viernes, 12 de diciembre de 2014

Kaspersky TDSSKiller 3.0.0.42 [Portable][Descubre y elimina rootkits en tu sistema]

DATOS TECNICOS

Nombre: Kaspersky TDSSKiller 3.0.0.42
Sistema Operativo: Win2000/XP/2003/Vista/7/8
Tamaño: 3,99 mb
Idiomas: Ingles

INFO

Nueva versión recien salida de TDSSKiller.exe, una herramienta gratuíta desarrollada por Kaspersky para la eliminación de distintos rootkits como son los siguientes:

Malware de la familia Rootkit.Win32.TDSS:
Rootkit.Win32.TDSS; Backdoor.Win32.Sinowal.knf,kmy;
Rootkit.Win32.Stoned.d; Backdoor.Win32.Trup.a,b;
Trojan-Clicker.Win32.Wistler.a; Backdoor.Win32.Phanta.a,b; Rootkit.Win32.TDSS.mbr

Detecta los siguientes bootkit conocidos:

TDSS TDL1 al TDL4.
Este último conocido con los siguientes alias
Sinowal (Mebroot, MaosBoot).
Phanta (Phantom, Mebratix).
Trup (Alipop).
Whistler.
Stoned,
y los bootkit desconocidos (mediante el analizador heurístico).

Nuevos Rootkits que detecta y elimina

Rootkit.Win32.TDSS, Rootkit.Win32.Stoned.d, Rootkit.Boot.Cidox.a, Rootkit.Boot.SST.a, Rootkit.Boot.Pihar.a,b,c, Rootkit.Boot.CPD.a, Rootkit.Boot.Bootkor.a, Rootkit.Boot.MyBios.b, Rootkit.Win32.TDSS.mbr, Rootkit.Boot.Wistler.a, Rootkit.Win32.ZAccess.aml,c,e,f,g,h,i,j,k, Rootkit.Boot.SST.b, Rootkit.Boot.Fisp.a, Rootkit.Boot.Nimnul.a, Rootkit.Boot.Batan.a, Rootkit.Boot.Lapka.a, Rootkit.Boot.Goodkit.a, Rootkit.Boot.Clones.a, Rootkit.Boot.Xpaj.a, Rootkit.Boot.Yurn.a, Rootkit.Boot.Prothean.a, Rootkit.Boot.Plite.a, Rootkit.Boot.Geth.a, Rootkit.Boot.CPD.b, Backdoor.Win32.Trup.a,b, Backdoor.Win32.Sinowal.knf,kmy, Backdoor.Win32.Phanta.a,b, Virus.Win32.TDSS.a,b,c,d,e, Virus.Win32.Rloader.a, Virus.Win32.Cmoser.a, Virus.Win32.Zhaba.a,b,c, Trojan-Clicker.Win32.Wistler.a,b,c, Trojan-Dropper.Boot.Niwa.a, Trojan-Ransom.Boot.Mbro.d, e, Trojan-Ransom.Boot.Siob.a, Trojan-Ransom.Boot.Mbro.f.

 


DESCARGA GRATUITA:

http://media.kaspersky.com/utilities/VirusUtilities/EN/tdsskiller.exe

miércoles, 10 de diciembre de 2014

Boletines de seguridad de Microsoft de diciembre

 

Microsoft ha publicado siete boletines de seguridad correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft tres de los boletines presentan un nivel de gravedad "crítico", mientras que los cuatro restantes se clasifican como "importantes". En total se han resuelto 25 vulnerabilidades.
Salvo sorpresas de última hora, estos son los últimos boletines que publica Microsoft este año. Entre los boletines publicados se incluye el MS-075 que se retrasó su publicación el mes pasado. De esta forma se cierra el año con un total de 85 boletines cantidad significativamente menor que los 106 publicados el año pasado.

  • MS14-075: Este boletín, calificado como importante, soluciona cuatro vulnerabilidades de elevación de privilegios en Microsoft Exchange Server. (CVE-2014-6319,  CVE-2014-6325, CVE-2014-6326 y CVE-2014-6336).
  • MS14-080: La ya habitual actualización acumulativa para Microsoft Internet Explorer que además soluciona 14 nuevas vulnerabilidades. La más grave de ellas podría permitir la ejecución remota de código si un usuario visita con Internet Explorer una página web especialmente creada.
  • MS14-081: Boletín crítico que resuelve dos vulnerabilidades en Microsoft Word y Microsoft Office Web Apps, que podrían permitir la ejecución remota de código si se abre (o pre visualiza) un archivo Word específicamente creado (CVE-2014-6356 y CVE-2014-6357).
  • MS14-082: Boletín importante que resuelve una vulnerabilidad en Microsoft Office que podría permitir la ejecución remota de código si se abre un archivo especialmente construido con una versión de Office afectada (CVE-2014-6364).
  • MS14-083: Boletín importante que resuelve dos vulnerabilidades en Microsoft Excel, que podrían permitir la ejecución remota de código si se abre (o pre visualiza) un archivo Excel específicamente creado (CVE-2014-6360 y CVE-2014-6361);
  • MS14-084: Este boletín crítico soluciona una vulnerabilidad en el motor de scripting de VBScript (CVE-2014-6363). Afecta a Windows Server 2003, Windows Vista, Windows Server 2008 y Windows 7./li>
  • MS14-085: Destinado a corregir una vulnerabilidad importante (CVE-2014-6355) en Microsoft Graphics Component que podría permitir la obtención de información sensible si un usuario visita una página web con un archivo jpeg específicamente creado. Afecta a Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows 8 (y 8.1) y Windows Server 2012.

lunes, 8 de diciembre de 2014

Microsoft publicará siete boletines de seguridad el próximo martes

 

Como cada mes, Microsoft ha revelado un adelanto de los boletines de seguridad que serán publicados dentro de su ciclo de actualizaciones, el próximo martes 9 de diciembre. En esta ocasión, Microsoft publicará siete boletines (del MS14-079 al MS14-087) que corregirán múltiples vulnerabilidades en diversos sistemas.

Entre los siete boletines que se publicarán, tres están calificados como críticos y corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código en Internet Explorer y sistemas Windows. Los cuatro boletines restantes serán de carácter importante que corregirán vulnerabilidades en sistemas Microsoft Windows, Office y Exchange.

Aunque no queda especificado es posible que entre los boletines publicados se incluya el boletín MS14-075 que no llegó a publicarse el mes pasado.

Como es habitual, Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Más información en inglés:

Microsoft Security Bulletin Advance Notification for December 2014

https://technet.microsoft.com/library/security/ms14-dec

miércoles, 3 de diciembre de 2014

Telegram ya permite migrar conversaciones y contactos a una línea nueva

Telegram el día de hoy se ha actualizado a la versión 2.1.0 en Androidy a la 2.7.4 en iOS, agregando importantes novedades. Entre ellas se encuentra la posibilidad de poder transferir tus archivos personales a otra línea.

Explicándote un poco más detalladamente, te cuento que ahora podrás transferir todos tus mensajes almacenados, así como también a tus contactos, grupos, archivos multimedia, hacia una nueva línea que deseas activar. Por ejemplo, te cambiaste de operador con una nueva línea y ahora con Telegram podrás transferir todas tus conversaciones y contactos a tu nueva línea, eliminando la que usabas antes.

Screenshot_2014-12-01-20-14-41

Telegram también ha mejorado aún más la seguridad de sus mensajes privados, ya que ha agregado la propiedad Perfect Forward Secrecy, lo que garantizará que las claves de cifrado que se utilizan en la actualidad con nuestros chats secretos, sigan siendo seguras más adelante cuando se utilicen en otra oportunidad, sin revelar nuestro contenido, ni tampoco que tu veas el de otra persona.

Y la última novedad que nos trae Telegram es que ahora disponemos de una URL propia para que así cualquier persona pueda comunicarse contigo, sin necesidad de saber tu número. Esto funciona gracias a los "apodos" que uno puede asignarse en el menú de configuración de Telegram.

Por ejemplo, si mi apodo es "Wayerless", yo puedo dejarlo en mi perfil de Twitter de la siguiente manera: telegram.me/Wayerless y así cuando una persona pueda ver este link desde Google Chrome en el móvil (o desde la misma app de Twitter), solo tiene que presionar sobre dicha URL y se abrirá Telegram automáticamente, permitiéndote hablar con "Wayerless".

Descarga

La nueva versión de Telegram ya se encuentra disponible para Android a través de Google Play y también para iOS a través de la App Store.

Excelente herramienta para reparar problemas en Windows

Windows Repair (AIO) 2.10.2 Repara Problemas Comunes De Windows

Información
Arregla varios problemas de Windows con esta pequeña aplicación

Tweaking.com - Windows Repair es una herramienta de reparación todo en uno para ayudarte a solucionar la gran mayoría de los problemas conocidos de Windows, incluyendo los errores de registro y permisos de archivos, así como los problemas con Internet Explorer, Windows Update, Windows Firewall y mucho más.


Los programas instalados y el malware pueden modificar tu configuración predeterminada. Tweaking.com - Windows Repair es la herramienta que necesitas para restaurar la configuración original de tu sistema operativo basado en Windows.
Desde Tweaking.com, nos llega la nueva versión de esta herramienta todo en uno gratuita, con la cual podremos reparar los errores más comunes en Windows: Windows Repair 1.9.4. Con Windows Repair, podremos con un click, reparar el firewall, también iconos, el registro, actualizaciones (Update), políticas, fallos de I. Explorer, infecciones por malware e incluso restablecer la configuración original del sistema. Ya podemos obtener la nueva versión desde su web oficial.


