Denegación de servicio en Asterisk 1.6.x y 1.8.x

Nuevas versiones de Asterisk ha sido publicadas para solucionar dos fallos de denegación de servicio.

Asterisk es una implementación de código abierto de una central telefónica (PBX). Como cualquier PBX, permite interconectar teléfonos para hacer llamadas entre sí e incluso conectar a un proveedor de VoIP o a la línea telefónica tradicional. Asterisk incluye características como buzón de voz, conferencias, IVR, distribución automática de llamadas, etc. Funciona en plataformas Linux, BSD, MacOSX, Solaris y Microsoft Windows.

El primer fallo se produce cuando el interfaz de administración está activa. Un error en la función 'send_string' de 'manager.c' permitiría a un atacante remoto causar una denegación de servicio abriendo conexiones, por un consumo excesivo de CPU.

El segundo error solucionado se produce al abrir y cerrar conexiones TCP con ciertas API. No se valida correctamente el valor de un puntero, pudiendo causar una referencia a NULL y por tanto, una denegación de servicio.

Recomendamos actualizar desde http://www.asterisk.org/downloads a las versiones 1.6.1.23, 1.6.2.17.1 o 1.8.3.1 que solucionan estos problemas.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4529/comentar

Más información:

Asterisk Blog:
http://www.asterisk.org/node/51595



Fuente:
Victor Antonio Torre
vtorre@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Comprometen la seguridad de RSA y roban información sobre el producto SecurID.

RSA es una de las compañías de seguridad más importantes a nivel mundial. Han emitido un comunicado oficial en el que admiten que su seguridad interna se ha visto comprometida por atacantes y que han robado información relativa a su famoso producto SecurID. El problema es tan grave que involucra al gobierno de los Estados Unidos.
Arthur W. Coviello, Jr., director ejecutivo de RSA ha emitido un comunicado en el que confiesa que RSA ha sido víctima de un "ataque cibernético extremadamente sofisticado" que, por lo que se deduce, viene de tiempo atrás y ahora ha sido detectado. Esto es lo que se llama un ATP (Advanced Persistent Threat), en resumen, un ataque específicamente diseñado contra la compañía, por el que los atacantes obtienen acceso a información interna confidencial. Habitualmente estos ataques llevan meses de preparación y es necesaria una importante investigación posterior para ver cómo y cuándo comenzó. Sobre todo, hasta dónde han llegado.


Al parecer lo que se sabe es que han tenido acceso a "cierta"

información relacionada con uno de sus productos estrella: SecurID. Se trata de un token físico que proporciona autenticación segura de dos factores (algo que se sabe y algo que se tiene). En vez de necesitar una sola contraseña para acceder a cualquier recurso, con el token es necesario un PIN y un número de seis cifras que genera el propio dispositivo. Ese código sólo es válido durante un tiempo limitado. Es utilizado por grandes compañías concienciadas con la seguridad para, habitualmente, acceso externo a las redes.

Según el comunicado, la información robada podría "reducir la efectividad de la implementación actual de la autenticación de dos factores". ¿Qué quiere decir esto? Realmente toda deducción no serán más que especulaciones, pero es posible que los ladrones hayan tenido acceso a información que permita deducir de qué forma se calculan las contraseñas de un solo uso y, por tanto, permitir a un atacante acceder a recursos ajenos sin necesidad de disponer del token físico. Pero no es posible asegurarlo en estos momentos. Además, el atacante necesitaría también el PIN del atacado, que es algo que, supuestamente, solo debería estar en la memoria del usuario.

Ante la gravedad del asunto, EMC (a la que pertenece RSA) ha rellenado un formulario llamado 8-K. Se trata de un documento gubernamental que se utiliza para informar de un evento importante e inesperado a la "U.S. Securities and Exchange Commission"

Hay que tener en cuenta que, como ha ocurrido en otras ocasiones con el robo de material secreto en empresas, a la larga puede hacerse público.

Hoy en día podemos encontrar en redes P2P y puntos de descarga directa, desde partes del código fuente de Windows y del antivirus de Kaspersky, hasta todos los correos privados del último año del dueño la compañía de seguridad HBGary.

Quizás resulte extraño que una empresa dedicada por entero a la seguridad, y que lleva el nombre de los inventores de la criptografía moderna, haya sido comprometida. Pero es necesario recordar que esto ha pasado en los últimos años con muchas empresas importantes, desde Google a la propia HBGary (a la que destriparon por completo), y que nadie está a salvo de ataques si son lo suficientemente sofisticados.

Los consejos que da RSA a sus clientes son muy genéricos por ahora. Básicamente, mejorar la seguridad y estar más atentos. Pide, especialmente, concentrarse en "social media applications".

Además del golpe a la imagen, suponemos que es posible que RSA deba en un futuro cercano, o bien actualizar o bien reemplazar todos los tokens de sus clientes para garantizar su seguridad, lo que supondrá igualmente un coste económico importante para la compañía.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4528/comentar

Más información:

8K
http://www.sec.gov/Archives/edgar/data/790070/000119312511070159/0001193125-11-070159-index.htm

Open Letter to RSA Customers
http://www.rsa.com/node.aspx?id=3872



Fuente:
Sergio de los Santos
ssantos@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Inyección SQL en Joomla 1.6

Se ha publicado una vulnerabilidad de inyección SQL que afecta a la rama 1.6.0 del popular gestor de contenidos Joomla. El fallo ha sido descubierto por Aung Khant que forma parte de 'YGN Ethical Hacker Group'.
Joomla es un popular gestor de contenidos en código abierto, que cuenta con una gran cantidad de plantillas y componentes que un usuario puedo utilizar para implementar de manera rápida una aplicación web. Estos componentes son programados por todo tipo de desarrolladores. Este hecho, unido a su popularidad, convierten al gestor de contenidos en un objetivo muy popular para que los atacantes.

