EnHacke

Denegación de servicio en Samba

Publicado por el febrero 1, 2012 · Dejar un comentario 

Se ha anunciado una vulnerabilidad en Samba que podría permitir a un atacante provocar una denegación de servicio.

Samba es una implementación libre del protocolo decompartición de archivos Microsoft para sistemas de UNIX. De esta manera equipos con sistemas GNU/Linux, MacOS o Unix en general pueden formar parte de la red de directorios compartidos de Windows.

La vulnerabilidad, descubierta por Youzhong Yang e Ira Cooper, está causada por un error en el demonio smbd al no liberar memoria cuando maneja solicitudes de conexión, incluso si estas no tienen éxito debido a una autenticación incorrecta.
Un atacante en red local podría explotar esta vulnerabilidad para agotar la memoria y aumentar el uso de la CPU del sistema, causando una denegación de servicio mediante el envío de un gran número de solicitudes de conexión.
La vulnerabilidad, identificada como CVE-2012-0817, afecta a las versiones de Samba 3.6.0 hasta 3.6.2.
Desde la página oficial de Samba se puede descargar la versión 3.6.3, así como parches para otras versiones que corrigen la vulnerabilidad explicada anteriormente: http://www.samba.org/samba/security/
Más información:
CVE-2012-0817 – Memory leak/Denial of Service
http://www.samba.org/samba/security/CVE-2012-0817
Samba 3.6.3 Available for Download
http://www.samba.org/samba/history/samba-3.6.3.html

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , ,

El malware prolifera en los terminales Mac

Publicado por el enero 30, 2012 · Dejar un comentario 

Un estudio asegura que 2011 fue uno de los peores años hasta el momento en cuanto a ataques contra la plataforma de Apple. El sistema Mac comenzó a registrar ataques importantes contra su seguridad.

Aunque se trata todavía de ejemplos insignificantes, comparados con los ataques que sufre Windows, los usuarios de Apple ya no son inmunes al malware y deben prestar mucha atención a las amenazas que surgen de la ingeniería social, según los expertos de Intego que han realizado el estudio.

Según su constante análisis y su informe anual, 2011 fue el peor ejercicio para la seguridad de los usuarios de Apple, por la creciente sofisticación de los ataques.

El informe divide el año en dos mitades, antes y después del 2 de mayo, fecha en la que fue descubierto un ataque encubierto bajo la apariencia de software de defensa para MAC.

Antes de eso, la amezana a estos equipos era similar a la acostumbrada, es decir, un puñado de ataques de bajo nivel. Sin embargo, OSX/ MAcDefender. A  cambió la ecuación. Además de ser el primer ataque significativo como la apariencia de  antivirus, fue creado utilizando Java para dotarle de capacidad multiplataforma y alcanzar también equipos Windows y Linux.

En los siguientes días, aparecieron más versiones de este tipo bajo diferentes nombres, incluyendo Mac Protector y Mac Guard y CaShield, al tiempo que Apple recibía un creciente número de llamadas de soporte de usuarios que habían sido convencidos de instalar el software falso.

A lo largo del año, también aparecieron aplicaciones malware, como el Troyano Flashback un fantasma que ofrecía un aspecto convincente de Flash Player.

En pocas palabras, los criminales están de repente deseando escribir aplicaciones fantasma que les permita convencer a usuarios de Mac para descargar software malicioso.

Como se destaca en el propio blog de Intego, “2011 ha sido el año más activo en cuanto a malware para Mac, desde que se presentó Mac OS X. No sólo hemos encontrado más ejemplares de malware este año, además Mac Defender llevó sus ataques a un público masivo”.

Incluso, la propia compañía ha descubierto el año pasado una herramienta diseñada específicamente para arrancar Macs y utilizarlos en ataques DDoS, algo impensable hace solo un año.

La única buena noticia al respecto que trajo el pasado año fue el arresto de una pandilla Estonia (the arrest of the Estonian gang)

acusada de estar detrás del malware de redirección de búsqueda DNSChanger que ha sido una de las mayores molestias tanto para usuarios de PC como de Mac en muchos años.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Inteco descubre a Espión, un troyano que descarga softwares maliciosos de la Red

Publicado por el enero 20, 2012 · Dejar un comentario 

Inteco-Cert ha catalogado esta semana el virus Espion. Troyano que afecta en la plataforma Windows tratando de descargar software malicioso desde Internet. Cuando se ejecuta, modifica el registro de Windows, de manera que el troyano actúa automáticamente en cada reinicio del sistema. Además se conecta con sitios maliciosos remotos para descargarse nuevo malware.