A continuación, les mostramos algunos de los problemas y errores que podemos
reparar con Windows Repair:

- Restablecer los permisos de archivos
- Registro de archivos del sistema
- Reparar WMI
- Reparar el firewall de Windows
- Reparar Internet Explorer
- Reparación de MDAC y Jet MS
- Reparación de archivos
- Eliminar las políticas establecidas por infecciones
- Reparación de iconos
- Reparación de Winsock y caché DNS
- Eliminar archivos temporales
- Reparar la configuración del proxy
- Mostrar archivos del sistema
- Reparar actualizaciones de Windows (fallos de Windows Update)
- Restablecer los permisos del registro y muchos otros problemas…

What's new in Tweaking.com - Windows Repair 2.10.2:
v2.1.0
Fixed bug where the program would crash when closing it self down when ran with the /silent switch.
The bug causing the crash was from an old version of my custom controls. All controls have been updated.
New graphics and UI changes.
Updated Tweaking.com - Registry Backup to v1.10.1
v2.0.0
First release of version 2.


Requisitos
OS: Windows NT4/2000/2003/XP/Windows Vista/Windows 7/ Windows 8 y 8.1
IDIOMA: INGLES
TAMAÑO: 9,8 MB
LICENCIA: FREEWARE
FECHA DE SALIDA: 21.11.2014

Capturas


Descargar Windows Repair (AIO) OFICIAL y GRATIS

http://www.majorgeeks.com/mg/getmirror/tweaking_com_windows_repair,1.html

Saludos

HERNAN

martes, 2 de diciembre de 2014

Curso Gratis Microsoft en la Nube

Hola amigos quiero invitarlos a tomar un EXCELENTE curso de “La Evolucion del IT Pro a la nube” Está muy interesante y les va a servir de mucho. Aparte pueden ganar premios y es completamente GRATIS, aquí toda la información:

En los últimos años hemos vivido una gran transformación en cuanto a la plataforma de TI, se han dejado atrás los temas de servidores físicos y ahora hablamos no solo de virtualización sino del cómputo en la nube.

Esta transformación trae consigo nuevos retos para los profesionales de TI donde ahora debemos especializarnos en una o 2 soluciones que habiliten al negocio.

it

Para ayudarte a comprender mejor cual es el papel del IT Pro en la evolución al cómputo en la nube te invitamos a participar en las sesiones en línea exclusivas. Interactúa con expertos de la industria de TI y sé de los primeros en conocer las tendencias que marcarán el futuro de esta industria y aprovéchalo para tu desarrollo.

Lo único que debes hacer es:

1.      Concluir el siguiente curso SIN COSTO (deberás firmarte con tu Microsoft account):

Evolución del IT Pro a la nube Aquí

  1. Ver de inicio a fin todos los videos
    *Esto se monitorea a través de tu usuario ligado a la plataforma, por lo que no será válido ver los videos incompletos.
  2. Aprobar el curso en un 100%. Enviar la captura de pantalla mostrando que se finalizó con éxito y donde sea visible el nombre del curso en cuestión así como el nombre de usuario en la plataforma.
  3. El correo electrónico al que deberás enviar la evidencia anterior es: itmvamx@microsoft.com usando como título del correo: MVA IT PRO
    -Es muy importante usar este título en el asunto de correo ya que de lo contrario se puede perder en la bandeja de entrada.

Para ver un ejemplo de cómo debe ser la evidencia que debes de enviar consulta la siguiente liga
A vuelta de correo recibirás una notificación antes del 14 de Diciembre donde sabrás si eres acreedor a uno de los premios*, así como la invitación a la sesión en vivo con los expertos de Microsoft.
Nota: las personas que no reciban premio pero concluyan el curso y nos envíen su evidencia recibirán la invitación a la sesión con los expertos.

Tenemos premios que estaremos entregando de la siguiente manera a las primeras personas que envíen la evidencia correcta:

  • 10 primeros ganadores: Arc Keyboard
  • 40 siguientes ganadores: Arc Mouse Negro
  • 20 siguientes ganadores: Mochila Wenger negra
  • 15 siguientes ganadores: LIfeCam Cinema
  • 100 siguientes ganadores: Una playera

Aplica solo para residentes de la República Mexicana

Mucho éxito!
Conoce los términos y condiciones de esta iniciativa aquí

Tienes hasta el 5 de Diciembre para mandar la evidencia de cuso concluido.

¡Eleva ya tu carrera profesional!

Cualquier duda favor de contactar a Rubén Colomo:

Envíale un correo a: rcolomo@microsoft.com

o contáctalo por Twitter
tw @el_rubens

domingo, 30 de noviembre de 2014

Cómo averiguar qué aplicación está usando un puerto en Windows y Linux

Explicamos en este tutorial cómo averiguar qué aplicación o servicio está usando un determinado puerto de comunicaciones en el equipo. Mostramos cómo saberlo en sistemas operativos Windows y Linux sin usar software adicional de terceros, con las propias herramientas que incluye el sistema operativo.

Averiguar qué aplicación está usando un puerto de comunicaciones en Windows.

Averiguar qué aplicación está usando un puerto de comunicaciones en Linux.

Averiguar qué aplicación está usando un puerto de comunicaciones en Windows

A continuación explicaremos cómo saber qué aplicación o servicio de Windows está usando un puerto determinado, para ello usaremos el comando Windows: netstat. Para ello abriremos una ventana de MS-DOS (consola de comandos o shell), desde el botón "Inicio", escribimos "cmd", pulsamos con el botón derecho del ratón sobre "cmd.exe" y seleccionamos "Ejecutar como administrador":

Ejecutaremos el siguiente comando Windows:

netstat -naob

Nos devolverá un listado de todos los puertos de comunicaciones que están siendo usados actualmente con el protocolo (TCP, UDP, TCPv6 y UDPv6), dirección IP local, dirección IP remota, estado y PID (número que identifica el proceso en las tareas que se están ejecutando):

Si queremos guardar el resultado en un fichero ejecutaremos el comando Windows:

netstat -naob > aplicaciones_puertos.txt

Con el comando comando Windows:

notepad aplicaciones_puertos.txt

Abriremos el Bloc de notas con el resultado del comando anterior, desde aquí podremos consultar, buscar y guardar todas las aplicaciones que abren puertos de comunicaciones en nuestro equipo:

Un ejemplo del resultado de este comando:

Conexiones activas

Proto Dirección local Dirección remota Estado PID
TCP 0.0.0.0:21 0.0.0.0:0 LISTENING 2068
ftpsvc
[svchost.exe]
TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 4
No se puede obtener informaci¢n de propiedad
TCP 0.0.0.0:111 0.0.0.0:0 LISTENING 3848
[VeeamNFSSvc.exe]
TCP 127.0.0.1:63924 127.0.0.1:63925 ESTABLISHED 7216
[firefox.exe]
TCP 127.0.0.1:63925 127.0.0.1:63924 ESTABLISHED 7216
[firefox.exe]
TCP 127.0.0.1:63926 127.0.0.1:63927 ESTABLISHED 7216
[firefox.exe]
TCP 127.0.0.1:63927 127.0.0.1:63926 ESTABLISHED 7216
[firefox.exe]
TCP 127.0.0.1:64151 127.0.0.1:64152 ESTABLISHED 5436
[vmware-vmrc.exe]
TCP 127.0.0.1:64152 127.0.0.1:64151 ESTABLISHED 5436
[vmware-vmrc.exe]

En el caso en que no aparezca el ejecutable de la aplicación que está usando el puerto podremos consultarlo de la siguiente forma:

1. Ejecutaremos el comando anterior con el parámetro "o" que nos mostrará el PID del proceso que está abriendo el puerto, buscaremos el puerto del que queramos averiguar la aplicación o servicio que lo está usando. En en el ejemplo buscamos qué aplicación está usando el puerto "3306", anotaremos el PID de la aplicación que aparece al final de la línea (en el ejemplo "1320"):

2. Abriremos el Administrador de tareas desde el botón "Inicio" - "Panel de control" "Información y herramientas de rendimiento":

Pulsaremos en "Herramientas avanzadas":

Pulsaremos en "Abrir el Administrador de tareas":

Ahora mostraremos la columna "PID", para ello pulsaremos en el menú "Ver" - "Seleccionar columnas":

Marcaremos "Identificador de proceso (PID)":

Si queremos que nos muestre la ubicación del fichero ejecutable del proceso que usa el puerto marcaremos también "Nombre de ruta de la imagen":

Buscaremos el PID consultado anteriormente correspondiente al ejecutable que está abriendo el puerto, en nuestro caso "1320", así podremos consultar la ruta (carpeta) y ejecutable que lo está usando:

Averiguar qué aplicación está usando un puerto de comunicaciones en Linux

En el caso de sistemas operativos Linux podremos usar el siguiente comando Linux para obtener los procesos y el puerto de comunicaciones que usan:

lsof -w -n -i

El comando Linux nos mostrará el proceso, el PID, el usuario, tipo, dispositivo, protocolo y estado de la conexión:

Para obtener la aplicación que tiene un puerto abierto en Linux usaremos el comando Linux:

ls -l /proc/XXX/exe

Donde XXX será el PID del proceso a consultar.

Existen otros comandos Linux para obtener datos de los procesos que usan puertos de comunicaciones como:

netstat -panut | grep LISTEN

O también:

ss -a | grep LISTEN

miércoles, 26 de noviembre de 2014

Actualización crítica de Flash Player

 


Adobe ha lanzado una actualización urgente fuera de ciclo para una vulnerabilidad crítica de ejecución remota de código en su popular reproductor Flash Player. La vulnerabilidad está siendo actualmente explotada in-the-wild.


La vulnerabilidad crítica (CVE 2014-8439) en Flash Player para Windows, Mac y Linux fue mitigada originalmente hace más de un mes en la versión del 14 de octubre de 2014, pero un investigador francés de Kafeine encontró un exploit activo en los Angler Exploit Kit y Nuclear Exploit Kit después de que Adobe publicara el parche.


Según F-Secure, a vulnerabilidad permite a un atacante ejecutar código arbitrario debido a una debilidad en la forma en que se maneja un puntero sin referencia a memoria. Un atacante podría crear un archivo Flash especialmente diseñado para activar la vulnerabilidad, que conduciría a la ejecución del código del atacante con el fin de tomar el control del sistema de la víctima.


