SuSE ha publicado una actualización para múltiples paquetes que solucionan numerosas vulnerabilidades.

Apache2

* Se han solventado múltiples vulnerabilidades en Apache2 que podrían ser aprovechadas para causar que ciertos servicios, que hagan uso de sus módulos, dejen de responder.

Ipsec-tools

* Un fallo en racoon/proposal.c de ipsec-tools puede causar una fuga de memoria. Un atacante remoto puede provocar una denegación de servicio mediante reiterados intentos de autenticación. Este error está presente en versiones anteriores a 0.7.1.

* Un fallo en src/racoon/handler.c de ipsec-tools provoca que ciertos manejadores creados por racoon no sean eliminados. Un atacante podría causar una denegación de servicio al consumir excesiva memoria.

Kernel-bigsmp

* Denegación de servicio en SCTP INIT-ACK.

* Salto de restricciones de seguridad a través de generic_file_splice_write.

* Salto de restricciones de seguridad a través de fs/open.c.

* Denegación de servicio en la función add_to_page_cache_lru de fs/splice.c.

* El código ext[234] del sistema de archivos falla al manejar estructuras de datos corruptas, lo que podría provocar una denegación de servicio.

* Denegación de servicio local a través de fs/direct-io.c.

* Se han añadido comprobaciones de capacidad en sbni_ioctl().

* Fuga de información del kernel a través del control de entrada/salida snd_seq.

* Escalada de privilegios o denegación de servicio en la función do_change_type de fs/namespace.c.

* Se han añadido comprobaciones de punteros nulos en las funciones de operación tty, lo que podría ser aprovechado por un atacante local para causar una denegación de servicio o escalar privilegios.

* Se ha añadido una comprobación de rangos en ASN.1 para el manejo de los filtros de red CIFS y SNMP NAT.

* Denegación de servicio local o escalada de privilegios en rch/i386/kernel/sysenter.c a través de las funciones install_special_mapping, syscall y syscall32_nopage.

Flash-player

* Ha sido corregido un error en la manera en que son escritos contenidos en el portapapeles. Un atacante a través de un archivo SWF especialmente manipulado podría colocar en el portapapeles una URL maliciosa que por acción del usuario podría ser usada para cargar contenido malicioso.

* Ha sido corregido un error no especificado en la interpretación de ficheros SWF que podría ser aprovechado por un atacante remoto para obtener información sensible.

* Ha sido corregido un error consistente en la no verificación de las llamadas a las funciones ‘FileReference.browse’ y ‘FileReference.download’ ActionScript de Adobe Flash Player. Esto podría permitir a un atacante remoto iniciar transferencias desde y hacia el sistema sin intervención alguna por parte del usuario.

* Ha sido corregido un error en la forma que que un atacante remoto podría acceder a los controles de la cámara web o el micrófono si el usuario pincha en un diálogo Flash Player de control de acceso que pareciera un simple elemento gráfico.

* Ha sido corregido un error en el tratamiento de la respuesta de un servidor web. Si un servidor envía una petición por segunda vez con, por ejemplo, versiones de un SWF diferentes, se podría provocar una denegación de servicio en el navegador que realizase la petición.

* Por último ha sido corregido un error en la manera en que Flash Player procesaba las políticas de seguridad de archivos. Un atacante remoto podría usar a Flash Player para perpetrar ataques de tipo cross-site/domain scripting, saltarse restricciones de seguridad, obtener acceso a información sensible y realizar escaneos de puertos.

MySQL

* Un fallo en la interpretación de sentencias sql en la que se utilicen cadenas vacías, podría permitir a un atacante a partir de un sentencia especialmente manipulada causar una denegación de servicio.

* Un fallo en el tratamiento de enlaces simbólicos en tablas MyISAM con DATA RECOVERY o INDEX DIRECTORY modificados, podría permitir a un atacante eludir restricciones de seguridad.

Ktorrent

* También se han solventado múltiples fallos de seguridad en ktorrent.

