lunes, 10 de agosto de 2015

Man In The Cloud: Un nuevo tipo de ataque basado en la nube

 

 


El popular ataque Man In The Middle, como todos sabéis, consiste en que el atacante consigue interponerse entre los dos extremos de una comunicación con la finalidad de capturar todos los datos de la víctima e incluso infectarla con malware. Ahora ha nacido un nuevo ataque, Man In The Cloud, que te contamos a continuación.

El ataque Man In The Cloud consiste en que un cibercriminal consigue tener acceso a los servicios de almacenamiento en la nube como Dropbox y Google Drive, con la finalidad de subir archivos con malware y convertir estos servicios de sincronización de archivos en la nube en un vector de ataque devastador. Debido a que en muchas ocasiones, miembros de una misma organización tienen archivos sincronizados y compartidos con otros compañeros, infectar una sola de las cuentas que pertenecen a la carpeta compartida es fundamental para que este ataque tenga éxito e infecte a todos los miembros.

MITC (Man In The Cloud) no requiere de ningún código malicioso ni de ningún exploit de los servicios de almacenamiento en la nube en particular, sin embargo al utilizar protocolos de sincronización bien conocidos hacen que sea casi imposible distinguir un tráfico malicioso de uno completamente normal. En algunas ocasiones, una vez que una cuenta se ha visto comprometida y que el resto de la red se ha infectado, es complicado recuperar la cuenta comprometida y asegurarse de que está completamente limpia, por lo que en la mayoría de las ocasiones deciden crearse cuentas nuevas.

Según un informe publicado en la BlackHay 2015, hay varios tipos de ataques Man In The Cloud que se utilizan actualmente:

* Ataque Quick Double Switch: este tipo de ataque permite al atacante compartir los archivos de la cuenta sincronizada, tener acceso completo a los archivos para infectarlos con código malicioso.

* Ataque Persistent Double Switch: Similar al anterior pero además permite al atacante tener control por acceso remoto al equipo de la víctima.

* Ataque Single Switch: Permite al atacante acceder a los datos de la víctima, al equipo y ejecutar código malicioso.

Este problema de ataque MITC irá en aumento debido a que una gran mayoría de organizaciones permiten a sus usuarios usar servicios de sincronización de archivos en la nube, de hecho dependen de ellos para realizar su negocio. Es fundamental incorporar nuevos métodos de seguridad en las empresas para detectar el malware en estos nuevos vectores de ataque, y sobre todo eliminarlo antes de que afecte a todos los equipos de la organización a través de la sincronización automática de los servicios de almacenamiento en la nube.

lunes, 1 de junio de 2015

Lo mas novedoso en malwares: Mas información sobre el ya anunciado TOX.... Mas que temible

Por suerte para el común de los usuarios, crear virus no está al alcance de cualquiera. Y, sin embargo, la cantidad de amenazas de malware que existe es realmente preocupante. Ahora bien, sí existen algunas herramientas, como la que os enseñamos en esta publicación, que permite crear virus de forma realmente sencilla y, con ello, ganar dinero a costa de perjudicar a otros usuarios.
Este tipo de prácticas son ilegales, como es evidente, motivo por el cual los creadores de estas herramientas se esconden tras la red Tor. De hecho, herramientas similares cambian con cierta frecuencia de URL con la intención de ocultarse de los organismos legales. El peligro principal de esta herramienta, como podemos imaginar, está en que su uso es gratuito y supone un beneficio económico directo para el atacante. Otro tipo de amenazas similares en la Deep Web, simplemente, se basan en pagar a expertos en software para que ellos mismos ejecuten sus ataques.
Con Tox – Viruses, y evidentemente no explicaremos el cómo, crear un virus del tipo ransomware es realmente sencillo, tanto que no hacen falta conocimientos técnicos en materia de software, en cuanto a programación. La herramienta ha sido creada por un equipo de desarrolladores de malware para que, cualquiera que llegue a la misma, pueda crear sus virus de forma gratuita. Aunque, ¿qué interés podrían tener entonces sus desarrolladores?

TOX-VIRUS
Con la herramienta que nos ocupa, el beneficio económico lo decide el usuario, el propio atacante, pero los desarrolladores de Tox – Viruses se quedan con un 20% del importe. Los creadores de Tox -Viruses han aprovechado la red Tor para mantenerse a salvo de posibles consecuencias legales, una suerte de la que no protegen a sus usuarios, que utilizan para su lucro poniéndoles en riesgo, así como a las posibles víctimas que sufren el ataque de un ransomware.


Ver información original al respecto en Fuente:
http://www.adslzone.net/2015/05/31/tox- ... s-virus-2/

sábado, 2 de mayo de 2015

WIFITE, herramienta para hackear wi-fi (auditoria de redes).

Consiga Wi-Fi libre con - Wifite

Si estás cansado de buscar en Internet tutoriales sobre cómo auditar -vamos a hablar claro-crackear redes Wi-Fi, espera a probar WiFite. Es un programa diseñado para Linux que se presenta a sí mismo como Automated Wireless Auditor.

Así es. Sin necesidad de configurar ningún parámetro en la aplicación podrás escanear las redes inalámbricas a tu alcance. Aunque siempre que quieras podrás lanzar el programa con el comando help para acceder a más opciones. El usuario de YouTube Luka Sikic nos enseña en este vídeo educativo cómo de potente es WiFite a la hora de conseguir claves WPA2-PSK:

 

Cómo hacer funcionar WiFite

Los requisitos del programa
  • Es necesario tener instalado Python 2.6.X o Python 2.7.X.
  • Disponer de los controladores inalámbricos parcheados para el modo monitor y la inyección. Tienes dos opciones: emplear alguna distribución de seguridad como Backtrack, blackbuntu o, incluso, Debian; o parchear tú mismo los controladores inalámbricos descargando el parche adecuado de esta lista.
  • Instalar Aircrack-ng 1.1. Si no lo tienes instalado, WiFite te avisa y te indica cómo hacerlo:

Aircrack-ng es necesario para que WiFite funcioneAircrack-ng es necesario para que WiFite funcione

De forma opcional, puedes instalar reaver para poder atacar las redes WPA2 mediante WPS. Desde el programa también se recomienda la instalación de tshark, pyrit y cowpatty que, en nuestro caso, no ha sido necesaria.

Consiga Wi-Fi libre con - Wifite

Consiga Wi-Fi libre con – Wifite

Poniendo en marcha WiFite

Una vez tenemos preparado todo lo necesario, pasamos a instalar y lanzar WiFite desde el terminal de Linux. Son sólo 3 pasos:

Instalar wifite.py:

wget -O wifite.py http://wifite.googlecode.com/svn/trunk/wifite.py

Desde el terminal lanzamos la instalación de wifite.pyDesde el terminal lanzamos la instalación de wifite.py

Darle permisos de ejecución:

chmod +x wifite.py

Es necesario concederle permisos de ejecuciónEs necesario concederle permisos de ejecución

Ejecutar la aplicación:

./wifite.py

Nada más lanzar WiFite comienza el escanero de redes WiFiNada más lanzar WiFite comienza el escanero de redes WiFi

A continuación, comenzará a escanear de forma automática las redes WiFi a tu alcance. Con CTRL+C podemos pausar el proceso para poder seleccionar la red que queremos crackear. Tan sólo hay que dejar que la aplicación haga su faena y copiar la clave que proporciona al final del proceso.

Por último, recordarte que en función de la legislación vigente en tu país la obtención de las claves WiFi de redes que no te pertenezcan puede ser un hecho castigado por la ley.

lunes, 27 de abril de 2015

usbkill un "anti-forense" que apagará automáticamente el PC si se conecta un dispositivo USB

 

usbkill es un sencillo script escrito en Python por hephaest0s que apaga inmediatamente el equipo si se detecta cualquier cambio en alguno de los puertos usb.


Es un proyecto inacabado donde se esperan mejoras futuras, pero ya funciona y es bastante eficaz.