En su boletín APSB14-26, Adobe clasificó la vulnerabilidad como crítica y por eso recomendados actualizar a la brevedad a Flash versión 15.0.0.239 en sistemas Windows, Mac OS X y Linux... o bien dejar de utilizar Flash Player.


Microsoft lanzará pronto actualizaciones de seguridad para Internet Explorer 10 y 11 y Google hará lo mismo para que Chrome. Para conocer su versión de Flash Player actual, visite esta página.

martes, 25 de noviembre de 2014

Google publica nogotofail, herramienta para probar la seguridad en redes

 

antpji

Fuente: MuySeguridad

Google ha liberado una herramienta de testeo denominada nogotofail para ayudar a los desarrolladores a detectar errores y fallos de seguridad en el tráfico de redes. La herramienta es de código abierto y está alojada en github, de modo que cualquiera la puede probar, aportar nuevas características al proyecto, proporcionar soporte para más plataformas y en general ayudar a mejorar la seguridad de Internet.

Y ese es el objetivo de Nogotofail, que llega tras las vulnerabilidades descubiertas en la implementación de la seguridad de la capa de transporte, desde las más críticas como Heartbleed en OpenSSL, el bug gotofail de Apple o el reciente CANICHE en la versión 3 de SSL.

La herramienta ofrece una manera sencilla de confirmar que dispositivos o aplicaciones son seguros contra vulnerabilidades conocidas TLS / SSL y errores de configuración. Nogotofail trabaja sobre Android, iOS, Linux, Windows, Chrome OS, OSX, de hecho en cualquier dispositivo que utilice para conectarse a Internet. Hay un cliente fácil de usar para configurar los ajustes y obtener notificaciones en Android y Linux, así como el motor de ataque en sí, que puede ser desplegado como un router, servidor VPN o proxy.

Google dice que ha estado utilizando internamente esta herramienta bajo el compromiso de aumentar el uso de protocolos TLS/SSL en todas sus aplicaciones y servicios. La apertura al público como un proyecto de código abierto permitirá mejorar sus características y soporte.

Google publica nogotofail, herramienta para probar la seguridad en redes

WebCam On - Off v.1.0 [Evita que te espíen por tu camara Web] GRATIS

 

webcam status on

Las cámaras Web que le permite estar en contacto con familiares y amigos una webcam le permite grabar y transmitir vídeos desde el ordenador o portátil a Internet o un archivo de vídeo. Cuando no esté utilizando la cámara web, es posible que desee deshabilitar para asegurarse de que no está grabando por accidente y también plantean riesgos de personas escribiendo en ellos y espiar a usted sin duda ,El malware puede tener sobre webcams, de manera que existe la posibilidad de la cámara para espiar en usted, la mayoría de los hackers utilizan los llamados troyanos , pueden tomar el control de la webcam y hacer videos y tomar fotos de usted sin su conocimiento.
Si usted es un padre o madre, hay algunas razones por las cuales usted puede querer deshabilitar la cámara web, todos ellos tienen que ver con la seguridad. Video mensajería instantánea y sitios web no siempre son niños, y usted puede decidir la desactivación de la webcam es su mejor recurso. Si tiene una cámara web externa, desconecte el cable USB que se conecta la cámara al ordenador, y ocultar la cámara en algún momento su hijo no lo vas a encontrar! , Pero no es la mejor manera porque si usted lo necesita cada 2 - 3 horas se puede ocultar una y otra vez? Y, ¿qué pasa si usted tiene una cámara incorporada?
El Washington Post destacó una desconcertante estudio publicado en la Universidad Johns Hopkins que encontró que una webcam del portátil puede funcionar en relativo secreto un poco más sutiles de Ojo de Sauron Webcam de espionaje -en particular la variante que supone la desactivación luces de indicador LED-lleva un poco de esfuerzo, pero la práctica no se limita al ámbito de benevolencia académicos. El FBI también ha reconocido públicamente su capacidad de emplear estas técnicas en la investigación actividad criminal

Como se puede ver la webcam totalmente desactivar es la forma más segura de proteger su intimidad, ya que están codificadas de “WebCam on - Off” software , es un Portable Freeware , se puede utilizar para activar o desactivar fácilmente su dispositivo de cámara web, por favor, no permitas que la realidad televisión en tu casa.

Cómo utilizarlo:

1. Haga doble clik en él y mirar el sobre - Indicador apagado (bajo el icono de cámara web)

estado de la webcam en

2. Para desactivar el uso de tu cámara web “botón Desactivar” para que pueda utilizar “botón Enable”, después de deshabilitar su cámara web se puede comprobar, tratar de abrir la pantalla de la cámara web, probablemente verá el “Sin fallos del equipo”

sin error del dispositivo

O puede utilizar el Administrador de dispositivos, haga clic en el icono “Administrador de dispositivos” y compruebe el controlador de cámara web.

administrador de dispositivos

Si su cámara web ya está deshabilitado icono indicador será Off

estado de cámaras web en off

lunes, 24 de noviembre de 2014

Siete enlaces para saber que sabe Google de ti

 

24/11/2014

Seguro te ha pasado que buscaste accesorios para tu bicicleta, y luego de un rato, misteriosamente aparece una publicidad relacionada a bicicletas dentro del sitio que visitas.
Esto tiene una lógica y es bastante evidente: toda acción que realizas en Internet queda registrada en las máquinas de Google, una empresa que administra gran parte de los servicios que utilizas a diario.


Hacia dónde te mueves, tus rutas, tus intereses, tus gustos y mucho más. A continuación te dejamos siete enlaces que te mostrarán cuáles son las cosas que Google sabe sobre ti, para qué las usa y cómo puedes tomar control de ellas:

1. Panel de Administración General
Este panel permite administrar todas las cuentas de Google, sus servicios, aplicaciones y dispositivos. Es el centro neurálgico de todas las operaciones realizadas por el usuario en Google. Ingresa desde https://www.google.com/settings/dashboard
2. Cuánto te conoce Google (Anuncios)
Tengas o no una cuenta en Google Plus, la empresa tiene un perfil básico que aúna tus conductas de navegación en Internet: sabe qué edad tienes, cuál es tu género y algunos de tus gustos, en función de las búsquedas que realizas a diario en el buscador.
Esa información usualmente es utilizada para mostrarte publicidad y anuncios personalizados mientras navegas en distintos sitios: ¿qué es lo que exactamente saben sobre ti? Ingresa a https://www.google.com/ads/preferences/
3. Dónde te mueves
Si no lo sabías, quizá esto te sorprenda: Google conoce también cada paso que has dado, literalmente. Si utilizas Android, a través de tu dispositivo móvil, Google ha "trackeado" tus trayectos que realizas día a día. ¿Cómo ver qué lugares has recorrido? Ingresa a https://maps.google.com/locationhistory
4. Archivo de búsqueda
El buscador más importante del mundo no podía no tener esta opción: cada búsqueda que has realizado y cada click que has hecho en sus anuncios. Para revisar tu registro ingresa a https://history.google.com
5.Dispositivos que se han logueado a tu cuenta
Si sospechas que alguien ha estado usando tu cuenta, Google lleva el registrado de los dispositivos en los que tienes conectada tu cuenta. Así, a través de la dirección IP, podrías localizar qué equipo y desde dónde se está iniciando sesión: https://security.google.com/settings/security/activity
6. Qué aplicaciones pueden ver tus datos
Google tiene la opción para desplegarte en una lista todas las aplicaciones que utilizan tu cuenta de correo electrónico como acceso. De esta manera, puedes regular quiénes y cuánto pueden ver de tus datos personales: https://security.google.com/settings/security/activity
7. Exportar tus datos

Finalmente, Google te permite bajar tus datos e información consolidada. Dígase: marcadores de Chrome, e-mails, contactos, archivos de Google Drive, tu información de perfil, tus videos subidos a YouTube, fotos y más: https://www.google.com/takeout


Fuente: 24Horas y WSJ


Regin: un malware que ha estado espiando desde el año 2008

La amenaza habría sido creada por un gobierno tecnológicamente activo.

En su rol de analista de seguridad, la compañía Symantec ha publicado un reciente informe donde detallan la existencia de Regin, un malware o código malicioso que ha estado rondando en la red desde el año 2008 pero que recién ha sido descubierto, sindicándose como responsable en labores de espionaje y robo de información personal a gran escala.

Según los estudios de la gente en Symantec, Regin es un troyano que abre puertas traseras en los sistemas infectados y permite a los piratas informáticos realizar gran cantidad de acciones, gracias a la naturaleza modular de la amenaza que otorga a quien controle el malware la posibilidad de añadir módulos de ataque según sus propias necesidades, ya sea para servir al robo de información, control de la computadora afectada y mucho más.

Y es que Regin es altamente sofisticado y está diseñado para cumplir tareas de espionaje a nivel masivo como pocas veces se ha visto en la historia de la informática, por lo que en Symantec se cree que la amenaza ha sido creada por el gobierno de algún país con los recursos económicos para hacerlo, ya que algo de esta categoría tarda meses, si es que no años en ser creado.

Víctimas y contagio

El nicho de víctimas no da muchas pistas acerca de las intenciones detrás de los creadores, ni mucho menos de su origen. Porque el 48% de los afectados son personas individuales o negocios pequeños, mientras que el 28% de los ataques han sido dirigidos hacia operadoras telefónicas, probablemente con la intención de interceptar llamados por voz. El resto de los afectados son las entidades de gobierno, aerolíneas y gestores de servicios básicos como el agua o la electricidad a nivel nacional.

La distribución de víctimas según país tampoco da una respuesta clara a los misterios en torno a Regin: un 28% de los ataques se registran en Rusia, un 24% en Arabia Saudita y de ahí en adelante se reparten porcentajes menores en países alrededor del mundo como México, Irlanda, India, Bélgica y varios más.

