Microsoft parece que lo tiene claro, y ha apostado por reforzar las medidas de seguridad de su último sistema operativo Windows 7. Además de fortificar el kernel, ha mejorado las funcionalidades de seguridad que profesionales y usuarios pueden utilizar para su beneficio.
1. BitLocker To Go. Microsoft en Windows Vista añadió BitLocker que permite el cifrado del disco duro interno. Ahora con BitLocker To Go, disponible en las ediciones Enterprise y Ultimate de Windows 7, extiende la funcionalidad a los discos duros externos y USB. Mantener la confidencialidad de la información que almacenan estos dispositivos de un posible robo o extravío es primordial en una organización.
2. Navegación más segura en Internet Explorer 8. El navegador que ya viene incorporado en Windows 7 incluye: navegación InPrivate en la que no se almacenan los datos de sesión ni los archivos temporales, el historial web, las cookies están deshabilitadas, modo Protected, filtro SmartScreen que te avisa de sitios inseguros, y prevención ClickJack para proteger al usuario del clickjacking, enlaces de apariencia normal o botones que esconden código embebido en donde se oculta un enlace malicioso.
3. Microsoft Security Essentials. Para protegernos contra virus, spyware, rootkits y trojanos disponemos de MSE. No está al nivel de las suite de Symantec, Panda, McAfee o Kaspersky, pero junto a Windows Defender y el firewall de Windows proporciona un alto grado de seguridad.
4. AppLocker. Microsoft recomienda que los usuarios dentro de una organización no dispongan privilegios de administración, si por el contrario fuera necesario dárselos, con AppLocker se protege a la organización no permitiendo a los usuarios ejecutar cualquier software, sino especificando que aplicaciones puede usar y bloqueando aquellas que puedan resultar peligrosas.
5. Más control de cuentas de usuario. Muchos usuarios de Windows Vista se quejaron por los continuos pop-ups solicitando confirmación cuando se abrían los programas, esto supuso que muchos de ellos desactivasen la funcionalidad UAC lo que hacía más inseguro su sistema operativo. En Windows 7 el control de cuentas de usuario (UAC) es mucho más flexible, reduciendo el número de aplicaciones y añadiendo cuatro opciones de notificación.
6. Copias de seguridad. La funcionalidad de copia de seguridad y restauración ha sufrido un lavado de cara en Windows 7. Permite seleccionar los ficheros, librerías o unidades de los que queremos hacer la copia y programarla para que se realice en un momento determinado, o realizar la copia en el momento deseado. Una vez inicializado el proceso Windows 7 realiza un seguimiento de los archivos modificados o borrados que serán añadidos a la copia, además puede almacenarla en un disco duro externo, DVD o en una ubicación de red (funcionalidad incluida en las ediciones Professional, Enterprise o Ultimate).
fuente: securitybydefault.com
Mañana se celebra el Día Internacional de la Internet Segura es un evento que tiene lugar cada año en el mes de febrero, con el objetivo de promover en todo el mundo un uso responsable y seguro de las nuevas tecnologías, especialmente entre menores y jóvenes.
El evento está promovido por la Comisión Europea y está organizado por INSAFE, la Red Europea por una Internet Segura y en España por la Asociación PROTEGELES como centro de sensibilización español.
En 2010, el Día internacional de la Internet Segura se celebra en más de 60 países de todo el mundo y está dedicado a la gestión de imágenes y contenidos en Internet, con el eslogan “Piénsalo antes” (“Think B4 U post!”), y se aborda el tema de la prevención difusión de imágenes y contenidos inapropiados en Internet por parte de los menores.
fuente: websecurity.es
09
Feb
10
Nuevo año, Nuevos retos
Nuevo año…Nuevo reto y nuevo “look”
…como han comprobado hemos estado remodelando el blog visualmente, haciéndolo mas llamativo e impactante pero conservando como hasta ahora hemos hecho el contenido de nuestros post, news, herramientas y artículos técnicos específicos (misNOTAS) sobre lo mas relevante a lo que SecInfo. se refiere. Además en el 2010 tenemos un nuevo “juguete” el FORO-CHAT (lo puedes encontrar en el menu de la derecha) lugar para intercambiar conocimientos, comentarios, ideas…expresate libremente!!