Para ejecutarlo: sudo python3 usbkill.py


Lucha contra el forense, usb -> kill!


Github: https://github.com/hephaest0s/usbkill

sábado, 18 de abril de 2015

Google publica Chrome 42 y corrige 45 vulnerabilidades

 

Google anuncia una nueva versión de su navegador Google Chrome 42. Se publica la versión 42.0.2311.90 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 45 nuevas vulnerabilidades.

Según el aviso de Google entre las mejoras se incluyen nuevas APIs de extensiones, de aplicaciones y de plataforma web (Web Platform), incluyendo API Push. También numerosos cambios en la estabilidad y rendimiento. Se ha deshabilitado el soporte para plugins NPAPI (como Netscape, Java y Silverlight).

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 45 nuevas vulnerabilidades, solo se facilita información de 12 de ellas (cuatro de gravedad alta y las ocho restantes de importancia media).

Las vulnerabilidades descritas están relacionadas con lecturas fuera de límites en WebGL y en Blink, escritura fuera de límites en Skia. También se solucionan vulnerabilidades por uso después de liberar memoria en IPC y en PDFium. Salto de políticas de orígenes cruzados en el analizador HTML y en Blink. Una vulnerabilidad de Tapjacking, una confusión de tipos en v8 y salto HSTS (HTTP Strict Transport Security) en WebSockets. Por último otras vulnerabilidades en OpenSearch y un salto de las medidas de SafeBrowsing. Los CVE asignados van del CVE-2015-1235 al CVE-2015-1238, CVE-2015-1240 al CVE-2015-1242 y CVE-2015-1244 al CVE-2015-1247.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1249). Así como múltiples vulnerabilidades en V8 en la rama de 4.2 (actualmente 4.2.77.14).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 52.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Cabe señalar, que en el aviso de Google también se destaca que Chrome 42, no podía ser de otra forma, es la respuesta al sentido de la vida, el universo y todo lo demás.

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2015/04/stable-channel-update_14.html

viernes, 17 de abril de 2015

Lanzan de herramienta que descifra archivos CoinVault

Ahora, las víctimas del Ransomware CoinVault pueden decifrar sus archivos que fueron cifrados por malware usando una herramienta gratuita lanzada por Kaspersky Lab.
Con la ayuda de la Unidad Nacional de Crímenes de Alta Tecnología (NHTCU por sus siglas en inglés) de la policía holandesa, los investigadores de Seguridad de Kaspersky Lab han desarrollado CoinVault Ransomware Decryptor, el cual descifra archivos bloqueados por el ransomware CoinVault.

El ransomware es un tipo de malware, una creciente amenaza cibernética en la que, principalmente, los hackers obtienen acceso a un sistema de usuario, infectando un ordenador o dispositivo y restringiendo el acceso al usuario para después exigir un pago.

Normalmente, el ransomware puede bloquear el equipo para impedir su uso o cifrar los archivos en él y evitar el acceso. Recientemente, durante una investigación del ransomware CoinVault, la policía holandesa fue capaz de obtener las claves de descifrado de una base de datos desde un servidor Command & Control de CoinVault.

La herramienta de descifrado de ransomware lanzada por Kaspersky Lab utiliza las mismas claves de descifrado que fueron recuperadas por la policía holandesa.

No obstante, este software no funcionará para todas las víctimas debido a que la policía sólo pudo obtener algunas miles de claves de descifrado de un servidor Command & Control de CoinVault. La policía holandesa está buscando más servidores CoinVault activos y esperan encontrar nuevas claves de descifrado de ransomware tan pronto como sea posible.

Para descifrar los archivos que fueron cifrados por el Ransomware CoinVault

Paso 1: Si estás infectado con CoinVault, simplemente anota la dirección de la carpeta Bitcoin mencionada por el malware en la pantalla.

Paso 2: Consigue la lista de archivos cifrados de la interfaz de ransomware.

Paso 3: Descarga un antivirus eficaz y elimina primero el ransomware CoinVault.

Paso 4: Abre https://noransom.kaspersky.com y descarga la herramienta de descifrado lanzada por Kaspersky Lab.

Paso 5: Instala las bibliotecas adicionales y descifra tus archivos.

Finalmente, para evitar futuras infecciones por ransomware, sigue estas recomendaciones:

* Asegúrate de que las versiones del software del sistema y del antivirus estén actualizadas.
* Evita visitar sitios web sospechosos.
* Realiza copias de seguridad de tus archivos importantes en una unidad de almacenamiento separada o que solo esté conectada temporalmente.
* Permanece en alerta máxima para las ventanas emergentes, spam y archivos adjuntos de correo electrónico inesperados.

jueves, 16 de abril de 2015

Boletín de seguridad de Microsoft de abril de 2015

Esta alerta es para ofrecerle una descripción general de los nuevos boletines de seguridad publicados el 14 de abril de 2015.    Los nuevos boletines de seguridad se publican mensualmente para hacer frente a vulnerabilidades de los productos.

Nuevos boletines de seguridad

Microsoft publica los siguientes 11 boletines de seguridad para vulnerabilidades recientemente descubiertas:

ID del boletín


Título del boletín


Calificación máxima de la gravedad


Impacto de la vulnerabilidad


Se requiere reinicio


Software afectado

MS15-032

Actualización de seguridad acumulada para Internet Explorer (3038314)

Crítica

Ejecución del código remoto

Requiere reiniciar

Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 en los clientes Microsoft Windows y servidores Windows afectados.

MS15-033

Las vulnerabilidades en Microsoft Office podrían permitir la ejecución de código remoto (3048019)

Crítica

Ejecución del código remoto

Puede requerir reinicio

Todas las ediciones compatibles de Microsoft Office 2007, Office 2010, Office 2013, Office 2013 RT, Office para Mac, Visor de Word, Paquete de compatibilidad de Office, SharePoint Server 2010, SharePoint Server 2013, Office Web Apps 2010 y Office Web Apps 2013.

MS15-034

La vulnerabilidad en HTTP.sys podría permitir la ejecución de código remoto (3042553)

Crítica

Ejecución del código remoto

Requiere reiniciar

Todas las ediciones compatibles con Microsoft Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2.

MS15-035

La vulnerabilidad en el componente gráfico de Microsoft podría permitir la ejecución de código remoto (3046306)

Crítica

Ejecución del código remoto

Puede requerir reinicio

Todas las ediciones compatibles con Microsoft Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

MS15-036

Las vulnerabilidades en Windows SharePoint Server podrían permitir la elevación de privilegios (3052044)

Importante

Elevación de privilegios

Puede requerir reinicio

Todas las ediciones compatibles con Microsoft SharePoint Server 2010, SharePoint Server 2013 y SharePoint Foundation 2013.

MS15-037

Una vulnerabilidad en Windows Task Scheduler podría permitir la elevación de privilegios (3046269) 

Importante

Elevación de privilegios

No es necesario reiniciar

Todas las ediciones compatibles con Microsoft Windows 7 y Windows Server 2008 R2.

MS15-038

Las vulnerabilidades en Microsoft Windows podrían permitir la elevación de privilegios (3049576)

Importante

Elevación de privilegios

Requiere reiniciar

Todas las versiones compatibles de Microsoft Windows.

MS15-039

Una vulnerabilidad en los Servicios núcleo XML podría permitir la desviación de las funciones de seguridad (3046482)

Importante

Desviación de la función de seguridad

Puede requerir reinicio

Todas las ediciones compatibles con Microsoft Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

MS15-040

Una vulnerabilidad en los Servicios Federados de Active Directory podría permitir la divulgación de información (3045711)

Importante

Divulgación de la información

Puede requerir reinicio

Active Directory Federation Services 3.0.

MS15-041

La vulnerabilidad en .NET Framework podría permitir la divulgación de la información (3048010) 

Importante

Divulgación de la información

Puede requerir reinicio

Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 y Microsoft .NET Framework 4.5.2 en las versiones afectadas de Microsoft Windows.

