miércoles, 29 de octubre de 2014

Manual de anonimato para teléfonos móviles

 

manual_de_telecomunicaciones_anonimas

Se ha publicado un "Manual de telecomunicaciones anónimas" [PDF] sobre seguridad y privacidad en internet en formato pdf para lograr de forma práctica comunicaciones anónimas a través del móvil. Es un ejemplo práctico y real sobre cómo rootearlo, configurarlo y sobre qué programas son necesarios para tener todo lo que, en principio, sería imprescindible para conseguir cierta privacidad en las comunicaciones.


No es un manual de calidad agente secreto profesional, pero para la gente interesada puede ser un punto de partida, porque además de explicarlo con un modelo de móvil concreto y paso a paso, incluye enlaces a los ficheros necesarios, a las webs de los desarrolladores o al Google Play Store del software que indica, y los pasos necesarios para instalar TOR en el móvil, además de las aplicaciones generales: navegar, email, chat, documentos colaborativos, pero todo enfocado a mantener la privacidad.

Descarga del manual:

http://desconexioneconomica.com/wp-content/uploads/2014/03/manual_de_telecomunicaciones_anonimas.pdf

El verdadero peligro de BadUSB

 

En la última BlackHat USA se presentó una técnica de ataque llamada BadUSB que está dando mucho que hablar y que aunque no es totalmente nueva si ha sacado a la luz pública unos riesgos muy importantes para el mundo de la seguridad en relación a los dispositivos USB.
Un ataque de BadUSB consiste básicamente en reprogramar un dispositivo USB de uso común (normalmente un pendrive basado en algún microcontrolador reprogramable cuya arquitectura sea conocida) para que actúe de forma maliciosa.
Usar dispositivos USB para actividades maliciosas ya era una técnica ampliamente conocida, como fue comentado en la propia charla, por ejemplo:

  1. Los ataques de CD-ROM virtual con Autorun mediante un pendrive de tipo USB U3.
  2. Los ataques con teclado malicioso mediante el uso de herramientas de tipo USB Rubber Ducky o Teensy.
Los creadores de BadUSB proponen además de estas, otras tácticas bastante interesantes. Por ejemplo configurar un dispositivo USB para que se comporte como una tarjeta de red Ethernet y asigne por DHCP una nueva puerta de enlace o un nuevo servidor DNS para el equipo y así poder interceptar su tráfico posteriormente.
Todos estos ataques implican por si solos un riesgo para los equipos, pero existen ya múltiples medidas de seguridad para evitarlos.
El propio hecho de reprogramar un dispositivo USB legítimo para que actúe de forma maliciosa tampoco es nuevo, ya en 2013 se presentó una técnica para reprogramar el firmware de una Webcam y deshabilitar la luz que avisa cuando está grabando y además menciona la posibilidad de aprovechar esta actualización de firmware para llevar a cabo otras tareas maliciosas.
Pero extender esta técnica a cualquier dispositivo USB cuyo firmware cuente con capacidad para ser actualizado, es lo que empieza a convertir esta idea en peligrosa.
Y lo que acaba convirtiendo a un ataque BadUSB en algo realmente temible es la posibilidad de utilizar de forma combinada estas técnicas y reprogramar varios dispositivos USB legítimos aparentemente inocuos para convertirlos en un ataque combinado.
Estos ataques además conllevan una serie de dificultades técnicas a la hora de su detección:
  1. La infección es más difícil de detectar en los equipos ya que el dispositivo modificado es algo externo al sistema principal.
  2. Algunos dispositivos USB son portables de forma que pueden ser utilizados para extender la infección.
  3. La infección se mantendrá incluso aunque se formatee el disco duro o se cambie la CPU del equipo.
Algunos dispositivos USB son incluso internos al PC (p.e. la mayoría de webcams, lectores de SD, lectores de smartcard, biométricos que van en los portátiles) y por tanto es más fácil conseguir la persistencia en ellos porque están fijos.
Combinando esta técnica con distintos tipos de dispositivos, podemos encontrar escenarios de ataque bastante serios, como por ejemplo utilizar un pendrive como el vector de entrada inicial para una infección y utilizar algún dispositivo que esté conectado de forma permanente al equipo (por ejemplo una webcam o una impresora) como vector de permanencia de la infección. Por ejemplo: haciendo que el dispositivo detecte cuando el equipo está arrancando para convertirse en un pendrive bootable que cargue una versión modificada del sistema operativo.
Se podría incluso hacer que trabajen en modo anti-forense, si el microcontrolador lo permite, el dispositivo podría pasar a funcionar en su estado original o borrarse a sí mismo una vez conseguida la infección.
Es por tanto probable que en poco tiempo empecemos a ver casos reales del uso combinado de varios dispositivos infectados de este tipo funcionando como implantes, al estilo de los sugeridos en el catálogo ANT de la NSA.

EL CÓDIGO DE BADUSB YA ESTÁ EN GITHUB

 

Aunque en un principio se dijo que no se haría público el código por su alta peligrosidad, no ha sido así, ya podemos disponer de él alojado en GitHub, AQUÍ.

El problema descubierto por los investigadores de BadUsb, y presentado por Karsten Nohl reside en la posibilidad de modificar el firmware de un dispositivo USB y añadirle funcionalidades adicionales.

Según los desarrolladores se consigue alterar el firmware de los dispositivos aplicándole ingeniería inversa,  y heurística y así poder incorporar características adicionales, tales como cargar un exploit en el ordenador de la victima. Funcionaría en cualquier S.O., dependiendo de cual estemos usando, se necesitaría realizar una escalada de privilegios, como es en el caso de los sistemas operativos GNU/Linux.

Ésta vulnerabilidad además de afectar a pendrives, también lo haría con cualquier dispositivo que utilice USB, tanto cámaras web, discos duros externos, teclados..., aunque no está comprobado en éstos todavía al 100%.

También se podría utilizar ésta vulnerabilidad para realizar ataques a través de la red, usando un pendrive modificado y haciéndose pasar éste por un adaptador de red Ethernet en el sistema objetivo y respondiendo a peticiones DHCP realizadas desde el sistema pero sin asignar una puerta de enlace. Esto se traduce en que si estamos conectados a una red Wi-Fi e introducimos un USB modificado en nuestro sistema, seguiremos navegando sin problema; pero las peticiones DNS que realicemos a la hora de acceder a una web, por ejemplo, serán gestionadas por el servidor cargado desde el pendrive, lo que permite ataques de redirección de tráfico que nos pueden llevar a sitios maliciosos que aparentan ser legítimos.

También se podría modificar para reconocer el tipo de BIOS y así ocultar el contenido malicioso, reescribir datos al vuelo e incorporar malware ... [todo lo que nuestra imaginación quiera, dentro de unos límites].

Pocas soluciones se dan a éste problema, una de ellas es que los fabricantes cambiaran y actualizaran sus firmwares y que el estándar cambiara, cosa poco probable ya que tardarían incluso hasta 10 años en hacerlo.

Aún sabiendo todo esto, Adam Caudill y Brandon Wilson han tomado la decisión de hacer público el código y colgarlo en GitHub.

¿Código en GitHub: VER.

lunes, 27 de octubre de 2014

Ataque phishing en contra de usuarios Outlook

El grupo tiene como objetivo agencias militares, embajadas, contratistas de defensa y otras organizaciones.

Un grupo de ciberespionaje ha estado realizando avanzados ataques phishing para robar credenciales de correo de empleados de agencias militares, embajadas, contratistas de defensa y de medios afines que utilizan la plataforma web Office 365. El grupo detrás de la campaña de ataques ha estado operando al menos desde 2007 según las investigaciones de Trend micro, quienes publicaron la investigación sobre los ataques a los que han denominado Operación Pawn Storm.

Los atacantes han utilizado una variedad de técnicas al paso de los años para comprometer las cuentas de sus objetivos, incluyendo correos phishing los cuales incluyen como adjuntos archivos maliciosos de Office, instalando una puerta trasera llamada SEDNIT o Sofacy, (Exploits selectivos inyectados en sitios web legítimos).

El grupo usa una técnica en particular de correos phishing en contra de organizaciones que utilizan la plataforma web de Outlook (Outlook Web App), la cual forma parte de los servicios de Microsoft 365. Por cada ataque phishing, el grupo crea dos dominios falsos: uno similar a un sitio de un tercero, conocido por las víctimas, y otro similar al usado por la organización para el servicio de correo OWA.

Los atacantes crean correos phishing con un enlace al sitio falso de terceros en donde ellos tienen archivos JavaScript con dos objetivos:

Cuando la víctima abre el correo y da clic sobre el enlace malicioso, en otra pestaña del navegador aparecerá el sitio original del tercero. En la pestaña actual parecerá que finalizo la sesión de OWA y la víctima será reenviada a sitios falsos de inicio de sesión OWA, esto se logra al cambiar en las propiedades del navegador la opción "abrir ventanas".