El fallo fue puesto en conocimiento de Joomla el pasado 24 de enero y tuvo que esperar hasta principios de marzo para que fuera publicada una actualización que solucionase este fallo de seguridad, concretamente la versión 1.6.1. El grupo ha esperado una semana desde la publicación de la actualización para hacer público el fallo, dando este plazo para que los usuarios lleven a cabo la actualización del mismo.

Desde Hispasec recomendamos la actualización del gestor, y aprovechamos para recordar a todos los usuarios de este o cualquier gestor similar, que se mantengan al día de actualizaciones o posibles fallos encontrados en todos los componentes que tengan instalados junto a su gestor de contenidos.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4527/comentar

Más información:

Joomla! 1.6.0 | SQL Injection Vulnerability
http://bl0g.yehg.net/2011/03/joomla-160-sql-injection-vulnerability.html



Fuente:
Fernando Ramírez
framirez@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

0 day en Adobe Flash, Reader y Acrobat.

Adobe informa de que se ha encontrado que una vulnerabilidad que permite la ejecución de código en sus productos Flash, Reader y Acrobat que está siendo aprovechado por atacantes.
El fallo en Flash está ya siendo explotado activamente a través de la difusión por correo de ficheros Excel que contienen un archivo .swf
(Flash) en su interior. Afecta a los sistemas Windows, Macintosh, Linux, Solaris y Android.

El fallo en Reader y Acrobat X y las versiones 10.x y 9.x se encuentra en el componente authplay.dll y solo afecta a las versiones para Windows y Macintosh. Por el momento no se han detectado ficheros PDF que exploten esta vulnerabilidad. Esta librería es una "vieja conocida".
Sufrió un problema de seguridad grave a finales de octubre de 2010, otro en junio de ese mismo año y otro más en julio de 2009.

Puesto que para Reader X se puede prevenir la explotación de este fallo activando "Protected Mode", en esta versión Adobe solucionará el problema el 14 de junio durante el ciclo normal de actualizaciones.

Para el resto de versiones afectadas Adobe está trabajando en una solución que tiene previsto hacer pública en la semana del 21 de marzo.

El CVE asignado a esta vulnerabilidad es el CVE-2011-0609.

Para mitigar el problema en Reader mientras se publica la solución, se recomienda renombrar temporalmente el fichero authplay.dll o impedir el acceso a través de permisos.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4524/comentar

Más información:

Security Advisory:
http://www.adobe.com/support/security/advisories/apsa11-01.html



Fuente:
Victor Antonio Torre
vtorre@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Sophos alerta a los usuarios de Twitter acerca de nuevas aplicaciones maliciosas.

En ellas se difunden enlaces que apuntan a encuestas online fraudulentas.
Sophos, compañía de seguridad TI y protección de datos, advierte a los usuarios de Twitter que sean cautos tras el descubrimiento de nuevas aplicaciones maliciosas en las que se difunden enlaces que apuntan a encuestas online.

A raíz de los ataques de este fin de semana, en los que los que se difundieron mensajes sobre el suicidio de una chica y su grado de adicción a Twitter, están apareciendo nuevos tweetts que pretenden averiguar el número de usuarios que son miembros de la red social. Los mensajes contienen una variación del siguiente texto, que incluye la cantidad de tiempo que algunos usuarios han pasado en Twitter:

"He pasado 379 días, 9.096 horas en Twitter. ¿Cuánto has pasado tú. Descúbrelo aquí: [LINK]"

Los mensajes han sido creados por una aplicación llamada "El contador de tiempo en línea" (Your Online Timer), e incluyen un enlace que, si lo pincha un usuario, le preguntará si quiere autorizar a "Your Online Timer" para que acceda y actualice su cuenta de Twitter.

Si la solicitud es aprobada, los usuarios serán conducidos a una web que teóricamente les dirá el tiempo invertido hasta la fecha en Twitter. En esta web aparece una encuesta, que es con la que los encuestadores ganan dinero cada vez que se complete un cuestionario. Además, y sin el consentimiento explícito del dueño de la cuenta, ésta actualizará el estado de la víctima para así difundir el enlace a otros usuarios de Twitter.

"Las estafas virales como esta son comunes en Facebook, pero ahora también se propagan Twitter. Es posible que la gente que hay detrás de estos ataques vean a los usuarios de Twitter como un blanco fácil con el que generar más ingresos", ha señalado Graham Cluley, Consultor de Tecnología de Sophos. "Las redes sociales tienen la responsabilidad de proteger a sus usuarios de las estafas y el spam, pero en última instancia es el usuario quien debe plantearse cuidadosamente si quiere darle las llaves de su cuenta a una aplicación de desconocidos".

Los usuarios afectados deben revocar de inmediato el permiso de acceso de la aplicación a su cuenta de Twitter. Esto puede hacerse desde la opción "Configuración/Conexiones" y eliminando los derechos de acceso de dicha aplicación.

"Si el acceso de la aplicación a su cuenta no es revocado, los estafadores pueden utilizar su cuenta para difundir mensajes a otros, muchos de ellos con enlaces a sitios web maliciosos, phishing u otras campañas de spam", concluye Cluley. "Lo último que un usuario quiere es que sus seguidores crean que se es descuidado en la seguridad de la cuenta, y que por ese motivo también ellos puedan estar en riesgo".

Para más información, incluyendo imágenes, visite la web de seguridad de Sophos:
http://nakedsecurity.sophos.com/2011/03/14/your-online-timer-survey-scam


Acerca de Sophos

Más de 100 millones de usuarios en 150 países confían en Sophos como la más completa protección frente a ataques y fuga de datos. Sophos mantiene su compromiso de proveer soluciones de seguridad y protección de datos con una gestión simple, despliegue y uso que permite ofrecer el más bajo coste de propiedad de la industria.

Sophos ofrece unas soluciones premiadas de cifrado, seguridad para el puesto de trabajo, correo, web y control de acceso a la red, respaldadas por SophosLabs – su red global de centros inteligentes. Con más de dos décadas de experiencia, Sophos es reconocida como líder en seguridad y protección de datos por las firmas de analistas más influyentes y ha recibido numerosos premios de la industria.

Sophos tiene su sede en Boston, MA y Oxford, Reino Unido. Para más información visite www.sophos.com / www.esp.sophos.com



Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

España: Más de 10.000 virus informáticos documentados en la BBDD del CERT-Inteco.

El Centro de Respuesta a Incidentes de Seguridad de la Información (CERT) del Instituto Nacional de Tecnologías de la Comunicación (Inteco) supera los 10.000 virus informáticos analizados y catalogados en su BBDD.
El Centro de Respuesta Incidentes de Seguridad de la Información (CERT) del Instituto Nacional de Tecnologías de la Comunicación (Inteco) no descansa y ha superado esta semana la cifra de 10.000 virus informáticos analizados y catalogados en su BBDD.

Se trata de un hito que pone de manifiesto la importancia de esta labor de monitorización y análisis iniciada hace más de una década en el Centro de Alerta Temprana Antivirus (CATA), el antecesor del Inteco-CERT, que actualmente localiza y clasifica cada semana una media de 12 códigos maliciosos.

Como agente de apoyo preventivo en materia de seguridad, el trabajo del Inteco-CERT implica el análisis de virus a partir de diferentes fuentes - los fabricantes de productos de seguridad, principalmente - y la posterior recopilación de información sobre aquellos con mayor potencial de impacto en las redes de información nacionales, ciudadanos y pymes.

A partir de esa información, Inteco-CERT crea avisos o alertas específicas, que, además de la descripción de los virus, incorporan instrucciones sobre el modo de eliminarlos. Así y desde su creación, Inteco-CERT ha emitido más de 60 alertas sobre malware y otras amenazas.

La información recopilada sobre los virus identificados se almacena en una BBDD de entidad, accesible a través de su web. Asimismo, el organismo periódicamente envía un boletín de seguridad a los usuarios registrados en este servicio de carácter gratuito.



Fuente:
Computing
www.computing.es

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización de Apple iOS soluciona 59 problemas de seguridad.

Apple ha publicado actualizaciones para iOS, AppleTV y Safari que solucionan numerosos problemas de seguridad. En concreto, para el sistema operativo iOS (usado por sus terminales iPod touch, iPhone e iPad) ha actualizado a la versión 4.3 que soluciona 59 vulnerabilidades.
Los fallos podrían permitir la revelación de información sensible, ejecución de código Javascript e inyección de código HTML, denegaciones de servicio y ejecuciones de código arbitrario por un atacante remoto.

En esta ocasión se ha corregido principalmente el componente WebKit, sobre el que se han solucionado 52 fallos de seguridad. WebKit es el motor de renderizado HTML de código abierto utilizado, entre otros, por el navegador web Safari.

Cabe destacar que esta no es la actualización que parchea el mayor número de problemas de seguridad en iOS. La versión 4.2 corregía un total de 85 y la versión 4.0 solucionaba 70 sobre su predecesora.

Se recomienda actualizar a las versiones iOS 4.3, Safari 5.04 y Apple TV 4.2.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4521/comentar

Más información:

iOS 4.3:
http://support.apple.com/kb/HT4564

Safari 5.04:
http://support.apple.com/kb/HT4566

Apple TV 4.2:
http://support.apple.com/kb/HT4565



Fuente:
Sergio de los Santos
ssantos@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

´¡¡Me han tocado 800.000 € en el GordoLoto!!´ Los falsos premios de la lotería, cada vez más sofisticados,

Llega con un pdf adjunto en el que utilizan los logos de Loterías y Apuestas del Estado, incluyen un seguro con una conocida marca aseguradora, dan un número de teléfono al que llamar e incluyen hasta códigos de barras.
El teléfono de contacto está operativo y el mencionado contacto existe, aunque se cuidan mucho de dar información a llamadas provenientes de grandes ciudades, cortando la comunicación en estos casos.


Lo que sea con tal de conseguir más víctimas. Las notificaciones enviadas por correo electrónico buscando víctimas que se crean que, de la noche a la mañana, se han hecho millonarios, siguen proliferando. El último ofrece un premio de 800.000 €, ni más ni menos, y está tan cuidado en diseño e información, que es lógico pensar que los internautas piquen… ¡Quién va a desperdiciar una oportunidad como ésta!

Pero además, ahora, este tipo de estafas son más sofisticadas que nunca: llegan en un fichero pdf adjunto al correo en el que han incluido los logos “acreditativos” de Loterías y Apuestas del Estado, así como de La Primitiva; llega en inglés, pero todo tiene su explicación: el organismo adjudicatario solicitó la ayuda a España para la introducción de los nombres del sorteo internacional, que tuvo lugar el pasado 18 de febrero de 2011.

Además, el sorteo dice venir avalado por una conocida compañía española de seguros, “SantaLucía Seguros, S.A.”, e incluye el nombre del agente designado para confirmar el premio así como su número de teléfono para contactar. Contactamos con el designado agente. Nos contesta una persona que habla en español pero con un acento extranjero. La primera pregunta: ¿de dónde llama? Al contestar, Madrid, cortó la comunicación. Seguimos llamando desde diferentes teléfonos, y en todos los casos, al dar nombres de ciudades grandes, procedía al corte de la comunicación.

“Al archivo pdf no le falta de nada” –dice Luis Corrons, Director Técnico de PandaLabs-. “Código de barras, marca de agua con un escudo de España, firma escaneada, números de referencia, deadline para reclamar el premio… Es, sin duda, de los más completos que hemos visto en los últimos años”.

Al final, como siempre ocurre en este tipo de estafas, nos acabarán solicitando una cantidad de dinero que suele rondar los 1.000€ como gastos de gestión para poder enviarnos el dinero. Una vez enviemos el pago, no veremos ni rastro del supuesto “premio” que nos ha tocado.


Sobre PandaLabs

Desde 1990, PandaLabs, el laboratorio de investigación de malware de Panda Security, trabaja en la detección y clasificación de malware para la protección de los consumidores y empresas contra las nuevas amenazas informáticas. Para ello cuenta con Inteligencia Colectiva, sistema propietario en la nube que aprovecha el conocimiento de la comunidad de usuarios de Panda para detectar de forma automática, analizar y clasificar las más de 63.000 nuevas muestras de malware que aparecen diariamente. La clasificación automática se complementa con un equipo internacional altamente cualificado de investigadores especializados en cada tipo de malware, como virus, troyanos, gusanos, spyware y otros ataques, para garantizar la máxima protección.



Fuente:
Panda Security
Panda Antivirus
www.pandaantivirus.com.ar

Panda ActiveScan 2.0 TM Antivirus Online Gratis y Actualizado al día con la última tecnología:
www.ActiveScan.com.ar

Panda Cloud Antivirus
www.activescan.com.ar/cloudantivirus

Boletines de seguridad de Microsoft en marzo 2011.

Tal y como adelantamos, este martes Microsoft ha publicado tres boletines de seguridad (del MS11-015 y el MS11-017) correspondientes a su ciclo habitual de actualizaciones.



Según la propia clasificación de Microsoft un boletín presenta un nivel de gravedad "crític", mientras que los dos restantes se clasifican como "importantes". En total se han resuelto cuatro vulnerabilidades.

Los boletines publicados son:

* MS11-015: Actualización "crítica" destinada a resolver una vulnerabilidad en DirectShow y otra en el Reproductor de Windows Media y Windows Media Center. La más grave de ellas podría permitir la ejecución remota de código si un usuario abre un archivo de grabación de vídeo digital de Microsoft (.dvr-ms) especialmente diseñado. Afecta a Windows XP, Vista, Windows 7 y Windows Server 2008.

* MS11-016: Se trata de una actualización "importante" destinada a solucionar una vulnerabilidad en Microsoft Groove 2007. El problema podría permitir la ejecución remota de código si un usuario abre un archivo legítimo relacionado con Groove, que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado.

* MS11-017: Boletín "importante" destinado a corregir una vulnerabilidad en el cliente de Escritorio remoto de Windows. Este problema permitiría la ejecución remota de código si un usuario abre un archivo legítimo de configuración de Escritorio remoto (.rdp), que se encuentre en la misma carpeta de red que un archivo de biblioteca especialmente diseñado.
Afecta a los Clientes de Conexión a Escritorio remoto 5.2, 6.0, 6.1 y 7.0.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4518/comentar

Más información:

Resumen del boletín de seguridad de Microsoft de marzo de 2011
http://www.microsoft.com/spain/technet/security/bulletin/ms11-mar.mspx

Boletín de seguridad de Microsoft MS11-015 - Crítico Vulnerabilidades en Windows Media podrían permitir la ejecución remota de código (2510030) http://www.microsoft.com/spain/technet/security/bulletin/MS11-015.mspx

Boletín de seguridad de Microsoft MS11-016 – Importante Una vulnerabilidad en Microsoft Groove podría permitir la ejecución remota de código (2494047) http://www.microsoft.com/spain/technet/security/bulletin/MS11-016.mspx

Boletín de seguridad de Microsoft MS11-017 – Importante Una vulnerabilidad en el cliente de Escritorio remoto podría permitir la ejecución remota de código (2508062) http://www.microsoft.com/spain/technet/security/bulletin/MS11-017.mspx



Fuente:
Antonio Ropero
antonior@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Actualización de samba para Debian Linux.

Debian ha publicado una actualización de samba que soluciona una vulnerabilidad que podría permitir a un atacante causar una denegación de servicio.


Samba es una implementación del protocolo SMB/CIFS para sistemas Unix para poder compartir archivos e impresoras con sistemas Microsoft Windows o aquellos que también tengan instalado Samba.

La vulnerabilidad se debe a una falta de comprobación en los límites del valor asignado a los descriptores de archivo usados por la macro FD_SET.

Esta falta de comprobación provoca una corrupción de la pila cuando son usados valores fuera de rango.

El fallo ha sido descubierto por Volker Lendecke de SerNet y tiene asignado el CVE-2011-0719. Se recomienda actualizar los paquetes samba.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4510/comentar

Más información:

DSA 2175-1 samba security update
http://lists.debian.org/debian-security-announce/2011/msg00041.html



Fuente:
David García
dgarcia@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com

Elevación de privilegios en Microsoft Malware Protection Engine.

Microsoft ha publicado una advertencia de seguridad para avisar a sus clientes sobre una vulnerabilidad en Microsoft Malware Protection Engine que podría permitir al atacante elevar sus privilegios.


Los productos afectados son Windows Live OneCare, Microsoft Security Essentials, Microsoft Windows Defender, Microsoft Forefront Client Security, Microsoft Forefront Endpoint Protection 2010 y Microsoft Malicious Software Removal Tool.

Microsoft Malware Protection Engine, que se encuentra en la libraría 'mpengine.dll', se encarga de proveer las funcionalidades de escaneo, detección y limpieza para software antivirus y antispyware de Microsoft.

La vulnerabilidad, a la que le ha sido asignado el cve CVE-2011-0037, podría permitir a un atacante local autenticado elevar sus privilegios si Microsoft Malware Protection Engine realiza un escaneo del sistema tras la creación de un registro especialmente manipulado, por parte de un usuario legítimo con la condición de que no sea anónimo. Tras una explotación exitosa de la vulnerabilidad, el atacante podría obtener los mismos permisos de usuario que la cuenta LocalSystem.

No es necesario llevar a cabo ninguna acción por parte de los administradores de los sistemas afectados para instalar la actualización, ya que los propios mecanismos de actualización de dichos los productos se encargan de ello, por lo que Microsoft no publicará ningún boletín de seguridad relacionado con esta vulnerabilidad.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4509/comentar

Más información:

Microsoft Security Advisory (2491888)
Vulnerability in Microsoft Malware Protection Engine Could Allow Elevation of Privilege
http://www.microsoft.com/technet/security/advisory/2491888.mspx



Fuente:
Javier Rascón
jrascon@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Denegación de servicio en Cisco Firewall Services Module.

Cisco ha anunciado una vulnerabilidad en su módulo FWSM (Firewall Services Module) versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x que permitiría la realización de ataques de denegación de servicio.

El FWSM es un módulo de firewall integrado en los switches Catalyst 6500 y routers Cisco 7600.

El problema afecta las versiones 3.1.x, 3.2.x, 4.0.x, y 4.1.x sin parchear de Cisco FWSM Software si se encuentra activada la inspección SCCP (configuración por defecto). Cisco ASA 5500 Series Adaptive Security Appliances también se ve afectado por esta vulnerabilidad.

El problema reside en un error en la inspección de mensajes SCCP (Skinny Client Control Protocol) cuando el inspector de SCCP está habilitado que podría provocar el reinicio del dispositivo. Esto podría ser aprovechado por un atacante remoto para provocar causar una denegación de servicio a través de un paquete SCCP especialmente manipulado.

Cisco ha publicado una versión actualizada del software que corrige este problema y puede descargarse desde:
http://www.cisco.com/cisco/software/navigator.html
En Products > Security > Firewall > Firewall Integrated Switch/Router Services > Cisco Catalyst 6500 Series Firewall Services Module > Firewall Services Module (FWSM) Software.

En cualquier caso se recomienda consultar la tablas de versiones vulnerables, actualizaciones y contramedidas, en los avisos publicados por Cisco.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4507/comentar

Más información:

Cisco Firewall Services Module Skinny Client Control Protocol Inspection Denial of Service Vulnerability
http://www.cisco.com/warp/public/707/cisco-sa-20110223-fwsm.shtml

Multiple Vulnerabilities in Cisco ASA 5500 Series Adaptive Security Appliances
http://www.cisco.com/warp/public/707/cisco-sa-20110223-asa.shtml



Fuente:
Antonio Ropero
antonior@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Ejecución de código arbitrario en ClamAV.

Se ha anunciado una vulnerabilidad en el antivirus ClamAV para las versiones anteriores a la 0.97, que podría permitir a un atacante remoto ejecutar código arbitrario en el sistema afectado.

ClamAV es un antivirus multiplataforma de código abierto. Entre sus objetivos, además de ser un motor para identificar malware en equipos en los que se instale, también está destinado a trabajar en servidores de correo electrónico para combatir la propagación virus, troyanos y otras amenazas a través del servicio de mensajería electrónica.

La vulnerabilidad, a la que le ha sido asignado el cve CVE-2011-1003, aparece en sistemas GNU/Linux. Está localizada en la función 'vba_read_project_strings' del fichero 'libclamav/vba_extract.c', donde después de liberarse un puntero éste no pasaba a apuntar a NULL. Por ello se podría incurrir en un fallo de doble liberación de memoria, que podría permitir a un atacante remoto causar una denegación de servicio y, potencialmente, ejecutar de código arbitrario a través de vectores que no han sido especificados.

La última versión del antivirus (actualmente la 0.97), que contiene el parche que soluciona dicho fallo, se encuentra en la página oficial de ClamAV.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4506/comentar

Más información:

Bug 2486 - crash in VBA code
https://wwws.clamav.net/bugzilla/show_bug.cgi?id=2486



Fuente:
Javier Rascón
jrascon@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Legitimidad, Privacidad y Seguridad: principales riesgos de los Social Media para las empresas.

El boom de la Web 2.0 y la efectividad de las estrategias corporativas a través de redes sociales está provocando que aumenten los riesgos para las marcas.

“Los planes de seguridad de las empresas, sean grandes o pequeñas, deben contener planes de contingencia y de actuación en caso de crisis públicas causadas por cualquiera de estas plataformas, que podrían redundar en una pérdida de la reputación corporativa y de beneficios económicos” (Luis Corrons, Director Técnico de PandaLabs) .


Las empresas están cambiando su forma de relacionarse con sus clientes y público potencial. Los sistemas tradicionales están evolucionando a entornos colaborativos donde se establece un diálogo con la comunidad. Según el 1er Indice Anual de Riesgo en Redes sociales de PYMEs, publicado por Panda Security, The Cloud Security Company, el 78% de las empresas encuestadas utilizan las redes sociales como herramientas para apoyar la investigación y la inteligencia competitiva, mejorar su servicio de soporte al cliente, implementar las relaciones públicas y las iniciativas de marketing y generar beneficios directos.

Sin embargo, en toda estrategia de Social Media, y en toda política de seguridad de la compañía, es habitual olvidar contemplar un plan específico de gestión de crisis que puede venir generado por cualquiera de los tres grandes riesgos a los que se enfrentan cada día en las Redes Sociales, y que se enmarcan dentro de los conceptos de Legitimidad, Seguridad y Privacidad.

Y es que los riesgos ya se pueden cuantificar. En el estudio, Facebook es mencionado como el principal culpable para las compañías que han experimentado infecciones de malware (71,6%) y violaciones de privacidad (73,2%). YouTube ocupa el segundo lugar en cuanto a infecciones (41,2%), mientras que Twitter contribuyó a una cantidad significativa de violaciones de privacidad (51%). Para las compañías que han reportado pérdidas económicas debido a violaciones de privacidad por parte de los empleados, Facebook fue una vez más el sitio más mencionado como la red social en el que se originaron las pérdidas (62%), seguido de Twitter (38%), YouTube (24%) y LinkedIn (11%).

Legitimidad

La protección de la marca o identidad digital debería ser una auténtica prioridad, pero la realidad es que no lo es ni para las principales plataformas de social media ni para las compañías. El hecho de que cualquiera pueda dar de alta un perfil utilizando denominaciones comerciales reales implica que pudiera estar hablando en nombre de una compañía sin serlo; que se creen comunidades de usuarios que “engañados” asuman que la cuenta realmente es la legítima; que a través de dichos perfiles se emitan informaciones que pudieran ir en contra de la marca y desencadenar, por lo tanto, una crisis que pudiera impactar directamente al negocio.

Sólo algunas redes, como Twitter, permiten legitimar la cuenta haciéndola oficial, pero en muchas otras, no existe dicho mecanismo. Por lo tanto, es recomendable el registro proactivo de todos los perfiles relativos a una marca en las principales redes sociales, dejando bien claro que es el canal oficial si no hubiera otros mecanismos de certificación para tal fin.

Seguridad

Los mismos problemas que afectan a los usuarios de redes sociales también aplican a los perfiles corporativos, salvo que el efecto negativo puede ser mayor. Los principales problemas de seguridad son, entre otros:

- Robo de la identidad.
Los usuarios administradores podrían estar infectados y poner en riesgo los login y contraseñas de acceso a sus perfiles. De esta manera, cualquiera podría tomar control de la cuenta para llevar a cabo cualquier tipo de acción, incluyendo el programar eventos (en Facebook, por ejemplo) con links que descargaran malware malicioso, por ejemplo. Igualmente, tomando el control de la cuenta, un usuario malicioso podría emitir información desde el perfil oficial de la marca, redundando en un efecto negativo.

- Riesgos de infección.
A través de cualquiera de las aplicaciones de mensajería o utilizando el timeline de las populares plataformas de microblogging, podría recibirse información con un link oculto que realmente redirigiera a la descarga de cualquier tipo de amenaza informática. En el caso de grandes compañías, incluso pudiera tratarse de un ataque dirigido: diseñado específicamente para llegar a infectar las computadoras de los usuarios con la finalizada de introducirse en la red y tener acceso a todo tipo de información. Igualmente, alguno de los seguidores podría publicar links maliciosos en el muro de los perfiles corporativos, contribuyendo de esta manera, si no se elimina, a la distribución de amenazas informáticas. En cualquiera de los casos, estas acciones podrían comprometer la integridad de la marca.

- Vulnerabilidades de la propia plataforma.
En 2010 vimos cómo algunos agujeros de seguridad de redes tan populares como Facebook o Twitter eran rápidamente explotados, poniendo en riesgo a millones de usuarios. A medida que estos sitios ganen más adeptos, habrá más investigadores en busca de sus puntos débiles, y algunos serán, sin duda, hackers.


El mantener una adecuada política de gestión de contraseñas, cambiándolas de forma regular y haciéndolas siempre lo más fuertes posibles (combinando caracteres alfanuméricos) puede ayudarnos a proteger la integridad de nuestra compañía. Igualmente, una buena educación y concienciación en seguridad, así como mantenerse al día siguiendo las noticias que se publican sobre las principales amenazas, ayudará a todos los profesionales que administran los perfiles corporativos a estar alerta y a saber detectar cualquier tipo de irregularidad que llevara asociado un riesgo.


Privacidad

Detrás de los perfiles corporativos hay personas administrándolos. Al igual que sucede con nuestros perfiles personales, donde publicamos muchas veces demasiada información a nuestro grupo de amigos o followers, también nos puede suceder en los empresariales.

Dicha información podría ser utilizada por cualquier usuario malintencionado contra nuestra empresa, ya sea online u off-line. Por ejemplo, postear información sobre temas relativos a las finanzas, o las costumbres de la propia empresa, o a rutinas, etc. El rango de riesgos puede ser muy amplio.

Además, hay que tener en cuenta que además de los propios responsables de la estrategia online, el 77% de los empleados de las pymes se conectan a las redes durante su horario de trabajo. Y podrían compartir información confidencial de la compañía en estos entornos.

Por lo tanto, no sólo hay que tener en cuenta dónde están los límites acerca de la información que compartimos, sino aplicar el sentido común, que “muchas veces es el menos común de los sentidos”, según Luis Corrons, Director Técnico de PandaLabs. El contar con un adecuado plan de formación y de normas de actuación para todas las personas que interactúan con las redes sociales ayudará a la labor de gestionar la información que sale de la compañía.

“Hasta ahora, la inmensa mayoría de los usuarios de redes sociales son personas que lo utilizan de forma individual –añade Corrons-, pero estamos viendo un boom de despliegue de estrategias de Social Media de las compañías en la Web 2.0, ya que supone un medio efectivo y asequible de llevar a cabo tácticas de marketing, comunicación, atención al cliente, etc. Así como se benefician de las redes sociales, también están expuestas a numerosos riesgos, que además, de producirse, se haría de forma pública y de cara a toda la comunidad.

Los planes de seguridad de las empresas, sean grandes o pequeñas, deben contener planes de contingencia y de actuación en caso de crisis públicas causadas por cualquiera de estas plataformas, que podrían redundar en una pérdida de la reputación corporativa y de beneficios económicos. Ya que, entre otros riesgos, este boom va a provocar, sin duda, que los cibercriminales se fijen en estas empresas y comiencen a diseñar ataques específicos contra éstas, dado que los beneficios que pueden conseguir infectando a una sola de ellas pudieran ser superiores a lo que sacarían con un usuario particular”.


Sobre Panda Security

Fundada en 1990, Panda Security es la empresa líder a nivel mundial en soluciones de seguridad basadas en la nube. La compañía cuenta con productos traducidos a más de 23 idiomas y millones de clientes en 195 países. Panda Security fue la primera empresa de seguridad informática en aprovechar el potencial del ‘Cloud Computing’ con su tecnología de Inteligencia Colectiva. Este innovador modelo de seguridad puede analizar y clasificar de forma automática miles de nuevas muestras de malware al día, proporcionando a los clientes corporativos y a los usuarios domésticos la protección más eficaz contra las amenazas de Internet con mínimo impacto sobre el rendimiento de la PC. Panda Security cuenta con 61 oficinas repartidas por todo el mundo y oficinas centrales en Estados Unidos (Florida) y Europa (España).

CeBIT contra el cibercrimen.

La feria promueve una iniciativa que aboga por una Internet segura con el apoyo y la par-ticipación de G Data y la policía alemana (BdK).
“Cada dos segundos se produce en Alemania algún tipo de ataque online. Y las fronteras entre crimen, espionaje y terrorismo son cada vez más difusas”, ha afirmado recientemente el ministro de interior alemán Thomas de Maizière. La Asociación Federal de Información, Telecomunicaciones y Nuevas Tecnologías (BITKOM) también ha dado la voz de alarma con unos datos preocupantes: 22 millones de víctimas de virus informáticos, seis millones de personas estafadas cuando compraban online y pérdidas por valor de 15 millones de euros en banca online durante 2010 son los resultados arrojados por un estudio llevado a cabo en colaboración con la Oficina Federal de Investigación Criminal (Bundeskriminalamt - BKA).

“Estos datos, que se repiten en mayor o menor grado en todos los países, ponen de manifies-to que tenemos que seguir trabajando no sólo por conseguir una Internet más segura sino también por mejorar nuestros hábitos de uso de Internet”, afirma Jorge de Miguel, responsable de G Data en España. Precisamente para formar, concienciar y movilizar contra el incremento de las amenazas online, CeBIT, en colaboración con G Data, líder en el desarrollo de soluciones antivirus y seguridad online, y la policía alemana (Bund deutscher Kriminalbe-amter - BdK), ha puesto en marcha la iniciativa “CeBIT contra el cibercrimen” como marco a una serie de actividades y debates organizados sobre el asunto.

