El ataque de eu2010.es en otra web de la administración. [Descripción de la técnica XSS empleada]

'Mucho revuelo se ha armado con el ataque a la web de la presidencia europea de turno. Llegó incluso a estar en la portada de El Mundo (edición impresa).

Por su parte, desde la Secretaría de Estado de Comunicación reiteraron que la página no ha sido alterada por ningún intruso, ya que la imagen mostrada en el engaño ha sido cargada desde un servidor remoto y no es posible acceder a ella usando normalmente la web.

Y la verdad es que, aunque 11,9 millones por adaptar un OpenCMS y darle mantenimiento y "seguridad" es el robo del siglo, hay que admitir que el error era del propio OpenCMS (el gestor de contenidos que utilizan... que no es PHP :-P), y además un XSS, si no se utiliza para robar cookies o hijacking es prácticamente inofensivo.

No obstante, este error de principiante no es el único pecado de Telefónica (o de la cárnica que haya subcontratado para el proyecto). Santi Saez nos desvela que la web fue alojada en un servidor con un sistema operativo obsoleto (Debian 4), el panel de control Plesk accesible públicamente, el SSH accesible públicamente y permitiendo el login a root y un BIND (servidor de DNS) vulnerable. Además, el servidor de nombres no era dedicado. Ahora han intentado arreglarlo externalizando el hosting en Akamai.

Pero no nos desviemos del tema, que es explicar cómo funciona esta vulnerabilidad, y cómo explotarla en otra web de la administración que todavía no ha parcheado el OpenCMS.

Qué es XSS

Un ataque XSS o cross-site scripting es una vulnerabilidad de aplicaciones web que consiste básicamente en conseguir que en la página víctima se cargue un script de otro sitio. Como sabemos que los scripts (casi siempre JavaScript) se ejecutan en el navegador del cliente, es evidente que este ataque no va a alterar el servidor en nada.

Pero ¿cómo hacer que una página cargue un script? Para buscar vulnerabilidades XSS y cualquier otra vulnerabilidad web es esencial que encontrar puntos de entrada de datos por parte del usuario.'...

'... Imagina un formulario de búsqueda de una web cualquiera. Hay un cuadro de texto en el que tú introduces una palabra, por ejemplo, 'normativas calidad' porque quieres buscar las normativas de calidad de un organismo público. Cuando pulsas "buscar", aparece una página de resultados en el que arriba dice "se han encontrado x resultados para 'normativas calidad'". Es decir, repite lo que le has dicho. Ha puesto en la página lo que tú habías introducido en el cajetín de búsqueda.

Vale, pero ¿y si en lugar de 'normativas calidad' pones '<img src="http://bean.com/mister-bean.jpg" />'? En teoría la página debe repetir lo que has escrito. Si la web no está protegida, entonces verás una linda foto de Míster Bean en la página de resultados, ya que el navegador interpreta el HTML que has introducido y el buscador ha repetido. Acabas de inyectar HTML, pero no has manipulado el servidor. Esa foto de Míster Bean la ves tú en tu navegador y nadie más.

Si en lugar de HTML plano introduces un script (bien por invocación bien por introducción directa del código), ese script se ejecutará en el navegador, y podrás manipular los elementos de la página, hacer redirecciones... lo que quieras, pero siempre sabiendo que eso se está ocurriendo en tu servidor y sólo en tu servidor....'

'Aquí tenemos el código fuente:

<input class="txt" type="text" size="15" name="query" value=hola mundo >

Primer fallo... no poner comillas para los valores, como exige el estándar HTML. Bueno, más fácil nos lo ponen.

Si en lugar de 'hola mundo' ponemos '>hola mundo <', entonces el código generado será <input class="txt" type="text" size="15" name="query" value=>hola mundo <> Lo que acabamos de hacer es inyectar código cerrando la tag input con el símbolo '>', y el resultado será que vemos el texto box de búsqueda vacío y nuestro mensaje, 'hola mundo' a su lado. Bien, vamos a divertirnos. Si introducimos '><script>alert("Hola mundo")</script>' inyectamos HTML con un JavaScript...'

'...Ahora simplemente inyectamos una imagen (habiendo cerrado previamente la tag input con el signo '>'):


><img src="http://blog.tmcnet.com/blog/tom-keating/images/mr-bean.jpg">

'

Fuente y texto completo: Blog de Israel Viana "sobre tecnologías web y otras desviaciones" 12/01/2010

Entradas relacionadas:

• [08/01/2010] Un error de principiantes permitió el 'ataque' a la web de la presidencia [La búsqueda devolvía una imagen de Mr. Bean] (El Mundo)
  

Un error de principiantes permitió el 'ataque' a la web de la presidencia [La búsqueda devolvía una imagen de Mr. Bean]

'Aunque desde el Gobierno aseguran que no se ha tratado de un ataque que haya logrado entrar en su página, María Rosa Díez, asesora de cuerpos de seguridad españoles en materia de seguridad en la Red, explica a ELMUNDO.es que la aparición de una fotografía del humorista británico Rowan Atkinson, conocido como "Mr. Bean", es consecuencia de haber pasado por alto un "agujero tontísimo en la seguridad".

El Instituto Nacional de tecnologías de la Comunicación (INTECO), adscrito al Ministerio de Industria, Turismo y Comercio, ha confirmado en su auditoría de seguridad sobre la página web que "el supuesto ataque ha consistido en aprovechar una vulnerabilidad del código fuente denominada XSS (cross-site scripting) dirigida a los usuarios de la web y no a la web en sí misma". Precisamente este aspecto debería estar "superado para cualquier experto que se precie", añadía Díez.