Esta técnica no explota alguna vulnerabilidad y funciona en la mayoría de los navegadores, incluyendo Internet Explorer, Mozilla Firefox, Google Chrome y Safari de Apple, según los investigadores.  

Para funcionar se requieren dos condiciones: la víctima tiene que utilizar OWA y tiene que hacer clic al enlace malicioso desde el panel de visualización de OWA. Este puede ser un ataque sumamente poderoso porque las víctimas saben que tienen una sesión OWA activa en la pestaña y ya no verifican si la url ha cambiado antes de volver a  introducir sus credenciales.

http://www.pcadvisor.co.uk/news/security/3582488/cyberespionage-group-launches-sophisticated-phishing-attacks-against-outlook-web-app-users/?olo=rss

Ayuda a proteger tu cuenta en Outlook.com

Tanto si se trata del vínculo de un mensaje de correo electrónico que aparentemente te ha enviado tu banco como de notificaciones falsas desde redes sociales o de anuncios malintencionados, nosotros estamos al corriente de las últimas estafas para que tú no tengas que hacerlo. A continuación te indicamos algunos pasos sencillos que puedes realizar para ayudar a mantener tu cuenta aún más segura.

1. Agrega información de seguridad a tu cuenta

Agrega a tu cuenta una dirección de correo electrónico alternativa y un número de teléfono móvil, y mantén al día dicha información. Además, selecciona una pregunta de seguridad y proporciona la respuesta. Agrega esta información de seguridad a tu cuenta.

2. No inicies sesión desde un equipo que no sea de confianza

Para agregar una cuenta de Outlook.com a tu iPhone, iPad o iPod Touch, sigue estos rápidos pasos:

De forma predeterminada, Outlook.com inicia sesión con una conexión más segura con HTTPS (Hypertext Transfer Protocol Secure). Esto significa que tu información se cifra para enviarla a través de Internet cada vez que inicias sesión. Sin embargo, ten cuidado y no uses un equipo que podría tener instalado software para robar contraseñas. Si quieres iniciar sesión en Outlook.com desde un equipo público, puedes usar un código de un solo uso, que es un código que puedes usar en lugar de la contraseña para iniciar sesión con tu cuenta de Microsoft (Nota: los códigos de un solo uso todavía no están disponibles en todas las regiones).

Más información

3. Comprueba la barra de direcciones al iniciar sesión

Si la dirección URL que aparece en la barra de direcciones al iniciar sesión no incluye login.live.com, podrías estar en un sitio de suplantación de identidad (phishing). No escribas tu contraseña.

4. Busca el icono de remitente de confianza

El icono de remitente de confianza te permite saber que un mensaje procede de un remitente legítimo que Outlook.com ha comprobado, como tu banco o el equipo de Outlook. Si aparece el icono de remitente de confianza, significa que es seguro abrir el mensaje de correo electrónico.

5. Estate atento a las barras de seguridad de color amarillo y rojo

Una barra de seguridad amarilla significa que un mensaje contiene datos adjuntos, imágenes o vínculos a sitios web bloqueados. Comprueba el remitente del mensaje y asegúrate de que confías en él antes de descargar cualquier archivo adjunto o imagen, o de hacer clic en cualquier vínculo.

Una barra de seguridad roja significa que el mensaje que has recibido contiene algo que podría ser peligroso y que Outlook.com lo ha bloqueado. Se recomienda no abrir este tipo de mensajes de correo electrónico y eliminarlos de la bandeja de entrada.

6. Marca las direcciones de correo electrónico que sabes que son seguras

Si confías en la persona o en la página web que te ha enviado un mensaje, puedes marcarlos como seguros. Esto hace que cualquier mensaje que proceda de ellos se envíe directamente a tu bandeja de entrada.

7. Crea una contraseña segura

Una contraseña ideal es larga y contiene letras, signos de puntuación, símbolos y números. Asimismo, conviene cambiarla periódicamente y evitar el uso de la misma contraseña para otros servicios.

8. No des a nadie tu contraseña

Outlook.com y Microsoft NUNCA te pedirán tu contraseña en un correo electrónico.

9. Usa software antivirus

Puedes proteger tu PC contra los virus mediante software antivirus, como Microsoft Security Essentials. Para ayudar a evitar los virus más recientes, asegúrate de actualizar tu software antivirus regularmente.

jueves, 23 de octubre de 2014

Diversas vulnerabilidades en PHP

 

Recientemente el equipo de desarrollo de PHP ha publicado actualizaciones para las ramas 5.6, 5.5 y 5.4 de PHP para solucionar tres vulnerabilidades que pueden ser aprovechadas para provocar denegaciones de servicio e incluso comprometer los sistemas afectados.

Se ha solucionado una vulnerabilidad, con CVE-2014-3669, de desbordamiento de enteros en la función "unserialize()"que podría dar lugar a una denegación de servicio. Este problema solo afecta a instalaciones sobre 32 bits. Otra vulnerabilidad de corrupción de memoria, con CVE-2014-3670, en "exif_thumbnail()" que podría permitir la ejecución de código arbitrario si un usuario abre una imagen jpeg específicamente creada. Por último, un desbordamiento de búfer en la función "mkgmtime()" (CVE-2014-3668).

Se recomienda actualizar cuanto antes a las nuevas versiones 5.6.2, 5.5.18 y 5.4.34 desde:

http://www.php.net/downloads.php

8 síntomas de que tu computadora es un zombi o parte de una botnets

 


Imagínate que estás sentado en la comodidad de tu sillón, mirando esa serie de zombis que tanto te gusta… y de golpe ves que en el escritorio tu computadora se comporta de forma algo extraña: se abren múltiples publicidades, se reactiva el protector de pantalla, y entre todo esto, funciona sumamente lento.
Tal vez nunca se te ocurrió pensar que podrías estar compartiendo la habitación con un zombi –solo que en lugar de ser un mutante que sale de debajo de la tierra y muerde humanos, es nada más y nada menos que tu computadora la que actúa como un muerto viviente, ejecutando tareas que le ordena un ciberdelincuente.
A continuación te presentamos 8 síntomas de que tu computadora es un zombi –y señales de que estás durmiendo junto uno.


1. El ventilador (o cooler) comienza a toda velocidad
Si genera mucho ruido cuando el equipo se encuentra inactivo, esto podría indicar que algún programa se está ejecutando sin tu consentimiento y está consumiendo muchos recursos de tu equipo.
2. Tienes problemas a la hora de descargar actualizaciones de sistema operativo
Ante esta eventualidad debes estar bien alerta, ya que la falta de updates es una vía para impedir que se corrijan las vulnerabilidades que está explotando el cibercriminal. Recuérdalo siempre: mantener el sistema operativo y las aplicaciones actualizadas es fundamental para evitar brechas de seguridad.
3. No se te permite actualizar tu solución de seguridad o tienes restricción para visitar los sitios web de las soluciones más populares
Esto podría ser una clara señal de infección. El motivo es simple: el atacante no querrá que instales una solución de seguridad para no perder el control de tu equipo si eliminaras la infección.
4. Tus contactos han recibido mensajes de correo electrónico tuyos -que no enviaste
Esto puede marcar la presencia de un bot, de otro software malicioso, o que tu cuenta de correo web ha sido comprometida y por lo tanto tus credenciales robadas.
5. El administrador de tareas te genera dudas
Si cuando aprietas las teclas Ctrl+Shift+Esc ves aplicaciones en ejecución con nombres o descripciones extrañas, probablemente hay algo -o alguien- detrás de esas apariciones.
6. Los programas y aplicaciones se ejecutan mucho más lento que lo habitual
Esta puede ser una señal de aplicaciones instaladas y ocultas en tu sistema, utilizando gran parte de los recursos del equipo con fines maliciosos.
7. Tu acceso a Internet se ve afectado
Si la conexión se está utilizando para el envío masivo de spam o si está cargando o descargando información, verás que Internet se vuelve muy lento.

