miércoles, 15 de febrero de 2012

Microsoft publica 9 boletines de seguridad

Este Martes se publicaron 9 boletines de seguridad por parte de Microsoft, concretamente los que van desde el MS12-008 al MS12-016, de los cuales han sido calificados como de gravedad "crítica" y el resto como "importantes", solucionando 21 vulnerabilidades.

MS12-008: Boletín "crítico" corrige dos vulnerabilidades en los controladores en modo kernel de Windows que puede permitir la ejecución remota de código. Afecta a Windows XP, 2003 Server, Vista, 2008 Server y Windows 7.

MS12-009: Presenta un nivel de gravedad "importante" y la vulnerabilidad que resuelve afecta a Windows XP, Windows 7 y Windows Server 2003 y 2008.

MS12-010: Actualización acumulativa de IE que soluciona cuatro vulnerabilidades que pueden permitir la ejecución de código arbitrario de forma remota, afectando a IE 6,7,8 y 9.

MS12-011: Soluciona tres vulnerabilidades en Microsoft Sharepoint y Microsoft Sharepoint Foundation Este boletín ha sido valorado como "importante". 

MS12-012: Boletín "importante" que resuelve una vulnerabilidad en el panel de control. Afecta a Windows Server 2008.

MS12-013: Boletín "crítico". Corrige también una vulnerabilidad de ejecución de código remota si un usuario abre un archivo multimedia específicamente creado. Afecta a Vista, 7 y 2008.

MS12-014: Corrige una vulnerabilidad en el códec Indeo. Presenta un nivel de gravedad "importante" y afecta a todos los sistemas Windows.

MS12-015: Boletín "importante" que resuelve cinco vulnerabilidades en Microsoft Office.

MS12-016: Valorado como "crítico", este boletín soluciona dos vulnerabilidades en Microsoft .NET  Framework y Microsoft Silverlight.

Podéis consultar más acerca de estos boletines en TechNet.  





Usan la imágen de la Agencia Tributaria para una campaña de phising


El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha alertado sobre una serie de correos electrónicos que se están enviando falseando la imágen de la Agencia Tributaria, incluidos colores, logotipo, etc...

En el correo, se le pide a los usuarios una serie de datos para realizarle una falsa devolución de impuestos.

Entre los datos que piden está el número de cuenta (obviamente para poder hacer el ingreso de la devolución) que además pueden usar para sustraer dinero al usuario sin consentimiento de este.

Por tanto, ¡¡mucho cuidado!!. Si os llega un correo con el logotipo de la Agencia Tributaria y del Gobierno de España, pidiendo vuestros datos para una supuesta devolución de impuestos, ni caso.

martes, 14 de febrero de 2012

Google Wallet: un riesgo para la seguridad

Si ayer hablaba de otro problema (uno más) con Android, hoy sale a la luz desde Security Magazine que investigadores de seguridad han encontrado un problema de seguridad en la plataforma de pago móvil Google Wallet, la cual está disponible para teléfonos vendidos por Sprint Nextel Corp.

Los servicios de pago móviles que permiten a los usuarios pagar mediante el empleo de un teléfono y un terminal en lugar de usar tarjetas de crédito, ha sido aplicado desde hace tiempo en Japón y otros países, pero está empezando a aplicarse en los Estados Unidos.

La vulnerabilidad fue identificada por Joshua Rubin, un ingeniero senior de una firma de seguridad de Greenwood Village, Colorado, quien ha desarrollado una aplicación que permite crackear los 4 dígitos del PIN que se necesita para lanzar Google Wallet, tal y como se puede apreciar en este vídeo: bit.ly/zgO2L6.

Google ha dicho que están trabajando en una solución y que recomiendan que mientras tanto, no se use Google Wallet en dispositivos "rooted". 



lunes, 13 de febrero de 2012

Detectan más malware para Android


Desde CSO Spain, me llega la noticia de que se ha vuelto a detectar un nuevo malware para Android (y ya van...).

El malware, llamado Android.Bmaster ha sido localizado en una tienda de aplicaciones china, y parece ser que ha atacado a miles de usuarios. 

Todo esto, a pesar de que Google creó Bouncer un mecanismo de control para Android Market, el cual ha logrado que la descarga de malware desde la tienda de aplicaciones oficial de Google descienda un 40%. Pero... estamos hablando de una tienda de aplicaciones para Android China, por lo que no está bajo la supervisión de Google y por lo tanto no está tampoco bajo la supervisión de Bouncer.

Parecer ser que existe una aplicación que permite configurar distintos aspectos de los teléfonos que está infectando a cientos de miles de dispositivos, creando una botnet con los mismos, pudiendo controlarlos y enviar mensajes y llamadas a servicios de tarificación especial. 

Esto puede suponer, según Infosecurity, entre 10.000 y 30.000 dispositivos infectados al día, de forma que al año pueden recaudar varios millones de dólares con esta pŕactica.

Además, a pesar de que ha salido a la luz ahora, el malware está actuando desde Septiembre, lo que les ha podido suponer muchos miles de dólares.

Quizás sería el momento de que Google  tomara ejemplo de Apple y centralizar todas sus aplicaciones en un único sitio (la tienda oficial) y así intentar acotar este tipo de problemas que ya le está suponiendo muchísimos problemas y quebraderos de cabeza.


KPN cierra ¡¡2 millones de cuentas de correo!!

Leo en CIO, que la empresa holandesa KPN ha vuelto a sufrir un ciberataque de gravedad,por lo que ha tenido que cerrar nada menos que ¡¡2 millones de cuentas de correo electrónico!!, al descubrir que se han publicado datos de, por el momento, 539 usuarios holandeses en internet, por lo que han tomado esa medida como precaución, pues no se descarta que los atacantes hayan podido acceder a datos de otros usuarios. 

Ya es la segunda vez que KPN sufre un ataque de este tipo en poco tiempo, ya que al parecer, sufrió el primero de ellos en Enero de este año, por lo que desde la compañía no se descarta que ambos pudieran estar relacionados. 


miércoles, 8 de febrero de 2012

Vulnerabilidad muy grave en BIND 9.x


BIND 9.x es el servidor DNS más usado en Internet. Con eso está dicho todo y es la principal razón por la que la vulnerabilidad descubierta por Haixin Duan (un profesor de la Universidad de Tsinghua en Beijing China) es especialmente crítica.

De hecho, el propio ISC (Internet Systems Consortium) encargado de mantener BIND ha calificado la vulnerabilidad como de gravedad Alta. 

¿En qué consiste el problema?.

Básicamente el problema reside en la política de actualización de la caché en todas las versiones de BIND 9 que evita la revocación definitiva de un nombre de dominio. Esto permite que un dominio siga resolviendo, incluso después de haber sido eliminado de los registros de servidores superiores de los que hereda el DNS y después de haber expirado su TTL.

¿Por qué es un problema?

Supongamos que tenemos un dominio usado por un software malicioso en exclusiva para descargar un componente, almacenar datos sustraídos de forma fraudulenta, etc.... 
Tras salir a la luz el uso de dicho dominio y ponerlo en conocimiento del registrante, este lo elimina, pero mientras tanto, la resolución de dicho dominio se ha propagado por otros servidores DNS de internet en todo el mundo. 
Este fallo, lo que permite es, que aunque el dominio haya sido eliminado, seguiría estando accesible y por tanto podría seguir siendo usado por el software malicioso.

Actualmente, está siendo investigando por ISC y de momento no tiene solución. Esperemos que se encuentre pronto. 

lunes, 6 de febrero de 2012

¡¡¡¡¡¡¡Verisign Hackeada!!!!!!!!


La agencia Reuters informa que Verisign, la empresa emisora de certificados que asegura más de la mitad de las webs del mundo, fue hackeada repetidamente en el año 2.010, precisamente el año en el que Verisign vendió sus servicios SSL y los servicios MPKI a Symantec.

De hecho, los ataques ocurrieron en la sede que la compañía tiene en Reston, Virginia, la cual es ni más ni menos que la última responsable de la integridad de las direcciones web acabadas en .com, .net y .gov. ¡Casi nada!.

Lo peor de todo, no es que fuera atacada, sino que lo fue en más de una ocasión y ni siquiera a estas alturas se conoce hasta donde pudieron llegar los hackers o qué tipo de información o de códigos pudieron ser comprometidos. 

Si a eso le añadimos que los responsables de la seguridad IT de VeriSign no informaron de estos ataques hasta  Septiembre de 2.011 la cosa es realmente seria, ya que no sabemos si los certificados emitidos por esta empresa durante ese año han podido ser comprometidos. 

Poco después de ser informada la dirección de la compañía, esta puso en conocimiento de la Security Exchange Comission (SEC), el organismo norteamericano que está siendo quien dirige la investigación.

Si realmente la gravedad del asunto es la que se presupone, todas aquellas páginas web personales o empresariales (principalmente estas últimas) que emplean sus certificados SSL podrían ver comprometidos sus datos. Empresas como KPN, Diginotar...

Los ejecutivos de Verisign afirman que "no creen que los ataques hayan afectado a los servidores que soportan su red DNS", quienes procesan alrededor de unos 50.000 millones de consultas diarias.

También han afirmado que "no hay nada que indique que los sistemas afectados en 2.010 esté relacionada con los sistemas de producción SSL".

Sin embargo, ¿qué pasaría si realmente sí se hubiesen visto afectados sus sistemas de producción SSL o estuviera comprometido el sistema de seguridad RSA Escurrid?. Pues, que por ejemplo, se podría emitir un certificado en nombre del Bank of America o de Google válido y que sería aceptado por bueno por cualquier navegador del mundo.

Una muy, pero muy mala noticia para el campo de la seguridad informática. 

viernes, 3 de febrero de 2012

Ciertos móviles HTC envían la clave WiFi en texto claro

Una nueva vulnerabilidad crítica (CVE-2011-4872)en algunos terminales de HTC con Android permitiría la revelación de información sensible y credenciales de las redes WiFis (802.1X) que se almacenan en el móvil, tal y como informan desde hispasec.
La vulnerabilidad afectaría a nueve terminales:

- Desire HD (Versiones FRG83D, GRI40)
- Desire S (Versión GRI40)
- Sensation Z710e (Versión GRI40)
- Glacier (Versión FRG83)
- EVO 3D (Versión GRI40)
- Droid Incredible (Versión FRF91)
- Thunderbolt 4G (Versión FRG83D)
- Sensation 4G (Versión GRI40)
- Evo 4G (Versión GRI40)

El problema, daría lugar a que se pudiera acceder a todas las configuraciones almacenadas y las contraseñas en texto claro a través de las aplicaciones especialmente manipuladas para transmitir estos datos de forma remota. 

HTC y Google, afirman que actualmente no hay aplicaciones que estén aprovechando esta vulnerabilidad y que están trabajando conjuntamente para resolver un problema del que fueron notificados de forma privada en Septiembre de 2.011. 

Esperemos que tras cuatro meses sin dar con una solución a esta vulnerabilidad, encuentren la solución pronto, ahora que la vulnerabilidad ha sido dada a conocer y no volvamos a tener más noticias de que se retiran nuevas aplicaciones del Android Market porque HTC y Google han tardado tanto tiempo en resolver esta vulnerabilidad.