Según datos oficiales, el Ejecutivo abonará a Telefónica y Telefónica Móviles un total de 11,9 millones de euros por prestar asistencia técnica y seguridad a la web de la presidencia española. "No es normal que un profesional no haya reparado en prevenir ataques en este sentido".'

Fuente y noticia completa: El Mundo 5/01/2010
Imagen: El Mundo

Los falsos antivirus ahora secuestran e inutilizan el ordenador

'PandaLabs, el laboratorio de Panda Security, The Cloud Security Company, ha identificado una tendencia mucho más agresiva de venta de los llamados falsos antivirus o rogueware. Hasta ahora, cuando un PC era afectado por un malware de estas características, se limitaba a enseñar mensajes de alerta de infección invitando al usuario a comprar. Ahora, están combinando estas tecnologías con el secuestro –literal- del ordenador y su inutilización, lo que conocíamos hasta la fecha como ransomware.

Una vez infectado el ordenador, la víctima experimenta una gran frustración al ver cómo al intentar ejecutar cualquier programa, abrir un documento, etc., el ordenador no responde y sólo aparece un mensaje informando al usuario (falsamente) que todos los archivos están infectados y que la única solución es comprar el falso antivirus.

Esta falsa aplicación, llamada Total Security 2009, la venden por 79,95 €. Además ofrecen servicios de soporte técnico premium por 19.95€ adicionales. Una vez pagado, el usuario recibe un número de serie que, al introducirlo en la aplicación, libera todos los ficheros y ejecutables y deja trabajar y recuperar la información. Dicha falsa aplicación, sin embargo, sigue instalada.

“Este comportamiento del falso antivirus conlleva un doble peligro: por una parte, el usuario es engañado y debe pagar dinero para poder seguir utilizando su ordenador; por otro, el usuario puede llegar a pensar que se encuentra ante un antivirus real, con lo que dejará su ordenador sin ninguna protección”, señala Luis Corrons, director técnico de PandaLabs.

“Es muy sencillo infectarse sin saberlo. La mayoría de las ocasiones basta con visitar webs que están hackeadas, y una vez infectado el ordenador, es tremendamente difícil proceder a su eliminación –señala Luis Corrons-, incluso para personas con cierto conocimiento técnico. Tampoco deja al usuario utilizar herramientas de detección y desinfección de ningún tipo, al impedir la ejecución de todos los programas. Lo único que permite abrir es el navegador de Internet (para que puedas ir a pagar la falsa aplicación), por lo que hemos publicado en el blog de PandaLabs los números de serie necesarios para proceder al desbloqueo del ordenador, si es que ha sido secuestrado. Una vez realizada esta acción, ya se puede instalar un buen software de seguridad y analizar a fondo el PC para asegurarnos que eliminamos todo rastro de este falso antivirus”.'

'Los números de serie así como un vídeo demostrando cómo funciona se pueden encontrar en: http://pandalabs.pandasecurity.com/archive/Rogueware-with-new-Ransomware-Technology_2221_.aspx'

Fuente y noticia completa: Boletín Oxygen 3 de Panda Security de 17/10/09

Los usuarios afectados por malware que roban la identidad repunta en época de crisis económica, informa PandaLabs

'Según datos registrados por PandaLabs, el número de usuarios afectados por todo tipo de malware encaminado al robo de identidad ha aumentado un 600%, comparado con el mismo período del año 2008. En su mayoría, son troyanos, pero también encontramos numerosos ejemplares de phishing, gusanos, spyware, etc.

Además, los hackers han buscado tanto fuentes alternativas de financiación como modos de difusión novedosos. Por ejemplo, cuando antes el malware enfocado al robo de identidad iba dirigido casi exclusivamente a llevar a los usuarios a introducir su login y password en su banco online, ahora intentan engañar a sus víctimas llevándoles a cualquier plataforma o sitio online donde o pueden tener sus datos bancarios almacenados o pueden introducirlos en algún momento.'

'Una vez que se hacen con los datos de tarjetas de crédito o bancarias, pueden realizar dos acciones: bien realizar compras con la numeración, sin que el usuario sea consciente hasta que le llega el cargo al banco; o bien vender en el mercado negro dicha numeración a un precio más que razonable (unos 3 €).'

Fuente y noticia completa: Panda Security 29/08/09

ISO 27799:2008, un paso más en la Seguridad de la Información del sector sanitario

'En el sector sanitario en este momento nadie debería tener ninguna duda sobre la necesidad de implantar un PLAN DIRECTOR DE SEGURIDAD. Debería ser una premisa en el IT Government de un centro sanitario, tanto público como privado. Para conseguir este hito, como decimos los que trabajamos con normas ISO, está ya “todo inventado”. En este caso, el número a estudiar se llama 27001

El amplio concepto de la seguridad no sólo comprende la parte tecnológica sino la organizacional, el marco jurídico y sobre todo la gestión. En este sentido es más que útil conocer con detalle las familia de norma ISO 27000, encabezadas por ISO 27001 que nos marca los requerimientos para implantar un SGSI, y tener así un sistema de trabajo y gestión para poder acometer esta cambiante y dificil disciplina de la seguridad

Para el sector sanitario tenemos una muy buena noticia, la norma ISO 27799 aparecida en 2008, parece estar teniendo buena acogida en los profesionales de este sector y ya es una lectura obligada para los profesionales y consultores que trabajen en este tipo de organizaciones. ISO 27799 ha sido creada contemplando las mejores prácticas llevadas a cabo en diversos centros de atención primaria, en clínicas, por equipos de atención domiciliaria, en hospitales, en consultas de especialistas, etc… con la única finalidad de incorporar una aproximación a la realidad de los problemas que actualmente existen y de cómo gestionarlos.