8. Aparecen ventanas y anuncios emergentes, incluso cuando no estás frente al equipo

Tal vez sin tener abierto un navegador web, podrías ver los efectos del adware, frecuentemente instalado por botnets en sus equipos víctima.
A menudo se tiende a decir que la computadora o un móvil fue infectado con un virus, pero para ser más precisos, virus solo es una variante entre tantas otras. En nuestro Laboratorio de Investigación de ESET Latinoamérica hablamos a modo abarcativo de malware o códigos maliciosos, para luego entrar en detalle sobre cada tipo de amenaza en nuestro trabajo cotidiano. Una de las amenazas que podemos distinguir son las botnets, redes de computadoras infectadas controladas por un botmaster, que recién el nombre de máquinas zombis. Esto quiere decir que el usuario no tiene control real de su equipo.
Para entenderlo gráficamente, habíamos comparado a este malware con un muro repleto de televisores de diferentes marcas y modelos, los cuales eran administrados desde un solo control remoto; este sería el botmaster, o panel de administración del cibercriminal.
En el último tiempo las botnets han sido un tema recurrente y hemos estado estudiando el avance de una nueva red en Centroamérica, aunque también hay algunas “históricas”: de seguro escuchaste hablar de Zeus, SpyEye y Volk, entre otras. Si bien en el caso de Zeus, sus creadores fueron arrestados, al día de la fecha siguen apareciendo nuevas variantes de este código malicioso.
Pero lo que más podría interesarte es cómo identificar si realmente estás infectado con este tipo de código malicioso para prevenirlo o eliminarlo, por lo cual las 8 señales anteriormente mencionadas te serán de utilidad.
Independientemente si la amenaza residente en el equipo es un virus o un troyano, o si se ha convertido en parte de una botnet, o incluso si un atacante intenta explotar alguna vulnerabilidad a través de un exploit, la protección de tu información y tu equipo es lo más importante. Por eso debes recordar tener siempre tu sistema y todas las aplicaciones actualizadas, y contar con una solución de seguridad que te proteja de todo tipo de amenazas –incluyendo botnets.

Windows 0-day explota vulnerabilidad en documentos de Office

 

Microsoft está advirtiendo a los usuarios sobre una nueva vulnerabilidad 0-Day de Windows (CVE-2014-6352) que está siendo explotada activamente mediante archivos de PowerPoint especialmente diseñados y que contienen un objeto OLE (Object Linking y Embedding) malicioso.


OLE se utiliza para mostrar las partes de un archivo dentro de otro archivo, por ejemplo para mostrar un gráfico en una hoja de cálculo Excel dentro de una presentación de PowerPoint. Esta vulnerabilidad es peligrosa porque afecta a las últimas versiones de Windows totalmente parcheadas, si bien se necesita la interacción del usuario para aprovechar la vulnerabilidad.

El escenario más común de ataque es mediante correo electrónico. Un atacante podría aprovechar la vulnerabilidad enviando un archivo especialmente diseñado para que el usuario lo abra. En un escenario de ataque basado en la web, el atacante tendría que alojar el archivo en un sitio web.

Mientras tanto en un informe separado, McAfee ha dicho que este ataque es parte de Sandworm llevado adelante por delincuentes rusos para espionaje en la crisis ucraniana. La operación Sandworm fue descubierto por iSIGHT Partners y se le había asignado el CVE-2014-4114 pero aparentemente Microsoft falló al desarrollar el parche original y esto permitió revelar este otro 0-Day.

Una explotación exitosa conduciría al atacante a obtener los permisos y derechos del usuario actual. La vulnerabilidad afecta a todas las versiones de Windows excepto Windows Server 2003, y actualmente no hay ningún parche para él. Microsoft todavía está investigando el asunto para decidir si publicarán un parche out-of-band o esperarán al próximo segundo martes de noviembre.
Entretanto, la compañía ha compartido soluciones temporales que ayudan a bloquear los tipos de ataque conocidos:

lunes, 20 de octubre de 2014

CRYPTOLOCKER Y TORRENTLOCKER (PARA EL QUE HAY UTILIDAD DE DESCIFRADO)

Vista la frecuencia y características de las actuales variantes del "Cryptolocker" hemos indagado sobre la posibilidad de que se tratara de una "falsificación" que aprovechara la publicidad de dicho ransomware, falsificando al original con un pantallazo que aparenta ser el tristemente famoso indicado:

Pero que puede tratarse de otro ransomware que realmente solo cifre la información en base a un algoritmo Rijndael, como hace el TORRENTLOCKER y no el temible RSA-2048 del Cryptolocker, de lo cual ya habíamos informado, pero no disponíamos de muestras para comprobarlo.
Hay que indicar que el cifrado de este último no tiene punto de comparación con el original del Cryptolocker, y que, para el TORRENTLOCKER, se puede disponer de utilidad de descifrado.
Una característica que los diferencia y que es lo que nos ha hecho despertar sospechas, es que el actual TORRENTLOCKER, crea una clave O4 RUN de ejecución en cada reinicio, a diferencia del inicial CRYPTOLOCKER, que una vez realizado el cifrado, desaparecía del ordenador, pero el de ahora debe eliminarse específicamente antes de intentar recuperar los ficheros cifrados, pues de lo contrario volverían a "caer en sus manos" en el siguiente reinicio !
Los que ya han estudiado el descifrado de dicho TOrrentLocker, ofrecen una utilidad de descifrado, según puede verse en:

http://www.bleepingcomputer.com/forums/t/547708/torrentlocker-ransomware-cracked-and-decrypter-has-been-made/

viernes, 17 de octubre de 2014

Navega de forma 100% anónima con Anonabox

 

La privacidad va ganando importancia día a día, y no es para menos. Cada vez son más las empresas y organizaciones, tanto privadas como gubernamentales, que buscan seguir y monitorizar nuestra actividad en la red para saber qué hacemos en todo momento. Esto genera desconfianza entre los usuarios de Internet que, poco a poco, van buscando nuevas formas de evitar estos espionajes.
Estamos acostumbrados a hablar de medidas de software contra estos espionajes ocultando nuestra identidad a través de proxies, VPN o mediante Tails o Tor Browser Bundle, sin embargo, no es tan habitual ver dispositivos físicos encargados de hacer anónimas nuestras conexiones. Este es el caso de Anonabox, un pequeño router que se encarga de hacer anónima toda nuestra conexión de forma automática sin la necesidad de tener que hacer nosotros nada para ello.
Anonabox nace de un proyecto a través de Kickstarter en el que pedían a la gente un total de 7.500 dólares para poder seguir con el desarrollo. En pocas horas dicho límite fue alcanzado y en apenas una semana ha conseguido ya más de 500.000 dólares de presupuesto con los que podrán seguir adelante con su proyecto. Este dispositivo de pequeñas dimensiones cuenta con un procesador de 1 núcleo a 580Mhz y 64 MB de ram, hardware suficiente para cumplir con su cometido.
El uso de este dispositivo es muy sencillo y se resume en 3 pasos:
•Conectar un cable RJ45 a nuestro router.
•Enchufar Anonabox a la red eléctrica mediante el cable micro-usb y esperar a que este arranque.
•Conectar los PC o dispositivos mediante cable o Wi-FI para comenzar a navegar de forma anónima y privada por la red.

Anonabox es un proyecto 100% software libre. Este dispositivo utiliza hardware de código abierto, ha publicado el código de todo el proyecto y utiliza OpenWRT como sistema operativo y la red TOR para hacer anónimo el tráfico generado.

Su precio rondará los 51 dólares y sus desarrolladores esperan tenerlo disponible para principios del año que viene. Sin duda un dispositivo imprescindible para todos aquellos que quieran blindar sus conexiones y evitar los espionajes gubernamentales que atacan la red a diario.

https://www.kickstarter.com/projects/augustgermar/anonabox-a-tor-hardware-router

Actualización para Adobe Flash Player (OCT 2014)


Adobe ha publicado una actualización para Adobe Flash Player
para evitar tres nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 15.0.0.167 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.244 (y 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.406 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB14-22, soluciona dos vulnerabilidades de corrupción de memoria (CVE-2014-0564 y CVE-2014-0558), y otra de desbordamiento de entero (CVE-2014-0569). En todos los casos estos problemas podrían permitir la ejecución remota de código arbitrario.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

* Flash Player Desktop Runtime 15.0.0.189

* Flash Player Extended Support Release 13.0.0.250

* Flash Player para Linux 11.2.202.411

Igualmente se ha publicado la versión 15.0.0.189 de Flash Player para Internet Explorer y Chrome.

Más información:

Security updates available for Adobe Flash Player

http://helpx.adobe.com/security/products/flash-player/apsb14-22.html

Actualización OpenSSL corrige POODLE y bugs DoS

 

El proyecto OpenSSL ha publicado una actualización de la biblioteca criptográfica homónima de código abierto, la cual arregla cuatro vulnerabilidades incluyendo la denominada POODLE (Padding Oracle On Downgraded Legacy Encryption).

Esto último ha sido abordado agregando soporte para TLS_FALLBACK_SCSV para prevenir un ataque MITM, el cual forza una desactualización del protocolo y parcha un error que permite que los servidores acepten y completen un saludo SSL 3.0 y que los clientes envíen saludos incluso si OpenSSL está configurado con la opción "no-ssl3".

Los otros dos errores arreglados permiten fugas de memoria que pudieron haber sido explotadas por atacantes que busquen una manera de enviar ataques DoS en contra de servidores.

