EnHacke

Denegación de servicio en Samba

Publicado por el febrero 1, 2012 · Dejar un comentario 

Se ha anunciado una vulnerabilidad en Samba que podría permitir a un atacante provocar una denegación de servicio.

Samba es una implementación libre del protocolo decompartición de archivos Microsoft para sistemas de UNIX. De esta manera equipos con sistemas GNU/Linux, MacOS o Unix en general pueden formar parte de la red de directorios compartidos de Windows.

La vulnerabilidad, descubierta por Youzhong Yang e Ira Cooper, está causada por un error en el demonio smbd al no liberar memoria cuando maneja solicitudes de conexión, incluso si estas no tienen éxito debido a una autenticación incorrecta.
Un atacante en red local podría explotar esta vulnerabilidad para agotar la memoria y aumentar el uso de la CPU del sistema, causando una denegación de servicio mediante el envío de un gran número de solicitudes de conexión.
La vulnerabilidad, identificada como CVE-2012-0817, afecta a las versiones de Samba 3.6.0 hasta 3.6.2.
Desde la página oficial de Samba se puede descargar la versión 3.6.3, así como parches para otras versiones que corrigen la vulnerabilidad explicada anteriormente: http://www.samba.org/samba/security/
Más información:
CVE-2012-0817 – Memory leak/Denial of Service
http://www.samba.org/samba/security/CVE-2012-0817
Samba 3.6.3 Available for Download
http://www.samba.org/samba/history/samba-3.6.3.html

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , ,

Microsoft identifica al responsable de la botnet Kelihos

Publicado por el enero 24, 2012 · Dejar un comentario 

Los de Redmond acusan al ciudadano ruso Andrey N. Sabelnikov, procedente de San Petersburgo, de ser el responsable de escribir el código y parte de la creación de Kelihos.

La botnet infectó alrededor de 41.000 ordenadores por todo el mundo y era capaz de enviar 3.800 millones de mails (spam) al día. Microsoft fue capaz de desmantelar la botnet a finales de septiembre.

El acusado trabaja como desarrollador en una firma de software y consultoría. Antes de esto trabajó como ingeniero de software y director de un proyecto que proporcionaba firewall, antivirus y software de seguridad.

Microsoft ha identificado a Sabelnikov con la ayuda de otro acusado del caso. La compañía considera que la actuación judicial es importante “por el daño causado por Kelihos y porque todos los participantes en la botnet deben entender que hay riesgos y consecuencias por participar en actividades maliciosas”.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , ,

Una nueva vulnerabilidad en Windows 7 64 bits podría permitir la ejecución remota de código

Publicado por el enero 11, 2012 · Dejar un comentario 

Microsoft está investigando reportes de una vulnerabilidad en la versión de 64 bits de Windows 7 que llevaría a cierres forzados y permitiría a los atacantes ejecutar código arbitrario en los sistemas afectados.

La falla de seguridad puede activarse al abrir una página web que contegna un iframe específicamente diseñado, utilizando el navegador Safari de Apple.

El usuario de Twitter WebDEViL reportó que la falla puede colapsar un sistema, activando la temida “pantalla azul de la muerte”. Los investigadores de seguridad de Secunia creen que el colapso también se desencadenaría para ejecutar código malicioso.

“Basados en nuestras pruebas, el impacto podría ser más severo debido al tipo de colapso y la naturaleza de la vulnerabilidad, es decir, un cuelgue intentar escribir a una memoria inválida en un llamado a memmove()“, dijo el especialista en jefe de seguridad de Secunia, Carsten Eiram. “Basados en esto, consideramos que la ejecución de código remoto es una posibilidad, aunque no ha sido probado hasta el momento”.

La falla en seguridad viene de un error en el driver en modo de kernel win32, una fuente común para vulnerabilidades críticas en Windows.

Hasta el momento sólo se ha confirmado la debilidad en Windows 7 de 64 bits, al procesar un iframe con un atributo de altura excesivo en Safari.