La SEGURIDAD DE LA INFORMACIÓN EN SANIDAD

Seguridad de la información es la suma de tres conceptos:
CONFIDENCIALIDAD+INTEGRIDAD+DISPONIBILIDAD

Proteger la confidencialidad se hace obligatorio, puesto que los datos personales referentes a la salud deben de ser tratados con el nivel más alto de protección. En esta variable conviene recordar que existen mayores riesgos cuando la información no está informatizada

Por otra parte, es indispensable mantener la integridad de la información médico-sanitaria, para garantizar la seguridad de los pacientes,

Por último, la disponibilidad de información referente a la salud también es fundamental para la eficacia de la prestación de servicios médicos. Los sistemas informáticos sanitarios deben de cumplir con la única premisa de permanecer en funcionamiento tanto en situaciones de desastre natural, como en fallos del sistema o durante eventuales ataques de denegación de servicio.

En el sector sanidad la integridad y disponibilidad de una historia clínica es mucho más importante que la confidencialidad. La falta de integridad o disponibilidad de datos sanitarios en una historia clínica puede llegar a suponer la pérdida de vidas humanas'

Fuente y texto completo: Toni Martí-Avila en Blog IT 360º 27/05/09
Visto en: Blog CRYPTEX 03/03/09

Entradas relacionadas:

• [19/10/2008] Siete hospitales se quedan seis horas sin sistema informático. Sanidad insiste en que los pacientes fueron atendidos con normalidad (El País y El Mundo)
• [20/10/2008] Nota de prensa con respecto a la caída del sistema informático central de los nuevos hospitales (entrada nuestra)
  
• [21/10/2008] Adjudicado a Indra el contrato de servicios de seguridad informática de la Consejería de Sanidad (entrada nuestra)
• [21/10/2008] Foro Técnico 2008 de la SEIS: ponencia del Responsable de Seguridad informática del Sercicio Madrileño de Salud (entrada nuestra)
• [21/10/2008] La subcontratación del riesgo (Blog de Javier Cao Avellaneda "Sistemas de Gestión de Seguridad de la Información")
  
• [21/04/2009] La seguridad de la informática de la Comunidad de Madrid en SECURMATICA 2009 (Securmatica)
  
• [19/02/2009] [El Ministerio de] Sanidad certifica que su nodo central de información es seguro según la ISO 27.001 (Diario Médico)
  

El 52% de los nuevos virus que aparecen cada día sólo “viven” 24 horas, informa PandaLabs

'Cada día se reciben en PandaLabs unos 37.000 ejemplares de nuevos virus, gusanos, troyanos y otro tipo de amenazas de Internet. De éstos, el 52% (es decir, 19.240 de media) sólo se distribuyen e intentan infectar durante 24 horas. Pasado este período, pasan a estar inactivos y a ser inofensivos, mientras se reemplazan por otras nuevas variantes que engrosan la lista de nuevos ejemplares.

La razón la tenemos que buscar en la motivación que mueve a sus autores, los hackers, que buscan un beneficio económico. Para ello, intentan pasar lo más desapercibidos posible tanto para el usuario como para los fabricantes de soluciones de seguridad.'

Fuente y noticia completa: Panda Security 22/08/09

PandaLabs revela un crecimiento exponencial del número de falsos antivirus

'PandaLabs, el laboratorio de análisis y detección de malware de Panda Security anuncia la disponibilidad de un estudio llevado a cabo durante varios años que examina la proliferación de los falsos antivirus dentro de la economía de los cibercriminales. El Informe “El negocio de los falsos antivirus” de los investigadores de PandaLabs, Luis Corrons y Sean-Paul Correll, analiza los diferentes tipos de falsos antivirus que se han creado y muestra como este nuevo tipo de malware se ha convertido en parte fundamental en la economía general del malware. El estudio incluye un análisis en profundidad sobre las cada vez más sofisticadas técnicas de ingeniería social utilizada por los cibercriminales para distribuir falsos antivirus a través de Facebook, MySpace, Twitter y Google.

Los falsos antivirus o rogueware son soluciones que se hacen pasar por aplicaciones legítimas de software y tratan de robar dinero de los usuarios de ordenadores haciéndoles creer que van a eliminar amenazas que realmente no existen. PandaLabs predice que habrá detectado más de 637.000 nuevos ejemplares de falsos antivirus a finales del tercer trimestre de 2009, multiplicando por 10 su número en menos de un año. Aproximadamente 35 millones de nuevos ordenadores se infectan con falsos antivirus cada mes (alrededor del 3,5% de todos los ordenadores), y los cibercriminales están consiguiendo cerca de 34 millones de dólares al mes a través de este tipo de ataques.'

Fuente y noticia completa: Panda Security 8/8/2009

Panda Security anuncia la disponibilidad de la Beta2 de Panda Cloud Antivirus

'Panda Security, The Cloud Security Company, acaba de lanzar la versión Beta 2 de su solución gratuita de Panda Cloud Antivirus, el primer y único antivirus ligero (thin-client) y gratuito basado en la nube con un 50% menos de impacto en el rendimiento del PC que los antivirus tradicionales.

Los usuarios pueden descargarse esta nueva versión de forma gratuita desde http://www.cloudantivirus.com (disponible en castellano, inglés y alemán).'

