ASI-Noticias

Incidentes de Seguridad
Nuevos Virus
Nuevas Vulnerabilidades
Glosario

Suscríbete a ASI-Noticias
Información y Tips de Auditoría, Control y Seguridad de la Información

Ahora las noticias en nuestro Blog

FeedWind

INCIDENTES DE SEGURIDAD

CERTIFICADO SSL FRAUDULENTO TRAS ATAQUE A DIGINOTAR. Ago 30, 2011. Se reporta que tras un ataque a la empresa certificadora DigiNotar ha aparecido un certificados SSL de Google, afectando a los usuarios del servicio de Gmail. Se han reportado ataques Man-in-the-Middle para acceder a los datos enviados cifrados vía https. Al intentar acceder a sus cuentas de Google, vía Chrome, el navegador les reportó que el certificado digital era falso. El atacante había usado un certificado fraudulento SSL emitido por DigiNotar, no autorizada para emitir certificados de Google.
Update. Sep 5, 2011. Se reporta que ya son 500 los certificados SSL fraudulentos. Afectan a sitios web como Yahoo!, Microsoft, Skype, Facebook, WordPress, AOL y de agencias de seguridad como la CIA (EEUU), el Mossad (Israel) y M-16 (Reino Unido). Se habla de 531 certificados SSL falsos "para interceptar conversaciones privadas en Irán".

BOTNET TEQUILA ATACA COMPUTADORAS MEXICANAS. Jun 9, 2010. Se ha reportado la existencia de una red zombie (botnet) llamada Tequila que dirigía ataques phishing a internautas mexicanos. Al parecer, la publicación de su existencia motivo a sus autores a desaparecer la botnet, de acuerdo con TrendMicro, una empresa de seguridad. Se cree que los controladores de la botnet instruyeron a las computadoras activas de la red zombie para detener los ataques phishing porque se exponían los servidores proxy y equipos redirigidos utilizados en los ataques. Se ha reportado que el autor de la botnet Tequila generó otra botnet, denominada Mariachi, para comprometer computadoras mexicanas, vía ataques phishing o instalación de software malintencionado. Se cree que ambas redes zombie ya no están funcionando.

Incidentes Anteriores

NUEVOS VIRUS

RECOMENDACIONES CONTRA VIRUS Y SPYWARE

1. Adquiera productos de software anti-virus y anti-spyware, de preferencia que puedan ser actualizables de forma automática y que puedan trabajar en tiempo real.
2. Configure el anti-virus y el anti-spyware para que trabajen en tiempo real. Esto quiere decir que cada programa o archivo que sea abierto es escaneado y en su caso el programa debe avisar si está infectado por virus, spyware u otro código malintencionado.
3. Configure el anti-virus y el anti-spyware para que con cierta periodicidad realicen un escaneo de la computadora en busca de código malicioso, de preferencia una vez por semana.
4. Configure el anti-virus y el anti-spyware para que de forma automática sean actualizados los programas y archivos que los componen, motores de búsqueda y los patrones de virus, de spyware y demás código malicioso.
5. Configure su programa de correo-e para bloquear los archivos adjuntos con extensiones identificadas como portadoras de virus para que no actúen mientras lee su correo-e.
6. Sea precavido cuando reciba un correo-e con archivos adjuntos. Aún más cuando abra algún archivo adjunto a un correo-e.
7. Sospeche de los correos-e cuyo remitente no conozca o que el o los archivos adjuntos no tengan alguna razón con lo que usted espera recibir.
8. En general, es recomendable siempre revisar el o los archivos adjuntos a un correo-e con el anti-virus y anti-spyware antes de abrirlos o ejecutarlos.