Gracias por estar allí con nosotros, todo este tiempo desde que estamos “online” y esperamos que estos nuevos cambios de “look” y nuevas incorporaciones como lo es el FORO-CHAT sean de su total agrado.
“…la información es poder”
vulnerabilityTEAM
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan 13 boletines de seguridad. Afectan a toda la gama del operativo Windows, y pueden contener un número indeterminado de vulnerabilidades, aunque está programado corregir 26 vulnerabilidades. Microsoft tampoco soluciona en esta tanda ni el grave fallo en IIS descubierto hace semanas, ni otro problema en el protocolo SMB. Sí que corregirá al menos el problema de elevación de privilegios revelado recientemente.
Si en enero se publicó solo un boletín de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar 13 el próximo 9 de febrero. Se consideran críticos cinco de ellos, siete importantes y uno moderado. El día 21 de enero se publicó un boletín “adelantado” para corregir un grave fallo en Internet Explorer.
Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.
En octubre de 2009 Microsoft publicó también 13 boletines de seguridad (el mayor número de boletines publicados en su ciclo habitual), pero en aquella ocasión corregía 34 vulnerabilidades diferentes. En los últimos 5 años, Microsoft ha publicado 13 boletines solo dos veces y 12 boletines en cuatro ocasiones. Últimamente, su media está en 5 ó 6 boletines por tanda, pero con grandes oscilaciones (meses de pocos boletines seguidos de ciclos con un gran volumen de vulnerabilidades).
IIS no aparece como uno de los productos sobre los que aplicar parche este martes, por lo que Microsoft confirma que en esta tanda tampoco cerrará el grave problema en IIS encontrado a mediados de diciembre, y que permite ejecución remota de código ASP en Internet Information Server 6.x de forma trivial.
Tampoco corregirá un fallo en SMB que permite provocar una denegación de servicio en el sistema, y que reconoció el 13 de noviembre.
Al menos, parece que el grave problema de elevación de privilegios que sacudió a Microsoft a mediados de enero será corregido en esta tanda. Esta vulnerabilidad constituye un grave problema para compañías que utilicen el soporte para aplicaciones de 16 bits, puesto que la única forma de prevenirla eficazmente es deshabilitar esta propiedad del sistema. En este sentido, Microsoft parece haber trabajado duro para publicar un parche lo antes posible.
Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.
fuente: laflecha.net
Dos add ons experimemntales, la version 4 de Sothink Web Video Downloader y todas las versiones del Master Filer contienen codigo troyano afectando a los usuarios de Windows. Sothink Web Video Downloader contiene el troyano Win32.LdPinch.gen, y el Master Filer contiene el Win32.Bifrose.32.Bifrose.
Impacto en usuarios:
Si un usuario instala alguno de estos add on infectados, el troyano se ejecutaria cuando el navegador firefox se iniciara, pudiendo infectar el ordenador. Desisntalando estos add ons de la maquina no removeria el troyano del sistema.
Security Issue on AMO by Mozilla
fuente: blog.mozilla.com
Oracle WebLogic Server is prone to a remote command-execution vulnerability because the software fails to restrict access to sensitive commands.
Successful attacks can compromise the affected software and possibly the computer.
Oracle WebLogic Server 10.3.2 is vulnerable; other versions may also be affected.
REFERENCIA DE LA VULNERABILIDAD
Oracle Security Alert for CVE-2010-0073
fuente: securityfocus.com
Microsoft está investigando una vulnerabilidad reportada públicamente en Internet Explorer para clientes que ejecutan Windows XP o que han desactivado de Internet Explorer el modo protegido. Este aviso contiene información acerca de las versiones de Internet Explorer que son vulnerables, así como soluciones y mitigación para este problema.