Se recomienda actualizar a través de las herramientas automáticas YoU (Yast Online Update).

Fuente: Noticias Hispasec

En un esfuerzo por mejorar la experiencia del usuario y evitar que mas maquinas se conviertan en “zombies” dentro de “botnets”, Microsoft anti-malware,  “Morro”, será incluido gratis con cada copia de Windows.

Está específicamente diseñado para requerir bajos recursos para poder asi funcionar en maquinas antiguas y ancho de banda limitado en un esfuerzo por protejer a los nuevos usuarios de computadoras de bajo costo en todo el mundo. La compañía también ha anunciado planes para poner fin a la subscripción paga del servicio de seguridad Windows Live OneCare.

Fuente: Lifehacker

Aunque parezcan ganas de rizar el rizo ha sido lo acaecido en tres hospitales londinenses: St. Bartholomew’s, the Royal London Hospital y The London Chest Hospital. No se conoce el origen de la infección, pero se baraja la posibilidad de que haya sido causado por el worm Mylob que se extiende vía email y deja abierta una puerta trasera para troyanos en los ordenadores afectados.

Según el sitio web de uno de los hospitales: “Las medidas de emergencia han sido activadas para asegurar que los sistemas clínicos clave continúen en funcionamiento mientras la conexión a la red se vuelve a establecer [...] Los sistemas de backup manual están siendo usados y estamos en proceso de restaurar los sistemas con la prioridad enfocada a las áreas más importantes y mantener lo servicio para los pacientes.”

Según parece el virus no era malicioso y no ha alterado los sistemas, pudiendo mantener la infección autocontenida. Las medidas de seguridad de los hospitales afectados serán revisadas y es posible que los datos de los pacientes hayan podido verse expuestos.

Fuente:The Inquirer

McAfee anunció el lanzamiento de McAfee® Total Protection (ToPS) for Secure Business, un conjunto completo de aplicaciones que ofrece seguridad total a las pequeñas y medianas empresas (SMB) en un solo paquete fácil de administrar. En conjunto con “15 Minutes to a Secure Business” (“15 minutos para un negocio seguro”), un conjunto de prácticas diarias de McAfee que también se publicó hoy, las empresas pueden mantener una posición de seguridad muy sólida en sólo 15 minutos al día.

Según investigaciones recientes de McAfee, más de la mitad de las empresas encuestadas informó que sólo podían ocupar una hora a la semana para administrar su seguridad informática. McAfee ToPS for Secure Business ofrece todos los elementos esenciales de seguridad que necesita una organización (protección de computadoras de escritorio, correo electrónico, Web y datos) sin generar una gran carga administrativa. Cuando se implementa esta solución, las pequeñas y medianas empresas pueden emplear el enfoque de administración de seguridad de McAfee para mantener una posición de seguridad muy sólida en sólo 15 minutos al día.

“Las SMB son atacadas diariamente por una lista de amenazas a la seguridad en continuo aumento, entre ellas nuevas formas de malware, spam y pérdida de datos”, dijo Chris Christiansen, vicepresidente de programas de Security Products and Services, IDC. “Aun cuando muchas SMB creen que no tienen nada que valga la pena robar, IDC considera que cada parte de una red de SMB y su infraestructura computacional le sirve a los criminales. Cada vez en mayor medida, recomendamos que los clientes de SMB implementen su protección de seguridad en suites y no en productos distintos. Esto les permite obtener el mejor relación entre calidad y precio, trabajar con un solo proveedor y requerir menos esfuerzo administrativo y capacitación”.

“McAfee me permite educar fácilmente a mis clientes de SMB sobre lo que necesitan para asegurar que su entorno computacional, sus sistemas y su información estén seguros”, dijo Becky Ramey, consultor senior de productos de Broughton International. “Tengo acceso a una solución de seguridad completa desde un solo proveedor, con un conjunto de pautas que puedo transmitir a mi cliente sobre los actividades de un día normal. Ya sea que se revisen patrones de tráfico en la Web o se encripten dispositivos y computadoras portátiles, el asesoramiento experto de McAfee ayuda a mis clientes a asegurar su negocio”.