Suscríbete a
ASI-Noticias
Información y Tips de Auditoría, Control y Seguridad de la Información

Ahora las noticias en nuestro Blog

FeedWind

TROYANO SE DIFUNDE CON SOLO LEER LOS ACCESOS DIRECTOS EN UNIDADES USB. Jul 16, 2010. Troyano está atacando computadoras con sistema Windows vía unidades extraíbles USB, aprovechando una vulnerabilidad en accesos directos (archivos .LNK). Al navegar por la unidad USB usando una aplicación que muestre los íconos de accesos directos, como el Explorador de Windows, el malware es ejecutado sin ninguna otra intervención del usuario. Esto no obstante que las funcionalidades AutoPlay y AutoRun estén desactivadas. Esta nueva técnica de propagación puede ser aprovechada por otros autores de malware. Se ha reportado que el troyano tiene por objetivo el espionaje industrial, particularmente sistemas SCADA WinCC de Siemens y está siendo utilizado en Indonesia, India e Irán. Se ha reportado que el troyano tiene capacidad de rootkit, aprovechando drivers legítimos de Realtek, quien ya trabaja con Microsoft y Verisign para la revocación de los certificados expuestos. Se estima que el troyano ha estado activo al menos desde hace un mes. Más información: 1, 2, 3. «Inicio de Página»

GUSANO SE DIFUNDE RAPIDAMENTE EN REDES P2P. May 3, 2010. Una variante nueva del gusano Palevo está invitando a ser ejecutada vía enlaces en mensajes de chat emitidos masivamente de forma automática. El gusano atrae a sus víctimas para hacer click en una imagen de carita sonriente, que supuestamente lleva a otra imagen o galería de fotos. El archivo destino parece ser una imagen JPG que en realidad es un ejecutable con código malintencionado. El gusano se propaga de PC a unidades flash y vía programas populares P2P (Peer-To-Peer), como LimeWire, Ares, BearShare, iMesh, Shareza, Kazaa, DC++, y eMule, al agregar su código a los archivos compartidos. El gusano toma el control del equipo infectado y puede abrir puertas traseras para instalar más código malintencionado o capturar contraseñas introducidas en Internet Explorer o Mozilla Firefox. El gusano se copia en las comparticiones de red, en unidades USB o en otras unidades externas. Los sistemas Windows que tienen activada la funcionalidad de ejecutar automáticamente la unidad, conocida como autorun y que casi toda PC la tiene activa, corre el riesgo de ser infectada, toda vez que estas unidades se pasan de PC en PC. El gusano agrega código a los archivos compartidos de programas para poder usar los servicios P2P. El gusano busca propagarse a sistemas utilizados por usuarios de casa y desde éstos puede entonces lanzar ataques a PCs de negocios que pueden estar mejor protegidas. De acuerdo con BitDefender, al principio de la epidemia el índice de infección excedió el 500 por ciento por hora en países como Rumania, Mongolia e Indonesia. Los países con los mayores índices de infección a la fecha son Rumania, Mongolia, Vietnam, Indonesia, Australia, Malasia, Tailandia, Francia, Reino Unido, y Kuwait.
RECOMENDACIONES: Usar un producto de software antivirus y mantenerlo actualizado. No hacer click en enlaces recibidos vía chat o correo electrónico de fuentes desconocidas o que puedan parecer sospechosos. Usar un programa anti-spyware y mantenerlo actualizado. Desactivar el Autorun (Autoplay) para dispositivos extraíbles. «Inicio de Página»

GUSANO CONFICKER INFECTA MILLONES DE COMPUTADORAS. Ene 19, 2009. Se reporta la propagación masiva del gusano Conficker, del que se han descubierto diversas variantes. El gusano, al que también se le conoce como Downadup o Kido, aprovecha la vulnerabilidad en el servicio de servidor de Microsoft Windows, y que Microsoft corrigió al publicar la actualización MS08-067. Se ha reportado la infección de Conficker en al menos 9 millones de computadoras en todo el mundo. El gusano hace peticiones de RPC (Remote Procedure Call) hechas especialmente para explotar la vulnerabilidad en otras computadoras. Si alguna de éstas es vulnerable, el gusano la infecta y el creador del gusano podría tomar el control de dicha máquina. RPC es un protocolo que permite la ejecución de código remoto en la computadora. El gusano también se propaga mediante dispositivos USB. Se ha reportado que Conficker intenta adivinar contraseñas de redes compartidas; aunque al parecer su mejor ataque es la ingeniería social que utiliza: se disfraza como una opción de Windows al detectar el medio USB. En equipos con arranque automático (Autorun) habilitado para el dispositivo USB (y cualquier medio extraíble) puede representar una vulnerabilidad frente a Conficker.
RECOMENDACIONES: Aplicar la actualización de seguridad provista en el Boletín de Microsoft MS08-067. Usar un programa anti-virus y mantenerlo actualizado. Usar un programa anti-spyware y mantenerlo actualizado. Desactivar el Autorun (Autoplay) para dispositivos extraíbles.
Update Ene 20, 2009. De acuerdo con la Alerta de Seguridad TA09-020A del CERT, la guía de Microsoft para desactivar el AutoRun en Windows no es efectiva completamente. El CERT recomienda en la Alerta citada cambios específicos al Registro de Windows para mitigar los diversos escenarios de ejecución de código Autorun y que Conficker puede estar usando para propagarse. «Inicio de Página»

Virus Anteriores

NUEVAS VULNERABILIDADES

RECOMENDACIONES CONTRA LAS VULNERABILIDADES

1. Mantenerse informado del producto de software, actualizaciones y parches que se vayan liberando por el fabricante.
2. Mantenerse informado de posibles vulnerabilidades descubiertas en el producto y que pudieran constituir un fallo de seguridad. Es aconsejable suscribirse a listas de correo del fabricante o especializadas relacionadas con el producto.
3. En caso de ser comunicada alguna vulnerabilidad descubierta, contactar directamente al proveedor o fabricante del producto para conocer sus recomendaciones, precauciones y demás acciones a realizar para mitigar el riesgo de seguridad.
4. Realizar un análisis de impacto en sus instalaciones antes de ejecutar las recomendaciones por el fabricante del producto, particularmente en caso de actualizar el producto o aplicar el parche de seguridad liberado para mitigar el fallo descubierto.

Suscríbete a
ASI-Noticias
Información y Tips de Auditoría, Control y Seguridad de la Información

Ahora las noticias en nuestro Blog

FeedWind

VULNERABILIDADES REGISTRADAS EN LA SEMANA DE OCT 3. Oct 10, 2011. Resumen de las nuevas vulnerabilidades que han sido registrados por el National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) durante la semana del 10-Oct. Basadas en la nomenclatura estándar CVE y organizadas de acuerdo a su nivel de severidad, determinado por el estándar CVSS (Common Vulnerability Scoring System). Más información en el US-CERT. «Inicio de Página»

VULNERABILIDADES REGISTRADAS EN LA SEMANA DE SEP 26. Oct 3, 2011. Resumen de las nuevas vulnerabilidades que han sido registrados por el National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) durante la semana del 26-Sep. Basadas en la nomenclatura estándar CVE y organizadas de acuerdo a su nivel de severidad, determinado por el estándar CVSS (Common Vulnerability Scoring System). Más información en el US-CERT. «Inicio de Página»

VULNERABILIDADES REGISTRADAS EN LA SEMANA DE SEP 19. Sep 28, 2011. Resumen de las nuevas vulnerabilidades que han sido registrados por el National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) durante la semana del 19-Sep. Basadas en la nomenclatura estándar CVE y organizadas de acuerdo a su nivel de severidad, determinado por el estándar CVSS (Common Vulnerability Scoring System). Más información en el US-CERT. «Inicio de Página»

VULNERABILIDADES REGISTRADAS EN LA SEMANA DE SEP 12. Sep 19, 2011. Resumen de las nuevas vulnerabilidades que han sido registrados por el National Institute of Standards and Technology (NIST) National Vulnerability Database (NVD) durante la semana del 12-Sep. Basadas en la nomenclatura estándar CVE y organizadas de acuerdo a su nivel de severidad, determinado por el estándar CVSS (Common Vulnerability Scoring System). Más información en el US-CERT. «Inicio de Página»

BOLETIN DE SEGURIDAD DE MICROSOFT DE SEPTIEMBRE DE 2011. Sep 13, 2011. Microsoft ha publicado su resumen de boletines de seguridad correspondiente al mes de septiembre de 2011, con 5 actualizaciones de seguridad para corregir 15 vulnerabilidades. De acuerdo con la clasificación de severidad de Microsoft, las cinco actualizaciones son de severidad importante.

Las siguientes son las actualizaciones publicadas por Microsoft. Los administradores de sistemas de las organizaciones deben realizar antes alguna prueba del impacto de la actualización en aplicaciones internas y en la continuidad de la red.

MS11-070. VULNERABILIDAD EN WINS PODRIA PERMITIR LA ELEVACION DE PRIVILEGIOS. Esta actualización de seguridad resuelve una vulnerabilidad en WINS (Windows Internet Name Service). La vulnerabilidad podría permitir la elevación de privilegios si un usuario recibe un paquete de réplica de WINS especialmente diseñado en un sistema afectado que ejecuta el servicio WINS. Para aprovechar esta vulnerabilidad, un atacante debe de tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local. Esta actualización de seguridad se considera Importante para todas las ediciones compatibles de Windows Server 2003, Windows Server 2008 (excepto Itanium) y Windows Server 2008 R2 (excepto Itanium), en la que esté instalado WINS. La actualización de seguridad corrige la vulnerabilidad al modificar la forma en que WINS trata la comunicación interna en la dirección de bucle invertido.

MS11-071. VULNERABILIDAD EN LOS COMPONENTES DE WINDOWS PODRIA PERMITIR LA EJECUCION REMOTA DE CODIGO. Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de formato de texto enriquecido (.RTF), un archivo de texto (.TXT) o un documento de Word (.DOC) legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca de vínculos dinámicos (DLL) especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría conseguir los mismos derechos de usuario que los del usuario local. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativo. Esta actualización de seguridad se considera Importante para todas las versiones compatibles de Microsoft Windows. La actualización de seguridad corrige la vulnerabilidad al modificar la manera en que los componentes de Windows cargan las bibliotecas externas.

MS11-072. VULNERABILIDADES EN MICROSOFT EXCEL PODRIAN PERMITIR LA EJECUCION REMOTA DE CODIGO. Esta actualización de seguridad resuelve cinco vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Excel especialmente diseñado. Un intruso que aprovechara cualquiera de estas vulnerabilidades podría conseguir los mismos derechos de usuario que los del usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativo. La instalación y configuración de Office File Validation (OFV) para prevenir la apertura de archivos sospechosos bloquea las vías de ataque para aprovechar las vulnerabilidades descritas en CVE-2011-1986 y CVE-2011-1987. Esta actualización de seguridad se considera Importante para todas las ediciones compatibles de Microsoft Excel 2003, Microsoft Excel 2007, Microsoft Office 2007, Microsoft Excel 2010, Microsoft Office 2010, Microsoft Office 2004 for Mac, Microsoft Office 2008 for Mac, y Microsoft Office for Mac 2011; Open XML File Format Converter for Mac; Microsoft Excel Viewer, Microsoft Office Compatibility Pack, Microsoft Excel Services instalado en SharePoint Server 2007, Microsoft Excel Services instalado en SharePoint Server 2010, y Microsoft Excel Web App 2010. La actualización corrige las vulnerabilidades al modificar la manera en que Microsoft Excel administra los objetos en memoria, indexa el arreglo de ubicaciones de memoria, analiza determinados registros en los archivos de Excel, maneja un tipo específico de expresión condicional y lleva a cabo la comprobación de límites en valores de índice de arreglo.

MS11-073. VULNERABILIDADES EN MICROSOFT OFFICE PODRIAN PERMITIR LA EJECUCION REMOTA DE CODIGO. Esta actualización de seguridad resuelve dos vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Office especialmente diseñado o si un usuario abre un archivo de Office legítimo que se encuentre en el mismo directorio de red que un archivo de biblioteca especialmente diseñado. Un atacante que aprovechara cualquiera de las vulnerabilidades podría conseguir los mismos derechos de usuario que los del usuario que ha iniciado sesión. Los usuarios cuyas cuentas estén configuradas con derechos mínimos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativo. Esta actualización de seguridad se considera, Importante para las ediciones compatibles de Microsoft Office 2003, Microsoft Office 2007 y Microsoft Office 2010. La actualización de seguridad corrige las vulnerabilidades al modificar la forma en que Microsoft Office carga las bibliotecas externas e inicializa los objetos.

MS11-074. VULNERABILIDADES EN MICROSOFT SHAREPOINT PODRIAN PERMITIR LA ELEVACION DE PRIVILEGIOS. Esta actualización de seguridad resuelve seis vulnerabilidades en Microsoft SharePoint y Windows SharePoint Services. La más severa de estas vulnerabilidades podría permitir la elevación de privilegios si un usuario hace clic en una dirección URL especialmente diseñada o visita un sitio web especialmente diseñado. Para las vulnerabilidades más graves, los usuarios de Internet Explorer 8 e Internet Explorer 9 que exploren un sitio de SharePoint en la zona Internet están menos expuestos porque, de forma predeterminada, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 contribuye a bloquear los ataques en la zona Internet. No obstante, el filtro XSS en Internet Explorer 8 e Internet Explorer 9 no está habilitado de forma predeterminada en la zona Intranet. Esta actualización de seguridad se considera Importante para Microsoft Office Groove 2007, Microsoft SharePoint Workspace 2010, Microsoft Office Forms Server 2007, Microsoft Office SharePoint Server 2007, Microsoft Office SharePoint Server 2010, Microsoft Office Groove Data Bridge Server 2007, Microsoft Office Groove Management Server 2007, Microsoft Groove Server 2010, Microsoft SharePoint Services 2.0, Microsoft SharePoint Services 3.0, Microsoft SharePoint Foundation 2010, Microsoft Office Web Apps 2010 y Microsoft Word Web App 2010. La actualización de seguridad corrige las vulnerabilidades al modificar la manera en que Microsoft SharePoint valida y sanea la entrada del usuario, analiza los archivos XML y XSL malintencionados, y maneja los scripts contenidos dentro de determinados parámetros de solicitud. «Inicio de Página»

Vulnerabilidades Anteriores

GLOSARIO

BUFFER OVERFLOW (Desbordamiento de la Memoria): Falla en la cual el programa intenta almacenar datos en el espacio de memoria para almacenamiento temporal de datos y no hay lugar para ello en dicha memoria temporal.
BACKDOOR (Puerta Trasera): Es la acción que un programador deja en el programa (a propósito o por descuido) para saltarse un proceso o sistema particular hasta que el programa acabe.
BUFFER OVERRUN: Buffer no comprobado en un programa que puede ser explotado por un atacante al sobreescribir el código del programa con sus propios datos y así cambiar la forma de trabajar del programa de acuerdo con los intereses del atacante. El programa sobreescrito puede fallar inclusive.
ELEVACION DE PRIVILEGIOS: Obtener privilegios no autorizados en la computadora o en la red, como por ejemplo el de Administrador del sistema.
EXPLOIT: Se refiere a código hecho de forma específica para aprovechar una vulnerabilidad o fallo conocido de un programa determinado, no siempre con buenos propósitos.
MALWARE (Código Malicioso): Malware es un término comúnmente utilizado para referirse a todo programa o código que puede ser ejecutado en equipo de cómputo y que tiene por objetivo ocasionar algún daño en el equipo. Ejemplo de código malicioso son los virus, Troyanos, gusanos, programas para hacer bromas, programas espías, herramientas para hackeo, entre otros. Debido a que están ocultos al usuario, las computadoras infectadas con código malicioso tienen comprometida la confidencialidad, disponibilidad e integridad de la información, programas, aplicaciones y otros archivos que contienen.
TROJAN (Caballo de Troya o Troyano): Es un programa oculto en la computadora que realiza acciones también en forma oculta al usuario. Por lo general, estas acciones tienen malas intenciones, como pueden ser borrar archivos, capturar información del disco duro o que recibe por el teclado, transmitir información sensitiva a personas remotas, incluso formatear el disco duro. Un troyano generalmente se difunde con un virus o gusano de computadora; esto es, el troyano no infecta a otros equipos. Debido a que el medio de propagación es a través de virus o gusanos de computadora, algunos software antivirus actúan contra troyanos aunque con algunas limitaciones (troyanos comunes) debido a que su objetivo es detectar y borrar el virus o gusano de computadora. Por ello es necesario complementar el antivirus con un software antispyware, como SpySweeper.
WORM (Gusano de computadora): Es un programa o conjunto de programas que puede difundir copias de sí mismo a otras computadoras. Para propagarse se apoya generalmente en archivos adjuntos de correos-e, conexiones de red.
ZERO DAY (Día cero): Se trata de un término utilizado para referirse a exploits hechos públicos sin que haya todavía un parche o solución a la vulnerabilidad que intenta explotar.
Más ... «Inicio de Página»