La vulnerabilidad más seria de las dos que pueden ser explotadas por un atacante, envía un mensaje corrupto de saludo al servidor impidiendo a OpenSSL liberar a 64K de memoria. Repetir esta accion muchas veces puede dejar al servidor sin memoria disponible y por último, provocar un derrumbe conjunto o causar problemas en el rendimiento.

Las nuevas versiones de OpenSSL son 1.0.1j, 1.0.0o y 0.9.8zc (se pueden descargar de aquí). También es bueno saber que esta liberación aplica a los últimos arreglos para OpenSSL 0.9.8.

El equipo OpenSSL ha tenido bastante trabajo en el año. En abril ellos lidiaron con la vulnerabilidad de Heartbleed, y en junio con el crítico MITM y la ejecución de código defectuoso.

miércoles, 15 de octubre de 2014

USA WHATSAPP DESDE TU ORDENADOR CON WHATSREMOTE

USA WHATSAPP DESDE TU ORDENADOR CON WHATSREMOTE

ANTPJI

antpji

Fuente: bitelia.com

WhatsApp sigue siendo el rey de la mensajería instantánea, y un servicio que está valorado en un precio absolutamente descomunal -y ridículo- y a pesar de esto sigue sin existir una manera oficial de acceder a nuestras conversaciones desde un ordenador.

Los clientes de mensajería son parte importante de nuestras vidas, con ellos nos comunicamos con absolutamente todos nuestros conocidos y han eliminado casi completamente la necesidad de pagar por cada mensaje de texto que envías. WhatsApp es de los clientes más famosos, y aunque tiene bastante competencia (como Telegram o Line), después de que fue comprado por Facebook se hizo más obvio que seguiría siendo muy relevante y se incluirían algunas mejoras necesarias en el servicio, como por ejemplo, la posibilidad de usar WhatsApp desde nuestros ordenadores, así como lo hacemos con el chat de Facebook.

Lamentablemente, aún no existe una forma oficial de usar WhatsApp ni desde el navegador ni mediante la instalación de clientes para Windows, OS X, o Linux; lo que es una gran molestia y pone al servicio en desventaja frente a aplicaciones como LINE o Telegram que si se pueden usar desde el escritorio. Sin embargo, en Internet existen soluciones para todo, algunas simples y otras más complicadas, y luego de un poco de investigación he conseguido una manera fácil de usar WhatsApp en el navegador con muy poco trabajo y sin tener que usar un número de teléfono diferente; gracias a WhatsRemote, que hace las veces de un cliente remoto que se conecta con el móvil como si fuese un servidor.

WhatsRemote 

antpji

La aplicación es muy simple de usar: necesitas instalarla primero en tu dispositivo Android y darle permisos para comenzar a funciona como un servidor de WhatsApp. Desde el navegador te puedes conectar y desconectar cuando quieras, la aplicación no estará ejecutándose permanentemente en el fondo. No necesitas volverte a registrar en WhatsApp, WhatsRemote sólo usará la dirección de correo de Google principal que tengas asociada a tu smartphone.

Para abrir las conversaciones en el navegador solo necesitas entrar en whatsremote.com, e iniciar sesión dando permisos de Google a la aplicación web. Esta funciona en Chrome, Safari, Firefox, y cualquier otro navegador.

WhatsRemote cuenta con notificaciones sonoras y alertas visuales en el escritorio que muestra una ventana pequeña indicando que recibiste un mensaje. Hay tres sonidos de notificaciones disponibles para escoger, y los mensaje llegan rápido, de inmediato o con apenas con un pequeño retraso de dos o tres segundos.

WhatsRemote no es gratuito, ofrece tres días de período de prueba una vez que lo comienzas a usar, y pasado ese tiempo te cobrarán. Afortunadamente el precio por el servicio es muy bajo, apenas 1.3$ semestral, el cual se puede pagar directamente desde la aplicación, una compra in app para seguramente evitar que se piratee la aplicación, un problema que está muy marcado en Android.

Limitaciones

antpji

  • Sólo funciona en Android y en la FAQs del sitio oficial dicen que no sacarán una versión para iOS.
  • Necesitas tener acceso ROOT en Android para usarlo, ya que la aplicación requiere permisos de superusuario, lo que puede incomodar a algunas personas. Esto es necesario porque es la única manera que uses el móvil como servidor y transferir todo al navegador.
  • No podrás crear conversaciones nuevas en el navegador, sólo continuar las que ya has creado desde tu móvil.
  • No podrás mirar tampoco si la persona con la que hablas está en línea o cuándo se conectó la última vez.
  • Se pueden enviar emoticones, pero no se pueden enviar ni recibir imágenes, ni audio.
  • Si has creado una nueva ventana de conversación mientras tienes WhatsRemote abierto en el navegador, no se sincronizará bien. En este caso lo mejor es cerrar sesión y volver a entrar.

Si te parecen muchas las limitaciones, debes recordar que es una aplicación no oficial, que no hay alternativas ni la mitad de simples, y que WhatsApp no tiene una API pública. 

ANTPJI

Día cero en Windows para ciber espionaje a la OTAN

Expertos en seguridad descubrieron una campaña de espionaje a miembros de la Organización del Tratado del Atlántico Norte, OTAN, que se aprovecha de una vulnerabilidad de día cero presente en varias versiones de Windows y Windows Server.

Un grupo de investigadores de iSight Partners en colaboración con Microsoft reportaron el descubrimiento de esta campaña dirigida a miembros de la OTAN, misma que ha estado en proceso al menos desde agosto pasado, de acuerdo a la investigación, el grupo Sandworm Team está detrás de la campaña de espionaje.

De acuerdo al reporte de la campaña:

"A finales de agosto, mientras rastreábamos a Sandworm Team, iSight descubrió una campaña de phishing dirigido al gobierno ucraniano y al menos a una organización estadounidense. Notablemente, esta campaña de phishing dirigido coincidía con la conferencia sobre Ucrania de la OTAN a realizarse en Gales."

"El 3 de septiembre, nuestros investigadores descubrieron que la campaña de phihsing dirigido dependían de la explotación de una vulnerabilidad de día cero que afecta a todas las versiones de Microsoft Windows con soporte (No se menciona a XP) y Windows Server 2008 y 2012. Se identificó un documento en PowerPoint malicioso en estos ataques."

Según los informes, la falla permite a un atacante ejecutar código en máquinas infectadas, permitiendo el robo de información.

De acuerdo a las declaraciones de iSight:

"No tenemos detalles de la información extraída en esta campaña, sin embargo, el uso de una vulnerabilidad de día cero virtualmente garantiza que todas las entidades atacadas fueron víctimas en algún grado."

Microsoft está trabajando para arreglar la falla, el parche está programado para ser lanzado dentro del conjunto de actualizaciones mensuales liberadas los martes, particularmente el martes 14 de octubre de 2014.

La investigación de iSight apunta a que los atacantes son de origen ruso y se sospecha que están realizando campañas similares dirigidas a la Unión Europea y a sectores energéticos y de telecomunicaciones.

Fuente: V3 DG

Alerta – Publicación del Boletín de Seguridad de Microsoft para octubre de 2014

 


Alerta – Publicación del Boletín de Seguridad de Microsoft para octubre de 2014


¿Cuál es el propósito de esta alerta?

Esta alerta tiene como objetivo ofrecerle una descripción general de los nuevos boletines de seguridad que se liberarán el 14 de octubre de 2014. Los boletines de seguridad se liberan mensualmente para resolver vulnerabilidades de problemas críticos.

Nuevos boletines de seguridad

Microsoft publica los siguientes 8 (ocho) nuevos boletines de seguridad para vulnerabilidades recientemente descubiertas:

MS14-056

Actualización de seguridad acumulada para Internet Explorer (2987107)

Crítico

Ejecución del código remoto

Requiere reiniciar

Internet Explorer en todas las versiones compatibles de Microsoft Windows.

MS14-057

Las vulnerabilidades en .NET Framework podrían permitir la ejecución de código remoto (3000414)

Crítico

Ejecución del código remoto

Puede requerir reinicio

Microsoft .NET Framework 2.0 Service Pack 2, .NET Framework 3.5, .NET Framework 3.5.1, .NET Framework 4, y .NET Framework 4.5/4.5.1/4.5.2 en versiones afectadas de Microsoft Windows.

MS14-058

La vulnerabilidad en los controladores en modo kernel podrían permitir la ejecución remota de código (3000061)

Crítico

Ejecución del código remoto

Requiere reiniciar

Todas las versiones soportadas de Microsoft Windows.