La investigación, de Microsoft, ha demostrado hasta ahora que, si un usuario está utilizando una versión de Internet Explorer en el cual no se ejecuta en modo protegido, un atacante podria acceder a los ficheros. Las versiones afectadas incluyen:
- Internet Explorer 5.01 Service Pack 4 en Microsoft Windows 2000 Service 4,
- Internet Explorer 6 Service Pack 1 de Microsoft Windows 2000 Service Pack 4 y Internet Explorer 6,
- Internet Explorer 7 y Internet Explorer 8 en las ediciones compatibles de Windows XP Service Pack 2 de Windows XP Service Pack 3 y Windows Server 2003 Service Pack 2.
Microsoft Security Advisory (980088)
El Modo protegido previene la explotación de esta vulnerabilidad y se ejecuta por defecto para las versiones de Internet Explorer en Windows Vista, Windows Server 2008, Windows 7, y Windows Server 2008.
FIX IT de Microsoft para solucionar el problema
Vulnerabilidades relacionadas.
Desde Vulnerability Team exhortamos a los usuarios y administradores revisar las notificaciones y aplicar las actualizaciones necesarias, para ayudar a mitigar los riesgos.
fuente: microsoft.com
Dos nuevas vulenrabildiades que afectan al navegador Internet Explorer han sido encontradas.
1. Microsoft Internet Explorer URLMON Sniffing Cross Domain Information Disclosure Vulnerability
Microsoft Internet Explorer is prone to a cross-domain information-disclosure vulnerability.
An attacker can exploit this issue to access local files or content from a browser window in another domain or security zone. This may allow the attacker to obtain sensitive information or may aid in further attacks.
REFERENCIA DE LA VULNERABILIDAD.
2. Microsoft Internet Explorer Dynamic Object Tag Information Disclosure Vulnerability
Microsoft Internet Explorer is prone to an information-disclosure vulnerability.
Attackers can exploit this issue to obtain sensitive information that may lead to further attacks.
REFERENCIA DE LA VULNERABILIDAD.
Published: Feb 03 2010 | Updated: Feb 03 2010
fuente: securityfocus.com
Según datos de BitDefender® el troyano Trojan.Clicker.CM, diseñado para mostrar publicidad en los navegadores de los usuarios cuando estos visitan páginas web peligrosas (como páginas web con contenido sexual o sitios que ofrecen software pirata), fue el ejemplar de malware que más ordenadores infectó en el mundo durante el mes de enero, con un 8,30% del total.
Tras él, con un 8.17% se sitúa el troyano Trojan.AutorunINF.Gen. Se trata de una detección genérica para un tipo de malware diseñado con el fin de propagarse a través de dispositivos móviles como llaves de memoria, CDs, DVDs, reproductores MP3, etcétera. El auge de este tipo de malware implica que los usuarios deban prestar especial atención cuando conecten un dispositivo móvil a su equipo, analizándolo antes de abrir ningún archivo contenido en el mismo. Bibliotecas, tiendas de fotocopias y puntos de acceso públicos como locutorios o cibercafés suelen ser las fuentes principales de infección con este tipo de malware.
Win32.Worm.Downadup.Gen es el responsable del 6,18% de las infecciones mundiales y ocupa el tercer lugar de la lista de enero. Este gusano aprovecha una vulnerabilidad en Microsoft Windows Server Service RPC que permite la ejecución de código remoto. También el cuarto malware más activo del mes de enero, Exploit.PDF-JS.Gen, aprovecha una vulnerabilidad para infectar a los usuarios. En su caso se trata de un fallo de seguridad en el motor JavaScript de Adobe PDF Reader.
El uso de vulnerabilidades para distribuir malware es cada vez más frecuente. Por eso, BitDefender recuerda a los usuarios que deben actualizar todos los programas que tengan instalados en sus equipos con los parches de seguridad que publiquen los fabricantes.