MS15-042

Una vulnerabilidad en Windows Hyper-V podría permitir la negación de servicio (3047234) 

Importante

Negación de servicio

Requiere reiniciar

Microsoft Windows 8.1 y Windows Server 2012 R2.

Los resúmenes de nuevos boletines se pueden encontrar en https://technet.microsoft.com/library/security/ms15-apr.

Herramienta de eliminación de software malintencionado y actualizaciones que no son de seguridad

  • Microsoft ha liberado una versión actualizada de la Herramienta de eliminación de software malintencionado en Microsoft Windows en Windows Server Update Services (WSUS), Windows Update (WU) y el Centro de descargas. La información sobre la Herramienta de eliminación de software malicioso en Microsoft Windows está disponible en https://support.microsoft.com/kb/890830.

  • Las actualizaciones de Microsoft no relacionadas con seguridad de alta prioridad que estarán disponibles en Microsoft Update (MU), Windows Update (WU) o Windows Server Update Services (WSUS) se detallan en el artículo de KB encontrado en https://support.microsoft.com/kb/894199.

Boletín de seguridad vuelto a publicar

Microsoft volvió a publicar un boletín de seguridad el 14 de abril de 2015. Esta es una descripción general de este boletín de seguridad que se volvió a publicar:

MS14-080

Actualización de seguridad acumulada para Internet Explorer (3008923)

Resumen ejecutivo y acciones recomendadas

Para abordar de manera integral los problemas con la actualización de seguridad 3008923, los clientes que ejecutan Internet Explorer 11 en Windows 7 o Windows Server 2008 R2 también deben instalar la actualización de seguridad 3038314 lanzada el 14 de abril de 2015. Para obtener mayor información, consulte MS15-032.

Para obtener más información:

https://technet.microsoft.com/library/security/MS14-080

Nuevos avisos de seguridad

Microsoft publicó un nuevo aviso de seguridad el 14 de abril de 2015. Esta es una visión general de este nuevo aviso de seguridad:

Aviso de seguridad 3045755

Actualización para mejorar la autenticación PKU2U

Resumen ejecutivo

El 14 de abril de 2015, Microsoft anuncia la disponibilidad de una actualización de defensa a profundidad que mejora la autenticación utilizada por el proveedor de soporte de seguridad (SPP) de la Codificación de claves públicas de usuario a usuario (PKU2U) en Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. La mejora es parte de los esfuerzos para reforzar la eficacia de los controles de seguridad en Windows.

Actualizaciones disponibles

Microsoft lanzó una actualización (3045755) para todas las ediciones compatibles con Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. La actualización está disponible en el Centro de descarga, así como en el Catálogo de actualizaciones de Microsoft para todo el software afectado. También se ofrece a través de la actualización automática y mediante el servicio Microsoft Update. Si desea obtener más información, consulte el artículo 3045755 de la Base de conocimiento de Microsoft.

Sinopsis de la funcionalidad añadida por la actualización:

La actualización mejora ciertos escenarios de autenticación para PKU2U. Después de aplicar esta actualización de defensa a profundidad, PKU2U ya no se autenticará en un Windows Live ID (WLID) si falla un intento de autenticación inicial.

Para obtener más información:

https://technet.microsoft.com/library/security/3045755

Avisos de seguridad vueltos a publicar

Microsoft ha vuelto a publicar un aviso de seguridad el 14 de abril de 2015. Esta es una descripción general de este aviso de seguridad que se volvió a publicar:

Aviso de seguridad 3009008

La vulnerabilidad en SSL 3.0 podría permitir la divulgación de la información

¿Qué ha cambiado?

Microsoft ha anunciado que con el lanzamiento de la actualización de seguridad 3038314 el 14 de abril de 2015, SSL 3.0 está desactivado de manera predeterminada en Internet Explorer 11. Microsoft también ha anunciado que SSL 3.0 se desactivará en los servicios en línea de Microsoft en los próximos meses.

Acciones recomendadas

Microsoft recomienda que los usuarios que migren clientes y servicios a protocolos de seguridad más sólidos, como TLS 1.0, TLS 1.1 o TLS 1.2.

Vea la sección "acciones sugeridas" del aviso con soluciones para deshabilitar SSL 3.0. Microsoft recomienda a los usuarios utilizar estas soluciones para poner a prueba sus clientes y servicios para el uso de SSL 3.0 y empezar a migrar en consecuencia.

Para obtener más información:

https://technet.microsoft.com/library/security/3009008

Nuevos detalles técnicos sobre el boletín de seguridad

En las siguientes tablas de software afectado y no afectado, las ediciones de software que no están en la lista han expirado su ciclo de vida de soporte. Para determinar el ciclo de vida de soporte de su producto y edición, visite el sitio Web del Ciclo de vida del soporte de Microsoft en http://support.microsoft.com/lifecycle/.

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-032

Título del boletín

Actualización de seguridad acumulada para Internet Explorer (3038314)

Resumen ejecutivo

Esta actualización de seguridad resuelve las vulnerabilidades reportadas en Internet Explorer. Las más graves de las vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página Web especialmente diseñada usando Internet Explorer. Un atacante que explote con éxito esta vulnerabilidad podrá conseguir los mismos derechos del usuario. Los clientes cuyas cuentas están configuradas para tener menos derechos de usuario en el sistema tendrían menos riesgo que aquellos que operan con derechos administrativos.

La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que Internet Explorer trata los objetos en memoria y al ayudar a asegurar que las versiones afectadas de Internet Explorer implementen correctamente la función de seguridad ASLR.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera crítica para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 en clientes afectados de Windows y moderado para Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 en servidores afectados de Windows.

Vectores de ataque

Vulnerabilidades que dañan la memoria:

Un atacante podría alojar un sitio Web especialmente diseñado para explotar estas vulnerabilidades en Internet Explorer y, a continuación, convencer a un usuario para que vea el sitio Web. El atacante también podría aprovechar sitios Web vulnerables y los sitios Web que aceptan o alojan contenido proporcionado por el usuario o anuncios añadiendo contenido especialmente diseñado que permita aprovechar esta vulnerabilidad. Un atacante tendría que convencer a los usuarios para tomar acciones, por lo general al hacer clic en un vínculo de un un mensaje instantáneo o mensaje de correo electrónico en que lleva a los usuarios a la página Web del atacante, o de la apertura de un archivo adjunto enviado por correo electrónico.

CVE-2015-1661:

Un atacante podría utilizar esta vulnerabilidad de desvío de ASLR en conjunción con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código que podría tomar ventaja del desvío de ASLR para ejecutar código arbitrario.

Factores atenuantes

Microsoft no ha identificado las atenuantes de estas vulnerabilidades.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS15-018

Todos los detalles

https://technet.microsoft.com/library/security/MS15-032

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-033

Título del boletín

Las vulnerabilidades en Microsoft Office podrían permitir la ejecución de código remoto (3048019)

Resumen ejecutivo

Esta actualización de seguridad resuelve las vulnerabilidades reportadas en Microsoft Office. La más severa de las vulnerabilidades podría permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. Un atacante que consiguiera aprovechar la vulnerabilidad podría ejecutar código arbitrario en el contexto del usuario actual.