MS14-059

Una vulnerabilidad en ASP.NET MVC podría permitir la omisión de característica de seguridad (2990942)

Importante

Omisión de característica de seguridad

Puede requerir reinicio

ASP.NET MVC 2.0, ASP.NET MVC 3.0,

ASP.NET MVC 4.0,

ASP.NET MVC 5.0 y

ASP.NET MVC 5.1.

MS14-060

La vulnerabilidad en Windows  OLE podría permitir la ejecución de código remoto (3000869)

Importante

Ejecución del código remoto

Puede requerir reinicio

Todas las versiones soportadas de Microsoft Windows, excepto Windows Server 2003

MS14-061

La vulnerabilidad en Microsoft Word y Office Web Apps podría permitir la ejecución remota de código (3000434)

Importante

Ejecución del código remoto

Puede requerir reinicio

Microsoft Word 2007, Office 2007, Word 2010, Office 2010, Office para Mac 2011, Office Compatibility Pack, Word Automation Services y Office Web Apps Server 2010.

MS14-062

La vulnerabilidad en el servicio Message Queuing podría permitir la elevación de privilegios (2993254)

Importante

Elevación de privilegio

Requiere reiniciar

Microsoft Windows Server 2003

MS14-063

La vulnerabilidad en el controlador de partición disco FAT32 podría permitir la elevación de privilegios (2998579)

Importante

Elevación de privilegio

Requiere reiniciar

Microsoft Windows Server 2003, Windows Vista y Windows Server 2008.

Los resúmenes de los boletines nuevos se pueden encontrar en https://technet.microsoft.com/library/security/ms14-oct.

La herramienta de eliminación de software malicioso y Actualizaciones no relacionadas con la seguridad

  • Microsoft lanzará una versión actualizada de la Herramienta de eliminación de software malicioso de Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descarga. La información sobre la Herramienta de eliminación de software malicioso de Microsoft Windows está disponible en http://support.microsoft.com/?kbid=890830.

  • Las actualizaciones de alta prioridad no relacionadas con la seguridad que se publiquen estarán disponibles en Microsoft Update (MU), Windows Update (WU), o Windows Server Update Services (WSUS) y se detallarán en el artículo de la KB que se encuentra en  http://support.microsoft.com/?id=894199.

Avisos de seguridad revisados

Microsoft ha vuelto a publicar un boletín de seguridad el 14 de octubre de 2014. He aquí un resumen:

MS14-042

La vulnerabilidad en el Microsoft Service Bus podría permitir la denegación de servicio (2972621)

¿Qué cambió?

Este boletín de seguridad se ha vuelto a publicar para anunciar la oferta de la actualización de seguridad a través de Microsoft Update, además de la opción única del Centro de descarga que se proporcionó cuando este boletín se publicó originalmente. Los clientes que ya han actualizado correctamente sus sistemas no necesitan hacer nada más.

Software afectado

Esta actualización de seguridad se considera moderada para Microsoft Service Bus 1.1 cuando está instalado en las ediciones afectadas de Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2

Mayores informes

https://technet.microsoft.com/library/security/ms14-042

Nuevas recomendaciones de seguridad

Microsoft publicó dos nuevas recomendaciones de seguridad el 14 de octubre de 2014. He aquí un resumen:

Recomendación de seguridad 2949927

Disponibilidad del algoritmo de hash SHA-2 para Windows 7 y Windows Server 2008 R2

Resumen ejecutivo

El propósito de este documento es informar a los clientes de una actualización que agrega funcionalidad para el algoritmo de hash SHA-2 para todas las ediciones compatibles de Windows 7 y Windows Server 2008 R2.

Software afectado

  • Microsoft anuncia la disponibilidad de una actualización para todas las ediciones compatibles de Windows 7 y Windows Server 2008 R2 para añadir soporte para la funcionalidad de firmado y verificación de SHA-2.
  • Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT y Windows RT 8.1 no requieren esta actualización dado que la funcionalidad de firmado y verificación SHA-2 ya está incluida en estos sistemas operativos.
  • Esta actualización no está disponible para Windows Server 2003, Windows Vista o Windows Server 2008.

Mayores informes

https://technet.microsoft.com/library/security/2949927

Recomendación de seguridad 2977292

Actualización para la implementación de Microsoft EAP que permite el uso de TLS

Resumen ejecutivo

El propósito de este documento es informar a los clientes de que hay una actualización disponible para la el Protocolo de autenticación extensible de Microsoft (EAP), que permite el uso de Transport Layer Security (TLS) 1.1 o 1.2.

Software afectado

Todas las ediciones soportadas de Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012 y Windows RT.

Mayores informes

https://technet.microsoft.com/library/security/2977292

Recomendaciones de seguridad revisadas

Microsoft ha vuelto a publicar dos avisos de seguridad el 14 de octubre de 2014. He aquí un resumen:

Recomendación de seguridad 2871997

Actualización para mejorar la Protección y Administración de credenciales

¿Que ha cambiado?

El 14 de octubre de 2014, Microsoft publicó las siguientes actualizaciones. Las actualizaciones aplicables añaden un modo de administrador restringido para conexión a escritorio remoto y el protocolo de escritorio remoto

  • 2984972 para las ediciones soportadas de Windows 7 y Windows Server 2008 R2
  • 2984976 para las ediciones soportadas de Windows 7 y Windows Server 2008 R2 que tienen la actualización 2592687 (actualización de protocolo de escritorio remoto (RDP) 8.0) instalada. Los clientes que instalen la actualización 2984976 también deben instalar la actualización 2984972.
  • 2984981 para las ediciones soportadas de Windows 7 y Windows Server 2008 R2 que tienen la actualización 2830477 (Conexión a Escritorio remoto (RDC) 8.1 actualización del cliente) instalada. Los clientes que instalen la actualización 2984981 también deben instalar la actualización 2984972.
  • 2973501 para las ediciones soportadas de Windows 8, Windows Server 2012 y Windows RT.

Resumen ejecutivo

Esta recomendación de seguridad se publicó originalmente para anunciar la disponibilidad de actualizaciones para las ediciones soportadas de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1 que mejoran los controles de protección de credenciales y autenticación de dominio para reducir el robo de credenciales.

Nota sobre el software afectado:

Las ediciones soportadas de Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1 ya incluyen esta característica y no necesitan esta actualización.

Mayores informes

https://technet.microsoft.com/library/security/2871997

Recomendación de seguridad 2755801

Actualización para vulnerabilidades en Adobe Flash Player en Internet Explorer

¿Que ha cambiado?

Microsoft actualiza de forma rutinaria esta recomendación de seguridad para anunciar la disponibilidad de una nueva actualización para Adobe Flash Player. El 14 de octubre de 2014, Microsoft publicó una actualización (3001237) para Internet Explorer 10 en Windows 8, Windows Server 2012 y Windows RT, y para Internet Explorer 11 en Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. La actualización corrige las vulnerabilidades descritas en el boletín de seguridad de Adobe APSB14-22. Para mayores informes sobre esta actualización, incluyendo los vínculos de descarga, consulte el artículo 3001237 de Microsoft Knowledge Base.

Mayores informes

https://technet.microsoft.com/library/security/2755801

Cronograma para el bloqueo de control de ActiveX no actualizado en Internet Explorer

En agosto de 2014, Microsoft anunció a través de la entrada Manténgase al día con Internet Explorer del blog de ​​Internet Explorer, que a partir del 12 de enero de 2016, se soportarán los siguientes sistemas operativos y combinaciones de navegador:

Sistemas operativos de Windows

Versión de Internet Explorer

Windows Vista SP2

Internet Explorer 9

Windows Server 2008 SP2

Internet Explorer 9

Windows 7 SP1

Internet Explorer 11

Windows Server 2008 R2 SP1

Internet Explorer 11

Windows 8.1

Internet Explorer 11

Windows Server 2012

Internet Explorer 10

Windows Server 2012 R2

Internet Explorer 11

Soporte para el bloqueo de control de ActiveX no actualizado en Windows Vista y Windows Server 2008 SP2

En este momento, la característica de bloqueo de control de ActiveX no actualizado funciona en todas estas combinaciones excepto Windows Vista SP2 y Windows Server 2008 SP2 con Internet Explorer 9. Hoy Microsoft ha anunciado que se espera que el soporte a estas combinaciones (Windows Vista SP2 y Windows Server 2008 SP2 con Internet Explorer 9) comience el 11 de noviembre de 2014.

Bloqueo de Silverlight no actualizado

Además de los cambios mencionados anteriormente, se anunció hoy que a partir del 11 de noviembre de 2014, Microsoft ampliará la característica de bloqueo de control de ActiveX no actualizado para bloquear versiones no actualizadas de Silverlight. Esta actualización le notifica cuando una página web intenta cargar un control ActiveX de Silverlight anterior a, pero sin incluir, Silverlight 5.1.30514.0.

Recursos adicionales

  • Internet Explorer comienza a bloquear los controles ActiveX no actualizados

  • Bloqueo de control de ActiveX no actualizado

  • Actualización para bloquear los controles ActiveX no actualizados en Internet Explorer

  • Lista de controles ActiveX no actualizados bloqueados por esta característica

  • Plantillas administrativas para Internet Explorer

  • Configuración de administración adicional para bloqueo de control de ActiveX no actualizado en Internet Explorer

Webcast del boletín público

Webcast del boletín de seguridad Mensual (Inglés):

Para atender las preguntas de los clientes sobre estos boletines Microsoft transmitirá un Webcast

Miércoles, 15 de octubre de 2014, 11:00 A.M. Hora del Pacífico (EE.UU. y Canadá)

El registro para este evento y otros detalles se pueden encontrar en URL: http://technet.microsoft.com/security/dn756352

Webcast del boletín de seguridad Mensual (Español):

Para atender las preguntas de los clientes sobre estos boletines Microsoft transmitirá un Webcast

Jueves, 16 de octubre de 2014, a las 10:30 a.m., hora del Atlántico

Regístrese en este link: https://msevents.microsoft.com/CUI/EventDetail.aspx?EventID=1032575647

Nuevos detalles técnicos sobre el boletín de seguridad

En las siguientes tablas del software afectado y no afectado, las ediciones de software que no se incluyen en la lista superaron su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web Ciclo de vida de soporte de Microsoft en http://support.microsoft.com/lifecycle/.

Identificador de boletín

Boletín de seguridad de Microsoft MS14-056

Título del boletín

Actualización de seguridad acumulada para Internet Explorer (2987107)

Resumen ejecutivo

Esta actualización de seguridad resuelve catorce vulnerabilidades informadas de forma privada en Internet Explorer. Las vulnerabilidades más graves podrían permitir la ejecución remota de código en caso de que un usuario vea una página Web diseñada especialmente utilizando Internet Explorer. El atacante que explote con éxito estas vulnerabilidades podría conseguir los mismos derechos de usuario que el usuario actual.

La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que Internet Explorer trata los objetos en memoria, mediante la adición de validaciones de permisos adicionales para Internet Explorer, además de ayudar a garantizar que las versiones afectadas de Internet Explorer apliquen adecuadamente la función de seguridad ASLR.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera crítica para Internet Explorer 6 (IE6), Internet Explorer 7 (IE7), Internet Explorer 8 (IE8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), e Internet Explorer 11 (IE 11) en los clientes de Windows afectados, y moderada para Internet Explorer 6 (IE6), Internet Explorer 7 (IE7), Internet Explorer 8 (IE8), Internet Explorer 9 (IE 9), Internet Explorer 10 (IE 10), e Internet Explorer 11 (IE 11) en los servidores de Windows afectados

Vectores de ataque

Vulnerabilidades de elevación múltiple de privilegios:

  • En un escenario de ataque basado en web, el atacante podría alojar un sitio Web que contiene una página Web que se utiliza para explotar esta vulnerabilidad. Además, los sitios Web comprometidos y sitios Web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que podría explotar esta vulnerabilidad.

CVE-2014-4140:

  • Un atacante podría aunar esta vulnerabilidad de omisión de característica de seguridad a una vulnerabilidad adicional, por lo general una vulnerabilidad de ejecución de código remoto. La vulnerabilidad adicional se aprovecharía de la omisión de característica de seguridad para la explotación. Por ejemplo, una vulnerabilidad de ejecución de código remoto que se bloquea por ASLR, podría ser explotada después de una omisión ASLR exitosa.

Múltiples vulnerabilidades de corrupción de memoria:

  • Un atacante podría alojar un sitio web especialmente diseñado para aprovechar estas vulnerabilidades a través de Internet Explorer y, a continuación, convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web comprometidos y sitios web vulnerables que acepten o alojan contenido proporcionado por el usuario o anuncios. Estos sitios web podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad.

Factores atenuantes

Vulnerabilidades de elevación múltiple de privilegios:

  • El atacante tendría que convencer a los usuarios para que realizaran una acción, generalmente conseguir que hagan clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo, o al lograr que abran un archivo adjunto enviado por correo electrónico.

CVE-2014-4140:

  • Microsoft no ha identificado los factores atenuantes para esta vulnerabilidad.

Múltiples vulnerabilidades de corrupción de memoria:

  • El atacante tendría que convencer a los usuarios para que realizaran una acción, generalmente conseguir que hagan clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo, o al lograr que abran un archivo adjunto enviado por correo electrónico.
  • Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos impactados que aquellos que operan con derechos de usuario administrativo.
  • Por omisión, todas las versiones con soporte de Microsoft Outlook, Microsoft Outlook Express y Windows Mail abren mensajes de correo electrónico HTML en la zona de sitios Restringidos.
  • Por omisión, IE en Windows 2003, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 y Windows Server 2012 R2 se ejecuta en un modo restringido.

Identificadores de vulnerabilidad

https://technet.microsoft.com/en-us/library/security/ms14-056.aspx#ID0E1RAE

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

MS14-052

Detalles completos

https://technet.microsoft.com/library/security/ms14-056

Identificador de boletín

Boletín de seguridad de Microsoft MS14-057

Título del boletín

Las vulnerabilidades en .NET Framework podrían permitir la ejecución de código remoto (3000414)

Resumen ejecutivo

Esta actualización de seguridad resuelve tres vulnerabilidades que se informaron de forma privada en Microsoft .NET Framework. La más grave de estas vulnerabilidades podría permitir la ejecución de código remoto en caso realice una solicitud URI especialmente diseñada y la enviara a un aplicación web .NET.

La actualización de seguridad corrige las vulnerabilidades al mejorar la forma en que Microsoft NET Framework se comunica con el proceso de instalación de ClickOnce, mediante la corrección de la forma en que maneja las solicitudes especialmente diseñadas, y al ayudar a garantizar que las versiones afectadas de Microsoft NET Framework implementen adecuadamente la función de seguridad ASLR.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Crítica para Microsoft .NET Framework 2.0 Service Pack 2, .NET Framework 3.5, .NET Framework 3.5.1, .NET Framework 4, y .NET Framework 4.5/4.5.1/4.5.2 en versiones afectadas de Microsoft Windows.

Vectores de ataque

CVE-2014-4073:

  • Un atacante podría comprometer Internet Explorer de forma que se permita la ejecución del proceso de instalación de ClickOnce fuera del modo protegido con privilegios elevados.

CVE-2014-4121:

  • Un atacante podría enviar una solicitud URI especialmente diseñada que contiene caracteres internacionales a una aplicación web .NET.

CVE-2014-4122:

  • Un atacante podría alojar un sitio web que esté destinado para intentar aprovechar esta vulnerabilidad.
  • Los sitios Web comprometidos y sitios Web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que podría explotar esta vulnerabilidad.
  • Cuando un usuario visita un sitio web con contenido malicioso utilizando un navegador web capaz de crear instancias de componentes COM, como Internet Explorer, el componente afectado .NET Framework se puede cargar para omitir ASLR.
  • Un atacante podría aunar esta vulnerabilidad de omisión de característica de seguridad a una vulnerabilidad adicional, por lo general una vulnerabilidad de ejecución de código remoto. La vulnerabilidad adicional se aprovecharía de la omisión de característica de seguridad para la explotación. Por ejemplo, una vulnerabilidad de ejecución de código remoto que se bloquea por ASLR, podría ser explotada después de una omisión ASLR exitosa.

Factores atenuantes

CVE-2014-4073:

  • Microsoft no ha identificado los factores atenuantes para esta vulnerabilidad.

CVE-2014-4121:

  • En aplicaciones NET 4.0, iriParsing está desactivado por defecto; para que la vulnerabilidad sea explotable, una aplicación tiene que permitir explícitamente esta funcionalidad mediante la configuración <iriParsing enabled="true"/> en el archivo app.config. Para obtener más información, consulte <iriParsing> Element (Uri Settings). En las aplicaciones .NET 4.5, iriParsing está habilitada de forma predeterminada y no se puede desactivar. Para obtener más información, vaya a Compatibilidad de aplicaciones en .NET Framework 4.5.

CVE-2014-4122:

  • Microsoft no ha identificado los factores atenuantes para esta vulnerabilidad.

Identificadores de vulnerabilidad

https://technet.microsoft.com/en-us/library/security/ms14-057.aspx#ID0EK2AG

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

MS12-016

Detalles completos       

https://technet.microsoft.com/library/security/ms14-057

Identificador de boletín

Boletín de seguridad de Microsoft MS14-058

Título del boletín

Las vulnerabilidades en los controladores en modo kernel podrían permitir la ejecución remota de código (3000061)

Resumen ejecutivo

Esta actualización de seguridad resuelve dos vulnerabilidades informadas de forma privada en Microsoft Windows. La más grave de las vulnerabilidades podría permitir la ejecución de código remoto si un atacante convence a un usuario para que abra un documento especialmente diseñado o visita un sitio web que no sea de confianza con fuentes TrueType incrustadas.

