantar su publicación.'


Fuente y noticia completa: Hispasec - Una al día de 22/04/2010


Entradas relacionadas:
No hay comentarios:
Etiquetas: , , ,

viernes, 22 de enero de 2010

Microsoft publica un parche en día no habitual [para corregir la vulnerabilidad de ejecución remota en Internet Explorer]

"Microsoft publicó antes del día mensual habitual un boletín y la actualización ("parche") de seguridad que anunció ayer. MS10-002 es un parche acumulativo para Internet Explorer. Corrige un total de 8 vulnerabilidades. Se está "explotando" [aprovechandoda para ataques de seguridad informática] la "famosa" vulnerabilidad que ha provocada esta publicación, CVE-2010-0249, . Según el boletín, no se está "explotando" ninguna de las restantes vulnerabilidades restantes, que habían sido comunicadas a Microsoft directamente sin divulgarse al público.

Dado el número creciente de "exploits" contra CVE-2010-0249 y que es conocido públicamente el uso de dichos "exploits", recomandamos que usted aplique el "parche" tan pronto como sea posible.

Fuente: Internet Storm Center 21/01/2010

NOTA DEL EDITOR: El boletín y parche de seguridad de Microsoft MS10-002 puede descargarse de aquí, teniendo presente las notas apuntadas en el documento de MS KB978207.


Entradas relacionadas:
No hay comentarios:
Etiquetas: , , ,

jueves, 21 de enero de 2010

Grave vulnerabilidad en Windows permite elevar privilegios

'Se han publicado los detalles de una grave vulnerabilidad en todas las versiones de Windows que permite elevar privilegios en el sistema. No existe parche disponible y el exploit está al alcance de cualquiera, lo que lo convierte en un serio "0 day" para Microsoft.

Tavis Ormandy, reputado investigador de seguridad que ha encontrado numerosos fallos de seguridad en diferentes programas, ha publicado un exploit para una vulnerabilidad que permite elevar privilegios en Windows. Se trata de un fallo de diseño que arrastran todos los Windows de 32 bits (basados en tecnología NT) desde 1993. Esto va desde el NT hasta Windows 7, pasando por 2000, 2003, 2008, XP y Vista.

El fallo reside en el soporte heredado de aplicaciones de 16 bits.'



'Ormandy avisó a Microsoft en junio de 2009, y poco después confirmaron el problema. Harto de que no publicasen una solución (que considera no muy compleja), ha decidido hacer público el fallo. Él mismo entiende que esta vulnerabilidad afecta de forma más seria a empresas y corporaciones que mantienen a sus usuarios con privilegios limitados. Por desgracia, la mayoría de usuarios caseros utilizan ya la cuenta de administrador en su Windows (no tan poderosa como SYSTEM, pero equivalente a efectos prácticos) para tareas cotidianas, con lo que la elevación de privilegios no suele ser un requisito en los ataques.

El exploit ha sido probado y funciona a la perfección. La buena noticia es que es relativamente sencillo mitigar el problema. Incluso ha publicado vídeos en Youtube de cómo hacerlo, destinados principalmente a administradores. Evitar el fallo implica deshabilitar el soporte para aplicaciones de 16 bits, que se supone no será ningún problema para la mayoría de usuarios.

Los pasos son los siguientes:

Desde la consola de políticas (gpedit.msc) abrir "Configuración de equipo", "Plantillas administrativas", "Componentes de Windows", "Compatibilidad de aplicación" y habilitar la política "Impedir el acceso a aplicaciones de 16 bits". Es importante asegurarse de que es aplicada a los sistemas que dependen del controlador de dominio, forzando una actualización de políticas.

Los vídeos publicados con cómo realizar esto (en inglés) desde la consola de políticas y aplicarlo a todos los clientes de un Directorio Activo están disponibles desde:

Windows Server 2003:
http://www.youtube.com/watch?v=XRVI4iQ2Nug

Windows Server 2008
http://www.youtube.com/watch?v=u8pfXW7crEQ

Para Windows XP:
http://www.youtube.com/watch?v=u7Y6d-BVwxk

Para sistemas más antiguos, NT4, aquí se explica cómo deshabilitar esta funcionalidad:
http://support.microsoft.com/kb/220159'

Fuente y noticia completa: Hispasec 20/01/2010
Visto en Barrapunto
No hay comentarios:
Etiquetas: , , ,

martes, 19 de enero de 2010

Alemania y Francia recomiendan no utilizar Internet Explorer. "Exploits" mejorados

Alemania y Francia recomiendan no utilizar Internet Explorer

'Es una decisión sin precedentes que va un paso más allá de las recomendaciones de seguridad que puedan hacer fabricantes de software o analistas de empresas privadas. El Gobierno alemán, mediante la Oficina Federal para la Seguridad en Tecnologías de la Información (BSI), ha recomendado utilizar un navegador alternativo a los usuarios que usen Internet Explorer 6, 7 y 8 hasta que Microsoft lance una actualización que solucione sus problemas de seguridad.

En el mismo sentido se ha pronunciado la Agencia Nacional de Seguridad francesa (Certa), mientras la compañía intenta solventar un fallo que permite ejecutar un código a distancia cuando se navega con Explorer.

Microsoft ha reconocido que los recientes ataques a los servidores de 35 compañías, entre ellas Google, utilizaron un agujero de seguridad de su navegador, pero rechaza la drástica advertencia realizada por estas dos agencias gubernamentales y afirma que el riesgo para los usuarios es bajo. La compañía considera que los ataques fueron realizados por programadores expertos, "con un fin muy específico" y sin afectar a "usuarios comunes".

Aunque la siguiente actualización de seguridad del navegador de Microsoft no estaba prevista hasta febrero, la compañía ya está trabajando en un parche. Por el momento, recomienda desactivar varios comandos de su navegador, pero la Administración alemana alerta de que esas medidas no son suficientes.'

Fuente y noticia completa: Publico 19/01/2010

NOTA DEL EDITOR [20/01 corregida errata en las versiones con DEP por defecto]: Microsoft informaba que el "exploit" concreto que circula por Internet no funciona más que en IE 6 sobre Windows XP y 2000, que dicho "exploit" deja de funcionar si se activa la caracteristica "DEP" para IE (para su version 6 posible sólo en XP SP2 o SP3) y que los equipos Windows con "DEP" activado para IE estarían bastante protegidos de exploits similares (por defecto, DEP está activado en IE 8 sobre XP SP3, Vista SP1 o superior, Windows 7 y Windows Server 2008); Microsoft recomendaba habilitar DEP en las combinaciones de Windows+IE donde es posible y no lo esté ya, sugiriendo en su aviso de seguridad como medidas adicionales, mitigadoras pero con pérdidas importantes de funcionalidad, de elevar a "High" la configuración de seguridad de IE o de desactivar Active Scripting (JavaScript) del navegador por sitios o siempre.


Operación Aurora: Francia recomienda dejar de utilizar Internet Explorer .., [en una organización] ¿es una buena idea cambiar de navegador para evitar la vulnerabilidad de Microsoft?

'Recuerde: si su departamento informático no da soporte ya de un navegador alternativo y sus usuarios no son familiares con él, puede causar más problemas con el nuevo navegador como para que no merezca la pena el cambio.

Además puede que tenga aplicaciones basada en web que no funcionen bien o incluso no funcionen bien si no es con Internet Explorer.'

' Mi consejo es abandonar Internet Explorer sólo si usted sabe realmente lo que está haciendo ..."

'Mi predicción es que Microsoft está trabajando duro para distribuir un parche para la vulnerabilidad antes de la distribución periódica usual. Resolverá el serio problema de seguridad antes de que este problema cause más daño al prestigio de Internet Explorer.'