Como medida, si se utiliza el sistema operativo Windows Me, XP o Vista, y se sabe cuándo se produjo la infección, se puede usar la característica de “restauración del sistema” para eliminar el virus volviendo a un punto de restauración anterior a la infección. Éste es uno de los 11 virus publicados en los últimos 7 días por Inteco-Cert unido a 119 vulnerabilidades.

Inteco-Cert  publica diariamente las vulnerabilidades y los virus encontrados que más afectan a los internautas. Son más de 48.800 las vulnerabilidades traducidas al español y alrededor de 10.500 los virus catalogados y publicados por INTECO-CERT con la finalidad de ofrecer datos más cercanos a los internautas de habla hispana.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , ,

El Inteco alerta de un virus que se propaga con los dispostivos extraíbles

Publicado por el enero 16, 2012 · Dejar un comentario 

El Instituto Nacional de Tecnologías de la Comunicación (Inteco) alerta de un nuevo virus para la plataforma Windows, de Microsoft, que se propaga a través de los dispositivos extraíbles que se conectan a un ordenador creando una copia de sí mismo en cada uno que detecta.

El virus, denominado IRCbot.k, una vez instalado en un ordenador comprueba cada treinta segundos si hay un nuevo dispositivo extraíble conectado, se instala en él y se vincula a un canal de chat para recibir comandos como actualizarse o visitar páginas web.

Una vez dentro, el virus crea copias de sí mismo imitando los nombres de las carpetas que ya están guardadas en el dispositivo en cuestión, además de un acceso directo que apunta al archivo malicioso. El Inteco recomienda, ante este y otros virus que puedan estar infectando equipos informáticos, que el usuario tenga instalado un antivirus, sea cauto al navegar por la Red y actualice con frecuencia el ordenador y los programas.

Del mismo modo, el centro tecnológico recomienda la instalación de cortafuegos, que no son lo mismo que los antivirus, según recuerda, ya que los primeros evitan que un posible virus que ya se haya instalado envíe datos sin autorización del usuario e impiden que un usuario malintencionado pueda entrar en un equipo ajeno y acceder a la información.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , ,

Adobe parchea fallos Día Cero para Acrobat y Reader

Publicado por el enero 12, 2012 · Dejar un comentario 

A primeros de diciembre Adobe lanzó un boletín de seguridad relativo a ataques Día Cero contra archivos PDF que aprovechaban fallos en sus programas Reader y Acrobat, y que permitían a un hacker forzar el programa y tomar el control del sistema.

Inicialmente el fallo se encontró en las versiones 9.4.6 y X (10.1.1) de Reader y Acrobat para todas las plataformas, aunque más tarde pareció afectar también a Adobe Flash Player.

A pesar de afectar a múltiples plataformas y versiones de software, Adobe aseguró que el fallo sólo se podía explotar activamente en las versiones para Windows de Acrobat y Reader, y ya que las versiones 10.1.1 del software incorporaban opciones de seguridad mejoradas que hacían fracasar el exploit, Adobe sólo se centró en actualizar las versiones 9.4.2 de Reader y Acrobat para Windows.

Ya entonces Adobe anunció que solucionaría el fallo para las otras versiones de su software a partir del 10 de enero de 2012, y eso es precisamente lo que está ocurriendo ahora.

Hasta que puedas acceder a las actualizaciones, los usuarios que estén utilizando Acrobat X o Reader X (versiones X o superiores) pueden estar más seguros mejorando las opciones de seguridad en las preferencias del programa.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , ,

Troyano informático podría causar graves daños a partir de marzo

Publicado por el enero 12, 2012 · Dejar un comentario 

Expertos en seguridad informática aconsejan a usuarios someter a sus computadoras a una prueba en internet para saber si están infectadas con el troyano “DNS-Changer”, que podría causar serios daños a partir de marzo.