Sin embargo, los investigadores no excluyen la posibilidad de que otras versiones de Windows puedan verse afectadas mediante distintos vectores de ataque. “Otras versiones de 64 bit podrían ser afectadas”, mencionó Eiram. ”Durante las pruebas no observamos ningún fallo en Windows XP SP3 de 32 bits ni en Windows 7 de 32 bits, pero tampoco podemos negar por completo que estos puedan ser afectados por diferentes ángulos”, añadió.

Microsoft está al tanto de los reportes, pero no ha hecho ningún anuncio público. “Estamos examinando actualmente el asunto y tomaremos medidas apropiadas para asegurar que los usuarios estén protegidos”, dijo Jerry Bryant, gerente de comunicaciones de respuesta del Grupo de Cómputo Confiable de Microsoft.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

La evolución del malware Ramnit

Publicado por el enero 9, 2012 · Dejar un comentario 

Aunque lleva un buen tiempo en la Web, el malware conocido como Ramnit ha recibido la atención de los medios después de su aventura enFacebook, a través de la cual logró robar cerca de45 mil nombres de usuario y contraseñas, principalmente en el Reino Unido y Francia. Sin embargo, su historia parece estar lejos de terminar. Con la ayuda de un poco del código de la botnet Zeus, Ramnit ahora puede ser más flexible, dejando atrás su rol de simple gusano. ¿Tenemosun nuevo Conficker en puerta, o lo atraparemos antes de que incendie todo?

Si tenemos en cuenta a la base de datos de Symantec, el gusano Ramnit fue originalmente detectado a mediados de enero de 2010 (Microsoft anuncia que su descubrimiento fue en abril de ese año). Pero su forma original es poco relevante frente a lo que pueden hacer sus variantes. Una de ellas apareció en marzo de 2011, con la capacidad de infectar documentos de Office, además de clásicos como ejecutables y bibliotecas, y el hecho de copiarse a unidades extraíbles para aumentar aún más su rango de infección. En el verano pasado, las infecciones detectadas de Ramnit aumentaron de forma significativa. Symantec reportó que más del 17 por ciento de todo el malware que sus productos bloquearon entre junio y julio de 2011 estaba representado por Ramnit. En agosto, Ramnit recibió cierto perfil fraudulento a partir del filtrado del código Zeus. Y entre septiembre y diciembre de 2011, se confirmó la infección de 800 mil sistemas.

Como si fuera poco, la última variante de Ramnit logró adquirir unas 45 mil contraseñas de Facebook, con una especial concentración sobre usuarios del Reino Unido y Francia. En promedio, Facebook debe lidiar con unas 600 mil cuentas “comprometidas” diariamente, pero es lógico asumir que múltiples formas de malware están incrementando su presión sobre la red social para incrementar tanto la velocidad de las infecciones como su alcance, y Ramnit no es la excepción. Lo que hace peligroso a este gusano es que, con la integración del código Zeus, Ramnit puede ser “personalizado” a través de varios módulos, aunque el objetivo final continúa siendo el mismo: Obtener cualquier información relacionada con tarjetas de crédito y/o cuentas bancarias, para “limpiar” a los usuarios afectados.

Las recomendaciones generales para los usuarios finales se mantienen intactas. Con un antivirus actualizado, un firewall activo y un comportamiento coherente a la hora de navegar por la Web y revisar el perfil de Facebook (el gusano afecta a plataformas Windows, pero hoy nadie debe descuidarse), deberíamos permanecer lejos de las garras de Ramnit y cualquier otro malware similar. Cualquier enlace o mensaje extraño que recibas en Facebook debe ser bloqueado y reportado de inmediato, ya que es probable que uno de tus contactos tenga el ordenador infectado y ni siquiera esté consciente de ello.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , ,

Adobe y Microsoft publicarán parches de seguridad el Martes 10

Publicado por el enero 7, 2012 · Dejar un comentario 

El próximo Martes día 10 todos tenemos una cita ineludible con dos gigantes del software: Microsoft y Adobe, para solucionar varios problemas de seguridad detectados en productos de ambas compañías. Microsoft por un lado publicará siete boletines de seguridad en su ciclo habitual de actualizaciones los segundos martes de cada mes y Adobe publicará sendos parches para sus productos Reader y Acrobat para sistemas Windows y Mac OS. A continuación les ofrecemos más detalles.