La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que el controlador en modo kernel de Windows maneja los objetos en memoria y la forma en que maneja las fuentes TrueType.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como crítica en el caso de todas las versiones con soporte de Microsoft Windows.

Vectores de ataque

CVE-2014-4113:

  • Un atacante podría aprovechar esta vulnerabilidad mediante la ejecución de una aplicación especialmente diseñada en un sistema afectado al obtener credenciales de acceso válidas y entrar al sistema, o al convencer a un usuario autenticado para que ejecute una solicitud en nombre del atacante.

CVE-2014-4148:

  • Hay varios medios por los que un atacante podría aprovechar esta vulnerabilidad, incluyendo convencer a un usuario para que abra un documento especialmente diseñado o visitar una página web que no es de confianza con fuentes TrueType incrustadas. La fuente TrueType especialmente diseñada podría  entonces aprovechar la vulnerabilidad.

Factores atenuantes

CVE-2014-4113:

  • El atacante debe contar con credenciales válidas de inicio de sesión y poder iniciar sesión localmente para explotar esta vulnerabilidad.

CVE-2014-4148:

  • Un usuario debe visitar una página web que no sea de confianza y que contenga un archivo de fuentes TrueType especialmente diseñado, o abrir el archivo como un archivo adjunto de correo electrónico. El atacante tendría que convencer al usuario para que realizar estas acciones, generalmente al conseguir que haga clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo.

Identificadores de vulnerabilidad

https://technet.microsoft.com/en-us/library/security/ms14-058.aspx#ID0ESAAE

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

MS14-045

Detalles completos

https://technet.microsoft.com/library/security/ms14-058

Identificador de boletín

Boletín de seguridad de Microsoft MS14-059

Título del boletín

Una vulnerabilidad en ASP.NET MVC podría permitir la omisión de característica de seguridad (2990942)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se informó de forma pública en ASP.NET MVC. La vulnerabilidad podría permitir la omisión de característica de seguridad si un atacante convence a un usuario para que haga clic en un vínculo especialmente diseñado o visita una página web que incluye contenido especialmente diseñado para aprovechar esta vulnerabilidad. En caso de un ataque basado en web, el intruso podría alojar un sitio web especialmente diseñado que está diseñado para aprovechar esta vulnerabilidad a través de un navegador web y, a continuación, convencer a un usuario para que visite el sitio web. El atacante también podría aprovechar sitios web comprometidos y sitios web vulnerables que acepten o alojan contenido proporcionado por el usuario o anuncios. Estos sitios web podrían incluir contenido especialmente diseñado que permita aprovechar esta vulnerabilidad.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que ASP.NET MVC maneja la codificación de los datos recibidos.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera importante para ASP.NET MVC 2, ASP.NET MVC 3, ASP.NET MVC 4, ASP.NET MVC 5, y APS.NET MVC 5.1.

Vectores de ataque

  • En caso de un ataque basado en web, el intruso podría convencer al usuario para que visite una página web que incluye contenido especialmente diseñado para aprovechar esta vulnerabilidad.
  • Los sitios Web comprometidos y sitios Web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que podría explotar esta vulnerabilidad.

Factores atenuantes

  • El atacante tendría que convencer a los usuarios para que realizaran una acción, generalmente conseguir que hagan clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo, o al lograr que abran un archivo adjunto enviado por correo electrónico.
  • El filtro XSS en Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, e Internet Explorer 11 impide este ataque a los usuarios durante la navegación en sitios dentro de la zona de Internet. Tenga en cuenta que el filtro XSS en Internet Explorer 8, Internet Explorer 9, Internet Explorer 10, e Internet Explorer 11 está habilitado de forma predeterminada en la zona de Internet, pero no está habilitado de forma predeterminada en la zona de Intranet.

Identificadores de vulnerabilidad

https://technet.microsoft.com/en-us/library/security/ms14-059.aspx#ID0EIDAC

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

Ninguno

Detalles completos

https://technet.microsoft.com/library/security/ms14-059

Identificador de boletín

Boletín de seguridad de Microsoft MS14-060

Título del boletín

La vulnerabilidad en los componentes de Windows podría permitir la ejecución remota del código (3000869)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se informó de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución de código remoto en caso de que un usuario abra un archivo de Microsoft Office que contenga un objeto OLE especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual. Si el usuario actual está dentro del sistema con derechos de usuario administrativos, el atacante podría instalar programas, ver, cambiar o eliminar datos; así como crear cuentas nuevas con todos los derechos de usuario.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las liberaciones con soporte de Microsoft Windows.

Vectores de ataque

Ataque por correo electrónico:

  • Un atacante podría aprovechar la vulnerabilidad si envía un archivo especialmente diseñado al usuario y persuade al usuario para que abra el archivo.

Ataque basado en Web:

  • Un atacante podría alojar un sitio web que contenga un archivo de PowerPoint destinado a intentar aprovechar esta vulnerabilidad.
  • Los sitios Web comprometidos y sitios Web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que podría explotar esta vulnerabilidad.

Factores atenuantes

  • Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos impactados que aquellos que operan con derechos de usuario administrativo.
  • El atacante tendría que convencer a los usuarios para que visitaran el sitio Web, generalmente al conseguir que hagan clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo que lleve a los usuarios al sitio Web del atacante.
  • Mediante el uso de la Vista protegida, se puede leer un archivo y ver su contenido y reducir los riesgos. La vista protegida está habilitada por omisión.

Identificadores de vulnerabilidad

https://technet.microsoft.com/en-us/library/security/ms14-060.aspx#ID0EUHAC

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

MS12-005

Detalles completos

https://technet.microsoft.com/library/security/ms14-060

Identificador de boletín

Boletín de seguridad de Microsoft MS14-061

Título del boletín

La vulnerabilidad en Microsoft Word y Office Web Apps podría permitir la ejecución remota de código (3000434)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se informó de forma privada en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución de código remoto en caso de que el atacante convenza al usuario de abrir un archivo de Microsoft Word diseñado especialmente. El atacante que explote con éxito esta vulnerabilidad podría conseguir los mismos derechos de usuario que el usuario actual. Si el usuario actual está dentro del sistema con derechos de usuario administrativos, el atacante podría instalar programas, ver, cambiar o eliminar datos; así como crear cuentas nuevas con todos los derechos de usuario.

La actualización de seguridad atiende la vulnerabilidad al corregir la manera en que Microsoft Office analiza los archivos especialmente diseñados.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera importante para las ediciones soportadas de Microsoft Word 2007, Microsoft Office 2007, Microsoft Word 2010, Microsoft Office 2010, Microsoft Office 2011 para Mac, Microsoft Office Compatibility Pack, Servicios de automatización de Word y Microsoft Office Web Apps Server 2010.

Vectores de ataque

  • Un atacante podría aprovechar la vulnerabilidad si envía un archivo especialmente diseñado al usuario y persuade al usuario para que abra el archivo en la versión afectada de Microsoft Office.
  • Un atacante podría alojar un sitio web que contenga un archivo destinado a intentar aprovechar esta vulnerabilidad.
  • Los sitios Web comprometidos y sitios Web que aceptan o alojan contenido o anuncios proporcionados por el usuario podrían incluir contenido especialmente diseñado que podría explotar esta vulnerabilidad.

Factores atenuantes

  • La vulnerabilidad no se puede explotar automáticamente a través del correo electrónico. Para que el ataque tenga éxito, el usuario debe abrir un archivo adjunto que se envíe en un mensaje de correo electrónico.
  • Un atacante no tendría forma de obligar al usuario a ver contenido controlado por el atacante. El atacante tendría que convencer a los usuarios para que realizaran una acción, generalmente conseguir que hagan clic en un vínculo de un mensaje de correo electrónico o mensaje instantáneo, que lleve a los usuarios al sitio web del atacante, para después lograr que abran el archivo de Office especialmente diseñado.
  • Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema podrían verse menos impactados que aquellos que operan con derechos de usuario administrativo.

Identificadores de vulnerabilidad

https://technet.microsoft.com/en-us/library/security/ms14-061.aspx#ID0E4NAC

Requisito de reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados con esta actualización

MS14-034, MS14-017 y MS14-022.