Fuente y opinión completa: Blog de G. Cluley de Sophos 18/01/2010 Traducción nuestra


Información adicional sobre DEP y la vulnerabiliad '0day' (sin parche disponible) de Internet Explorer

'La nueva vulnerabilidad de seguridad de Internet Explorer descrita en el Aviso de Seguridad 979352 de Microsoft ha despertado mucho interés en los días pasados. El equipo de Internet Explorer está trabajando duro para preparar una actualización de segurida exhaustiva que resuelva la vulenrabilidad y el MSRC anunció que tan pronto esté disponible la actualización será distribuida.

Hemos recibido varias preguntas de clientes que desean proteger sus entornos mientras tanto, la mayor parte sobre Data Execution Prevention (DEP), una medida mitigadora ya discutida en nuestra entrada previa de blog.'

Fuente e información completa: Microsoft 18/01/2010 Traducción nuestra


El exploit 'Aurora' mejorado para superar la seguridad DEP de Internet Explorer. Microsoft prevé un parche de emergencia.

'Los peores presagios de los expertos en seguridad acerca del "exploit" de Internet Explorer utilizado para adentrarse en Google y otras compañías acaba de cumplirse: se puede modificar para que supere la mejor defensa de Internet Explorer, la característica "Data Execution Protection" (DEP).'

'VUPEN Security dice haber confirmado que DEP no protege del [su nuevo] exploit y que la única forma de evitarlo es desabilitar JavaScript'

Fuente y noticia completa: Security Dark Reading 19/01/2010
Traducción nuestra

Entradas relacionadas:
1 comentario:
Etiquetas: , , ,

Una vulnerabilidad de Internet Explorer sin parche disponible, detrás de ataques a grandes compañías

Un bug en Internet Explorer, detrás de ataques a grandes compañías
' Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.... tras un análisis del malware, llevado a cabo por la empresa McAfee, ... descubrieron los investigadores [de McAfee que] fue una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario...' Fuente y noticia completa: Barrapunto 15/01/2010

'Hackers se aprovecharon de una vulneabilidad sin parche del navegador Microsoft Internet Explorer (IE) para penetrar en algunas compañías que fueron blanco de un ataque generalizo que acabó comprometiendo las redes corporativas de Google y Adobe, ha dicho Mc Afee hoy". Fuente y noticia completa: Computerworld 14/01/2010 Traducción nuestra.

'Con nuestra investigación descubrimos que en una de las muestras de software malicioso implicadas en estos ataques generalizados se saca provecho de una nueva y desconocida vulnerabilidad de Microsoft Internet Explorer. Informamos a Microsoft que publicó un aviso de seguridad y una entrada de blog sobre el asunto en la tarde del Martes. Como en la mayoría de los ataques dirigidos, los intrusos consiguieron el acceso a la organización correspondiente dirigiendo un ataque a medida a un individuo o unos pocos individuos elegidos como blanco. Sospechamos que fueron elegidos por su acceso a información de valiosa propiedad intelectual. Esos ataques habrían procedido de una fuente aparentemente fiable, conduciendo al blanco a caer en la trampa siguiendo un enlace o abriendo un fichero. Aquí es cuando el aprovechamiento de la vulnerabilidad de Microsoft Internet Explorer tiene lugar [para descargarse e instalarse de forma inadvertida un troyano]. Fuente y noticia completa: McAfee Security Blog 14/01/2010 Traducción nuestra.

Código de aprovechamiento ("exploit code") de CVE-2010-0249 disponible públicamente
'Se han publicado los detalles de un exploit contra la vulnerabilidad CVE-2010-0249, la del Aviso de Seguridad de Microsoft Security 979352, también conocida como Aurora. Se trata de una vulnerabilidad en mshtml.dll que funciona como ya se había dicho en IE6 pero si se habilita DEP ["Data Execution Prevention"] en IE7 o en IE8 el "exploit" no consigue ejecutar código alguno. Se espera que Microsoft tenga el parche disponible en su día habitual de parches en Febrero. No parece probable un parche antes a menos que lo publiquen terceros". Fuente y noticia completa: Internet Storm Center 15/01/2010

Entradas relacionadas:
2 comentarios:
Etiquetas: , , , ,
Suscribirse a: Entradas (Atom)