Luego de que se desbaratara el ataque perpetrado por hackers con el troyano “DNS-Changer”, expertos en informática aconsejan a usuarios de todo el mundo verificar si sus computadoras están infectadas. Si bien los delincuentes del ciberespacio fueron detenidos en noviembre de 2011 por agentes del FBI en Nueva York, los troyanos podrían haber infectado millones de computadoras en todo el mundo. Algo que comenzaría a provocar graves problemas a partir de marzo.

Servidores inutilizados

El programa viral “DNS-Changer” manipuló la configuración de red de los sistemas Windows y Mac de tal forma que era imposible acceder correctamente a internet. Los usuarios eran desviados a falsas páginas web originadas por unos cien servidores manejados por los hackers.

El objetivo de los piratas informáticos era trocar la publicidad de esas páginas por otra por la cual ellos cobraban comisión. Del mismo modo, ofrecían y vendían a través de esas páginas medicamentos y programas antivirus ilegales, con cuyas ganancias el grupo habría obtenido unos 10 millones de euros.

Luego de que el FBI detuvo a los piratas, los servidores fueron sustituidos primeramente por servidores provisorios que serán desconectados el 8 de marzo próximo, con la consecuencia de que quien tenga al troyano dentro de su computadora no podrá acceder a internet, ya que serán derivados a servidores que ya no existen. Por eso, los expertos recomiendan someter a prueba a las computadoras.

Página de prueba en Alemania

Según un comunicado de la Oficina Federal de Investigación (BKA), sólo en Alemania hay, de acuerdo con el FBI, cerca de 33.000 computadoras afectadas por día. La Oficina Federal de Seguridad Informática (BSI), junto con la Oficina Federal de Investigación y la Telekom han creado la página www.dns-ok.de, que prueba las computadoras en forma automática.

Si se visita esa página, la misma comunica inmediatamente que no hay peligro con el siguiente mensaje: “Ihre DNS Konfiguration ist korrekt” (Su configuración de DNS es correcta). De estar presente el troyano en la computadora, aparece un mensaje de alarma en rojo: “Achtung: Ihre DNS Konfiguration ist manipuliert” (Su configuración de DNS ha sido manipulada). En ese caso, también se dan recomendaciones sobre cómo extirpar el virus y cómo volver a configurar el sistema correctamente.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Una nueva vulnerabilidad en Windows 7 64 bits podría permitir la ejecución remota de código

Publicado por el enero 11, 2012 · Dejar un comentario 

Microsoft está investigando reportes de una vulnerabilidad en la versión de 64 bits de Windows 7 que llevaría a cierres forzados y permitiría a los atacantes ejecutar código arbitrario en los sistemas afectados.

La falla de seguridad puede activarse al abrir una página web que contegna un iframe específicamente diseñado, utilizando el navegador Safari de Apple.

El usuario de Twitter WebDEViL reportó que la falla puede colapsar un sistema, activando la temida “pantalla azul de la muerte”. Los investigadores de seguridad de Secunia creen que el colapso también se desencadenaría para ejecutar código malicioso.

“Basados en nuestras pruebas, el impacto podría ser más severo debido al tipo de colapso y la naturaleza de la vulnerabilidad, es decir, un cuelgue intentar escribir a una memoria inválida en un llamado a memmove()“, dijo el especialista en jefe de seguridad de Secunia, Carsten Eiram. “Basados en esto, consideramos que la ejecución de código remoto es una posibilidad, aunque no ha sido probado hasta el momento”.

La falla en seguridad viene de un error en el driver en modo de kernel win32, una fuente común para vulnerabilidades críticas en Windows.

Hasta el momento sólo se ha confirmado la debilidad en Windows 7 de 64 bits, al procesar un iframe con un atributo de altura excesivo en Safari.

Sin embargo, los investigadores no excluyen la posibilidad de que otras versiones de Windows puedan verse afectadas mediante distintos vectores de ataque. “Otras versiones de 64 bit podrían ser afectadas”, mencionó Eiram. ”Durante las pruebas no observamos ningún fallo en Windows XP SP3 de 32 bits ni en Windows 7 de 32 bits, pero tampoco podemos negar por completo que estos puedan ser afectados por diferentes ángulos”, añadió.

Microsoft está al tanto de los reportes, pero no ha hecho ningún anuncio público. “Estamos examinando actualmente el asunto y tomaremos medidas apropiadas para asegurar que los usuarios estén protegidos”, dijo Jerry Bryant, gerente de comunicaciones de respuesta del Grupo de Cómputo Confiable de Microsoft.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Dorkbot recluta equipos para una botnet latinoamericana

Publicado por el enero 9, 2012 · Dejar un comentario 

El código malicioso, que se distribuye mediante Facebook y Windows Live Messenger, también roba credenciales de acceso a redes sociales de los usuarios y realiza ataques de phishing contra entidades bancarias de la región.

ESET anunció el descubrimiento de una masiva campaña de propagación de malware mediante mensajes de Facebook y Windows Live Messenger que convierte a los equipos infectados en parte de una red botnet y roba a los usuarios los datos de acceso de las redes sociales. Se trata de Win32/Dorkbot, el código malicioso de mayor propagación durante los últimos 6 meses en Latinoamérica, el cual también realiza ataques de phishing contra bancos de la región.

De acuerdo a los reportes del Laboratorio de ESET Latinoamérica, la distribución del malware se inicia con un simple mensaje de Ingeniería Social que despierta la curiosidad de los usuarios y los estimula a hacer click en un enlace, dando paso así la descarga de un archivo ejecutable malicioso. En este caso, los cibercriminales utilizan como cepo supuestas fotos de Hugo Chávez, el presidente de Venezuela, en estado agónico. En campañas anteriores de este ataque se utilizaron mensajes asociados a imágenes de la cantante Jennifer López para propagar el mismo código malicioso.

A partir del momento en que el sistema es infectado, el equipo pasa a formar parte de una red botnet y queda a la espera de recibir órdenes. Entre las capacidades de este código malicioso se encuentra también el robo de credenciales de Facebook, Gmail, Hotmail, Twitter y PayPal, entre otros servicios en línea.

Los comandos enviados de manera remota a cada equipo zombie integrante de la red le permiten al atacante definir mensajes para propagar la amenaza a través de estos servicios. De este modo, cuando el sistema infectado se conecte a sitios como Facebook o Windows Live Messenger, se enviarán mensajes a todos los contactos del usuario con un enlace al código malicioso, continuando de este modo el ciclo de propagación.

Por otro lado, al producirse la infección, el código malicioso descarga también un listado de direcciones URL con cinco bancos de Chile y seis bancos de Perú, de modo que cada vez que el usuario se conecte a estos dominios estará remitiendo las claves de acceso de su home banking al cibercriminal.

Este tipo de ataques remarcan aquello que anticipamos en nuestro informe Tendencias 2012: la utilización de estrategias de Ingeniería Social continuará en ascenso y el eje de gran parte de los ataques será el robo de información, un activo cada vez más valioso”, aseguró Sebastián Bortnik, Coordinador de Awareness & Research de ESET Latinoamérica.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

La evolución del malware Ramnit

Publicado por el enero 9, 2012 · Dejar un comentario 

Aunque lleva un buen tiempo en la Web, el malware conocido como Ramnit ha recibido la atención de los medios después de su aventura enFacebook, a través de la cual logró robar cerca de45 mil nombres de usuario y contraseñas, principalmente en el Reino Unido y Francia. Sin embargo, su historia parece estar lejos de terminar. Con la ayuda de un poco del código de la botnet Zeus, Ramnit ahora puede ser más flexible, dejando atrás su rol de simple gusano. ¿Tenemosun nuevo Conficker en puerta, o lo atraparemos antes de que incendie todo?

Si tenemos en cuenta a la base de datos de Symantec, el gusano Ramnit fue originalmente detectado a mediados de enero de 2010 (Microsoft anuncia que su descubrimiento fue en abril de ese año). Pero su forma original es poco relevante frente a lo que pueden hacer sus variantes. Una de ellas apareció en marzo de 2011, con la capacidad de infectar documentos de Office, además de clásicos como ejecutables y bibliotecas, y el hecho de copiarse a unidades extraíbles para aumentar aún más su rango de infección. En el verano pasado, las infecciones detectadas de Ramnit aumentaron de forma significativa. Symantec reportó que más del 17 por ciento de todo el malware que sus productos bloquearon entre junio y julio de 2011 estaba representado por Ramnit. En agosto, Ramnit recibió cierto perfil fraudulento a partir del filtrado del código Zeus. Y entre septiembre y diciembre de 2011, se confirmó la infección de 800 mil sistemas.