Detalles completos

https://technet.microsoft.com/library/security/ms14-061

Identificador de boletín

Boletín de seguridad de Microsoft MS14-062

Título del boletín

La vulnerabilidad en el servicio Message Queuing podría permitir la elevación de privilegios (2993254)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se informó de forma pública en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante envía una solicitud de control de entrada/salida especialmente diseñado (IOCTL) al servicio de Message Queue Server. Una explotación exitosa de esta vulnerabilidad podría obtener acceso completo al sistema afectado.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en el servicio Message Queue Server valida los datos de entrada antes de pasar los datos al búfer asignado.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las ediciones con soporte de Windows Server 2003.

Vectores de ataque

Un atacante podría aprovechar esta vulnerabilidad mediante el envío de una solicitud IOCTL especialmente diseñada al servicio de Message Queue Server.

Factores atenuantes

  • De forma predeterminada, el componente Message Queuing no se instala en ninguna edición de sistema operativo afectada y sólo se puede activar por un usuario con privilegios administrativos. Sólo los clientes que permiten manualmente el componente Message Queue Server pueden ser vulnerables a este problema.
  • El atacante debe contar con credenciales válidas de inicio de sesión y poder iniciar sesión localmente para explotar esta vulnerabilidad. La vulnerabilidad no se puede explotar de forma remota ni por usuarios anónimos.

Identificadores de vulnerabilidad

https://technet.microsoft.com/en-us/library/security/ms14-062.aspx#ID0EDH

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

MS09-040

Detalles completos

https://technet.microsoft.com/library/security/ms14-062

Identificador de boletín

Boletín de seguridad de Microsoft MS14-063

Título del boletín

La vulnerabilidad en el controlador de partición disco FAT32 podría permitir la elevación de privilegios (2998579)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad que se informó de forma privada en Microsoft Windows. Existe una vulnerabilidad de elevación de privilegios en la forma en que el controlador de sistema de Windows FASTFAT interactúa con particiones de disco FAT32. Un atacante que aprovechara esta vulnerabilidad podría ejecutar código arbitrario con privilegios elevados.

La actualización de seguridad corrige la vulnerabilidad al cambiar cómo se asigna memoria cuando se llama una función específica.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se clasifica como Importante en el caso de todas las ediciones con soporte de Windows Server 2003, Windows Vista y Windows Server 2008.

Vectores de ataque

Un atacante autenticado podría atacar a un sistema local mediante la inserción de una unidad USB especialmente diseñada.

Factores atenuantes

El atacante debe tener acceso físico al sistema para poder aprovechar la vulnerabilidad.

Identificadores de vulnerabilidad

https://technet.microsoft.com/en-us/library/security/ms14-063.aspx#ID0EYCAC

Requisito de reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados con esta actualización

Ninguno

Detalles completos

https://technet.microsoft.com/library/security/ms14-063

Con respecto a la consistencia de la información

Nos esforzamos por ofrecerle información precisa en contenido estático (este correo) y dinámico (basado en la Web). El contenido de seguridad de Microsoft que se publica en la Web algunas veces se actualiza para reflejar la información de última hora. En caso de que haya inconsistencias entre la información que se presenta en este documento y la información del contenido de seguridad basado en la Web de Microsoft, la información del contenido de seguridad basado en la Web de Microsoft tendrá preponderancia.

Si tiene alguna pregunta acerca de esta alerta, por favor póngase en contacto con su Gerente de Cuenta Técnico.

Gracias.

Fue lanzado el aviso de seguridad 3009008

 

Por MSRC Team

Hoy fue  lanzado el  Security Advisory 3009008 para corregir una vulnerabilidad en SSL (Secure Sockets Layer) 3.0 que podría permitir la divulgación de información. Se trata de una vulnerabilidad que afecta  el protocolo en sí mismo y no es específico a la implementación de Microsoft SSL o al sistema operativo Windows. 

Este aviso se proporciona orientación a los clientes para que puedan desactivar SSL 3.0 en el navegador. Los clientes deben estar conscientes de que una vez que desactiven SSL 3.0 , si se visita un sitio web que sólo es compatible con SSL 3.0 y no se admite los nuevos protocolos de cifrado,recibirán un mensaje de error de conexión y no serán capases de conectarse a este sitio web.

Original: http://blogs.technet.com/b/msrc/archive/2014/10/14/security-advisory-3009008-released.aspx

martes, 14 de octubre de 2014

BitTorrent Bleep, el chat seguro de la mano de BitTorrent

 

bittorrent-bleep-el-chat-seguro-de-la-mano-de-bittorrent-1.jpg

BitTorrent presentó su cliente de mensajería, se llama Bleep y permite mantenerse en contacto con amigos de manera segura y totalmente privada. La versión todavía no está completa, se puede descargar en estado pre-alpha y solamente es compatible con Windows 7 y Windows 8 pero ya promete algunos elementos interesantes para el mundo de la mensajería instantánea.

Lo primero que tenemos que tener en cuenta es la posibilidad de ofrecer mensajería con seguridad, privacidad y anonimato. Con Bleep nadie podrá leer tus mensajes, ni siquiera saber a quién se lo mandas o si eres tú el que está detrás de una cuenta determinada. Solamente el receptor sabrá quién eres. ¿Cómo funciona?

Bleep, el chat con tecnología de torrents

El secreto de la aplicación de chat de BitTorrent es descentralizar el control de las cuentas. Normalmente los servicios de mensajería guardan en un servidor central los datos de los usuarios. Esto es necesario para poder registrar cuando estas conectado y poder enviarte los mensajes.

En Bleep nos registramos con diferentes tipos de claves, una pública y otra privada. La pública es el nombre de usuario y la privada es la que confirma indudablemente que tú eres tú. Para detectar cada usuario lo que hace Bleep es repartir las tablas con nombres de usuario entre los usuarios en un Tabla Hash Distribuida.

El servicio garantiza que solamente tú puedas saber con quién estas hablando, además como BitTorrent Bleep no puede saber con quién te comunicas el gobierno no puede cerrarlo. Los mensajes están cifrados así que nadie salvo tu interlocutor sabrá de lo que hablan.

El código del programa es cerrado y todavía faltan muchos datos específicos sobre el funcionamiento, pero los primeros indicios de BitTorrent Bleep permiten pensar en una aplicación segura para chatear y compartir archivos multimedia. Algo que viene como anillo al dedo en un momento donde el espionaje y la privacidad están en boca de todos los actores de la tecnología y el software de mensajería.

Descarga ALPHA, desde la página oficial:  http://labs.bittorrent.com/bleep/

lunes, 13 de octubre de 2014

Investigadores publican poderosos exploits y un parche enclenque para BadUSB

 

Dos investigadores de seguridad han encontrado la única solución temporal que existe hasta el momento para proteger los dispositivos USB de una vulnerabilidad conocida como BadUSB. Ellos mismos habían publicado códigos para explotar esta falla pocos días antes, a pesar de que todavía no existía un parche para mitigar la amenaza.
La vulnerabilidad BadUSB se dio a conocer en la conferencia BlackHat de este año, donde los investigadores Karsten Nohl y Jakob Lell, de SR Labs demostraron que se podía aprovechar una falla en los dispositivos USB para alterar sus funciones básicas y así atacar, espiar e infectar ordenadores sin dejar ningún rastro.
El problema permite que se sobreescriba el firmware del dispositivo USB de tal modo que el atacante puede ejecutar un código de su elección. En la demostración de Nohl, se alteró el microprocesador del USB para que el ordenador creyera que se estaba instalando un teclado, desde donde se pudo enviar comandos que permitían robar datos del equipo, falsificar el interfaz de una red informática, alterar la configuración DNS para redirigir el tráfico a sitios maliciosos o instalar malware desde otras particiones del dispositivo.
Por si esto fuera poco, la amenaza no contaba con una solución conocida y la situación se mantuvo igual durante meses. Aun así, la semana pasada los investigadores Adam Caudill y Brandon Wilson presentaron una serie de ataques utilizando esta vulnerabilidad en la conferencia DerbyCon y decidieron hacer públicos los códigos fuente de sus exploits con la idea de apresurar a la comunidad de Internet para que desarrolle un parche.
Pocos días después, ellos mismos fueron quienes desarrollaron la primera solución temporal para BadUSB que, aunque pone algunas limitaciones a la expansión de la amenaza, tiene capacidades de protección muy limitadas. La solución sólo funciona en dispositivos USB 3.0 que utilizan la última versión de la marca de micro controladores Phison y bloquea el modo de arranque de los dispositivos para que no se los pueda reemplazar por otros códigos.
A pesar de ello, los atacantes todavía pueden revertir el parche con acceso físico al USB, por lo que los investigadores recomiendan sellar el dispositivo con resina o un pegamento fuerte para reforzar la seguridad del USB con un parche físico.

Fuentes:

That Unpatchable USB Malware Now Has a Patch … Sort Of Wired
The Only Fix For That Terrible USB Malware Requires Epoxy Gizmodo
[Bad]USB ‘Patch’ Skirts More Effective Options Threatpost