Otro aspecto preocupante de esta amenaza es que no se sabe con certeza la naturaleza del contagio, registrándose numerosas vías por las cuales el malware ha entrado a los sistemas afectados, generalmente aprovechándose de alguna vulnerabilidad en servicios de Internet como el correo electrónico y los sitios web. Esto no hace más que confirmar lo complejo de la amenaza y lo sofisticado de su desarrollo, ya que se han aprovechado innumerables agujeros de seguridad de diversas compañías de Internet para propagar su infección.

Y si bien Regin ha estado dando vueltas por la red desde el año 2008, se detectó que en 2011 fue retirado abruptamente de circulación. Pero en 2013 habría aparecido una nueva versión, desconociéndose a la fecha si acaso existen nuevas variantes de este código malicioso del cual se sabe muy poco y que al parecer, entra a competir con el virus Flame y el virus Stuxnet como una de las amenazas informáticas más importantes de los últimos años.

FUENTE: FayerWayer

sábado, 22 de noviembre de 2014

Microsoft lanza actualización importante para Windows 8.1

 

 

Microsoft ha liberado una actualización importante para Windows 8.1, una de las más grandes desde aquella que liberaron el pasado mes de abril, denominada como actualización de noviembre.

Los usuarios de Windows 8.1, Windows RT 8.1 y a Windows Server 2012 R2 ya pueden descargar esta actualización que ha sido distribuida como opcional, aunque al instalarla tendremos que reiniciar el equipo ya que incluye novedades importantes.

Dentro de esta actualización podemos destacar numerosas mejoras de estabilidad y rendimiento, además de la corrección de errores menores y de poca importancia. En resumen esta actualización corrige según la web oficial de Microsoft los siguientes errores:

  • Mejora de Windows Hyper-V para máquinas virtuales de Linux que tienen sistemas de archivos mayores de 2 TB.

  • Windows Server 2012, lentitud de respuesta del clúster.

  • Uso elevado de la memoria al ejecutar una aplicación en Windows 8 o Windows Server 2012.

  • Wmiprvse.exe, pérdida de memoria cuando un programa consulta información de almacenamiento de disco o partición en Windows Server 2012.

  • Actualización del microcódigo para procesadores Intel, mejorar la fiabilidad de Windows Server.

  • Error en una operación de copia de archivo cuando los archivos o carpetas tienen rutas de acceso largas en el Explorador de Windows.

  • Actualización para admitir sonido de formato AAC y LATM en Windows 8.1 y Windows 8.

  • Error en la tarea de copia de seguridad con un fallo de tiempo de espera en Windows Server 2012 o Windows Server 2008 R2.

Esta actualización está disponible en versión de 32 bits y de 64 bits, así que no tendremos ningún problema para disfrutar de las ventajas de la misma en nuestro equipo.

Web oficial de Microsoft.

viernes, 21 de noviembre de 2014

Botnets en Latinoamérica: Perdiendo la capacidad de elegir.

 

¿Qué es una Botnet? ¿Cuál es su objetivo? ¿Se propaga también en Latinoamérica? ¿Cual son las más difundidas? ¿Cómo defenderse?


Aunque los zombis de Hollywood no son todavía una amenaza para la humanidad, existen otros tipos de zombis mucho más peligrosos para las compañías caminando entre nosotros. En los últimos años, una de las armas más eficaces utilizada por los ciberatacantes ha sido la “zombificación” de computadoras para crear botnets. Esto es tan cierto en Latinoamérica como en el resto del mundo. La amenaza de un “apocalipsis zombi” para las computadoras de nuestras empresas crece cada día, obligándonos a tomar las medidas necesarias para evitar la infección.

Se denomina como “zombi” a una computadora capturada por un hacker mediante un virus o troyano para ser controlada de forma remota sin el consentimiento de su dueño. Ya una botnet, denota a un grupo de computadoras infectadas y controladas por un atacante de forma remota. Su nombre proviene de la unión de dos palabras del inglés: “bot”, que significa robot, y “net”, que significa red.  Decenas, centenas o miles de computadoras “zombificadas” controladas por el mismo cibercriminal constituyen una botnet.
Los atacantes posteriormente espían datos en las computadoras infectadas y las actividades realizadas por sus usuarios, con los siguientes objetivos:
   •   Robar credenciales
   •   Robar información confidencial y propiedad intelectual
   •   Enviar Virus y Spam para infectar nuevos dispositivos
   •   Realizar ataques de DoS (denegación de servicio), que consisten en dejar fuera de servicio a un servidor saturándolo de consultas.


Dorkbot: la botnet más difundida en Latinoamérica
Desde el 2011 hasta la actualidad, las botnets que se propagaron más en nuestra región han pertenecido a la familia Dorkbot, un código malicioso con 5 variantes conocidas que se propagó mayormente en México, Perú y Colombia; pero también con numerosos casos en Chile, Ecuador y Argentina.
Este código se propaga a través de las redes sociales y cuenta con ataques de phishing para robar información confidencial; su técnica de propagación reemplaza todos los archivos y las carpetas por accesos directos y, como también se transmite a través de dispositivos extraíbles, es muy difícil erradicarlo.
El malware está desarrollado en C++ y su objetivo es hacer ataques de denegación de servicio a servidores que funcionen bajo el protocolo de mensajería IRC.
VBS/Agent: Un nuevo entrante
La familia de malware que se está difundiendo más en Latinoamérica durante 2014 se llama VBS/Agent.NDH. Tomando en consideración los 11 países del mundo donde este código se ha propagado en mayor cantidad, 8 de esos países son latinoamericanos: México (14%), Perú (13%), Venezuela (8%), Ecuador (7%), Colombia (3%), Bolivia (3%), Argentina (2%) y Guatemala (2%). Esto significa que más de la mitad de los infectados en el mundo están en Latinoamérica (cerca de 60%).
Este malware es persistente en los sistemas, creando una entrada en el registro que hace que se ejecute cada vez que un dispositivo reinicia. Con características similares a la familia Dorkbot, este gusano infecta el sistema Windows y también tiene la capacidad de infectar los dispositivos USB. Llega a la computadora como un archivo descargado por otro malware o se descarga, sin el conocimiento del usuario, cuando se visita un sitio web malicioso con la finalidad de dar control de los dispositivos a sus autores y robar informaciones sensibles. Está desarrollado en VBScript y utiliza el protocolo HTTP.

Geografía regional, Dorkbot vs VBS

Tomando en consideración datos de la empresa ESET, Dorkbot sigue siendo el líder en países como Argentina, Chile y Uruguay con el 61% del total de computadoras infectadas contra el 18% de VBS. En Colombia, Venezuela y Ecuador, VBS supera a Dorkbot con 55% de los casos presentados, mientras que VBS afectó a 36% de los infectados. En México y en Centroamérica, Dorkbot gana a VBS con más del 50%, dejando su “adversario” en alrededor de 40% del total de infecciones. En toda Latinoamérica, el tercer puesto es ocupado por Win32/Autorun.IRCBot, con una media del 4% de las computadoras afectadas por un botnet en la región.
Si bien estas son las botnets más difundidas, conquistando alrededor de 90% del total de afectados, también existen muchas variedades que se están difundiendo cada día en Latinoamérica: SpyZBot, que roba códigos de banca en línea, Neurevt, que utiliza el correo electrónico como principal vector de ataque, y BlackEnergy, diseñado para detectar redes y ejecutar códigos remotos.


¿Cómo protegerse?
Reconocer si su computadora es un zombi haciendo parte de una botnet no es una tarea tan fácil como reconocer los zombis de las películas. En realidad, su computadora podría hacer parte de una botnet sin que usted se dé cuenta, y puede que algunos minutos atrás haya pasado un archivo por USB a su colega, trasmitiendo el malware y contagiando rápidamente otras computadoras, una característica presente en las dos botnets más comunes en Latinoamérica. Además, si no está seguro del estado de su computadora, ¿qué puede decir de la computadora de sus colegas? Es imposible controlar todas las computadoras de su empresa sin tener las herramientas correctas. Durante una infección, el factor clave es el tiempo. Cuando soluciona un incidente rápidamente, impide la propagación del malware y reduce el tiempo de inactividad de sus dispositivos durante su reparación. La pieza clave para ahorrar el tiempo durante una respuesta a incidentes, son las soluciones EnCase.
Las distintas soluciones de EnCase tienen un enfoque particular para la detección y la respuesta a incidentes. Utilizando la amplia experiencia forense de Guidance Software, EnCase ha creado herramientas destinadas a cualquier tipo de organización que permite obtener una visibilidad completa hacia los datos de los dispositivos hasta el nivel del bit. A diferencia de la mayor parte de las herramientas de seguridad perimetral, EnCase no está basado en firmas, sino que ofrece decenas de procesos de escaneo automatizados que son personalizables a cada entorno para analizar el comportamiento de los dispositivos y de los usuarios.
Mediante múltiples escaneos durante el tiempo, se puede crear una línea de referencia de la actividad cotidiana en su empresa, de forma que cualquier actividad inusual pueda ser notada con facilidad. Estos escaneos, al ser realizados en todos los dispositivos de la organización, nos permiten conseguir una perspectiva clara del alcance e impacto causado por una infección botnet, o por cualquier otro tipo de incidente de seguridad.
Con EnCase usted puede:
   •   Eliminar completamente malware y artefactos relacionados
   •   Exterminar procesos en ejecución
   •   Limpiar datos sensibles de localizaciones no autorizadas
   •   Producir reportes que demuestren éxito/cumplimiento
   •   Hacer Escaneos de Entropía para encontrar otras versiones del código maliciosos encontrado, como en caso de malware polimórfico
   •   Administrar por completo un incidente de ataque polimórfico


Lo importante es recordar que se necesita un método que permita reaccionar a estas amenazas con gran velocidad, antes de perder informaciones preciosas y antes de que el malware se propague por toda la compañía. Caso quiera profundizarse en este tema, hemos preparado un webinar gratis de 45 minutos en el cual hablamos exclusivamente sobre zombis y botnets. El webinar, titulado “Evite que Sus Dispositivos se Conviertan en Zombis”, está disponible ahora en nuestro sitio web y realmente les aconsejo verlo.