Adobe solucionará varias vulnerabilidades de seguridad clasificadas como críticas y que afectan a diferentes versiones de Adobe Reader y Acrobat. Concretamente a las siguientes según apunta ZDNet:

  • Adobe Reader X (10.1.1) y versiones anteriores 10.x para Windows y Mac
  • Adobe Reader 9.4.7 y versiones anteriores 9.x para Windows
  • Adobe Reader 9.4.6 y versiones anteriores 9.x para Mac
  • Adobe Acrobat X (10.1.1) y versiones anteriores 10.x para Windows y Mac
  • Adobe Acrobat 9.4.7 y versiones anteriores 9.x para Windows
  • Adobe Acrobat 9.4.6 y versiones anteriores 9.x para Macintosh

En lo que respecta a los boletines de seguridad de Microsoft de Enero 2012, estos serán un total de siete, clasificados como críticos (1) e importantes (6) y que solucionan vulnerabilidades que van desde la elevación de privilegios, a la ejecución remota de código y la divulgación de información.

Los sistemas operativos afectados son Windows XP, Server 2003 y 2008, Vista y Windows 7, además de la herramienta de desarrollo de software de Microsoft.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Boletín de Microsoft corrige cuatro vulnerabilidades de .NET Framework

Publicado por el enero 3, 2012 · Dejar un comentario 

Microsoft publicó un último boletín de seguridad antes de acabar el año. El aviso MS11-100, publicado el jueves 29 de diciembre, se aparta de la norma de publicación de boletines de seguridad los segundos martes de cada mes a la que acostumbra esta compañía. Esto es debido al carácter crítico de las vulnerabilidades y a que una de ellas se ha divulgado públicamente.

En total el boletín corrige cuatro vulnerabilidades que afectan a .NET Framework en todas sus versiones. A continuación se exponen dichas vulnerabilidades ordenadas por sus identificadores CVE.

  • CVE-2011-3414: Se trata de la vulnerabilidad ya comentada en relación con la forma en que ASP.NET Framework trata peticiones específicamente construidas, que puede causar colisiones hash, y con ello un incremento del consumo de los recursos del sistema. Esto podría ser utilizado por un atacante remoto para provocar condiciones de denegación de servicio.
  • CVE-2011-3415: Existe un fallo en la comprobación de las direcciones URL de retorno durante el proceso de autenticación de formularios en .NET Framework. Un atacante remoto podía aprovechar esta vulnerabilidad para revelar información sensible al redirigir a un usuario a un sitio web diferente sin el conocimiento de este, a través de un enlace especialmente manipulado.
  • CVE-2011-3416: Un fallo en la forma en que .NET Framework autentica a los usuarios podría ser utilizado por un atacante remoto para elevar privilegios a través de una petición web especialmente manipulada. Para aprovechar esta vulnerabilidad, el atacante debe registrar una cuenta en la aplicación ASP.NET, y conocer el nombre de la cuenta de usuario a la que pretende acceder.
  • CVE-2011-3417: Una última vulnerabilidad en la forma en que ASP.NET maneja el contenido almacenado en caché cuando se utiliza la autenticación de formularios con pérdida de deslizamiento activada. Esto podría ser aprovechado por un atacante remoto para elevar privilegios a través de un enlace especialmente manipulado.
Los parches que corrigen las vulnerabilidades anteriores pueden descargarse desde el propio boletín de Microsoft, o a través de Windows Update. Dada la gravedad de las vulnerabilidades se recomienda la actualización de los sistemas con la mayor brevedad posible.
Más información:
Microsoft Security Bulletin MS11-100 – Critical
Vulnerabilities in .NET Framework Could Allow Elevation of Privilege (2638420)
http://technet.microsoft.com/en-us/security/bulletin/ms11-100

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , ,