SISTEMAS EN RIESGO POR PASSWORDS DEBILES. Se han reportado incidentes con sistemas Windows NT, 2000, 2003 y XP en México, debido a la existencia de contraseñas débiles o nulas y a la falta de actualizaciones de seguridad. Se utilizan mecanismos de fuerza bruta o herramientas que realizan ataques de diccionario y comprometer las redes que tienen contraseñas débiles o nulas. Una vez comprometido el sistema, éste puede ser controlado de forma remota y ejecutar instrucciones de la elección del atacante, que por lo común son dirigidas para atacar otras redes mediante agentes de negación de servicio, gusanos u otro código malicioso. Otra forma reportada que están utilizando los atacantes para accesar a los sistemas, es aprovechando las vulnerabilidades existentes debido a que no han sido actualizados. Una vez obtenido el acceso a los sistemas, el atacante instala un IRC (Internet Relay Chat) y un FTP, que es utilizado para poder colocar y descargar música, videos y películas.
RECOMENDACIONES: Monitorear la existencia de puertos abiertos en el sistema y cerrar los que no son necesarios o no se usan. Monitorear la existencia de puertos sospechosos que realicen conexiones vía telnet para buscar posibles IRCs, FTPs o puertas traseras. Monitorear la existencia de procesos sospechosos. Aplicar políticas de contraseñas fuertes (longitud mínima de 8 caracteres combinados entre números, letras y caracteres especiales; deshabilitar cuentas de usuario con 3 intentos fallidos de acceso como mínimo), Utilizar software antivirus y mantenerlo actualizado. Utilizar software anti-spyware y mantenerlo actualizado. Desactivar los servicios que no sean necesarios y monitorear los que sean necesarios. Realizar auditorías de seguridad. Aplicar las actualizaciones de seguridad más recientes al software en uso.  Implementar el uso de un firewall de red y/o personal en cada computadora, aún más en las portátiles. «Inicio de Página»

TROYANO SUELTO ANDA EXPLOTANDO VULNERABILIDAD CRITICA DE INTERNET EXPLORER. Se ha reportado que un troyano ruso anda explotando una vulnerabilidad crítica de Internet Explorer aún no corregida por Microsoft. El troyano ha comprometido servidores web que tienen instalado Windows 2000 Server e Internet Information Server 5.0, y que no han sido actualizados con el parche de seguridad publicado en el Boletín MS04-011 de Microsoft. Al visitar las páginas web alojadas en estos servidores, utilizando Internet Explorer, las computadoras de los usuarios son infectadas con el troyano. Al aprovechar esta falta de actualización, los atacantes modifican la configuración del servidor web para incluir en todas las páginas web un código Javascript malicioso, que redirecciona la visita del usuario a otra página para aprovechar la vulnerabilidad de IE aún no corregida por Microsoft y descargar e instalar de forma automática el troyano en la computadora del usuario, sin que éste lo perciba. El troyano tiene capacidad para robar información confidencial del usuario, como nombres de usuario y contraseñas de acceso a diversos servicios. El mayor riesgo es que simula formularios legítimos de servicios bancarios para solicitar y robar números de tarjetas de crédito y PINs.
 RECOMENDACIONES: Instalar el parche de seguridad MS04-011 de Microsoft. Verificar si IIS está comprometido, para lo cual vea si la opción "Habilitar pie de página del documento" (herramienta Servicios de Internet Information Server, Propiedades del Sitio Web predeterminado, Documentos) está activada y apunta a una DLL. Si está activada, entonces IIS está comprometido. Si usa Internet Explorer, la recomendación es modificar la configuración para prevenir la vulnerabilidad mientras se publica el parche.
UPDATE: 13-JUL-2004: MICROSOFT LIBERA HERRAMIENTA PARA BORRAR EL TROYANO. Se han reportado incidentes de programas troyanos dirigidos hacia clientes de bancos de Australia, Reino Unido y EEUU. Se ha detectado que en la mayor parte de los incidentes, el troyano utiliza variantes de Berbew (también conocido como Backdoor-AXJ, Webber o Padodor) para poder capturar información personal detallada. Microsoft liberó una herramienta de software para detectar y borrar las infecciones del troyano. El troyano es descargado por el programa malicioso identificado como Download.Ject, tambén conocido como Scob, a computadoras cliente desde servidores IIS infectados. Cuando un usuario visita un sitio web hospedado en un servidor IIS que ha sido infectado con Download.Ject, las páginas web descargadas a la computadora del usuario contienen un programa adicional en JavaScript que descarga otro programa troyano en la computadora del usuario, identificado como Backdoor:W32/Berbew, también conocido como Backdoor-AXJ, Webber o Padodor. Cuando este troyano se ejecuta en la computadora infectada, realiza acciones como capturar información confidencial introducida por el usuario (nombres de usuario y passwords) y la envía al autor del troyano. Instala un servidor proxy para utilizarlo en acciones de envío de correo spam. También intenta robar información sensitiva, como NIPs y números de tarjeta de crédito, a través de ventanas que abre simulando el requerimiento de dicha información, y que una vez obtenida la envía al autor del troyano.
RECOMENDACIONES: Aplicar la herramienta liberada por Microsoft para borrar las variantes A, B, C, D, E, F, G y H del troyano Backdoor:W32/Berbew. Se puede descargar desde el Centro de Descargas de Microsoft. Además de esta herramienta, no debe descuidarse el tener actualizado el software antivirus y utilizar software antitroyano y un firewall personal. También es recomendable mantener actualizados el sistema Windows. «Inicio de Página»

CORREO-E FALSO SIMULANDO PROVENIR DE UN BANCO ESTA INFECTANDO CON UN TROYANO A USUARIOS DE OUTLOOK. Aprovechando una vulnerabilidad en los sistemas Internet Explorer y Outlook Express, el troyano intenta llamar la atención del usuario víctima para visitar un sitio web bancario pero que en realidad lleva al usuario a un sitio web malicioso. La vulnerabilidad que intenta explotar se encuentra en los sistemas Microsoft IE 6, 5.01, 5.5, y OE 6, 5.5 y 5 de Windows. El riesgo identificado es la posibilidad de que el atacante pueda ejecutar código o comandos de su elección en el sistema y además tener acceso privilegiado a los datos que se guardan en la computadora. El correo-e falso está siendo enviado de forma masiva como correo-e no solicitado o spam a usuarios de Australia con la característica engañosa de provenir de un banco australiano, que está avisando al usuario sobre un supuesto retiro de dinero de su cuenta del banco. El correo-e incluye en el mensaje un link que al hacer click en él, lleva al usuario a un sitio web malicioso. Por la vulnerabilidad ya mencionada, el atacante aprovecha que puede incrustar un URL distinto al que aparece en el texto del link y que no es visualizado en el área de estatus de IE o de OE cuando se pasa el cursor del ratón sobre dicho link. Al hacer click sobre el link aparentemente inofensivo, lo que sucede es que se realiza una conexión a un sitio web malicioso para descargar un programa malicioso y ejecutarlo en la computadora. Posiblemente exista el riesgo de que el troyano actúe como un keylogger, al intentar capturar información confidencial o privada, incluyendo todo aquello que sea ingresado vía el teclado de la computadora.
RECOMENDACIONES:  Evite hacer click en links contenidos en mensajes de correo-e si no está seguro de quien se lo envió y el motivo de haberlo recibido. Si recibe un correo-e similar o con este tipo de engaños, contacte a la organización que se pretende falsear para aclarar la situación y la organización tome las acciones de respuesta que correspondan.   «Inicio de Página»

CORREO-E FRAUDULENTO. Se ha reportado este 16-FEB-2004 en Australia la actividad fraudulenta de un correo-e con el texto "Police investigation" en el asunto (subject). El correo-e intenta intimidar a la víctima sobre la posibilidad de estar bajo investigación por la policía y la invita a visitar un sitio web con información al respecto. Sin embargo, al accesar dicho sitio web la víctima ejecuta, sin darse cuenta, código malicioso hecho en Java que instala un programa troyano para atrapar la captura de datos cuando la víctima visite ciertos sitios web bancarios. Se ha identificado que el troyano busca si la dirección escrita en la barra de títulos del navegador contiene cualquiera de los siguientes textos: Westpac, Bendigo, commbank, Commonwealth, NetBank, Citibank, Bank of America, EVOCash, INTGold, PayPal, BankWest, National Internet Banking, CIBC, ScotiaBank, Bank of Montreal, RoyalBank, TD Canada, Trust, TD Waterhouse, President's Choice, suncorpmetway, Macquarie, GoldMoney, HyperWallet, Wells Fargo, Bank One, CAIXA, SunTrust, Discover Card, Washington Mutual, Wachovia y Chase. De tener éxito, el troyano empieza a capturar los datos ingresados en las páginas web detectadas para después enviarlos por correo-e, aparentemente al autor del troyano.   «Inicio de Página»

DIVULGACION EN INTERNET DE CODIGO FUENTE MICROSOFT. Microsoft está investigando la publicación en Internet de algunos archivos con porciones de código fuente de sus sistemas Windows NT y 2000. Esta divulgación de código compromete la seguridad de dichos sistemas ante la posibilidad de explotar posibles vulnerabilidades. Se ha sabido que por redes P2P anda circulando de forma rápida un archivo comprimido de 203.84 MB, bajo el nombre de "windows_2000_source_code.zip" y que contiene 660MB de código fuente. Microsoft ha dicho que porciones del código fuente de Microsoft Windows 2000 y Windows NT 4.0 fue ilegalmente puesto disponible en Internet. Microsoft trabaja con el FBI de los EE.UU al respecto ya que el código fuente divulgado está protegido por las leyes de propiedad intelectual además de considerarse como secreto comercial, por lo su divulgación, descarga y uso inclusive es ilegal. Algunas acciones que Microsoft ha realizado para alertar de esta ilegalidad es el envío de cartas a quienes han descargado el código fuente y de mensajes en las redes P2P donde se ha compartido dicho código. Microsoft reportó que el 16-Feb-2004 inició la investigación sobre un exploit reportado en versiones de su navegador Internet Explorer, supuestamente resultado del estudio del código fuente divulgado. Sin embargo, se trataba de una vulnerabilidad que Microsoft ya había descubierto y resuelto en Internet Explorer 6.0 Service Pack 1. Microsoft recomienda que los usuarios de los sistemas Windows 98, ME, NT 4.0, 2000 y XP actualicen IE a la última versión disponible en http://windowsupdate.microsoft.com. Los sistemas Windows XP SP1 o Server 2003 no son afectados debido a que incluyen IE 6.0 SP1.    «Inicio de Página»

Nuevos Virus, Vulnerabilidades e Incidentes de Seguridad

IMPORTANTE.  Esta información es proporcionada con un sólo propósito: promover una cultura de la seguridad informática. Difundir las amenazas, riesgos e incidentes a la seguridad de los sistemas de cómputo e información para que los administradores de sistemas y/o de la seguridad informática puedan actuar y proteger su infraestructura informática y la información misma. La información aquí presentada puede cambiar sin previo aviso. Su uso es bajo riesgo y responsabilidad del propio usuario y no de ASI Auditores. Es ALTAMENTE RECOMENDABLE que antes de ejecutar alguna acción para mitigar o evitar los riesgos y amenazas informados, el usuario evalúe todo el impacto posible para no afectar la continuidad de las operaciones informáticas.