¿Los gobiernos te vigilan? Descúbrelo con Detekt, el anti-spyware de Amnistia Internacional.

 

image

Después de declaraciones tan contundentes como las que suele hacer Edward Snowden, y de datos tan significativos como los que apuntan a que los gobiernos son los responsables del 87% del ciberespionaje, a más de uno se le habrá pasado por la cabeza la idea de que su ordenador también podría estar infectado con algún tipo de spyware gubernamental.

Para sacarnos de dudas ha sido lanzado Detekt, un nuevo software gratuito y de código abierto que protegerá nuestros equipos de los programas de spyware más utilizados por las agencias gubernamentales. La aplicación, desarrollada por el investigador de seguridad alemán Claudio Guarnieri, ha sido lanzada en asociación con Amnistía Internacional y diferentes organizaciones pro derechos civiles y de protección al consumidor.

La función de Detekt es la de escanear y analizar nuestros equipos para detectar si estamos infectados con alguno de los programas de ciberespionaje más utilizados por los gobiernos. Esta herramienta será de especial utilidad para todos los periodistas y activistas que, según Amnistía Internacional, son espiados en docenas de países alrededor del mundo.

Algunos de estos malwares espía, como el programa FinSpy desarrollado por la empresa FinFisher, son capaces de leer nuestros correos electrónicos, monitorizar nuestras conversaciones por Skype,extraer archivos de nuestros discos duros o sacarnos una foto utilizando la cámara web de nuestro ordenador.

Amnistía Internacional avisa de que lo más normal es que los desarrolladores de spyware reaccionen al lanzamiento de este programa, y que actualicen sus aplicaciones para evitar que sean detectadas. Por eso la asociación avisa de que, aunque los análisis de Detekt en nuestro equipo den negativo, podríamos igualmente estar infectados.

jueves, 20 de noviembre de 2014

EL GRUPO DE ESPIONAJE SEDNIT ATACA REDES SEGURAS AISLADAS con Win32/USBStealer

EL GRUPO DE ESPIONAJE SEDNIT ATACA REDES SEGURAS AISLADAS

powerpoint_malware

El grupo de espionaje Sednit, también conocido como Sofacy, APT28 o “Fancy Bear”, estuvo atacando a diversas instituciones durante muchos años. Hace poco descubrimos un componente utilizado para atacar redes de equipos físicamente aislados (entre “air gaps”) y robar archivos confidenciales a través de unidades extraíbles. Un “air gap” es una medida de seguridad de redes que consiste en hacer que una red segura de ordenadores esté físicamente aislada de redes inseguras, como un acceso público a Internet o una red de área local no asegurada debidamente.

INTRODUCCIÓN

El mes pasado, ESET descubrió que el grupo Sednit estaba llevando a cabo ataques con víctimas específicas (Watering Hole) mediante el uso de un exploit kit creado especialmente con dicho propósito. En el transcurso de las últimas semanas, se compartieron varias investigaciones sobre este grupo, incluyendo el informe de Trend Micro Operation Pawn Storm y el informe de FireEye APT28.

En este artículo, compartiremos nuestros conocimientos sobre una herramienta empleada para extraer información confidencial de las redes que se encuentran aisladas y que ESET detecta comoWin32/USBStealer.

Creemos que el grupo Sednit viene usando esta herramienta al menos desde el año 2005 y que la sigue usando en la actualidad con sus objetivos habituales: las instituciones gubernamentales de Europa Oriental. En los últimos años se emplearon muchas versiones de esta herramienta, con diversos grados de complejidad.

ESTRATEGIA DE WIN32/USBSTEALER

Una medida de seguridad habitual para las redes de equipos con información confidencial es aislarlos completamente del mundo exterior mediante una “barrera de aire” (del inglés “air gap“).  Como lo implica el nombre, estas redes no poseen conexiones directas externas a Internet.

No obstante, el uso de unidades extraíbles puede generar nuevas rutas al mundo exterior. Esto es especialmente cierto cuando la misma unidad extraíble se conecta reiteradamente en equipos conectados a Internet y en equipos aislados, como ocurre al transferir archivos.

Este es el escenario que aprovecha la herramienta Win32/USBStealer para alcanzar las redes aisladas por air gaps. La siguiente imagen muestra un panorama general sobre esta estrategia con un ejemplo simple que involucra tan solo a dos equipos. El Equipo A está conectado a Internet y se infecta inicialmente con el dropper Win32/USBStealer, mientras que el Equipo B se encuentra físicamente aislado y se infecta con Win32/USBStealer durante el ataque:

ataque_diagrama

En este ejemplo, la misma unidad extraíble va y viene entre el Equipo A conectado a Internet y el Equipo B en el air gap. A continuación explicaremos cada paso de este ataque con mayor detalle. Ahora nos centraremos en la versión más compleja de Win32/USBStealer que hemos observado.

PASO 1: PRIMERA INSERCIÓN EN EL EQUIPO A

El Equipo A se infecta inicialmente con el dropper Win32/USBStealer, detectado por ESET comoWin32/USBStealer.D. El nombre de archivo del dropper es USBSRService.exe, que intenta hacerse pasar por un programa legítimo ruso llamado USB Disk Security, como se muestra a continuación:

metadatos_dropper

La lógica principal del dropper es la siguiente:

  • Monitoriza la introducción de unidades extraíbles en la máquina, para lo cual crea una ventana con una función de devolución de llamada, que recibirá la notificación cuando ocurra dicho evento.
  • Cuando se inserta una unidad extraíble, el dropperdescifra dos de sus recursos en la memoria. El primer recurso coloca el programa Win32/USBStealer en la unidad extraíble bajo el nombre “exe”. El segundo recurso es un archivo INF cuyo contenido se muestra a continuación:

[autorun]

open=

shell\open=Explore

shell\open\command=”System Volume Information\USBGuard.exe” install

shell\open\Default=1

  • Este archivo se coloca en el directorio raíz de la unidad extraíble. Su función es asegurarse de que, al hacer doble clic en la unidad, se ejecute el programa USBGuard.exe, así como cuando se hace clic en la primera opción del clic derecho (con el nuevo nombre “Explorar” en lugar de “Abrir”). Esto solo funcionará en equipos que tengan habilitada la funcionalidad Ejecución automática de Windows, que fue desactivada por la actualización de Windows KB971029en agosto de 2009.

Parece que fue hace mucho tiempo, pero creemos que Win32/USBStealer comenzó a propagarse al menos cuatro años antes de esa fecha. Además, es muy común que los equipos en redes aisladas por air gaps permanezcan desactualizados, ya que resulta difícil actualizarlos y los usuarios asumen que están fuera del alcance de los atacantes.

  • Finalmente, se coloca un archivo vacío llamado “in” en la unidad extraíble. Servirá como señalpara otras máquinas infectadas de que esta unidad, en algún momento, se conectó a otra máquina con conexión a Internet. En otras palabras, la unidad constituye una ruta potencial al mundo exterior para los equipos ubicados en air gaps.

Durante todo el proceso, el dropper tiene sumo cuidado de no atraer la atención. Por ejemplo, los archivos AUTORUN.INF y USBGuard.exe configuran su registro del último acceso y de la última escritura como si fuera el de una biblioteca estándar de Windows que se elige en el mismo sistema. Además, los dos recursos descifrados se vuelven a cifrar de inmediato en la memoria tras haber sido colocados en la unidad extraíble. Finalmente, todos los archivos colocados se configuran como archivos ocultos y archivos del sistema, para asegurarse de que los usuarios casuales no los detecten.

PASO 2: PRIMERA INSERCIÓN EN EL EQUIPO B

Cuando la unidad USB se inserta en el Equipo B, que tiene habilitada la funcionalidad Ejecución automática, se instala la herramienta Win32/USBStealer. Luego pasa a enumerar todas las unidades conectadas al equipo y, dependiendo del tipo de unidad, ejecuta un proceso diferente:

  • Si se trata de una unidad extraíble y se identificó que estuvo conectada a un equipo capaz de conectarse a Internet (gracias al archivo in colocado en el paso 1), el Equipo B se registra en la unidad mediante la creación de una carpeta con su nombre de equipo. Este registro les permitirá a los operadores trazar un mapa de los equipos accesibles cuando la unidad vuelva a conectarse al Equipo A. El Equipo B también graba el número de identificación de hardware de la unidad para llevar un registro local. Por lo tanto, incluso aunque el usuario quite el archivo in de la unidad, el Equipo B recordará que esta unidad puede usarse como ruta al exterior.
  • Si la unidad no es extraíble, o se puede extraer pero sin señales de que se haya conectado a un equipo con conexión a Internet, Win32/USBStealerejecuta un procedimiento de extracción automático (a diferencia del procedimiento manual que describiremos más adelante).

El propósito de este paso es agrupar los archivos interesantes de todas estas unidades en el mismo directorio local. La extracción real tendrá lugar la próxima vez que la unidad extraíble “marcada” se inserte en el Equipo B. Los “archivos interesantes” se definen como los siguientes:

  • Archivos con extensión “.skr”,“.pkr” o “.key”. Los dos primeros corresponden a las extensiones predeterminadas para los “conjuntos de claves” de la aplicación de cifrado PGP Estos archivos son el lugar de almacenamiento de claves privadas y públicas, respectivamente. Las herramientas de cifrado suelen usar la extensión “.key” para archivos que almacenan claves generadas.
  • Archivos cuyos nombres pertenecen a una lista codificada de forma rígida. Hemos observado dos listas diferentesin-the-wild, que se muestran en la tabla a continuación.

*
Lista 1
Lista 2

Período posible de uso
2005
2011-2014

Nombres de archivos buscados
Win32Negah.dll
Ssers.dat
Settings.dat
Negah2.exe
DtInt.dat
Audit.dat
key.in
key.out
z_box.exe
talgar.exe

El posible período de uso corresponde a la compilación de las fechas de los archivos que contienen estas listas.

