Suscríbete a Boletín ASI-Noticias
Información y Tips de Auditoría, Control y Seguridad de la Información

INCIDENTES DE SEGURIDAD
BOTNET TEQUILA ATACA COMPUTADORAS MEXICANAS. Jun 9, 2010. Se ha reportado la existencia de una red zombie (botnet) llamada Tequila que dirigía ataques phishing a internautas mexicanos. Al parecer, la publicación de su existencia motivo a sus autores a desaparecer la botnet, de acuerdo con TrendMicro, una empresa de seguridad. Se cree que los controladores de la botnet instruyeron a las computadoras activas de la red zombie para detener los ataques phishing porque se exponían los servidores proxy y equipos redirigidos utilizados en los ataques. Se ha reportado que el autor de la botnet Tequila generó otra botnet, denominada Mariachi, para comprometer computadoras mexicanas, vía ataques phishing o instalación de software malintencionado. Se cree que ambas redes zombie ya no están funcionando.

Incidentes Anteriores

NUEVOS VIRUS

RECOMENDACIONES CONTRA VIRUS Y SPYWARE

1. Adquiera productos de software anti-virus y anti-spyware, de preferencia que puedan ser actualizables de forma automática y que puedan trabajar en tiempo real.
 2. Configure el anti-virus y el anti-spyware para que trabajen en tiempo real. Esto quiere decir que cada programa o archivo que sea abierto es escaneado y en su caso el programa debe avisar si está infectado por virus, spyware u otro código malintencionado.
 3. Configure el anti-virus y el anti-spyware para que con cierta periodicidad realicen un escaneo de la computadora en busca de código malicioso, de preferencia una vez por semana.
 4. Configure el anti-virus y el anti-spyware para que de forma automática sean actualizados los programas y archivos que los componen, motores de búsqueda y los patrones de virus, de spyware y demás código malicioso.
5. Configure su programa de correo-e para bloquear los archivos adjuntos con extensiones identificadas como portadoras de virus para que no actúen mientras lee su correo-e.
 6. Sea precavido cuando reciba un correo-e con archivos adjuntos. Aún más cuando abra algún archivo adjunto a un correo-e.
 7. Sospeche de los correos-e cuyo remitente no conozca o que el o los archivos adjuntos no tengan alguna razón con lo que usted espera recibir.
 8. En general, es recomendable siempre revisar el o los archivos adjuntos a un correo-e con el anti-virus y anti-spyware antes de abrirlos o ejecutarlos.

Suscríbete a
Boletín ASI-Noticias
Información y Tips de Auditoría, Control y Seguridad de la Información