Además, se ha creado una plataforma online para que participen en este nuevo proyecto re-presentantes de diferentes áreas (políticos, el propio sector y la investigación) vayan señalando a lo largo del año los riesgos online así como los diferentes pasos para defenderse de los diferentes ataques. www.cebit.de/en/about-the-trade-show/programme/cebit-pro/it-security

La iniciativa “CeBIT contra el cibercrimen” ofrecerá a los visitantes de la feria la posibilidad de asistir a debates en vivo en los que expertos policiales, de la industria, abogados o políticos abordarán el tema desde sus diferentes perspectivas. La serie se inaugura el 1 de marzo (Pabellón 19 de 13:30 a 15:30H) con una demostración de cómo los criminales actúan en la Red. Y a continuación, se celebrarán una mesa redonda bajo el rótulo de “cibercrimen: riesgos y amenazas. Cómo protegerte” en la que participarán los siguientes expertos:

- Klaus Jansen, Jefe de la policía federal alemana BdK: " Todo lo que está fuera de la ley en el mundo real debe ser punible también en el mundo online."

- Ralf Benzmüller, responsable de G Data Security Labs: "El cibercrimen es un gran negocio que funciona gracias a estructuras complejas y perfectamente organizadas. La avalancha diaria de nuevo malware es solo uno de los síntomas"

- Christoph Fischer, experto en informática forense: "Los estafadores de internet son unos virtuosos a la hora de violar complejas medidas de seguridad”.

- Axel E. Fischer, parlamentario alemán y president de la comisión “Internet y Nego-cios Digitales”: "Es necesario prohibir la ocultación de identidad en Internet en la que se amparan los criminales".


G Data Software AG

Con sede en Bochum (Alemania), G Data Software AG es una innovadora multinacional alemana con una dilatada experiencia en el desarrollo de soluciones de seguridad. Especialista en seguridad online y pionera en protección antivirus, G Data desarrolló su primer programa antivirus hace más de 25 años. Es pues uno de los fabricantes de software de seguridad más veteranos de todo el mundo. Fruto del I+D+i que la compañía despliega en el desarrollo de sus soluciones, en los últimos cinco años G Data ha recibido los más prestigiosos premios internacionales como proveedor de seguridad. Sus soluciones de seguridad están disponibles en más de 60 países. Más información sobre la compañía y sus productos en www.gdata.es



Imagen:
Logos/Imágenes MR Respectivas Compañías mencionadas en la noticia.
Portal de Seguridad Informática, Tecnología e Internet
Descargas Antivirus/Antimalware
www.antivirusgratis.com.ar

Actualización de Metasploit Framework.

Se han publicado dos vulnerabilidades para Metasploit Framework en su versión 3.5.1 que pueden ser explotadas por atacantes locales para elevar sus privilegios.

Metasploit es un proyecto de código abierto destinado a la obtención de información de utilidad para pentesters, investigadores de seguridad y desarrolladores de firmas para Sistemas de Detección de Intrusiones. Su subproyecto más conocido y del cual tratamos en esta entrada es el Metasploit Framework, una herramienta para desarrollar y ejecutar exploits contra una máquina remota.

Los errores, descubiertos por Eduardo Prado, se encuentran en el instalador de la aplicación para Windows con instalaciones multi-usuario y cuentas con privilegios bajos. Dicho instalador utiliza permisos heredados inseguros del directorio de instalación de Metasploit, lo que permitiría a un usuario local elevar sus privilegios reemplazando archivos críticos por troyanos.

Los fallos han sido corregidos en la versión 3.5.2, la cual arregla además 50 fallos y contiene 39 módulos nuevos. Los CVE asignados a estas dos vulnerabilidades son el CVE-2011-1056 y el CVE-2011-1057.


Quienes se encuentren interesados en obtener la última versión de este producto (actualmente 3.5.2) pueden dirigirse a:
http://www.metasploit.com/framework/download/


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4504/comentar

Más información:

Metasploit Framework 3.5.2 Released!
http://blog.metasploit.com/2011/02/metasploit-framework-352-released.html



Fuente:
Javier Rascón
jrascon@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Publicado el Service Pack 1 para Windows 7.

Microsoft ha publicado el Windows 7 SP1 (Service Pack 1), que ya se encuentra disponible para descarga directa o desde Windows Update.



Como es habitual en los Service Pack de Microsoft se incluyen todas las actualizaciones publicadas hasta la fecha y que ya habían sido publicadas a través de Windows Update.

Por otra parte, además incluye soporte cliente para RemoteFX y Dynamic Memory, que son nuevas características de virtualización incluidas en Windwos Server 2008 R2 SP1.

Según informa Microsoft, SP1 también aporta nuevas mejoras a Windows 7, como una mejor confiabilidad al conectar dispositivos de audio HDMI, imprimir mediante el visor de XPS y restaurar carpetas anteriores en el Explorador de Windows después de reiniciar.

Para los usuarios que solo requieren actualizar un ordenador, Microsoft recomienda realizarlo a través de Windows Update, en vez de descargar el instalador.


Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/4503/comentar


Más información:

Pasos a seguir antes de instalar el Service Pack 1 de Windows 7 desde el centro de descarga de Microsoft
http://support.microsoft.com/kb/2505743

Cómo instalar Windows 7 Service Pack 1 (SP1)
http://windows.microsoft.com/installwindows7sp1

Contenido del Service Pack 1 (SP1) de Windows 7
http://windows.microsoft.com/es-ES/windows7/whats-included-in-windows-7-service-pack-1-sp1



Fuente:
Antonio Ropero
antonior@hispasec.com
Laboratorio Hispasec
www.hispasec.com

Imagen:
Fotos Digitales Gratis
www.fotosdigitalesgratis.com