Encontramos muy pocas referencias sobre estos nombres de archivos en Internet, probablemente debido a que pertenecen a programas de software privados. Es interesante notar que Talgar (de “talgar.exe”) es un pueblo de la provincia Almaty, en el sudeste de Kazajstán.

El malware busca estos archivos en todas las ubicaciones de la máquina, excepto en carpetas que coincidan con los siguientes nombres de productos antivirus: Symantec, Norton, McAfee, ESET Smart Security, AVG9, Kaspersky Lab y Doctor Web.

PASO 3: SEGUNDA INSERCIÓN EN EL EQUIPO A

Los operadores del malware obtienen desde la unidad el nombre de equipo registrado por el Equipo B. Como el dropper que se ejecuta en el Equipo A no implementa nada más aparte de lo descrito anteriormente, los operadores deberían tener otro componente malicioso más ejecutándose en el Equipo A para lograr ese paso.

A continuación, los operadores colocan comandos para el Equipo B en la unidad extraíble, dentro de un archivo cifrado llamado “COMPUTER_NAME.in”.

PASO 4: SEGUNDA INSERCIÓN EN EL EQUIPO B

Cuando la unidad extraíble vuelve a insertarse en el Equipo B, Win32/USBStealer coloca en la unidad los archivos agrupados durante el procedimiento de extracción automática explicado en el paso 2, más arriba. La próxima vez que la unidad extraíble se conecte al Equipo A, los operadores podrán capturar estos archivos “aislados por el air gap“.

A continuación, Win32/USBStealer descifra los archivos de comando colocados por los operadores para el Equipo B y da una serie de comandos que se ejecutarán sucesivamente. Cada comando es un número de dos bytes seguido por un parámetro.

Número de comando
Parámetro
Propósito

0x0001
Ruta de Windows
Copia los archivos que coinciden con la ruta a la unidad extraíble

0x0002
Raíz = Ruta = Día
Copia archivos cuya ruta coincida con “Raíz\Ruta*” de la unidad extraíble, pero solo si se modificaron hace menos de “Día” días atrás

0x0003
Raíz = Ruta = Día
Igual que el comando 0x0002, pero el parámetro también se escribe en el archivo de monitoreo del inicio (ver el párrafo siguiente)

0x0004
Debería configurarse en “!”
Inicia la función de extracción automática (ver el paso 2) en todas las unidades conectadas

0x0005
Ninguno
Elimina el archivo de monitoreo del inicio (ver el párrafo siguiente)

0x0006
Ruta de Windows
Ejecuta una copia del archivo señalado por el parámetro bajo el nombre “taskrel.exe”

0x0007
Ninguno
Elimina el archivo llamado “taskrel.exe”

0x0008
Raíz = Ruta = Día
Copia los nombres de archivos que coincidan con “Raíz\Ruta*” de la unidad extraíble, pero solo si se modificaron hace menos de “Día” días atrás, a un archivo llamado “inres.in”

0x0009
Ninguno
Elimina el archivo llamado “inres.in”

Los comandos 0x0003 y 0x0005 hacen referencia al archivo de monitoreo del inicio, un archivo almacenado localmente en el Equipo B, que contiene patrones de archivos en el formato “Raíz = Ruta= Día”. Cada vez que arranque el equipo, se ejecutará el comando 0x0002 para estos patrones. Esto permite hacer una monitorización a largo plazo de los archivos de interés.

El comando 0x0008 sirve como una manera de descubrir posibles archivos interesantes. Podemos especular que los operadores comienzan por el comando 0x0008 y luego ejecutan los comandos 0x0002 o 0x0003 para recopilar archivos de posible interés.

Para todos los comandos que copian archivos a unidades extraíbles, existe un mecanismo de reserva. En caso de que falle la copia de archivos, por ejemplo si no se otorga acceso de escritura a la unidad, los archivos se agrupan en un directorio local. Se copiarán a la próxima unidad con posibilidad de conectarse a Internet, que se enchufe a la máquina.

CONCLUSIÓN

Win32/USBStealer demuestra el alto grado de determinación de sus operadores: el grupo Sednit. A continuación mencionamos algunas cosas sorprendentes que descubrimos durante la investigación:

Casi 10 años de actividad: la primera fecha de compilación que encontramos para la cargaWin32/USBStealer es mayo de 2005, como se muestra en la imagen abajo. Como la versión del compilador que creó este binario en particular es consistente con la fecha de compilación, y ya que otras cargas de Win32/USBStealer llevan un registro realista de la fecha de la compilación (que datan de los últimos años), creemos que estas fechas representan la fecha real en que el programa entró en funcionamiento.

operacionsednit

  • Objetivos de ataque precisos: Los nombres de los archivos buscados por el procedimiento de extracción automático indican que hay un conocimiento muy preciso de los objetivos que se desean extraer.

Todavía quedan algunas preguntas pendientes: por ejemplo, hasta ahora no ha quedado nada claro cómo ocurrió la infección original. Podemos especular que se usó la técnica clásica de ataques de phishing dirigidos a grupos específicos. Debemos destacar que el reciente informe de FireEye sobre este grupo advierte sobre una campaña de phishing que usa como tema “la seguridad de los discos USB es el mejor software para bloquear amenazas que pueden dañar tu PC o que pueden comprometer tu información personal desde el almacenamiento USB”.

En el escenario de ataque descrito, el Equipo A ya tiene que estar siendo controlado por los cibercriminales. El dropper Win32/USBStealer no cuenta con la capacidad de comunicarse por Internet, por lo que podemos especular que hay otros componentes maliciosos ejecutándose simultáneamente en el equipo.

INDICADORES DE SISTEMAS COMPROMETIDOS

Dropper

  • Registra el servicio llamado “USB Disk Security” con la descripción “Provide protection against threats via USB drive” (Suministrar protección contra amenazas a través de la unidad de USB).
  • Como alternativa, se registra bajo la llave de registro “HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run”, con el nombre “USB Disk Security”
  • Abre un mutex llamado “ZXCVMutexHello”
  • Recursos del tipo “X”:
    • ID=109 para la carga
    • ID=106 para el archivo INF

Payload

  • Registra el servicio llamado “USBGuard” con la descripción “Protects removable media from becoming infected with malware” (Protege los medios extraíbles para que no se infecten con malware).
  • Como alternativa, se registra bajo la llave de registro “HKEY_CURRENT_USER \Software\Microsoft\Windows\CurrentVersion\Run”, con el nombre “USBGuard”
  • Abre un mutex llamado “USB_Flash”

Hashes

SHA1
Propósito
Nombre de detección de ESET

BB63211E4D47344514A8C79CC8C310352268E731
Dropper
(USBSRService.exe)
Win32/USBStealer.D

776C04A10BDEEC9C10F51632A589E2C52AABDF48
Payload
(USBGuard.exe)
Win32/USBStealer.A

Fuente: Mr. Calvet – ESET

martes, 18 de noviembre de 2014

Productos OfficeFix

 

Hoy les quiero mostrar los productos de OfficeFix en su version v.6

Entre los productos para Profesionales de IT se encuentra el AccessFix para solucionar problemas con Access Microsoft Office, ExcelFix y WordFix para la suite ofimática de Microsoft, OutlookFix para solucionar problemas con nuestro administrador de correo electrónico Microsoft Outlook y DeleteFix Photo para recuperar de manera rápida y fácil fotos eliminadas de tu cámara digital.

image

A continuación les agrego más información de los principales productos que pueden ustedes bajar en su versión EVALUACIÓN para luego ser adquirido.

La página Oficial es http://es.cimaware.com/ (en español). Vale la pena darle una oportunidad a sus productos.

Whatsapp activa la encriptación de sus mensajes

Usa un sistema que cifra los mensajes intercambiados entre usuarios de tal forma que ni la empresa ni la Policía pueden tener acceso a ellos; es transparente para el usuario.

 

 

Whatsapp informó hoy que activó una herramienta que, en teoría, subsana uno de sus puntos más débiles: el cifrado de los mensajes, que dio pie a competidores como Telegram. La encriptación transforma un texto convencional (o una imagen, un archivo, etcétera) en un galimatías que requiere de una clave especial para reconstruirlo.

Whatsapp se asoció con la organización Open Whisper Systems para incorporar el software Textsecure (de código abierto) en su red de mensajería móvil, que logra que sólo los participantes de una conversación tengan acceso a ella, es decir, logrando que sea (en teoría) prácticamente invulnerable a la mirada de terceros.

Textsecure usa una técnica de encriptación de punta a punta que transforma al mensajero en uno de los más seguros del mundo. El cifrado funciona con claves digitales intercambiadas por los usuarios y nadie más; esto hace que sea casi imposible que otros puedan acceder al contenido de la conversación, sea Whatsapp o la Policía.

Según le dijo la compañía a Wired, Textsecure lleva una semana encriptando mensajes; ahora los mensajes viajan hasta el dispositivo del usuario antes de ser desencriptados; antes el cifrado se hacía entre el dispositivo y el servidor de Whatsapp. El resultado es transparente, aunque más adelante incluirán la posibilidad de verificar la identidad del otro usuario en función de su llave criptográfica, para evitar los mensajes falsos de Whatsapp.

Este nuevo sistema de seguridad por ahora sólo está disponible en Android y no alcanza a los mensajes grupales, ni a fotos o videos, aunque luego estará disponible en otras plataformas.

jueves, 13 de noviembre de 2014

¿Qué datos se pueden obtener de un selfie?

Estamos con los amigos en un bar tomando unas cervezas. Alguien saca el móvil y se lía a sacar selfies. El siguiente paso está claro: lo sube a Facebook y nos etiqueta.

PabloYglesias-Selfie

Esta acción se repite día tras día en millones de lugares y grupos distintos. Los selfies están de moda, y la proliferación de smartphones con cámara aceptable y conexión acompañan la tendencia.