TROYANO SE DIFUNDE CON SOLO LEER LOS ACCESOS DIRECTOS EN UNIDADES USB. Jul 16, 2010. Troyano está atacando computadoras con sistema Windows vía unidades extraíbles USB, aprovechando una vulnerabilidad en accesos directos (archivos .LNK). Al navegar por la unidad USB usando una aplicación que muestre los íconos de accesos directos, como el Explorador de Windows, el malware es ejecutado sin ninguna otra intervención del usuario. Esto no obstante que las funcionalidades AutoPlay y AutoRun estén desactivadas. Esta nueva técnica de propagación puede ser aprovechada por otros autores de malware. Se ha reportado que el troyano tiene por objetivo el espionaje industrial, particularmente sistemas SCADA WinCC de Siemens y está siendo utilizado en Indonesia, India e Irán. Se ha reportado que el troyano tiene capacidad de rootkit, aprovechando drivers legítimos de Realtek, quien ya trabaja con Microsoft y Verisign para la revocación de los certificados expuestos. Se estima que el troyano ha estado activo al menos desde hace un mes. Más información: 1, 2, 3.     «Inicio de Página»
GUSANO SE DIFUNDE RAPIDAMENTE EN REDES P2P. May 3, 2010. Una variante nueva del gusano Palevo está invitando a ser ejecutada vía enlaces en mensajes de chat emitidos masivamente de forma automática. El gusano atrae a sus víctimas para hacer click en una imagen de carita sonriente, que supuestamente lleva a otra imagen o galería de fotos. El archivo destino parece ser una imagen JPG que en realidad es un ejecutable con código malintencionado. El gusano se propaga de PC a unidades flash y vía programas populares P2P (Peer-To-Peer), como LimeWire, Ares, BearShare, iMesh, Shareza, Kazaa, DC++, y eMule, al agregar su código a los archivos compartidos. El gusano toma el control del equipo infectado y puede abrir puertas traseras para instalar más código malintencionado o capturar contraseñas introducidas en Internet Explorer o Mozilla Firefox. El gusano se copia en las comparticiones de red, en unidades USB o en otras unidades externas. Los sistemas Windows que tienen activada la funcionalidad de ejecutar automáticamente la unidad, conocida como autorun y que casi toda PC la tiene activa, corre el riesgo de ser infectada, toda vez que estas unidades se pasan de PC en PC. El gusano agrega código a los archivos compartidos de programas para poder usar los servicios P2P. El gusano busca propagarse a sistemas utilizados por usuarios de casa y desde éstos puede entonces lanzar ataques a PCs de negocios que pueden estar mejor protegidas. De acuerdo con BitDefender, al principio de la epidemia el índice de infección excedió el 500 por ciento por hora en países como Rumania, Mongolia e Indonesia. Los países con los mayores índices de infección a la fecha son Rumania, Mongolia, Vietnam, Indonesia, Australia, Malasia, Tailandia, Francia, Reino Unido, y Kuwait.
RECOMENDACIONES: Usar un producto de software antivirus y mantenerlo actualizado. No hacer click en enlaces recibidos vía chat o correo electrónico de fuentes desconocidas o que puedan parecer sospechosos. Usar un programa anti-spyware y mantenerlo actualizado. Desactivar el Autorun (Autoplay) para dispositivos extraíbles.     «Inicio de Página»
GUSANO CONFICKER INFECTA MILLONES DE COMPUTADORAS. Ene 19, 2009. Se reporta la propagación masiva del gusano Conficker, del que se han descubierto diversas variantes. El gusano, al que también se le conoce como Downadup o Kido, aprovecha la vulnerabilidad en el servicio de servidor de Microsoft Windows, y que Microsoft corrigió al publicar la actualización MS08-067. Se ha reportado la infección de Conficker en al menos 9 millones de computadoras en todo el mundo. El gusano hace peticiones de RPC (Remote Procedure Call) hechas especialmente para explotar la vulnerabilidad en otras computadoras. Si alguna de éstas es vulnerable, el gusano la infecta y el creador del gusano podría tomar el control de dicha máquina. RPC es un protocolo que permite la ejecución de código remoto en la computadora. El gusano también se propaga mediante dispositivos USB. Se ha reportado que Conficker intenta adivinar contraseñas de redes compartidas; aunque al parecer su mejor ataque es la ingeniería social que utiliza: se disfraza como una opción de Windows al detectar el medio USB. En equipos con arranque automático (Autorun) habilitado para el dispositivo USB (y cualquier medio extraíble) puede representar una vulnerabilidad frente a Conficker.
RECOMENDACIONES: Aplicar la actualización de seguridad provista en el Boletín de Microsoft MS08-067. Usar un programa anti-virus y mantenerlo actualizado. Usar un programa anti-spyware y mantenerlo actualizado. Desactivar el Autorun (Autoplay) para dispositivos extraíbles.
Update Ene 20, 2009. De acuerdo con la Alerta de Seguridad TA09-020A del CERT, la guía de Microsoft para desactivar el AutoRun en Windows no es efectiva completamente. El CERT recomienda en la Alerta citada cambios específicos al Registro de Windows para mitigar los diversos escenarios de ejecución de código Autorun y que Conficker puede estar usando para propagarse.   «Inicio de Página»

Virus Anteriores

NUEVAS VULNERABILIDADES

RECOMENDACIONES CONTRA LAS VULNERABILIDADES

1. Mantenerse informado del producto de software, actualizaciones y parches que se vayan liberando por el fabricante.
2. Mantenerse informado de posibles vulnerabilidades descubiertas en el producto y que pudieran constituir un fallo de seguridad. Es aconsejable suscribirse a listas de correo del fabricante o especializadas relacionadas con el producto.
3. En caso de ser comunicada alguna vulnerabilidad descubierta, contactar directamente al proveedor o fabricante del producto para conocer sus recomendaciones, precauciones y demás acciones a realizar para mitigar el riesgo de seguridad. 
 4. Realizar un análisis de impacto en sus instalaciones antes de ejecutar las recomendaciones por el fabricante del producto, particularmente en caso de actualizar el producto o aplicar el parche de seguridad liberado para mitigar el fallo descubierto.

Suscríbete a
Boletín ASI-Noticias
Información y Tips de Auditoría, Control y Seguridad de la Información

VULNERABILIDAD EN EL SHELL DE WINDOWS PODRIA PERMITIR LA EJECUCION REMOTA DE CODIGO. Jul 16, 2010. Microsoft ha publicado un aviso de seguidad relacionado con una vulnerabilidad en el Shell de Windows que podría permitir la ejecución remota de código. Microsoft dice que está investigando los reportes de ataques limitados y dirigidos para explotar la vulnerabilidad, que existe debido a que Windows analiza incorrectamente los atajos (shortcuts) de tal modo que el código malintencionado puede ser ejecutado cuando el usuario hace click en un ícono desplegado de un atajo hecho específicamente para explotar la vulnerabilidad. La vulnerabilidad es muy probablemente que sea explotada a través de unidades extraíbles. Para los sistemas que tienen desactivado el AutoPlay, el usuario tendría que navegar de forma manual a la carpeta raíz de la unidad extraíble para que la vulnerabilidad pueda ser explotada. En sistemas Windows 7 la funcionalidad AutoPlay para discos extraíbles es desactivada automáticamente. No hay parche de seguridad.
RECOMENDACIONES: Aplicar las medidas sugeridas por Microsoft en tanto publica la actualización de seguridad.       «Inicio de Página»
ACTUALIZACION DE SEGURIDAD DE ORACLE DE JULIO DE 2010. Jul 15, 2010. Oracle ha publicado 59 actualizaciones de seguridad. Afectan a los sistemas Oracle Database 11g, Oracle Database 10g, Oracle Database 9i, Oracle TimesTen In-Memory Database, Oracle Secure Backup, Oracle Application Server, Oracle Identity Management 10g, Oracle WebLogic Server, Oracle JRockit, Oracle Business Process Management, Oracle Enterprise Manager Grid Control, Oracle E-Business Suite, Oracle Transportation Manager, PeopleSoft Enterprise Campus Solutions, PeopleSoft Enterprise CRM, PeopleSoft Enterprise FSCM, PeopleSoft Enterprise HCM, PeopleSoft Enterprise PeopleTools, y Oracle Sun Product Suite. Corrigen vulnerabilidades que atacantes locales y remotos pueden aprovechar para comprometer la seguridad de los sistemas vulnerables.
RECOMENDACIONES: Aplicar los parches de seguridad publicados por Oracle. Más información.        «Inicio de Página»
BOLETIN DE SEGURIDAD DE MICROSOFT DE JULIO DE 2010. Jul 13, 2010. Microsoft ha publicado su resumen de boletines de seguridad correspondiente al mes de julio de 2010, con 4 actualizaciones de seguridad para corregir 5 vulnerabilidades. De acuerdo con la clasificación de severidad de Microsoft, 3 actualizaciones son de severidad crítica y 1 son de severidad importante.

De acuerdo con el Índice de Explotabilidad de Microsoft, 4 vulnerabilidades tienen Índice de Explotabilidad 1 (Probable existencia de exploit consistente); y 1 vulnerabilidad tiene Índice de Explotabilidad 2 (Probable existencia de exploit inconsistente).

Las siguientes son las actualizaciones publicadas por Microsoft. Se requiere que el usuario aplique de inmediato al menos las catalogadas como críticas. Los administradores de sistemas de las organizaciones deben realizar antes alguna prueba del impacto en aplicaciones internas y en la continuidad de la red.

MS10-042. VULNERABILIDAD EN HELP AND SUPPORT CENTER PODRIA PERMITIR LA EJECUCION REMOTA DE CODIGO. Actualización crítica de seguridad para Microsoft Windows XP. Está catalogada como de severidad Baja para Windows Server 2003. Corrige una vulnerabilidad en la facilidad Help and Support Center de Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visualiza en un navegador una página web hecha específicamente para explotar la vulnerabilidad o hace click dentro de un mensaje de correo-e en un enlace hecho específicamente para explotar la vulnerabilidad. La vulnerabilidad no puede ser explotada automáticamente a través del correo-e. La actualización resuelve la vulnerabilidad al modificar la forma en que los datos son validados cuando son pasados al Help and Support Center de Windows. La vulnerabilidad corregida tiene Índice de Explotabilidad 1 (Probable existencia de exploit consistente).
 
MS10-043. VULNERABILIDAD EN CANONICAL DISPLAY DRIVER PODRIA PERMITIR LA EJECUCION REMOTA DE CODIGO. Actualización crítica de seguridad para Windows 7 (x64). Está catalogada como de severidad Importante para Windows Server 2008 R2. La vulnerabilidad se encuentra en el controlador de Display Canonical (cdd.dll). Aunque es posible que la vulnerabilidad podría permitir la ejecución remota de código, la ejecución exitosa de código es improbable debido a la aleatoriedad de la memoria. En muchos escenarios, es más probable que un atacante que explote exitosamente esta vulnerabilidad podría ocasionar que el sistema afectado deje de responder y reinicie automáticamente. La actualización resuelve la vulnerabilidad al corregir la forma en que el controlador de display canonical analiza la información copiada desde el modo usuario al mode kernel. La vulnerabilidad corregida tiene Índice de Explotabilidad 2 (Probable existencia de exploit inconsistente).
 
MS10-044. VULNERABILIDADES EN CONTROLES ActiveX DE MICROSOFT OFFICE ACCESS PODRIAN PERMITIR LA EJECUCION REMOTA DE CODIGO. Actualización crítica de seguridad para Microsoft Office Access 2003 y 2007. Corrige dos vulnerabilidades en los controles ActiveX de Microsoft Office Access. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abrió un archivo Office hecho específicamente para explotar la vulnerabilidad o visualizó una página web que instanció controles ActiveX de Access. La actualización resuelve las vulnerabilidades al actualizar los controles específicos ActiveX de Access y al modificar la forma en que la memoria es accesada por Office e Internet Exlorer cuando cargan los controles ActiveX de Access. Las vulnerabilidades corregidas tienen Índice de Explotabilidad 1 (Probable existencia de exploit consistente).

MS10-045. VULNERABILIDAD EN MICROSOFT OFFICE OUTLOOK PODRIA PERMITIR PERMITIR LA EJECUCION REMOTA DE CODIGO. Actualización importante de seguridad para Microsoft Office Outlook 2002, 2003 y 2007. Corrige una vulnerabilidad que podría permitir la ejecución remota de código si un usuario abrió un archivo adjunto en un mensaje de correo-e hecho específicamente para explotar la vulnerabilidad, usando una versión afectada de Outlook. La actualización resuelve la vulnerabilidad al modificar la forma en que Microsoft Office Outlook verifica los archivos adjuntos en un mensaje de correo-e hecho específicamente para explotar la vulnerabilidad. La vulnerabilidad corregida tiene Índice de Explotabilidad 1 (Probable existencia de exploit consistente).           «Inicio de Página»
VULNERABILIDAD EN WINDOWS HELP AND SUPPORT CENTER. Jun 11, 2010. Microsoft reporta que investiga reportes públicos sobre una posible vulnerabilidad en la función Windows Help and Support Center, en sistemas Windows XP y Server 2003. La vulnerabilidad se encuentra en que Windows Help and Support Center no valida de forma apropiada las URLs cuando usa el protocolo HCP, que se usa para ejecutar enlaces URL para abrir la función Help and Support Center. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visualiza una página web hecha específicamente para explotar la vulnerabilidad, usando un navegador web o hace click en un enlace hecho específicamente para explotar la vulnerabilidad, dentro de un mensaje de correo-e. Más información en el Boletín 2219475 de Microsoft.
RECOMENDACIONES: Evitar hacer click en enlaces web que lleven a sitios desconocidos.
Actualización. Jun 14, 2010. Microsoft publica una solución temporal Fix it.        «Inicio de Página»
ACTUALIZACION DE SEGURIDAD PARA ADOBE FLASH PLAYER. Jun 10, 2010. Vulnerabilidades críticas han sido identificadas en Adobe Flash Player versión 10.0.45.2 y anteriores para Windows, Macintosh, Linux y Solaris. También afectan a Adobe AIR 1.5.3.9130 y anteriores para Windows, Macintosh y Linux. Las vulnerabilidades podrían ocasionar que la aplicación deje de funcionar y podría permitir a un atacante tomar el control del sistema vulnerable. Adobe recomienda actualizar a Adobe Flash Player 10.1.53.64. A los usuarios de Adobe AIR 1.5.3.9130 y anteriores se les recomienda actualizar a Adobe AIR 2.0.2.12610. Más información.        «Inicio de Página»

Vulnerabilidades Anteriores

GLOSARIO

BUFFER OVERFLOW (Desbordamiento de la Memoria): Falla en la cual el programa intenta almacenar datos en el espacio de memoria para almacenamiento temporal de datos y no hay lugar para ello en dicha memoria temporal.
BACKDOOR (Puerta Trasera): Es la acción que un programador deja en el programa (a propósito o por descuido) para saltarse un proceso o sistema particular hasta que el programa acabe. 
BUFFER OVERRUN: Buffer no comprobado en un programa que puede ser explotado por un atacante al sobreescribir el código del programa con sus propios datos y así cambiar la forma de trabajar del programa de acuerdo con los intereses del atacante. El programa sobreescrito puede fallar inclusive.
ELEVACION DE PRIVILEGIOS: Obtener privilegios no autorizados en la computadora o en la red, como por ejemplo el de Administrador del sistema.
EXPLOIT: Se refiere a código hecho de forma específica para aprovechar una vulnerabilidad o fallo conocido de un programa determinado, no siempre con buenos propósitos.
MALWARE (Código Malicioso): Malware es un término comúnmente utilizado para referirse a todo programa o código que puede ser ejecutado en equipo de cómputo y que tiene por objetivo ocasionar algún daño en el equipo. Ejemplo de código malicioso son los virus, Troyanos, gusanos, programas para hacer bromas, programas espías, herramientas para hackeo, entre otros. Debido a que están ocultos al usuario, las computadoras infectadas con código malicioso tienen comprometida la confidencialidad, disponibilidad e integridad de la información, programas, aplicaciones y otros archivos que contienen.
TROJAN (Caballo de Troya o Troyano): Es un programa oculto en la computadora que realiza acciones también en forma oculta al usuario. Por lo general, estas acciones tienen malas intenciones, como pueden ser borrar archivos, capturar información del disco duro o que recibe por el teclado, transmitir información sensitiva a personas remotas, incluso formatear el disco duro. Un troyano generalmente se difunde con un virus o gusano de computadora; esto es, el troyano no infecta a otros equipos. Debido a que el medio de propagación es a través de virus o gusanos de computadora, algunos software antivirus actúan contra troyanos aunque con algunas limitaciones (troyanos comunes) debido a que su objetivo es detectar y borrar el virus o gusano de computadora. Por ello es necesario complementar el antivirus con un software antispyware, como SpySweeper.
WORM (Gusano de computadora): Es un programa o conjunto de programas que puede difundir copias de sí mismo a otras computadoras. Para propagarse se apoya generalmente en archivos adjuntos de correos-e, conexiones de red.
 ZERO DAY (Día cero): Se trata de un término utilizado para referirse a exploits hechos públicos sin que haya todavía un parche o solución a la vulnerabilidad que intenta explotar.
Más ...           «Inicio de Página»
 
 
IMPORTANTE.  Esta información es proporcionada con un sólo propósito: promover una cultura de la seguridad informática. Difundir las amenazas, riesgos e incidentes a la seguridad de los sistemas de cómputo e información para que los administradores de sistemas y/o de la seguridad informática puedan actuar y proteger su infraestructura informática y la información misma. La información aquí presentada puede cambiar sin previo aviso. Su uso es bajo riesgo y responsabilidad del propio usuario y no de ASI Auditores. Es ALTAMENTE RECOMENDABLE que antes de ejecutar alguna acción para mitigar o evitar los riesgos y amenazas informados, el usuario evalúe todo el impacto posible para no afectar la continuidad de las operaciones informáticas.