'Gracias a los millones de usuarios que están probando la solución y contribuyendo a su mejora, esta segunda versión beta incluye numerosas novedades, las cuales se detallan en el blog oficial de los desarrolladores en http://blog.cloudantivirus.com.

Además, desde su lanzamiento, el pasado 29 de abril, gracias a la participación de la comunidad, se han recibido más de tres millones de nuevas muestras en PandaLabs. Este gran conocimiento adquirido, que se devuelve a la comunidad en forma de mayor protección, ha permitido que el tiempo de respuesta medio de Inteligencia Colectiva haya mejorado considerablemente.'

Fuente y noticia completa: Panda Security 25/07/09

Una de cada cinco compañías del sector sanitario no tiene una estrategia de seguridad de la información

'Además de afrontar la crisis, las organizaciones sanitarias tienen que abordar el reto de cómo proteger su información al tiempo que aparecen sofisticadas amenazas a la seguridad y requisitos legales cada vez más complejos en materia de seguridad de la información. En este sentido, el estudio 'Life Sciences & Health Care Security' realizado por Deloitte asegura que el 38 por ciento de las compañías sanitarias cuenta ya con una estrategia de seguridad formalmente documentada.

Por otro lado, el 21 por ciento de las compañías consultadas por Deloitte no tienen definida una estrategia de seguridad y privacidad de la información, mientras que el 18 por ciento planea completarla en el próximo año y el tres por ciento en los próximos dos años.'

' Otro dato que llama la atención es que más mitad de las compañías consultadas no cuenta con la figura del CISO (Chief Information Security Officer). Y las que lo tienen están incrementando su foco en sobre las actividades relacionadas con la seguridad, como la gestión del riesgo (68 por ciento), la gestión de vulnerabilidades y amenazas (65 por ciento), la arquitectura de seguridad (65 por ciento) y el Gobierno de Seguridad (62 por ciento). “Áreas como la continuidad de negocio, la privacidad, la seguridad física y la interacción con la aplicación de la ley reciben menos atención”, concluye el informe.'

Fuente y noitica completa: computing.es 23/07/09
Entradas relacionadas:

• [28/09/2008] Nuevo organigrama central de la Informática de la sanidad pública madrileña (incluye Jefe de Área de Seguridad)
  
• [24/07/2008] Condiciones del nuevo contrato externo de los servicios de seguridad informática de la Consejería de Sanidad
• [21/10/2008] Adjudicado a Indra el contrato de servicios de seguridad informática de la Consejería de Sanidad
  
• [18/05/2009] El Virus que ataca la sanidad madrileña

Actualización del nuevo Firefox 3.5 que corrige un fallo que está siendo aprovechado por sitios web para introducir SW malicioso en el PC

Mozilla acaba de publicar Firefox 3.5.1, la primera actualización de seguridad y estabilidad de Firefox 3.5, con la que se corrige un fallo grave de seguridad o vulnerabilidad en su componente "TraceMonkey" que se descubrió hace unos días, fallo para el que ya existen "exploits" (programas que permiten aprovecharse del fallo) públicamente disponibles que, una vez insertados en páginas web maliciosas, puede provocar la ejecución del programa arbitrario deseado por el atacante para los que naveguen por ese sitio web con la versión del navegador Firefox vulnerable (únicamente la 3.5 de lanzamiento). Ya hay numerosas páginas web en Internet aprovechándose del fallo mediante esa vía.

Es más que recomendable, para aquellas organizaciones y usuarios del navegador Firefox que se hubieran descargado la versión 3.5 y no tengan activa la actualización automática, que actualicen a la versión 3.5.1, si bien es posible esquivar la posibilidad de aprovechamiento del fallo deshabilitando la opción javascript.options.jit.content mediante la interfaz de configuración avanzada (accesible mediante la URL especial about:config)

Entradas relacionadas:

• [23/06/2009] Según Microsoft, Internet Explorer 8 es superior a Mozilla Firefox 3 y Google Chrome 2
• [01/07/2009] Disponible Firefox 3.5

Disponible el parche de Microsoft contra la vulnerabilidad de DirectShow en Microsoft Windows de hace una semana

Hace una semana nos hacíamos eco en este medio de noticias de terceros que informaban sobre nuevos ataques vía navegación web que aprovechaban una vulnerabilidad de un componente de Windows (DirectShow de DirectX) sin parche entonces disponibles.

Básicamente los atacantes "toman" sitios web de terceros donde suplantan o modifican sus páginas para que contengan código malicioso de tal forma que cuando un usuario accede a este sitio web con un navegador como Microsoft Internet Explorer desde un sistema operativo Windows con esa vulnerabilidad se instale en el equipo del navegante y ejecute programas arbitrarios elegidos por los atacante (generalmente, programas maliciosos con objetivos delictivos de tipo económico).

El número de páginas maliciosas que se aprovechan de este fallo en Internet es suficiente importante como para ser una fuente de contribución a la entrada de todo tipo de software malintencionado en los puestos de usuario que naveguen mucho por Internet.

Microsoft hizo público ayer una colección de parches de seguridad para varios de sus productos , entre los que se encuentra el que resuelve esta vulnerabilidad y el que protege en gran parte contra ella en las versiones de sistemas operativos con soporte de Microsoft (Windows 2000 Service Pack 4, XP Service Pack 2 y Service Pack 3 y Server 2003 Service Pack 2 ; Windows Vista y 2008 no estaban afectados)

El presitigioso SANS Internet Storm Center recomienda la inmediata instalación de estos dos parches en los puestos de aquellas organizaciones que permitan la navegación indiscriminada por Internet. Naturalmente, nunca se debe utilizar un servidor como puesto de navegación.