 

¿Qué es una fotografía digital, y qué metadatos puedo obtener de ella?

La pregunta parece absurda, pero seguro que a más de uno le acabará sorprendiendo la respuesta. Una fotografía digital (redoble de tambores…) no es únicamente un archivo con información gráfica, sino que lleva asociado una cantidad ingente de información técnica y tangencial a la propia fotografía.

Para que un dispositivo informático sea capaz de reproducir un archivo, es necesario que le demos ya no solo el contenido en bruto, sino la manera que tiene de hacerlo. Desde el formato del archivo, pasando por la compatibilidad con herramientas de visualización de este tipo de archivos, así como sus dimensiones, resolución y un largo etcétera.

Además, y unido a lo anterior, encontraremos información técnica del dispositivo que ha realizado la imagen (marca, modelo, sensor, tiempo de exposición, número F, longitud focal,…) e información ambiental (principalmente, hora y lugar donde se tomaron).

Toda esta información suele ser planteada siguiendo un estándar de metadatos multimedia llamado EXIF, y que permite ya no solo reproducir el contenido, sino dotar de información enriquecida a los reproductores que hacen uso de él, como el sistema de filtrado de herramientas como Flickr. Y por supuesto, sirve tanto a los buenos para realizar auditorías que puedan ser presentadas como prueba ante un juez, como a los malos (malos malísimos o empresas de marketing :)) para obtener beneficio de los mismos.

 

¿Qué información podría obtener de un selfie?

Volviendo al tema principal, en la foto que acompaña este artículo tenemos a cuatro sujetos disfrutando de una buena cerveza en un bar. He tapado la cara por proteger su privacidad, pero imaginemos que los cuatro son gemelos y que por tanto la imagen no está retocada (xD).

Como hemos visto, analizando los datos EXIF desde un programa de edición de fotografía como puede ser Photoshop o GIMP, podríamos conocer el móvil o cámara con la que ha realizado la fotografía, así como la hora y el lugar de la toma. Suponiendo, como era el caso, que la fotografía está subida a Facebook y que ha etiquetado a sus amigos, sabríamos también el nombre de cada uno, pudiendo descubrir cualquier posible parentesco y, por supuesto, cualquier otra información obtenida mediante ingeniería social en la propia red social.

Pero descontando esto último, que daría sin duda para otro artículo, sí podríamos obtener más información de la que aparentemente tenemos. Concretamente, por dos cuestiones: contextualidad y analítica.

  • Contextualidad: se basa en compulsar los datos que ya tenemos (obtenidos por EXIF) con el conocimiento que tenemos de la víctima y su entorno. Sabiendo las coordenadas donde se tomó la fotografía, podremos seguramente obtener en Google Maps el nombre del bar donde estaban, que seguramente concuerde con una tipología de cliente concreta (cervecero, amante del buen rock, tranquilo,…). La hora nos da una idea de sus hábitos (somos animales de costumbres). Esto unido al conocimiento del resto de integrantes de la plantilla, y posiblemente, a fotos anteriores.
  • Analítica: Atendiendo a lo que se ve en la propia fotografía, podemos conocer más del grupo. Relaciones entre ellos, forma de vestir (asociada a un nivel socio-económico) y su relación con las marcas. Precisamente esto último empieza a ser utilizado ya no solo por malos malísimos, sino por las agencias de marketing, para establecer asociaciones entre marcas (por ejemplo, sudadera de Nike y cerveza Heineken), con el fin de entablar posibles acuerdos publicitarios en conjunto, u obtener un patrón de cliente más exacto (asociaciones que quizás se desconocían, potenciales influencers,…). Para ello utilizan herramientas de analítica multimedia (Ditto Labs (EN) es una de las múltiples empresas que se dedican a esto “legalmente”) que analizan cada imagen buscando logotipos o marcas, que vuelcan en un dashboard para su explotación. Esto podríamos aplicarlo también a los malos malísimos, que tendrán sus propias herramientas para realizar sus fechorías.

Para terminar, recordar que precisamente los selfies son quizás los mejores botines de un ciberatacante, ya que además de toda la información que se puede obtener de ellos, le servirán para futuras campañas de phishing, bien sean propias o revendiendo sus investigaciones a terceros. Muchos se preguntan cómo alguien puede suplantarnos la identidad, y precisamente los selfies son el Caballo de Troya predilecto para ello.

 

¿Cómo protegernos de estas técnicas?

La respuesta rápida y sencilla es que si nos preocupa la privacidad, no subamos ni fotos ni vídeos, y mucho menos selfies, a internet. Ahora bien, como somos humanos y la guardia tarde o temprano acaba bajando, lo importante es hacerlo con cabeza.

Lo correcto, sería que esperáramos a llegar a casa y tranquilamente, con alguna de las herramientas de escritorio, borráramos los datos EXIF. Por ejemplo, en el caso de Photoshop, se puede hacer desde Archivo > Guardar para Web >Metadatos > Ninguno.

PabloYglesias-Metadatos

Esto además hará que la imagen pese menos (cada imagen puede llegar a contener 50ks de metadatos), por lo que cargará más rápido sin perder por ello calidad, lo que lo transforma además en una herramienta fenomenal para todos aquellos administradores de páginas (truquillo gratuito para cualquier blogger, por cierto).

Por supuesto, existen herramientas específicamente diseñadas para tal fin (que por cierto son más exactas que otras genéricas como el Photoshop, que sí que borra los datos EXIF, pero incluye unos pocos suyos). ExifTool (EN) permite borrar selectivamente uno u otro dato, e incluso modificarlo, motivo por el cual se armó la que se armó cuando el fundador de McAffee subió fotos suyas para reírse del anuncio de Busca y Captura que había sobre él (ES), y que hacen que en la práctica, defender como prueba legal la validez de los metadatos sea complicado (a no ser que se cuente con una firma que valide su originalidad).

Y por último, elegir muy bien los permisos en el servicio donde lo estamos subiendo. Asegurarnos de que al menos a priori solo es visible por nuestros amigos, y no de forma pública. Con esto no evitamos el problema (si un amigo comparte esa foto, se rompe el círculo), pero al menos minimiza los riesgos, que es de lo que se trata.

ShadowCrypt, una extensión de navegador para cifrar nuestras comunicaciones (ya disponible para Google Chrome)

 


Un grupo de investigadores ha desarrollado una extensión que ofrece a los usuarios cifrado extremo a extremo en su navegador
ShadowCrypt es fácil de configurar y usar, un buen exponente de que la seguridad y la privacidad pueden ser accesibles a todos
ShadowCrypt es una extensión que nos permite cifrar todo tipo de mensajes
Las filtraciones de Edward Snowden sobre los programas de espionaje de la NSA nos han hecho ver la red de una manera distinta. Somos más celosos con la privacidad de nuestros datos y el secreto de nuestras comunicaciones. Estos requisitos se ven reflejados en el desarrollo de aplicaciones y servicios que, precisamente, ponen el foco en la seguridad y privacidad.
Grandes protagonistas de la industria como Google o Yahoo, a raíz de las revelaciones de Snowden, anunciaron el desarrollo de servicios de mensajería segura. También hemos asistido al lanzamiento de servicios como Telegram, BitTorrent Bleep o Red Phone y hemos observado cómo aumentaba el uso de PGP para el intercambio de correos electrónicos. Un ecosistema en plena ebullición que, en los últimos días, ha sumado un nuevo integrante procedente de un equipos de investigadores de la Universidad de California, concretamente de Berkeley, y la Universidad de Maryland: ShadowCrypt, una extensión de navegador que permite cifrar mensajes en Twitter, Facebook y otros servicios web.
ShadowCrypt, la extensión para cifrar mensajes
Este plugin, disponible actualmente para Google Chrome (y cuyo código está disponible en GitHub), nos permite escribir un mensaje en servicios como Twitter o Facebook y, en vez de enviarlo tal cual lo hemos escrito, realmente enviará un "galimatías", un mensaje opaco; es decir, lo que estaremos enviando realmente será un mensaje cifrado. Cara a Twitter, Facebook o Reddit, el mensaje enviado estará cifrado y, de esta forma, aunque se intercepte la información o se acceda, de manera fraudulenta, a nuestra cuenta de Facebook, la información no será accesible salvo que tengamos autorización (y la extensión pueda descifrar el contenido del mensaje).
En resumen, aunque nos comuniquemos a través de Facebook, el contenido de la conversación solamente es accesible por los pares que intervienen en la misma; Facebook ya no tendrá acceso a los contenidos que intercambiemos puesto que, cara al servicio, solamente verá un conjunto de caracteres ininteligible (eso sí, siempre y cuando intercambiemos el código de manera segura).
El objetivo de ShadowCrypt es mostrar que cifrar la información puede ser algo sencillo para el usuario: instalar una extensión en el navegador y generar una clave que, evidentemente, habrá que compartir con los destinatarios de nuestros mensajes. En cierta medida, el proceso es similar al uso de PGP a la hora de cifrar mensajes de correo electrónico; sin embargo, la extensión permite aplicar el cifrado a cualquier servicio web que se nos ocurra y, además, de manera muy simple para el usuario (los desarrolladores han verificado el funcionamiento con Twitter, Facebook, Gmail y otros 11 servicios más).
El pasado mes de junio, Google anunció el desarrollo de End-to-End, una extensión que ofrecería a los usuarios un cifrado "extremo a extremo" en sus correos de Gmail. Básicamente, ShadowCrypt viene a ofrecernos algo similar solo que, además de aplicarse a Gmail, se puede extender a otros servicios y, de esta forma, garantizar el secreto de nuestras comunicaciones (sin miedo a que el operador del servicio que usemos pueda inspeccionar la información intercambiada o una instancia superior, como ocurre con la NSA, pueda solicitar acceso a los datos).
La configuración de ShadowCrypt es extremadamente simple, casi instalar y usar.
El cifrado extremo a extremo es cada vez más accesible
Uno de los puntos fuertes de ShawdowCrypt es su facilidad de uso; solamente hay que instalar la extensión en Google Chrome y configurar la clave en cada servicio a usar. A partir de ahí, de manera transparente, la extensión se activará en aquellos servicios cuya url hayamos configurado (Twitter.com, Facebook.com...) y los mensajes se enviarán cifrados:
¿Y tiene sentido cifrar un tuit? Quizás Twitter, salvo que usemos mensajes directos, no sea el mejor campo de aplicación del cifrado "extremo a extremo"; sin embargo, en servicios como Gmail o Facebook sí que puede ser interesante tener en cuenta esta herramienta. ShadowCrypt no se apoya sobre PGP (aunque el funcionamiento sea similar); según exponen los investigadores en el artículo que han publicado, el proceso para descifrar un mensaje requiere mucha carga computacional y, por tanto, la experiencia de uso de la extensión se vería mermada.
Por este motivo, actualmente la extensión se apoya en AES-CCM pero, por lo que indican, parece que la integración de PGP forma parte de la hoja de ruta para ofrecer un mejor recurso a los usuarios.
Cryptocat es otra opción a tener en cuenta, un chat cifrado
Por cierto, ShadowCrypt no es el único recurso que tenemos a nuestro alcance y, por ejemplo, Cryptocat nos ofrece una alternativa mucho más ágil en comunicaciones a tiempo real puesto que nos ofrece un chat seguro también en forma de extensión para navegador y, desde BitTorrent, también nos ofrecen un sistema de mensajería segura y descentralizada a través de BitTorrent Bleep.
Si lo que buscamos es usar PGP de manera sencilla (y mejorar la seguridad de nuestras comunicaciones), a nuestro alcance tenemos extensiones como Secure Mail for Gmail, WebPG for Mozilla, Enigmail, Mailvelope o, incluso, Keybase; por tanto, el cifrado extremo a extremo, realmente, no está tan lejos de nuesto alcance.
Mailvelope es una extensión para cifrar mensajes de correo electrónico
Afortunadamente, cada vez contamos con más recursos que nos permiten mantener nuestras comunicaciones a salvo de "ojos curiosos" (que no siempre tienen buenas intenciones) y, lo mejor de todo, seguridad no siempre implica que sea algo complicado o reservado para usuarios de nivel avanzado.

Actualización para Adobe Flash Player

 

Adobe ha publicado una actualización para Adobe Flash Player para evitar 18 nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 15.0.0.189 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.250 (y versiones 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.411 (y anteriores) para Linux.

La mayoría de las vulnerabilidades que se corrigen en este boletín (APSB14-24) permitirían la ejecución de código arbitrario aprovechando los siguientes fallos de seguridad: 

  • Cuatro vulnerabilidades que podrían causar una corrupción de la memoria, a los que se han asignado los siguientes identificadores: CVE-2014-0576, CVE-2014-0581, CVE-2014-8440, CVE-2014-8441.
  • Tres vulnerabilidades de uso de memoria después de liberarla (CVE-2014-0573, CVE-2014-0588, CVE-2014-8438).
  • Una vulnerabilidad de doble liberación, con CVE-2014-0574.
  • Cinco vulnerabilidades de confusión de tipos (CVE-2014-0577, CVE-2014-0584, CVE-2014-0585, CVE-2014-0586, CVE-2014-0590).
  • Dos vulnerabilidades de desbordamiento de búfer (CVE-2014-0582, CVE-2014-0589).

Por otra parte un desbordamiento de búfer (CVE-2014-0583) y un problema de tratamiento de permisos (CVE-2014-8442) que podrían permitir la elevación de privilegios. Y por último una vulnerabilidad solucionada podría permitir la obtención de tokens de sesión (CVE-2014-8437).

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Flash Player Desktop Runtime 15.0.0.223
  • Flash Player Extended Support Release 13.0.0.252
  • Flash Player para Linux 11.2.202.418

Igualmente se ha publicado la versión 15.0.0.223 de Flash Player para Internet Explorer y Chrome.

Más información:

Security updates available for Adobe Flash Player

http://helpx.adobe.com/security/products/flash-player/apsb14-24.html

Parches de Microsoft noviembre de 2014

 

El segundo martes de Noviembre de 2014, Microsoft publicó 14 nuevos boletines de seguridad, de los cuales 4 han sido catalogado como Crítico, 8 como Importante y 2 como Moderado.


Consideramos que estos boletines deben ser del conocimiento de nuestros asociados, para que apliquen los parches disponibles a la máxima brevedad y de este modo evitar estar expuestos a futuros ataques.


Los 14 boletines del mes de Noviembre de 2014 son los siguientes:
•Boletín de seguridad de Microsoft MS14-064 (Severidad:Crítica) https://technet.microsoft.com/es-ES/lib ... 4-064.aspx
•Boletín de seguridad de Microsoft MS14-065 (Severidad: Crítica)
https://technet.microsoft.com/es-ES/lib ... 4-065.aspx
•Boletín de seguridad de Microsoft MS14-066 (Severidad: Crítica)
https://technet.microsoft.com/es-ES/lib ... 4-066.aspx
•Boletín de seguridad de Microsoft MS14-067 (Severidad: Crítica)
https://technet.microsoft.com/es-ES/lib ... 4-067.aspx
•Boletín de seguridad de Microsoft MS14-069 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-069.aspx
•Boletín de seguridad de Microsoft MS14-070 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-070.aspx
•Boletín de seguridad de Microsoft MS14-071 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-071.aspx
•Boletín de seguridad de Microsoft MS14-072 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-072.aspx
•Boletín de seguridad de Microsoft MS14-073 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-073.aspx
•Boletín de seguridad de Microsoft MS14-074 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... -0674.aspx
•Boletín de seguridad de Microsoft MS14-076 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... -0676.aspx
•Boletín de seguridad de Microsoft MS14-077 (Severidad: Importante)
https://technet.microsoft.com/es-ES/lib ... 4-077.aspx
•Boletín de seguridad de Microsoft MS14-078 (Severidad: Moderada)
https://technet.microsoft.com/es-ES/lib ... 4-078.aspx
•Boletín de seguridad de Microsoft MS14-079 (Severidad: Moderada)
https://technet.microsoft.com/es-ES/lib ... 4-079.aspx


Recomendamos el uso de Windows Update para mantener el equipo al día con los últimos parches de seguridad:


•Puede acceder a Windows Update a través de su navegador MS Internet Explorer, menú Herramientas, pulsando clic sobre Windows Update.
Nota: Para utilizar Windows Update, necesitará establecer una conexión a Internet.

lunes, 10 de noviembre de 2014

EMET 5.1 ya está disponible

 

El día de hoy hemos liberado Enhanced Mitigation Experience Toolkit (EMET) 5.1, que continuará mejorando su postura de seguridad al proporcionar una mayor compatibilidad con las aplicaciones y el fortalecimiento de las migraciones. Usted puede descargar EMET 5.1 desde microsoft.com/emet o directamente desde aquí. A continuación le mostramos una lista de los principales cambios y mejoras:

    • Se han resuelto varios problemas de compatibilidad de las aplicaciones con Internet Explorer, Adobe Reader, Adobe Flash y Mozilla Firefox y algunas de las migraciones de EMET.
    • Se han mejorado y fortalecido ciertas migraciones para hacerlas más resistentes a ataques y desviaciones.
    • Se ha agregado la función “Telemetría local” que permite guardar localmente las descargas de memoria cuando se activa una migración.

Todos los cambios en esta versión aparecen el Artículo 3015976 de la Base de conocimiento de Microsoft.

Si utiliza Internet Explorer 11, ya sea en Windows 7 o Windows 8.1, e implementó EMET 5.0, es particularmente importante instalar EMET 5.1, ya que se descubrieron problemas de compatibilidad con la actualización de seguridad de noviembre de Internet Explorer y la mitigación de EAF+. De manera alterna, puede deshabilitar EAF+ temporalmente en EMET 5.0. En la Guía del usuario se muestran detalles sobre cómo deshabilitar la mitigación EAF+. En general, recomendamos actualizar a la versión más reciente de EMET para beneficiarse de todas las mejoras.

Microsoft publicará 16 boletines de seguridad el próximo martes

Como cada mes, Microsoft ha revelado un adelanto de los boletines de seguridad que serán publicados dentro de su ciclo de actualizaciones, el próximo martes 11 de noviembre. En esta ocasión, Microsoft publicará 16 boletines (del MS14-063 al MS14-078) que corregirán múltiples vulnerabilidades en diversos sistemas.

Entre los 16 boletines que se publicarán, cinco están calificados como críticosy corrigen vulnerabilidades que pueden dar lugar a la ejecución remota de código en Internet Explorer y sistemas Windows. Nueve boletines serán de carácter importante y los dos boletines restantes de nivel moderado.

Las actualizaciones corregirán vulnerabilidades en sistemas Microsoft Windows, Internet Explorer, Office, Exchange, .NET Framework, Internet Information Services (IIS), Remote Desktop Protocol (RDP), Active Directory Federation Services (ADFS), Input Method Editor (IME) (japonés) y el controlador modo kernel (Kernel Mode Driver, KMD).

Cuatro de las actualizaciones críticas también afectan a Windows 10 Technical Preview. Por la información facilitada por Microsoft sabemos que hay dos actualizaciones para Office, aunque no se confirma si publicará la solución final para el 0-day en Microsoft OLE descubierto recientemente.

Como es habitual, Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Desde Hispasec se informará puntualmente sobre los nuevos parches a través de este servicio de noticias, dando una información más detallada sobre los boletines de actualización de Microsoft.

Más información:

Microsoft Security Bulletin Advance Notification for November 2014

https://technet.microsoft.com/library/security/ms14-nov

Advance Notification Service for the November 2014 Security Bulletin Release

http://blogs.technet.com/b/msrc/archive/2014/11/06/advance-notification-service-for-the-november-2014-security-bulletin-release.aspx