Como si fuera poco, la última variante de Ramnit logró adquirir unas 45 mil contraseñas de Facebook, con una especial concentración sobre usuarios del Reino Unido y Francia. En promedio, Facebook debe lidiar con unas 600 mil cuentas “comprometidas” diariamente, pero es lógico asumir que múltiples formas de malware están incrementando su presión sobre la red social para incrementar tanto la velocidad de las infecciones como su alcance, y Ramnit no es la excepción. Lo que hace peligroso a este gusano es que, con la integración del código Zeus, Ramnit puede ser “personalizado” a través de varios módulos, aunque el objetivo final continúa siendo el mismo: Obtener cualquier información relacionada con tarjetas de crédito y/o cuentas bancarias, para “limpiar” a los usuarios afectados.

Las recomendaciones generales para los usuarios finales se mantienen intactas. Con un antivirus actualizado, un firewall activo y un comportamiento coherente a la hora de navegar por la Web y revisar el perfil de Facebook (el gusano afecta a plataformas Windows, pero hoy nadie debe descuidarse), deberíamos permanecer lejos de las garras de Ramnit y cualquier otro malware similar. Cualquier enlace o mensaje extraño que recibas en Facebook debe ser bloqueado y reportado de inmediato, ya que es probable que uno de tus contactos tenga el ordenador infectado y ni siquiera esté consciente de ello.

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , ,

Detectan nuevas variantes de Stuxnet

Publicado por el enero 8, 2012 · Dejar un comentario 

Según Kaspersky, el temido gusano Stuxnet funciona de manera similar a los bloques plásticos interconectables Lego.

El gusano informático Stuxnet es considerado uno de los peores códigos malignos en la historia de la informática. Conocidos son los estragos que causó en los sistemas de control de centrífugas utilizadas para el enriquecimiento de uranio en Irán.

Expertos de Symantec detectaron en octubre pasado indicaciones que sustentan la teoría de que Duqu y Stuxnet tienen el mismo origen. Según Symantec, Duqu funciona como herramienta de reconocimiento que prepara ataques espiando sistemas TI.

Los colegas de Symantec en Kaspersky Lab respaldan la idea que ambos programas tienen el mismo origen, agregando que los mismos desarrolladores han creado nuevas ciberarmas, hasta ahora desconocidas.

Los científicos de la empresa rusa de seguridad aseguran haber encontrado pruebas que confirmarían la existencia de una plataforma común, que aparte de haber propiciado la creación de Stuxnet y Duqu habría sido utilizada para el desarrollo de, al menos, tres amenazas más.

“Legos” militares

Según Kaspersky, se trataría de una serie de módulos de software compatible desarrollados para funcionar conjuntamente, teniendo cada módulo su propia funcionalidad.

Según Kaspersky, los programadores de los códigos malignos pueden crear nuevas ciberarmas agregando o elminando módulos, que funcionan como los bloques interconectables lego.

La misteriosa plataforma ha sido denominada “Tilded” debido a que varios de los archivos asociados tienen nombres que comienzan con una tilde (~) seguido de la letra “d”.

Kaspersky dice no haber encontrado otros módulos con el mismo origen, agregando que los componentes utilizados por Stuxnet y Duqu aparentemente buscan distintas claves del registro de Windows que representan módulos que el malware intenta iniciar. La empresa considera que esta plataforma de ciberguerra tiene una data de aproximadamente cuatro años, o quizás incluso anterior. La base de tal razonamiento es la fecha de compilación del malware, que sería el 31 de agosto de 2007.

Aunque la mayoría de los programas antivirus ya han sido actualizados y protegen contra las infecciones causadas por Stuxnet y Duqu, para sus creadores no es problemático ajustar el código de forma que las nuevas variantes no sean detectadas, al menos inicialmente, concluye Kaspersky.

 

Archivado en Sin categoría · Etiquetado con , , , , , , , , , , , , , , , , , , , , , , , , , , , , , , ,

Página siguiente »