“Cuando las cosas se vuelven caóticas, en realidad necesitas herramientas que trabajen para ti y no en contra de ti”, comentó Scott Gould, analista senior de redes y sistemas del Gynecologic Oncology Group Statistical & Data Center. “La tecnología de McAfee es básicamente del tipo ‘configúrela y olvídese’. Su énfasis en el mercado de las SMB y su respuesta a las necesidades del cliente nos han facilitado mucho las cosas”.

McAfee ToPS fo r Secure Business incluye elementos imprescindibles de seguridad que la mayoría de las empresas medianas necesitan. Integra seguridad completa para endpoints, correo electrónico, Web y datos, y al mismo tiempo proporciona una infraestructura que cumple con las normas. También incluye la nueva tecnología Artemis de McAfee, la primera tecnología de la industria en proteger a los usuarios de computadoras contra ataques mientras éstos se producen sin necesidad de instalar en el equipo una actualización tradicional y programada de firmas de amenazas, lo cual ayuda significativamente a las empresas a reducir su exposición a amenazas emergentes. En comparación con la alternativa de comprar y mantener varios productos de seguridad de distintos proveedores, esta solución permitirá ahorrar tiempo para hacer negocios, ahorrar dinero y proporcionar defensas más poderosas contra amenazas conocidas y desconocidas.

“Nuestra experiencia más valiosa con tener varios productos de Mc Afee para resolver nuestros problemas de seguridad constituye un solo punto de contacto que comprende nuestro entorno”, señaló Christy Foltz, Administradora de sistemas de información de redes y tecnologías de American Woodmark Corporation. “Hacemos una simple llamada telefónica o una solicitud de servicio y recibimos soporte para varias plataformas, el cual facilita considerablemente las molestias de la administración y el mantenimiento de implementar una seguridad en capas”.

“Nuestros clientes de SMB nos comentan que desean centrarse en desarrollar sus negocios, no en comprar ni mantener un montón de ‘soluciones puntuales’ que da el proveedor de seguridad”, dijo Darrell Rodenbaugh, vicepresidente senior del segmento de mercado mediano de McAfee. “Ellos nos señalan que desean una seguridad lista, sencilla y garantizada, con inteligencia incorporada, fácil de implementar y mantener y, lo más importante, una protección inflexible para mantener a salvo los sistemas d e información de nuestros clientes. Pensamos que este nuevo y poderoso conjunto de aplicaciones, combinado con mejores prácticas innovadoras para la administración de la seguridad, proporciona el máximo nivel de protección por la menor cantidad de tiempo, esfuerzo y costos”.

Fuente:Pergamino Virtual

Desde hace varios días se está observando que una vulnerabilidad corregida en la última versión de Adobe (tanto su versión Reader como la que permite editar) está siendo aprovechada de forma activa para infectar sistemas. Se están creando nuevos ataques tan recientes que, en cierta forma, están pasando desapercibidos para muchos antivirus.

El pasado día 5 de noviembre Adobe publicó (entre otros boletines de seguridad para otros productos) una actualización para Adobe y Adobe Reader 8 que solucionaba varias vulnerabilidades que permitían la ejecución de código.

Uno de los fallos más graves se daba en la función JavaScript “util.printf”, provocado por un error al procesar cadenas de formato.

Adobe fue advertida del problema en abril de este mismo año. Foxit Reader, otro popular lector de PDF, también sufría una vulnerabilidad muy parecida. Foxit lo solucionó un mes después, en abril, mientras que Adobe publicó a principios de noviembre el parche. Poco después apareció información pública con los datos técnicos de la vulnerabilidad.

Como era de esperar, esta vulnerabilidad está siendo aprovechada de forma activa desde hace días para instalar malware en el sistema, si se abre un archivo PDF especialmente manipulado. Se está observando una gran cantidad de correo basura o páginas web que contienen estos ficheros en PDF. En estos momentos, los nuevos archivos PDF usados para el ultimísimo ataque son detectados (a través de firmas) apenas por un 14% de motores antivirus en Virustotal.com

F-Secure, versión 8.0.14332.0, fecha 2008.11.12: Exploit:W32/Pidief.AS SecureWeb-Gateway, versión 6.7.6, fecha 2008.11.12:

Exploit.PDF.Shellcode.gen (suspicious)

Symantec, versión 10, fecha 2008.11.12: Trojan.Pidief.D TrendMicro, versión 8.700.0.1004, fecha 2008.11.12: TROJ_PIDIEF.CW

Es importante destacar que esto no significa que otros (e incluso esos

mismos) motores antivirus instalados en el escritorio no puedan detectar el fichero PDF como malicioso a través de otros métodos que no sean exclusivamente las firmas. También es probable que detecten, si no el PDF, el malware que suele ser descargado a posteriori, una vez aprovechada la vulnerabilidad. El indicador de VirusTotal sólo nos permite hacernos una idea de cuántos archivos podrían llegar a pasar un primer filtro antivirus situado por ejemplo en el perímetro, integrado en el correo, donde sólo se suelen tener en cuentas las firmas para filtrar muestras y llegar así al escritorio. Además, es seguro que en muy poco tiempo sea detectado por la mayoría de los antivirus en cuanto actualicen sus bases de datos de firmas.

Aunque un fallo muy similar fue encontrado en abril, no se anunció públicamente que afectase a Adobe. Sólo Foxit Reader lo solucionó, y no se han detectado ataques contra este lector. No ha sido hasta que se ha hecho público que el problema afecta a Adobe, que, aun existiendo parche, los atacantes se han lanzado a aprovechar la vulnerabilidad.

Se aconseja actualizar el lector lo antes posible. En sistemas en los que la actualización no sea posible por cualquier razón, se puede desactivar la interpretación de JavaScript del lector (y eliminar así no solo este, sino otros muchos problemas futuros) con un cambio en el registro de Windows. Algunas funcionalidades del lector podrían dejar de estar operativas. En la rama:

HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\8.0\JSPrefs

Añadir la clave:

Nombre: bEnableJS

Tipo: DWORD

Valor: 0

Fuente: Noticias Hispasec

Tal y como adelantamos, este martes Microsoft ha publicado dos boletines de seguridad (del MS08-068 y MS08-069) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft uno de los boletines presenta un nivel de gravedad “importante” y otro es “crítico”.

Los dos boletines publicados son:

* MS08-068: Actualización considerada como importante que corrige una vulnerabilidad en el protocolo Microsoft Server Message Block (SMB) que podría ser aprovechada por un atacante remoto para ejecutar código arbitrario.

* MS08-069: Actualización crítica destinada a solucionar tres vulnerabilidades en Microsoft XML Core Services, que en el caso más grave permitirían la ejecución remota de código arbitrario si el usuario visualiza un e-mail o abre con Internet Explorer una página web especialmente manipulada. También podrían permitir la obtención de información sensible en similares condiciones. Afecta a Windows 2000, Windows Server 2003, Windows Server 2008, Windows Vista, Windows XP y Office.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.

Fuente: Noticias Hispasec

Los investigadores alemanes Erik Tews y Martin Beck dicen haber conseguido saltarse parcialmente la seguridad que proporciona WPA (Wi-Fi Protected Access) en las redes inalámbricas. WPA vino a salvarnos del inseguro WEP (Wired Equivalent Privacy), que fue vencido pocos años después de su estandarización y que hoy en día es un cifrado obsoleto.

Este descubrimiento hace pensar que WPA parece ir por el mismo camino.

Segundo ataque al algoritmo de cifrado y autenticación WPA para redes inalámbricas, y esta vez va en serio. A principios de octubre se publicó la noticia de que la compañía rusa ElcomSoft había conseguido reducir sustancialmente el tiempo necesario para recuperar una clave de WPA, ayudándose de tarjetas gráficas NVIDIA. Al parecer el método conseguía, a través de fuerza bruta, deducir claves extraordinariamente rápido. La fuerza bruta no supone un ataque o una debilidad del WPA en sí, por tanto el cifrado se mantenía relativamente a salvo siempre que se usase una contraseña suficientemente larga y entrópica. El descubrimiento de ElcomSoft no era tan relevante en este sentido. Todo es susceptible de ser atacado por fuerza bruta. Sin embargo lo que Tews y Beck han encontrado sí es un problema inherente a una parte de WPA, un fallo en la criptografía usada en muchas configuraciones.

Es importante recalcar que el método descubierto no permite recuperar la contraseña. Y que tampoco influye el método de autenticación. El problema está en el cifrado. Está limitado a descifrar paquetes concretos o inyectar nuevos (y sólo una pequeña cantidad). También es necesario destacar que el ataque sólo funciona si se utiliza el cifrado TKIP, no el AES. El ataque inminente y posible es provocar una denegación de servicio o inyectar paquetes ARP, lo que puede hacer que se redirija el tráfico. Insistimos en que no es posible por ahora recuperar la clave o descifrar todo el tráfico.

WPA puede usar diferentes algoritmos de cifrado: AES (estándar y seguro por ahora) y el Temporal Key Integrity Protocol (TKIP). Aquí es donde se ha encontrado la vulnerabilidad. Un ataque basado en la misma técnica que volvió obsoleto al WEP (ataque conocido como chopchop) ha permitido que se pueda descifrar un paquete de tipo ARP en menos de 15 minutos, independientemente de la contraseña usada para proteger el WPA. TKIP se creó precisamente para solucionar los problemas de WEP. Por ejemplo añade entre otras, comprobación de integridad del mensaje (MIC) en vez del débil CRC32 que usaba WEP. El problema es que TKIP también conserva varios peligros heredados de WEP. TKIP se creó para que fuese compatible con los dispositivos que ofrecían WEP sólo con actualizaciones del firmware, sin necesidad de cambiar el hardware: un parche.

Los analistas han observado que aprovechándose de estas similitudes, y eludiendo las mejoras introducidas con TKIP, se puede realizar un ataque muy al estilo del que se creó contra WEP y con resultados limitados.

Para ello atacan a paquetes ARP (se usan estos paquetes porque son pequeños y sólo quedan por conocer 14 bytes, una vez que se sabe en qué subred nos movemos) y el resultado es que se puede descifrar en menos de

15 minutos. Para otros paquetes se debería emplear más tiempo. El truco es usar un canal o cola QoS diferente de donde fue recibido el paquete.

El ataque funciona incluso si la red no tiene funcionalidad QoS.

En una versión en desarrollo de aircrack-ng, se puede encontrar la implementación del ataque. Es bastante probable que, en cuestión de tiempo, se mejore el ataque y se rompan las limitaciones que por ahora sufre.

Los usuarios y administradores que usen WPA deben cambiar en la medida de lo posible al cifrado AES, o mejor aún pasar a WPA2 que soluciona de raíz el problema. Si no es posible, también cabe la posibilidad de configurar WPA para que el recálculo de claves sea cada, por ejemplo, 120 segundos o menos. Aunque esto puede tener cierto impacto sobre el rendimiento.

Si bien el algoritmo de cifrado no está completamente comprometido, sí que puede servir de trampolín para que se estudien nuevas técnicas y pueda ser finalmente roto. Lo mejor es que supone una llamada de atención para actualizar a un protocolo más seguro como es WPA2, pero sin que se corra un riesgo inminente y catastrófico al mantener el WPA por ahora.

Fuente: Noticias Hispasec

(Open Systems Interconnection – Interconexión de Sistemas Abiertos) Norma universal para protocolos de comunicación lanzado en 1984. Fue propuesto por ISO y divide las tareas de la red en siete niveles.

Proporciona a los fabricantes estándares que aseguran mayor compatibilidad e interoperatibilidad entre distintas tecnologías de red producidas a mundialmente.

A principios de la década de 1980 hubo un gran crecimiento en cantidad y tamaño de redes, especialmente por parte de empresas. A mediados de la década se comenzaron a notar los inconvenientes de este gran crecimiento. Las redes tenían problemas para comunicarse entre sí por las diferentes implementaciones que tenía cada empresa desarrolladora de tecnologías de red.

Para resolver este problema de incompatibilidades entre redes, la ISO produjo un conjunto de reglas y normas aplicables en forma general a todas las redes. El resultado fue un modelo de red que ayuda a fabricantes y empresas a crear redes compatibles entre sí.

Este esquema fue utilizado para crear numerosos protocolos. Con el tiempo comenzaron a llegar protocolos más flexibles, donde cada capa no estaba tan diferenciada y por lo tanto no estaba claro el nivel OSI al que correspondían. Esto hizo que este esquema se ponga en segundo plano. Sin embargo sigue siendo muy utilizado en la enseñanza en universidades y cursos de redes, especialmente para mostrar cómo pueden estructurarse los protocolos de comunicaciones en forma de pila, aunque no se corresponda demasiado con la realidad.

El modelo, como puede observarse a la derecha, tiene siete niveles o capas:
1. Capa física
2. Capa de enlace de datos.
3. Capa de red.
4. Capa de transporte.
5. Capa de sesión.
6. Capa de presentación.
7. Capa de aplicación.

Fuente:Alegsa

Siempre está la discusión sobre la veracidad de sitios del tipo quienteadmite y es difícil probar si se almacenan los datos obtenidos, quien trafica con los mismos y sobre la intención y la ética de los creadores de estos sitios.

Más allá de la intención de sus webmasters, ampliamente discutida en Segu-Info y en tantos otros blogs y foros, lo cierto es que esa información puede ser almacena y luego ser obtenida por terceras partes que, como en este caso, deciden publicarla:
Este sitio web es una gran recopilación de información obtenida (desconozco la forma) de sitios públicos en los cuales cualquier persona ingresa su usuario y contraseña.

Además, en este sitio también se consulta al visitante si los datos ofrecidos funcionan o no, a modo de testing de efectividad.
Haciendo la prueba con cualquiera de los datos ofrecidos, se puede comprobar que los mismos pertenecen a cuentas reales y están plenamente funcionales:
Entonces: no ingrese su información confidencial en ningún sitio no oficial y si ya lo hizo cambie la clave de inmediato.

Fuente: Segu Info

Cisco ha anunciado la existencia de una vulnerabilidad en Cisco IOS y CatOS que podría permitir a un atacante remoto provocar una denegación de servicio.

La vulnerabilidad consiste en un error en la implementación del protocolo VTP (VLAN Trunking Protocol) en IOS y CatOS al procesar paquetes VTP enviados desde la red local, independientemente si el dispositivo opera en modo cliente o servidor. Un atacante remoto podría provocar que el dispositivo deje de responder mediante un paquete VTP especialmente manipulado.

Para la realización exitosa del ataque, es necesario que el paquete VTP se reciba a través de una interfaz de red configurada como trunk port.

Los productos afectados son:

* Dispositivos que ejecuten versiones de IOS o CatOS afectadas y que tengan configurada la función VTP como servidor o cliente.

* Dispositivos que ejecuten versiones de IOS o CatOS afectadas con módulos de switch ethernet para la series de routers 1800, 2600, 3600, 3700 y 3800 que tengan configurada la función VTP como servidor o cliente..

Los dispositivos que ejecuten la versión 3 del protocolo VTP o estén configurados en modo transparente no se ven afectados por este fallo.

Fuente: Noticias Hispasec