La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que Microsoft Office analiza los archivos especialmente diseñados, mediante la corrección de cómo Office trata los archivos en la memoria, y al ayudar a garantizar que SharePoint Server desinfecta adecuadamente la entrada del usuario.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Crítica para todas la ediciones compatibles con el siguiente software:

  • Microsoft Word 2007, Microsoft Office 2010, Microsoft Word 2010
  • Microsoft Word Viewer, Paquete de compatibilidad de Microsoft Office
  • Word Automation Services en Microsoft SharePoint Server 2010
  • Microsoft Office Web Apps Server 2010

Esta actualización de seguridad se considera Importante para todas la ediciones compatibles con el siguiente software:

  • Microsoft Word 2013
  • Microsoft Office 2011 para Mac, Microsoft Word 2011 para Mac, Outlook para Mac para Office 365
  • Word Automation Services en Microsoft SharePoint Server 2013
  • Microsoft Office Web Apps Server 2013

Vectores de ataque

CVE-2015-1641, CVE-2015-1649, CVE-2015-1650 y CVE-2015-1651:

La explotación de estas vulnerabilidades requiere que un usuario abra un archivo especialmente diseñado con una versión afectada del software de Microsoft Office. En un escenario de ataque por correo electrónico, un atacante podría explotar las vulnerabilidades enviando el archivo especialmente diseñado al usuario y al convencerlo de que lo abra. En caso de un ataque por la Web, un atacante podría alojar un sitio Web (o aprovechar uno comprometido que acepte o reciba contenido proporcionado por el usuario) que contenga un archivo especialmente diseñado para aprovechar las vulnerabilidades.

CVE-2015-1639:

La explotación de esta vulnerabilidad requiere que un usuario vea contenido especialmente preparado, que podría ejecutar un script en el contexto del usuario. En caso de un ataque por la Web, un atacante podría alojar un sitio Web (o aprovechar uno comprometido que acepte o reciba contenido proporcionado por el usuario) con un contenido especialmente diseñado para aprovechar esta vulnerabilidad. Un atacante tendría que convencer a los usuarios para que visiten un sitio Web afectado, por lo general al lograr que hagan clic en un vínculo de un mensaje instantáneo o mensaje de correo electrónico, y después convencerlos de que abran el archivo especialmente diseñado.

Factores atenuantes

Microsoft no ha identificado atenuantes para estas vulnerabilidades.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS14-081 y MS15-022

Todos los detalles

https://technet.microsoft.com/library/security/MS15-033

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-034

Título del boletín

La vulnerabilidad en HTTP.sys podría permitir la ejecución de código remoto (3042553)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante envía una solicitud HTTP especialmente diseñada a un servidor de Windows afectado.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que la pila HTTP de Windows maneja las solicitudes.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Crítica para todas las ediciones compatibles con Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2.

Vectores de ataque

Para aprovechar esta vulnerabilidad, un atacante tendría que enviar una solicitud HTTP especialmente diseñada al sistema afectado.

Factores atenuantes

Microsoft no ha identificado atenuantes para esta vulnerabilidad.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

Ninguno

Todos los detalles

https://technet.microsoft.com/library/security/MS15-034

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-035

Título del boletín

La vulnerabilidad en el componente gráfico de Microsoft podría permitir la ejecución de código remoto (3046306)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario satisfactoriamente a que navegue a un sitio Web especialmente diseñado, abra un archivo especialmente diseñado o navegue a un directorio de trabajo que contiene un archivo de imagen Meta-archivo mejorado (EMF) especialmente diseñado. En todos los casos, sin embargo, un atacante no podría obligar a los usuarios a tomar este tipo de acciones; un atacante tendría que persuadir a los usuarios para hacerlo, por lo general ofreciendo premios dentro de correo electrónico o mensajes instantáneos.

La actualización de seguridad resuelve la vulnerabilidad al corregir la forma en que Microsoft Windows procesa los archivos EMF.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas las ediciones compatibles con Microsoft Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

Vectores de ataque

En un escenario de ataque en la Web, un atacante podría alojar un sitio Web especialmente diseñado para explotar la vulnerabilidad con Internet Explorer, y entonces convencer a los usuarios para que vean el sitio Web. Esto también podría incluir páginas Web comprometidas o sitios Web que acepten o alojen contenido o anuncios de banner proporcionados por el usuario; dichos sitios Web podrían incluir contenido especialmente diseñado para aprovechar esta vulnerabilidad. Un atacante tendría que convencer a los usuarios para que visiten un sitio Web afectado, por lo general al lograr que hagan clic en un vínculo de un mensaje de correo electrónico o solicitud de mensaje instantáneo.

En un supuesto de un ataque por correo electrónico, un atacante podría aprovechar la vulnerabilidad si envía a los usuarios de Outlook un correo electrónico o un documento de Office especialmente diseñados como un archivo adjunto, y convence al usuario para que lea el mensaje o abra el archivo.

Un atacante también podría aprovechar esta vulnerabilidad alojando un archivo de imagen malintencionado en un recurso compartido de red y convencer a los usuarios para que naveguen hasta la carpeta en el Explorador de Windows.

Factores atenuantes

Microsoft no ha identificado atenuantes para esta vulnerabilidad.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

Ninguno

Todos los detalles

https://technet.microsoft.com/library/security/MS15-035

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-036

Título del boletín

Las vulnerabilidades en Windows SharePoint Server podrían permitir la elevación de privilegios (3052044)

Resumen ejecutivo

Esta actualización de seguridad resuelve vulnerabilidades en el servidor  y el software de productividad Microsoft Office. Las vulnerabilidades podría permitir la elevación de privilegios si un atacante envía una solicitud especialmente diseñada en un servidor de SharePoint afectado. Un atacante que aprovechara la vulnerabilidad podría leer el contenido sin autorización, usar la identidad de la víctima y tomar acciones en el sitio de SharePoint en su nombre, como cambiar los permisos y eliminar contenidos, e inyectar el contenido malicioso en el navegador de la víctima.

La actualización de seguridad corrige las vulnerabilidades al contribuir a que Microsoft SharePoint Server desinfecte adecuadamente la captura del usuario.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas las ediciones compatibles con Microsoft SharePoint Server 2010, Microsoft SharePoint Server 2013 y Microsoft SharePoint Foundation 2013.

Vectores de ataque

Un atacante autenticado podría explotar estas vulnerabilidades mediante el envío de una solicitud especialmente diseñada a un servidor SharePoint afectado. El atacante que aprovechara esta vulnerabilidad podría llevar a cabo ataques de secuencias de comandos entre sitios en los sistemas afectados y ejecutarlas en el contexto de seguridad del usuario actual. Éstos podrían permitir al atacante leer contenido sin autorización, usar la identidad de la víctima y tomar acciones en el sitio de SharePoint en su nombre, como cambiar los permisos y eliminar contenido, e inyectar contenido malicioso en su navegador.

Factores atenuantes

Microsoft no ha identificado atenuantes para esta vulnerabilidad.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS14-022 y MS15-022.

Todos los detalles

https://technet.microsoft.com/library/security/MS15-036

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-037

Título del boletín

Una vulnerabilidad en Windows Task Scheduler podría permitir la elevación de privilegios (3046269) 

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. Un atacante que aprovechara esta vulnerabilidad podría tomar una tarea inválida conocida para provocar que el Programador de tareas ejecute una aplicación especialmente diseñada en el contexto de la cuenta del Sistema. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear nuevas cuentas con todos los derechos del usuario.

La actualización de seguridad corrige la vulnerabilidad al garantizar que la tarea inválida conocida de Windows Defender no esté presente o se retire de los sistemas afectados.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Crítica para todas las ediciones con soporte de Microsoft Windows 7 y Windows Server 2008 R2.

Vectores de ataque

Para aprovechar esta vulnerabilidad, un atacante primero tendría que iniciar sesión en el sistema de destino y determinar si la tarea inválida conocida estuvo presente en el sistema. Si está presente, el atacante podría diseñar la tarea para ejecutar una aplicación especialmente diseñada en el contexto de la cuenta del Sistema.

Factores atenuantes

Microsoft no ha identificado atenuantes para esta vulnerabilidad.

Se requiere reinicio

Esta actualización no requiere reinicio.

Boletines reemplazados por esta actualización

Ninguno

Todos los detalles

https://technet.microsoft.com/library/security/MS15-037

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-058

Título del boletín

Las vulnerabilidades en Microsoft Windows podrían permitir la elevación de privilegios (3049576)

Resumen ejecutivo

Esta actualización de seguridad resuelve las vulnerabilidades reportadas en Microsoft Windows. Las vulnerabilidades podrían permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Un atacante autenticado que aprovechara estas vulnerabilidades podría adquirir las credenciales de administrador.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que Microsoft Windows valida los eventos de suplantación.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para todas versiones compatibles de Microsoft Windows.

Vectores de ataque

Para explotar estas vulnerabilidades, un atacante tendría primero que iniciar sesión en el sistema. Después, un atacante podría ejecutar una aplicación especialmente diseñada para elevar privilegios.

Factores atenuantes

Microsoft no ha identificado atenuantes para estas vulnerabilidades.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

MS15-025 y MS15-031.

Todos los detalles

https://technet.microsoft.com/library/security/MS15-038

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-039

Título del boletín

Una vulnerabilidad en los servicios XML Core podría permitir la desviación de las funciones de seguridad (3046482)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir el desvío de la función de seguridad si un usuario abre un archivo especialmente diseñado.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que los servicios de Microsoft XML Core hacen cumplir la política del mismo origen en un escenario de declaración de tipo de documento (DTD).

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad para Microsoft XML Core Services 3.0 se considera Importante para todas las ediciones compatibles con Microsoft Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.

Vectores de ataque

En un escenario de ataque por correo electrónico, un atacante podría explotar la vulnerabilidad enviando un archivo especialmente diseñado al usuario y al convencerlo de que abra el archivo En un escenario de ataque por la Web, un atacante podría alojar un sitio Web que contenga un archivo para tratar de explotar la vulnerabilidad. Un atacante tendría que persuadir a los usuarios a abrir el archivo, normalmente ofreciendo un incentivo en un correo electrónico o mensaje instantáneo.

Factores atenuantes

Microsoft no ha identificado atenuantes para esta vulnerabilidad.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS14-067

Todos los detalles

https://technet.microsoft.com/library/security/MS15-039

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-040

Título del boletín

Una vulnerabilidad en los Servicios Federados de Active Directory podría permitir la divulgación de información (3045711)

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad en Servicios de federación de Active Directory (AD FS). La vulnerabilidad podría permitir la divulgación de información si un usuario sale de su navegador abierto después de cerrar la sesión desde una aplicación y un atacante vuelve a abrir la aplicación en el navegador inmediatamente después de que el usuario se ha desconectado.

La actualización de seguridad corrige la vulnerabilidad al garantizar que el proceso de cierre de sesión inicia la sesión correctamente fuera el usuario.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para AD FS 3.0 cuando está instalado en las ediciones x64 de Microsoft Windows Server 2012 R2.

Vectores de ataque

Un atacante que aprovechara esta vulnerabilidad podría conseguir el acceso a la información de un usuario mediante la reapertura de una aplicación desde la que el usuario cierra la sesión. Desde que falla el cierre de sesión efectivamente no se le pide a un atacante que introduzca un nombre de usuario o contraseña. Un atacante podría entonces utilizar esta vulnerabilidad para descubrir la información a la que un usuario de AD FS tiene acceso.

Factores atenuantes

Microsoft no ha identificado atenuantes para esta vulnerabilidad.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

Ninguno

Todos los detalles

https://technet.microsoft.com/library/security/MS15-040

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-041

Título del boletín

La vulnerabilidad en .NET Framework podría permitir la divulgación de la información (3048010) 

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft .NET Framework. La vulnerabilidad podría permitir la divulgación de información si un atacante envía una petición Web especialmente diseñada a un servidor afectado que tiene desactivados los mensajes de error personalizados. Un atacante que aprovechara esta vulnerabilidad podría ver partes de un archivo de configuración de la Web, lo que podría exponer información sensible.

La actualización de seguridad corrige la vulnerabilidad mediante la eliminación de datos de contenido de archivos de los mensajes de error que estaban facilitando la divulgación de la información.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para Microsoft .NET Framework 1.1 Service Pack 1, Microsoft .NET Framework 2.0 Service Pack 2, Microsoft .NET Framework 3.5, Microsoft .NET Framework 3.5.1, Microsoft .NET Framework 4, Microsoft .NET Framework 4.5, Microsoft .NET Framework 4.5.1 y Microsoft .NET Framework 4.5.2 en las versiones afectadas de Microsoft Windows.

Vectores de ataque

Para aprovechar esta vulnerabilidad, un atacante podría enviar una solicitud de una Web especialmente diseñada a un servidor afectado con la intención de provocar un mensaje de error que podría revelar información relativa a la línea de la fuente que originó la excepción. En última instancia, esto podría revelar información no autorizada.

Factores atenuantes

Sólo se ven afectados los servidores IIS que sirven mensajes de error detallados; es poco probable que se vean afectados los servidores de producción.

Se requiere reinicio

Esta actualización puede requerir un reinicio.

Boletines reemplazados por esta actualización

MS14-009

Todos los detalles

https://technet.microsoft.com/library/security/MS15-041

Identificador
del boletín

Boletín de seguridad de Microsoft MS15-032

Título del boletín

Una vulnerabilidad en Windows Hyper-V podría permitir la negación de servicio (3047234) 

Resumen ejecutivo

Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la negación de servicio si un atacante autenticado ejecuta una aplicación especialmente diseñada en una sesión de máquina virtual (VM). Tenga en cuenta que la negación de servicio no permite a un atacante ejecutar código o elevar los derechos de usuario en otras máquinas virtuales que se ejecutan en el servidor Hyper-V; sin embargo, podría causar que otras máquinas virtuales en el host no sean manejables en Virtual Machine Manager.

La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que Virtual Machine Manager valida la captura del usuario.

Clasificaciones de gravedad y software afectado

Esta actualización de seguridad se considera Importante para Microsoft Windows 8.1 en Sistemas basados en x64 y Windows Server 2012 R2.

Vectores de ataque

Un atacante autenticado ejecuta una aplicación especialmente diseñada en una sesión de máquina virtual (VM).

Factores atenuantes

Microsoft no ha identificado atenuantes para esta vulnerabilidad.

Se requiere reinicio

Esta actualización requiere un reinicio.

Boletines reemplazados por esta actualización

Ninguno

Todos los detalles

https://technet.microsoft.com/library/security/MS15-042

jueves, 9 de abril de 2015

Reporte de Ciberseguridad e Infraestructuras Críticas en América

Los ataques contra infraestructuras críticas se han convertido en una causa de preocupación creciente para gobiernos y proveedores privados alrededor del mundo, ya sea porque los ciberdelincuentes buscan ganancias financieras o los atacantes buscan realizar "actos políticos" y pretenden socavar la credibilidad de los gobiernos y las empresas.
La inquietud por estas amenazas es justificada. Como lo demuestra la investigación realizada por Trend Micro y la OEA "Seguridad Cibernética e Infraestructura Crítica en las Américas" [PDF], los ataques contra infraestructuras críticas ha aumentado y su prevalencia y sofisticación seguirán creciendo en el futuro cercano.
Las infraestructuras críticas se van conectando a Internet progresivamente. El valor añadido y la conveniencia de la conectividad han convertido los ataques, una vez limitados, en un paisaje fértil para ataques cibernéticos extendidos. Estas industrias se han convertido en objetivos muy atractivos para los delincuentes.
Basándose en el éxito del estudio de 2013 "Latin American and Caribbean Cybersecurity Trends and Government Responses" [PDF], la OEA ha realizado esta encuesta y estudio en más de 20 Estados miembros y proporciona una vista del estado actual de la seguridad alrededor de las infraestructuras críticas en la región y las tendencias.
Los datos recogidos proporcionan información detallada sobre los ataques cibernéticos experimentados por las organizaciones de con infraestructuras críticas de la región, así como las medidas y políticas seguridad; colaboración con gobiernos locales; y su preparación para los ataques.
Los encuestados vienen de agencias gubernamentales, así como industrias críticas, tales como comunicaciones, banca, fabricación, energía y seguridad, entre otros. Los encuestados mostraron que los atacantes están interesados en el robo de datos y causar caos en sistemas SCADA.
Este reporte también revela la falta de asociación proactiva entre los gobiernos y las organizaciones privadas de esta región. Una escueta mayoría de los encuestados de la industria privada y del gobierno reportó que no hay un diálogo o sólo hay diálogos informales entre estos socios clave.

Mediante el análisis de los tres países más representativos de la región, como son Argentina, Brasil y Colombia, podemos observar tres maneras distintas de abordar la ciberseguridad industrial, a partir de problemas totalmente diferentes y las características particulares de cada país, lo que los enriquece con sus propias experiencias.
En el caso de Argentina, las definiciones "cerradas" o las políticas multinacionales sobre seguridad no se han aplicado directamente debido a que los sistemas industriales implementados en el país son obsoletos (no todos ellos), híbridos o se han desarrollado localmente
El informe completo se puede leer aquí [PDF].

domingo, 5 de abril de 2015

Actualización de seguridad para Google Chrome

 

Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas (Windows, Mac y Linux) que se actualiza a la versión 41.0.2272.118 para corregir cuatro nuevas vulnerabilidades, incluyendo la presentada en el Pwn2Own.

Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. De igual forma Google retiene información si algún problema depende de una librería de terceros que aun no ha sido parcheada. En esta ocasión, aunque se han solucionado cuatro vulnerabilidades, se facilita información de dos de ellas.

Se corrigen una vulnerabilidad, con CVE-2015-1233, que mediante una combinación de fallos en V8, IPC y Gamepad podría permitir la ejecución remota de código fuera de la sandbox. También se ha corregido la vulnerabilidad de condición de carrera en la GPU mostrada por JungHoon Lee (lokihardt) en el Pwn2Own 2015, a la que se le ha asignado el CVE-2015-1234.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados.

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2015/04/stable-channel-update.html

FIN DE LA AUDITORÍA DE TRUECRYPT

 

Se ha completado la auditoria final sobre TrueCrypt sin ningún backdoor y con algún bug. 4 son las vulnerabilidades que han encontrado los analistas, 2 de ellas catalogadas como "High severity issues" y otras 2 como "Low severity issues" y "Undeterminated severity issues" respectivamente.

Según comenta Matthew Green:

"The TL;DR is that based on this audit, Truecrypt appears to be a relatively well-designed piece of crypto software. The NCC audit found no evidence of deliberate backdoors, or any severe design flaws that will make the software insecure in most instances".


"That doesn't mean Truecrypt is perfect. The auditors did find a few glitches and some incautious programming -- leading to a couple of issues that could, in the right circumstances, cause Truecrypt to give less assurance than we'd like it to".

En conclusión, aparentemente no hay nada que temer sobre él, dicen los expertos. 

Más INFO:
Primera entrada sobre la auditoria: VER

miércoles, 1 de abril de 2015

Mozilla publica firefox 37 y corrige 17 nuevas vulnerabilidades

 

Mozilla ha anunciado la publicación de la versión 37 de Firefox, junto con 13 boletines de seguridad destinados a solucionar 17 nuevas vulnerabilidades en el propio navegador, el gestor de correo Thunderbird y la suite SeaMonkey.
Hace poco más de un mes que Mozilla publicó la versión 36 de su navegador. Ahora acaba de publicar una nueva versión que, entre otras novedades y mejoras, añade protección contra la suplantación de sitios a través OneCRL, reporte de errores de certificados SSL y se desactivan las versiones inseguras de TLS.

Por otra parte, se han publicado 13 boletines de seguridad (del MSFA-2015-30 al MSFA-2015-42). Cuatro de ellos están considerados críticos, dos importantes, cinco moderados y dos de gravedad baja. En total se corrigen 17 nuevas vulnerabilidades en los diferentes productos Mozilla.


Las vulnerabilidades críticas residen en dos errores de confusión de tipos que darían lugar a un uso de memoria después de liberarla (CVE-2015-0803 y CVE-2015-0804). Otros dos problemas de corrupción de memoria durante la generación de gráficos 2D por problemas en Off Main Thread Compositing. Un uso de memoria después de liberarla en el tratamiento de determinados archivos MP3 con el plugin Fluendo MP3 para GStreamer en Linux (CVE-2015-0813) y diversos problemas de corrupción de memoria en el motor del navegador (CVE-2015-0814 y CVE-2015-0815).


Otras vulnerabilidades corregidas residen en un salto de la política de mismo origen, una falsificación del cursor con Flash ý contenido html (solo afecta en plataformas OS X), una lectura fuera de límites en la librería de gestión de color QCMS, documentos cargados a través de "resource:" pueden cargar páginas privilegiadas o posibles ataques de envenenamiento DNS en Android por una debilidad en el generador de números pseudoaleatorios.


La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
Más información:
Firefox Notes
Version 37.0
https://www.mozilla.org/en-US/firefox/3 ... easenotes/
Mozilla Foundation Security Advisories
https://www.mozilla.org/en-US/security/advisories/

lunes, 30 de marzo de 2015

Cracking WPS (Wi-Fi Protected Setup) de forma "offline"

El WPS (Wi-Fi Protected Setup) de los dispositivos inalámbricos entre los que destacan routers y puntos de acceso, es una característica incorporada en el estándar 802.11N para facilitar la conexión de los clientes inalámbricos a estos equipos, sin necesidad de introducir largas contraseñas de acceso. WPS además permite sincronizar los equipos de forma automática durante 60 segundos con tan sólo presionar un botón en cada dispositivo (router o AP y cliente inalámbrico).
Años después se descubrió una grave vulnerabilidad (Reaver) que permitía crackear el código PIN del WPS, por lo que cualquier atacante ya no necesitaría crackear una contraseña WPA o WPA2 con muchos caracteres, sino que simplemente podría realizar un ataque de fuerza bruta contra el WPS que tiene tan sólo 8 dígitos. Con una longitud de 8 dígitos el número de combinaciones es de 10^8, sin embargo, la arquitectura del PIN de WPS divide el PIN en dos subpines.
El PIN1 tiene cuatro dígitos y por tanto el número de combinaciones es de 10^4. El PIN2 varía dependiendo del fabricante, en el primer caso (y más común) se utiliza el último dígito como checksum, por lo que el número de combinaciones de este PIN2 es de tan sólo 10^3, en el segundo y último caso se usaría este último dígito como PIN también, en este caso el número de combinaciones sería de 10^4. Por tanto, estamos ante una tecnología que con un máximo de 20.000 combinaciones se podría crackear, aunque normalmente son 11.000 combinaciones por usar el último dígito como checksum. Crackear un PIN WPS lleva muy poco tiempo si el router o AP no limitan el número de intentos ni se satura, de hecho más grave es que algunos operadores proporcionen un PIN WPS predeterminado en sus equipos, por lo que las herramientas necesarias podríamos crackear un PIN WPS en máximo 30 segundos.
Ahora Dominique Bongard ha descubierto un método para realizar ataques contra el WPS de los routers sin necesidad de que el router de la víctima esté encendido para realizar un ataque por fuerza bruta, de esta forma basta con capturar el intercambio de paquetes en un primer intento y posteriormente de manera offline crackear la contraseña. Este método será mucho más rápido que de forma "online" debido a que no habrá que probar cientos de PIN contra el router, por lo que ahorraremos mucho tiempo.
El método ha sido explicado de forma detallada por Bongard pero él ha preferido no liberar el código fuente, aunque ha dejado varios elementos que permiten reproducirlo y, en el foro de Kali han hecho parte del trabajo.
Anteriormente se descubrió esta posibilidad en el WPS de equipos Broadcom pero parece ser que se ha descubierto un método para hacerlo en otros chipsets.
Actualmente este método está en estudio, en la siguiente imagen se puede ver cómo se crackea el PIN WPS de un router TP-LINK con chipset RaLink: Se puede encontrar más información y el enlace de descarga en el foro de Kali Linux, también os recomendamos visitar los foros de Crack-WiFi y Wifi-Libre donde se encuentra más información sobre estos métodos. Si quieres saber técnicamente cómo funciona el protocolo WPS, recomendamos visitar esta presentación.

Fuente: Redes Zone


domingo, 15 de marzo de 2015

Navegación segura de Google contra el software no deseado

La más reciente arma de Google está dirigida a sitios web plagados de "software no deseado", un término que Google utiliza para describir a los programas instalados en secreto que pueden cambiar la configuración de un navegador web sin el permiso del usuario.

Esas aplicaciones pueden dar rienda suelta a un asedio de anuncios riesgosos o redirigir a los usuarios de un navegador a motores de búsqueda u otros sitios que no tengan intención de visitar.

Google ya había desplegado el sistema de advertencia para alertar a los usuarios de su navegador Chrome, advirtiendo que estaban a punto de entrar en un lugar distribución de software no deseado. La compañía con sede en The Mountain View, California, recientemente comenzó a alimentar la información de seguridad en una aplicación más amplia "navegación segura", que también trabaja en Safari de Apple y los navegadores de Firefox.

En total, la aplicación de navegación segura protege alrededor de 1,1 millones de usuarios, de acuerdo a una entrada de blog del jueves.

Internet Explorer de Microsoft no aprovechó la aplicación de navegación segura gratuita de Google. En cambio, el Explorer depende de un sistema similar, el filtro SmartScreen.

Las alertas de software no deseado de Google se construyeron por medio del sistema de navegación segura de Google que desde hace años advierte sobre los sitios infectados con malware, los programas que poseen virus y otros códigos maliciosos y los sitios que tratan de engañar a los usuarios para robar contraseñas de intercambio o información de tarjetas de crédito.

Cada vez que una amenaza potencial es detectada por el sistema de navegación segura, se muestra una señal de peligro roja y se asesora al usuario para mantenerse alejado. Google también está degradando los sitios sospechosos en el ranking de su motor de búsqueda en Internet para que sea menos probable llegar a estos sitios.

Google reveló el jueves que la aplicación de navegación segura ha generado unos 5 millones de advertencias por día, el número probablemente aumentará ahora que el software no deseado es parte del sistema de detección. Google mencionó que se descubren más de 50 mil sitios infectados con malware y más de 90 mil sitios de phishing al mes.

La aplicación de navegación segura ha llegado a ser tan eficaz al identificar malware y phishing que los shysters (personas poco éticas) están elaborando cada vez más software no deseado, en un intento de engañar a la gente, dijo Stephan Somogyi, gerente de producto de navegación segura de Google.

Actualización para Adobe Flash Player

 

Adobe ha publicado una actualización para Adobe Flash Player para evitar 11 nuevas vulnerabilidades que afectan al popular reproductor. Los problemas podrían permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 16.0.0.305 (y anteriores) para Windows y Macintosh, Adobe Flash Player 13.0.0.269 (y versiones 13.x anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.442 (y anteriores) para Linux.

La mayoría de las vulnerabilidades que se corrigen en este boletín (APSB15-05) permitirían la ejecución de código arbitrario aprovechando los siguientes fallos de seguridad: 

  • Cuatro vulnerabilidades que podrían causar una corrupción de la memoria, a los que se han asignado los siguientes identificadores: (CVE-2015-0332, CVE-2015-0333, CVE-2015-0335 y CVE-2015-0339).

  • Dos vulnerabilidades de confusión de tipos (CVE-2015-0334 y CVE-2015-0336).

  • Dos vulnerabilidades de uso de memoria después de liberarla (CVE-2015-0341 y CVE-2015-0342).

  • Una vulnerabilidad de desbordamiento de entero (CVE-2015-0338).

Por otra parte una vulnerabilidad que podría permitir eludir la política de dominios cruzados (CVE-2015-0337) y un problema que podría permitir evitar las restricciones de subida de archivos (CVE-2015-0340).

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Flash Player Desktop Runtime 17.0.0.134
  • Flash Player Extended Support Release 13.0.0.277
  • Flash Player para Linux 11.2.202.451

Igualmente se ha publicado la versión 17.0.0.134 de Flash Player para Internet Explorer y Chrome.

Más información:

Security updates available for Adobe Flash Player

https://helpx.adobe.com/security/products/flash-player/apsb15-05.html

miércoles, 11 de marzo de 2015

Actualizaciones y boletines de seguridad para Marzo de 2015.

Se encuentran disponibles desde Microsoft las actualizaciones o boletines de seguridad publicados para Marzo de 2015.

En esta ocasión, 14 actualizaciones de seguridad que solventan varias vulnerabilidades que, entre otras, podrían permitir la ejecución remota de código, elevación de privilegios,  etc. en los sistemas no actualizados.

La actualización se encuentra disponible desde el propio update automático de Windows o bien, mediante su descarga manual y posterior instalación. Como siempre, recomendamos actualizar los sistemas a la mayor brevedad posible.

También y como cada mes, está disponible una nueva actualización del programa de eliminación de software malintencionado. Esta herramienta no es un sustituto del antivirus, busca infecciones causadas por software malintencionado específico que actualmente existe en equipos con Windows instalado y ayuda a eliminarlas.

Como siempre, insistimos en la importancia de mantener el sistema operativo y los programas actualizados, por tanto recomendamos actualizar a la mayor brevedad posible.

# Boletín y descarga de las actualizaciones.

MS15-018
Actualización de seguridad acumulada para Internet Explorer (3032359)
Crítica
Ejecución del código remoto
Requiere reiniciar
Internet Explorer 6, Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 en los clientes Microsoft Windows y servidores Windows afectados.
MS15-019
La vulnerabilidad en el motor de secuencia en VBScript podría permitir la ejecución remota del código (3040297)
Crítica
Ejecución del código remoto
Puede requerir reinicio
Las versiones afectadas del motor de scripting VBScript en Windows Server 2003, Windows Vista y Windows Server 2008.
MS15-020
Las vulnerabilidades en Microsoft Windows podrían permitir la ejecución de código remoto (3041836)
Crítica
Ejecución del código remoto
Puede requerir reinicio
Todas las versiones compatibles de Microsoft Windows.
MS15-021
Las vulnerabilidades en el controlador de fuentes en Adobe podrían permitir la ejecución remota del código (3032323)
Crítica
Ejecución del código remoto
Requiere reiniciar
Todas las versiones compatibles de Microsoft Windows.
MS15-022
Las vulnerabilidades en Microsoft Office podrían permitir la ejecución de código remoto (3038999)
Crítica
Ejecución del código remoto
Puede requerir reinicio
Todas las ediciones compatibles de Microsoft Office 2007, Office 2010, Office 2013 y Office 2013 RT, Microsoft Word Viewer, Microsoft Excel Viewer, el Paquete de compatibilidad de Microsoft Office, Microsoft SharePoint Server 2007, Microsoft SharePoint Server 2010, Microsoft SharePoint Server 2013, Microsoft Office Web Apps 2010 y Microsoft Office Web Apps 2013.
MS15-023
Vulnerabilidades en el controlador en modo kernel podrían permitir la elevación de privilegios (3034344)
Importante
Elevación de privilegios
Requiere reiniciar
Todas las versiones compatibles de Microsoft Windows.
MS15-024
La vulnerabilidad en el procesamiento de PNG podría permitir la divulgación de la información (3035132)
Importante
Divulgación de la información
Puede requerir reinicio
Todas las versiones compatibles de Microsoft Windows.
MS15-025
Vulnerabilidades en Windows Kernel podrían permitir la elevación de privilegios (3038680)
Importante
Elevación de privilegios
Requiere reiniciar
Todas las versiones compatibles de Microsoft Windows.
MS15-026
Las vulnerabilidades en Windows Exchange Server podrían permitir la elevación de privilegios (3040856)
Importante
Elevación de privilegios
No es necesario reiniciar
Todas las ediciones compatibles de Microsoft Exchange Server 2013.
MS15-027
La vulnerabilidad en NETLOGON podría permitir la suplantación de identidad (3002657)
Importante
Falsificación
Requiere reiniciar
Todas las ediciones compatibles de Windows Server 2003, Windows Server 2008, Windows Server 2008 R2, Windows 2012 y Windows 2012 R2.
MS15-028
Una vulnerabilidad en el programador de tareas de Windows podría permitir una desviación de las funciones de seguridad (3030377)
Importante
Desviación de la función de seguridad
Requiere reiniciar
Todas las ediciones compatibles de Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1.
MS15-029
La vulnerabilidad en el componente decodificador de fotos de Windows podría permitir la divulgación de la información (3035126)
Importante
Divulgación de la información
Puede requerir reinicio
Todas las ediciones compatibles de Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1.
MS15-030
Una vulnerabilidad en el Protocolo del escritorio remoto podría permitir la negación de servicio (3039976)
Importante
Negación de servicio
Requiere reiniciar
Todas las ediciones compatibles de Windows 7, Windows 8, Windows Server 2012, Windows 8.1 y Windows 2012 R2.
MS15-031
Una vulnerabilidad en Schannel podría permitir una desviación de las funciones de seguridad (3046049)

lunes, 9 de marzo de 2015

Google publica Chrome 41 y corrige 51 vulnerabilidades

 

Google anuncia una nueva versión de su navegador Google Chrome 41. Se publica la versión 41.0.2272.76 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 51 nuevas vulnerabilidades.

Según el aviso de Google entre las mejoras se incluyen nuevas APIs de extensiones y de aplicaciones así como numerosos cambios en la estabilidad y rendimiento.

La actualización incluye la corrección de 51 nuevas vulnerabilidades. Como es habitual, Google solo proporciona información sobre los problemas solucionados reportados por investigadores externos o las consideradas de particular interés. En esta ocasión, aunque se han solucionado 51 vulnerabilidades, solo se facilita información de 19 de ellas (13 de gravedad alta y las 6 restantes de importancia media).

Las vulnerabilidades descritas están relacionadas con lecturas fuera de límites en media, filtros skia, vpxdecoder y pdfium. También se solucionan vulnerabilidades por uso después de liberar memoria en bindings v8, dom, decodificador gif, bases de datos web y service workers. Una vulnerabilidad de desbordamiento de entero en webgl, un problema de validación en debugger y por inyección de cookies a través de proxies. Por último otras vulnerabilidades están relacionadas con valores sin inicializar (en blink y rendering) y confusión de tipos en v8. Los CVE asignados van del CVE-2015-1212 al CVE-2015-1229.

También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas (CVE-2015-1231). Así como múltiples vulnerabilidades en V8 en la rama de 4.1 (actualmente 4.1.0.21).

Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 52.000 dólares en recompensas a los descubridores de los problemas.

Esta actualización está disponible a través de Chrome Update automáticamente en los equipos así configurados o a través de "Información sobre Google Chrome" (chrome://chrome/).

Más información:

Stable Channel Update

http://googlechromereleases.blogspot.com.es/2015/03/stable-channel-update.html

lunes, 2 de marzo de 2015

Mozilla publica firefox 36 y corrige 18 nuevas vulnerabilidades

 

Mozilla ha anunciado la publicación de la versión 36 de Firefox,
junto con 17 boletines de seguridad destinados a solucionar 18 nuevas
vulnerabilidades en el propio navegador, el gestor de correo Thunderbird
y la suite SeaMonkey.
Apenas un mes después de publicar la versión 35 del navegador, Mozilla
sorprende con una nueva versión del navegador que, entre otras novedades
y mejoras, incluye soporte para el protocolo HTTP/2, así como numerosas
mejoras en el soporte HTML5 que podrán mejorar la reproducción nativa de
vídeos en HTML5.
Por otra parte, se han publicado hasta 17 boletines de seguridad (del
MSFA-2015-15 al MSFA-2015-27). Tres de ellos están considerados
críticos, seis importantes, seis moderados y dos de gravedad baja. En
total se corrigen 18 nuevas vulnerabilidades en los diferentes productos
Mozilla.
Las vulnerabilidades críticas residen en un desbordamiento de búfer en
la librería "libstagefright" durante la reproducción de vídeos en
formato mp4 (CVE-2015-0829). Un uso de memoria después de liberarla en
"IndexedDB" (CVE-2015-0831) y diversos problemas de corrupción de
memoria en el motor del navegador (CVE-2015-0836 y CVE-2015-0835).
Otras vulnerabilidades corregidas son desbordamientos de búfer durante
el remodelado CSS y durante la reproducción de MP3, lectura y escritura
fuera de límites al mostrar contenido SVG, error de doble liberación al
enviar una petición XmlHttpRequest (XHR) de longitud cero. Lectura de
archivos locales mediante la manipulación del autocompletado de
formularios o el uso del actualizador de Mozilla para cargar DLLs.
La nueva versión está disponible a través del sitio oficial de descargas
de Firefox: http://www.mozilla.org/es-ES/firefox/new/

lunes, 23 de febrero de 2015

Biometría: El futuro de la seguridad de Windows 10

 

Debido al incremento en las preocupaciones por el uso de las contraseñas, Microsoft está tomando acciones para usar otros medios en Windows 10. La mayor de éstas: Unirse a la FIDO (Fast Identity Online) Alliance y añadir soporte para la tecnología biométrica en la próxima versión de su sistema operativo, que ha sido programado para entrega este año.

"Pasar desde las contraseñas hacia una forma más fuerte de identidad es uno de los mayores desafíos que enfrentamos en la computación en línea, y creemos que la autenticación de FIDO, que es sujeto de gran discusión aquí en la cumbre de la ciberseguridad en la Casa Blanca, es el camino al éxito", sostuvo Dustin Ingalls de Microsoft, en una entrada de blog a finales de la semana pasada.
Con Windows 10, se podrá acceder a los dispositivos con Windows y los servicios SaaS de Microsoft y sus socios soportados por la autenticación de Azure Active Directory a través de una solución de autenticación de dos factores de nivel empresarial, sin contraseña, sostuvo Ingalls. Windows 10 incluirá integración con Active Directory para escenarios on premise e integración con Microsoft Account para servicios de consumidor como Outlook.com y OneDrive. Ingalls afirmó que Microsoft ha contribuido con la FIDO Alliance con inputs de diseño que serán incorporados en la especificación FIDO 2.0.
"Este nuevo estándar de dispositivos de seguridad y plug ins de navegador permitirá que cualquier sitio web o aplicación de nube tenga una interfaz con una amplia gama de actuales y futuros dispositivos habilitados para FIDO que el usuario tiene para su seguridad en línea", señala el sitio de la FIDO Alliance. Las especificaciones FIDOofrecen una experiencia sin contraseñas, en donde los protocolos de FIDO aprovechan el cifrado de llaves públicas y la resistencia al phishing.
El tema de las contraseñas fue el foco del panel de discusión de la White House Summit on Cyber Security and Consumer Protection de la semana pasada en la Universidad de Stanford, en donde Lorrie Cranor, catedrática de la Universidad Carnegie Mellon, discutió la investigación de la universidad en este campo. La UCM encontró obstáculos con las metodologías de autenticación, y hacer que los usuarios cambien frecuentemente las contraseñas significa que las contraseñas se hacen cada vez más débiles, indicó. Cranor incluso usó un vestido adornado con las 500 contraseñas más comunes, como "tinkerbell (campanilla)".
La UCM también ha estudiado la biometría de los teléfonos inteligentes, como el reconocimiento facial. "Encontramos muchos problemas de usabilidad con el reconocimiento facial, el cual básicamente no funciona en la oscuridad", sostuvo Cranor.