Esta colección de parches no resuelven otra vulnerabilidad de un producto de Microsoft, unos componentes web de Office, de la que la proliferación de ataques que la aprovechan hizo que ayer el SANS Internet Storm Center elevara a nivel amarillo durante unas horas el nivel de su indicador de amenaza de funcionamiento de Internet.


Entradas relacionadas:

• [08/07/2009] Nuevo ataque vía navegación web que aprovecha una vulnerabilidad de Windows XP y 2003 sin parche disponible
• [14/07/2009] Generalización de ataques vía navegación web que aprovechan una vulnerabilidad de Microsoft Office sin parche disponible

Generalización de ataques vía navegación web que aprovechan una vulnerabilidad de Microsoft Office sin parche disponible

El SANS Internet Storm Center ha puesto en Amarillo INFOCON, su indicador de nivel de amenaza para el funcionamiento general de Internet, situación que ocurre muy pocas ocasiones al año.

La razón es que se está utilizando de forma importante, vía páginas web maliciosas insertadas o manipuladas en servidores web generalmente tras un ataque al sitio web, una vulnerabilidad de ciertos componentes web de Microsoft Office para la que todavía no hay parche disponible de su fabricante (Microsoft). Las páginas web contienen un "exploit" (programa diseñado para aprovecharse de una vulnerabilidad de otro programa) que ya es de dominio público en Internet.

Los productos afectados son al menos Microsoft Office XP, Office 2003 , MS ISA 2004 , ISA 2006 y Office Small Bussiness Acounting 2006. Microsoft Office 2003 Service Pack 3 y Office 2007 Service Pack 1 o 2 no están afectados.

Basta con navegar desde un equipo con Windows que contenga uno de los productos afectados por una de esas páginas maliciosas con un navegador que tenga activo el soporte de la tecnología ActiveX, como el propio Internet Explorer de Microsoft, para que pueda instalarse y ejecutarse en el equipo el programa arbitrario elegido por el atacante (obviamente, generalmente de propósitos maliciosos).

A la espera del parche, Microsoft recomienda desactivar el uso desde el navegador de esos componentes mediante una operación técnica de cierta complejidad. SANS además sugiere para los usuarios de Windows la opción de utilizar navegadores alternativos que no permitan el uso de Active X a lo que habría que sumar la recomendación habitual de no navegar por sitios no confiables y tener un antivirus lo más actualizado posible.

[15/07/09] ACTUALIZACION : Internet Storm Center ha devuelto al nivel verde (el normal) su indicador INFOCON de nivel de amenaza para el funcionamiento general de Internet, tras haber cumplido su objetivo inicial al subirlo al nivel amarillo de contribuir a difundir el riesgo descrito arriba, riesgo que sigue existiendo de igual manera.

Nuevo ataque vía navegación web que aprovecha una vulnerabilidad de Windows XP y 2003 sin parche disponible

Web Exploit Kit Targets 0-Day Microsoft DirectShow Vulnerability

'Una vulnerabilidad que permite la ejecución remota y calificada de "0-day" [i.e.-para la que no existe todavía parche pero sí "exploit"] en el control Active X de Video de Microsoft está siendo aprovechada como parte de ataques que han afectado a miles de sitios web. El "exploit" ha sido incoporado en un kit que intenta instalar un cóctel de software malicioso en las máquinas de los visitantes [del sitio web].'

' Un analis del ataque, realizado por Trend Micro, revela que se ofrece un fichero .JPG malicioso, que contiene el código del exploit para esta vulnerabilidad de tipo "0-day". '

Fuente y noticia completa: News de Softpedia 7/7/09
Traducción nuestra


Nuevo ataque aprovechando una vulnerabilidad no parcheada de Microsoft

'Dicha vulnerabilidad se encuentra en el componente Microsoft Video ActiveX Control, y afecta sobre todo a los usuarios de Internet Explorer 7 en Windows XP. El peligro principal es que esta vulnerabilidad no cuenta aún con un parche oficial de Microsoft, por lo que los usuarios pueden ser infectados aunque tengan todas las actualizaciones instaladas.

A través de este exploit se pueden distribuir varios tipos de malware. De momento, PandaLabs ha localizado ya un ejemplar así distribuido: Lineage.LAC. Un troyano destinado a robar información de los usuarios que, además, utiliza técnicas de rootkit.

Microsoft ha lanzado un aviso a través de su web explicando cómo se podría solucionar este problema de manera temporal: http://www.microsoft.com/technet/security/advisory/972890.mspx [N.E: según este boletín urgente de Microsoft, los sistemas operativos afectados son Windows XP y 2003, para los que existe la solución temporal allí descrita de desactivar el componente vulnerable]

En todo caso, PandaLabs recomienda a los usuarios que estén atentos a los parches de seguridad que vaya publicando Microsoft, a fin de actualizar su sistema frente a esta vulnerabilidad lo antes posible. Además, todos los usuarios de Panda Security están ya protegidos frente a esta amenaza gracias a las Tecnologías proactivas TruPrevent.

“El gran riesgo de esta vulnerabilidad es que cualquier usuario puede ser infectado, aunque tenga su sistema operativo plenamente actualizado. Basta con visitar una página web afectada, que puede ser incluso legal, para convertirse en una víctima”, explica Luis Corrons, director técnico de PandaLabs'

Fuente y noticia completa: Panda Security 7/7/2009

Fin de Soporte de Windows 2003 Service Pack 1

Según la página web de Microsoft que detalla las fechas de fin de soporte de los Service Packs de sus productos y de acuerdo con las condiciones generales de ciclo de vida de los productos de Microsoft, que estipulan, para los Service Pack de sistema operativo , una duración de soporte de 2 años tras la publicación de un nuevo Service Pack [=SP], Microsoft Windows Server 2003 Service Pack 1 ha dejado de tener soporte en todas sus ediciones desde el pasado 14 de Abril de 2009.

Esto significa, entre otras cosas, que, para la versión de Windows Server 2003 SP 1, ya no estarán disponibles los parches de seguridad que corrijan problemas de seguridad conocidos a partir de esa fecha. Éste ha sido el caso, por ejemplo de los boletinesn de parches de seguridad de Junio de Microsoft que ya sólo están disponibles, para el caso de Windows 2003, si se trata de la versión Service Pack 2.

Estos y futuros parches pueden ser esenciales para afrontar incidentes de seguridad como la propagación automática de algún hipotético gusano que se aproveche de una nueva vulnerabilidad.

Se considera mala práctica, para aquellos equipos conectados a una red insegura y sin filtros suficientes, posponer la implantación del ahora imprescindible Service Pack 2 al momento de uno de esos hipotéticos incidentes de seguridad ya que el Service Pack 2 incluye, además de todas las revisiones de seguridad disponibles hasta su lanzamiento y varias correciones de funcionamiento, varias novedades y cambios menores de funcionalidad que podrían afectar a algún servicio.

El SP 2 para Windows Server 2003 en Español puede descargarse gratuitamente de la web de Microsoft y está también disponible vía Windows Update desde el propio equipo.

Los sistemas operativos de Microsoft con soporte público de parches de seguridad son en la actualidad: Windows 2000 SP 4, XP SP 2 y SP3, 2003 SP2, Vista SP1 y SP2 y 2008 Server SP1 y SP2.

Entradas relacionadas:

• [18/05/09] Recordatorio: El 13/07/2010 finaliza en principio el soporte de parches de Windows 2000
• [02/06/09] Microsoft da la puntilla a Vista [en entorno empresarial]

Un ataque informático borra más de 100.000 servidores virtualizados de la empresa de hosting VAServ con serias consecuencias

'Un gran proveedor de servicios de internet [VAserv.com] ha asegurado [vía su director Rus Foster] que los datos de al menos de 100.000 de sus sitios web fueron destruidos por atacantes que aprovecharon una vulnerabilidad sin parche disponible en una aplicación [de gestión] de vitualización muy utilizada [HyperVM de LXLabs].' Fuente y noticia completa: The Register 8/6/09


'Una vulnerabilidad no parcheada (0 DAY) en la versión 2.0.7992 del software HyperVM / Kloxo de la compañía india LxLabs ha podido ser la puerta de entrada para un ataque informático que ha ocasionado el borrado total de datos de 100,000 servidores web virtuales operados por la empresa Vaserv, con base en el Reino Unido, y sus subsidiarias CheapVPS y FSCKVP. Las dos últimas fueron aniquiladas en su totalidad y puestas fuera de línea. ' ... 'El fundador de la empresa LxLabs, K T Ligesh, de 32 años, se suicidó horas horas después del suceso. ' Fuente y noticia completa: zonavirus.com 10/06/09


'[Rus Foster] ha negado las afirmaciones que se han publicado [por los que afirman haber sido los crackers autores del borrado] que aseguran que la mala gestión de contraseñas y de configuración de sus servidores fue [lo realmente utilizado en el ataque] ... Rus Foster también afirmó encontrarse conmocionado tras enterarse [del suicidio de Ligesh] ... "Me pregunté si yo era responsabe de alguna forma" afirmó Foster en una conversación telefónica con The Register. Foster [tras afirmar haber llegado al límite de su capacidad física y emocional] ha anunciado que VAServ va a ser absorbido por un proveedor más grande de servicios de Internet conocido como BlueSquare. Fuente y noticia completa: The Register 10/06/09

Microsoft lanzará un antivirus gratuito. Se llamará Morro.

' Microsoft lanzará un antivirus básico y gratuito en los próximos meses. Morro, así se llamará, permitirá el control parental y la detección de troyanos o programas espía. Se trata de la segunda aventura de la compañía en este terreno, tras Windows Live One Care, que será cancelado cuando se active Morro, probablemente a finales de este año.

Este lanzamiento preocupa a los fabricantes de antivirus. Con todo, un representante de Symantec ha manifestado a la BBC que los consumidores exigen ahora programas de protección más completos que la que ofrecen los programas gratuitos.'

Fuente y noticia completa: El País 15/06/09

El Virus que ataca la sanidad madrileña

'Los servicios de informática de la sanidad madrileña se han visto atacados por una variante del troyano Buzus, el nuevo virus ataca todos los sistemas, se propaga a través de las unidades de red y de los pendrive, intenta establecer enlaces a través del puerto 445, provocando que las unidades e impresoras compartidas en los Pcs con Windows XP queden fuera de servicio dado que se supera el limite máximo de conexiones que es posible establecer con este sistema operativo.

Funcionamiento del virus:

En la carpeta Windows\System crea el fichero dllcache.exe, oculto y de solo lectura, este ejecutable contiene el virus, al iniciar el Pc se carga residente en memoria a través de la clave del registro:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\Netmon

Tambien se inicia desde la clave:

HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Windows\System\dllcache.exe

En las siguientes claves del registro aparece tambien referenciado el virus para iniciarlo cuando se arranca en modo seguro.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Minimal\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Control\SafeBoot\Network\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\dllcache

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\dllcache

En algunos Pcs infectados aparece tambien el fichero \Windows\system32\drivers\SYSDRV32.SYS

Este no es más que una copia del dllcache.exe.

Además el virus genera ficheros con extensión .SCR en la carpeta Windows\System32, estos ficheros son ejecutables y se emplean para ser enviados a traves de las unidades de red administrativas que encuentre el PC, debido a una vulnerabilidad de Windows puede incluso añadir las claves al registro y ejecutarse de forma remota.

Vulnerabilidad ms08.067

Este virus infecta los pendrive, copia los ficheros autorun.inf y strongkey-rc1.3-build-208.exe, el ultimo no es más que una copua del dllcache.exe que se ejecuta desde el autorun a través del siguiente script en los Pcs que tengan activo la autoejecución para las unidades:

[autorun]

shellexecute=strongkey-rc1.3-build-208.exe

action=Open folder to view files

shell\default=Open

shell\default\command=strongkey-rc1.3-build-208.exe

shell=default

Proceso de eliminación del Virus:

Para la eliminación de la criaturita debemos utilizar un LiveCD que contenga un editor de registro, aunque en teoria si conseguimos eliminar el fichero dllcache.exe en un momento en el que el virus no se encuentre residente será suficiente, en este caso aparecerá un mensaje de error al arrancar el ordenador dado que la clave run del registro de Windows tratará de cargar el fichero dllcache.exe.Eliminado los ficheros indicados y las diferentes claves de registro que llaman al virus lo habremos eliminado, pero será necesario asegurarnos de que tenemos instalada la actualización que lanzo Microsoft para evitar que otro Pc que aun se encuentre contaminado transmita la infección a través de la red al que acabamos de limpiar.Espero que esta información sea de utilidad, dispongo de una copia de todos los archivos que utiliza el virus y del registro infectado por si alguien quiere examinarlo con más detalle.'

Fuente: Blog "Cosas de los informáticos" 14/05/09

Entradas relacionadas:

• [08/05/2009] Un nuevo virus informático se ha dejado hoy sentir en la informática sanitaria madrileña (entrada nuestra)
• [10/05/2009] Virus informático en la Sanidad Madrileña (Blog RafaLinux)
  
• [12/05/2009] Un virus se cuela en los ordenadores de Sanidad (El País)
  
• [13/05/2009] Parece que el virus que esta atacando a la informática sanitaria madrileña es una variante de BUZUS (entrada nuestra)
• [14/05/2009] Nueva variante de troyano buzus que ha infectado la sanidad española (zonavirus.com)
  

Nueva variante de troyano buzus que ha infectado la sanidad española

'Un nuevo troyano ha invadido el área informática de sanidad en España, principalmente en Madrid, siendonos reportados por clientes relacionados con ellos, los problemas consiguientes, que han dado lugar a nuestra investigación y solución del problema:

Se trata de un troyano de la familia BUZUS que se ejecuta desde las carpetas de sistema\drivers\SYSDRV32.SYS y de windir\system\DLLCACHE.EXE , con atributos de oculto y de sistema, lo cual hace difícil su visión desde WINDOWS configurado por defecto.

Se autoejecutan en cada reinicio desde claves RUN y SafeBoot del registro, siendo esta última para que se cargue incluso arrancando en modo seguro.

Ademas crea en las unidades extraibles los siguientes ficheros para que se autopropaguen por pendrive:

X:\ Autorun.inf
X:\ strongkey-rc1.3-build-208.exe

tambien con atributos de oculto y de sistema.

siendo el .exe una copia del DLLCACHE.EXE malicioso, que el AUTORUN.INF lanza desde el siguiente script:


shellexecute=strongkey-rc1.3-build-208.exe
action=Open folder to view files
shell\default=Open
shell\default\command=strongkey-rc1.3-build-208.exe
shell=default


Se recomienda vacunar ordenadores y pendrives con el ELIPEN y ya a partir del ELISTARA 18.60 ya se controla y elimina este troyano y se restauran las claves modificadas.

saludos

ms, 13-5-2009'

Fuente: zonavirus.com 13/05/09
NOTAS del Editor: zonavirus.com es una web patrocinada por SATINFO, mayorista del Antivirus MCAfee en España. Parece claro que el gusano de la Sanidad madrileña se ha propagado además de por la vía del lápiz -una de las posibles vías de la entrada inicial-, y en una proporción enormemente mayor, por la red de Windows. Muchas variantes previas de buzus (y otros virus/gusanos/malware), para propagarse por una red sin filtros, pueden utilizar el fallo de Windows descrito en el boletín de seguridad MS08-067 de Microsoft, de Octubre de 2008, en el que Microsoft proporciona un parche (para ese fallo).

La clave RUN que se menciona en la noticia que el virus utiliza para ejecutarse tras el inicio de un equipo infectado es HKLM\Software\Microsoft\Windows\CurrentVersion\Run ,
el valor (por ejemplo Netmon) que apunte a \System\dllcache.exe .


Entradas relacionadas:

• [08/05/2009] Un nuevo virus informático se ha dejado hoy sentir en la informática sanitaria madrileña (entrada nuestra)
• [10/05/2009] Virus informático en la Sanidad Madrileña
• [12/05/2009] Un virus se cuela en los ordenadores de Sanidad (El País)
  
• [13/05/2009] Parece que el virus que esta atacando a la informática sanitaria madrileña es una variante de BUZUS (entrada nuestra)

Parece que el virus que esta atacando a la informática sanitaria madrileña es una variante de BUZUS

Tras la colaboración que estamos llevando a cabo los informáticos de la sanidad madrileña con McAfee, parece que han detectado el virus que está atacando a los equipos informáticos de la red de sanidad, una variante de BUZUS, que se propaga por pendrive (además del ya consabido aprovechamiento de una vulnerabilidad de red de Microsoft).

Hoy a las 19h McAfee va a publicar una nueva versión de ElistarA para solucionar el problema.

Además, recomiendan complementar dicha eliminación con la utilidad ELIPEN, que impedirá la propagación de troyanos de este tipo por parte de los ordenadores y pendrives tratados.

Aparte de todo esto, es muy importante tener instalados los parches de Windows, para lo que se aconseja utilizar Windows Update.

Los informáticos de la Sanidad Madrileña y los comentarios en blogs sobre el reciente virus

Varios blogs (en concreto RafaLinux y RJMC) han redactado entradas propias informando del impacto de un virus este fin de semana en algunos centros de la Sanidad Pública Madrilela, entradas que ya hemos reproducido tal cual en este medio por su temática. Otros sitios de la blogosfera también han reproducido dichas entradas.

Algunos de esos blogs y sitios tienen un sistema de comentarios abierto de los que se han recogido varios en los que se mencionan, de formas diversas, a los informáticos de la Sanidad de Madrid así como a la propia Asociación APISCAM. Por su interés para la temática de este blog, recogemos los enlaces respectivos a los blogs con comentarios [con el número de comentarios a fecha 12/05/09 hora 20:00]:

• [Rafalinux.com] Virus informático en la Sanidad Madrileña [24 comentarios]
• [mename.net] Un virus informático crea el Caos en la Sanidad Madrileña [37 comentarios]
  
• [The Inquirer] Virus informático colapsa la Sanidad Madrileña el fin de semana [36 comentarios]
  

Antes de nada queremos aprovechar para hacer público y notorio el hecho de que este pasado fin de semana en algunos hospitales y centros sanitarios de la Comunidad de Madrid, "informáticos propios" - es decir, personal contratado por el propio Hospital o Gerencia para realizar las funciones de informática en la mayoría de muchos casos desde hace muchos muchos años, y a los que nuestra Asociación representa- se acercaron al centro (muchos en su día libre) para realizar el tedioso y necesario trabajo de campo de poner la cura parcial o total , ordenador por ordenador, de los ordenadores con problemas.

Sin la intervención de estos informáticos propios (en cooperación y comunicación en muchos casos con los servicios centrales de Sanidad) a buen seguro que los problemas, que hubo en diverso grado y según el centro, habrían tardado mucho más en ser resueltos y el impacto este pasado lunes, con la actividad del centro al completo, habría sido bastante peor. También ha sido esencial la intervención de los informáticos propios en este comienzo de semana (esta vez en su mayoría ya en su horario habitual) en la lucha contra el virus (que sigue).

Da la casualidad que esos informáticos propios, sobre los que en la actualidad -cada vez con menos medios en proporción al aumento de las dotaciones informáticas- recae la informática final de la gran mayoría de los hospitales denominados tradicionales y las gerencias de atención primaria *, se encuentran a día de hoy en una situación de no reconocimiento de sus funciones (al seguir en categorías de función administrativa y no de informática) y, lo que es peor, en su mayoría en una situación laboral temporal pese a los años dedicados y cada vez más precaria con el paso de las OPEs por función administrativa y resoluciones de RRHH contra la contratación interina.

Ya hace tiempo que es hora de que esta triste situación se regularize con la contratación estable justa en categorías de Sanidad de TODOS y que en ningún caso el pago a los servicios prestados sea el "despido" (amortización de interinos , cese por fin de sustitución u oposición, no renovación de contrato eventual o autónomo) tras acometer de forma centralizada la externalización de los servicios de informática (de forma total o parcial).


Volviendo a los comentarios de los blogs, curiosamente hay varios en los que sus autores que dicen haber visto a los pocos informáticos propios de su centro yendo este fin de semana a resolver el problema puesto por puesto. Otros comentarios solicitan el despido de "los informaticos de la CAM", calificándolos de incompetentes e incluso llegando a acusarles de saboteadores.

Sin entrar a valorar estos comentarios , debido a su procedencia -ni las entradas originales-, sí que no podemos evitar acabar lanzando la pregunta de quién realmente a día de hoy son "los informáticos de la CAM" y de repetir esta pregunta variando las coletillas de "según la Consejería de Sanidad", "según las Gerencias", "según los trabajadores no informáticos de los centros sanitarios".

Se admiten comentarios ... como siempre

Nota a pie de página:
* La informática de los centros de salud, servicios centrales y nuevos hospitales ya están prácticamente en manos de empress privadas

Entradas relacionadas:

• [21/10/2008] Adjudicado a Indra el contrato de servicios de seguridad informática de la Consejería de Sanidad
• [08/05/09] Un nuevo virus informático se ha dejado hoy sentir en la informática sanitaria madrileña (entrada nuestra)
• [10/05/09] Virus informático en la Sanidad Madrileña (blog RafaLinux)
• [10/05/09] Cuando redes informáticas de hospitales se van abajo (blog RJMC)
• [12/05/09] Un virus se cuela en los ordenadores de Sanidad (El País)