El top 5 del mes lo cierra Trojan.Wimad.Gen.1, un troyano que se distribuye a través de redes de Torrents y que se hace pasar por películas de éxito como Avatar o por conocidas series de televisión para engañar a los usuarios y que estos descarguen el archivo infectado.
fuente: laflecha.net
Los usuarios de sitios sociales como Facebook o Twitter han sufrido un 70% más de ataques durante el último año, ya que los cibercriminales les han convertido en el centro de su actividad.
El último estudio realizado por la empresa de seguridad Sophos dice que un 57% de los usuarios han recibido spam a través de redes sociales, lo que supone un incremento del 78% respecto a 2008. Además, un 36% de los usuarios encuestados afirma haber recibido software malicioso, o malware, a través de este tipo de páginas web en 2009, un 70% más si lo comparamos con las cifras del año anterior.
Las cifras traen a la memoria las revelaciones realizadas por Google el mes pasado, cuando dijo haber sido víctima de un sofisticado ataque de ‘hacking’. Algunos empleados, e incluso sus redes de amigos fueron objetivo de los hackers que buscaban infiltrarse en los sistemas informáticos de la compañía.
Por otra parte, un grupo de hackers que reclamaron ser activistas de Irán atacaron Twitter el diciembre, sin olvidarnos a grandes protagonistas como Britney Spears o el mismísimo presidente Obama que se convirtieron en objetivo de los hackers durante el año pasado.
El año pasado Facebook incrementó su número de usuarios un 600% hasta los 350 millones, mientras que el número de usuarios de Twitter se sitúa en los 75 millones, lo que les convierte en objetivos muy interesantes para los hackers.
Los expertos en seguridad afirman que los ataques a redes sociales podrían ser particularmente peligrosos porque los usuarios no están en guardia. Kaspersky estima que el año pasado los ataques a redes sociales fueron diez veces más efectivos que los ataques a través de correo electrónico.
fuente: itespresso.es | sophos.com
Según la firma holandesa Ultrascam, especializada en la investigación de fraudes AFF- un tipo de engaño donde la víctima paga una solicitud de dinero antes de recibir un servicio o producto que finalmente no disfruta- ha ocasionado pérdidas de al menos 9.300 millones de dólares este año, frente a los 6.300 millones de dólares que costaron a los usuarios en 2008.
Los fraudes AFF (Advanced-Free Fraud) -también son conocidos como engaños 419, estafa nigeriana o timo nigeriano por violar el artículo 419 del código penal de Nigeria, donde se produjeron por primera vez- pueden adoptar diferentes formas, pero básicamente pretenden engañar a las víctimas para que envíen dinero con la falsa promesa de que conseguirán a cambio algún bien.
Ultrascam ha analizado en 2009 8.503 demandas AFF de 152 países diferentes presentadas durante el año, llegando a la conclusión de que los autores de este tipo de ataques están expandiendo sus operaciones para llegar no sólo a usuarios de Europa de Estados Unidos, sino también de India, China, Indonesia, Malasia y Tailandia.
No obstante, la mayoría de autores de autores de esta clase de ataques siguen siendo nigerianos, que encontraron socios nacionales dispuestos a ayudarles a enviar correos electrónicos fraudulentos. Las bandas organizadas AF se están además asociando entre sí para conseguir sus objetivos con mayor facilidad, según Ultrascam.
fuente: csospain.es
El US-CERT Cyber Security bulletin contiene un resumen de las nuevas vulnerabilidades que han sido registradas por el Instituto Nacional de Estándares y Tecnología (NIST) y por la Base de Datos Nacional de la vulnerabilidad (NVD) durante la semana pasada. El NVD está patrocinado por el Departamento Homeland Security (DHS) de la División Nacional de Seguridad Cibernética (NCSD) / y el Equipo de Preparación de Emergencia Informática de los Estados Unidos (US-CERT).
Las vulnerabilidades se basan en el estandar CVE y están organizadas de acuerdo a la gravedad, determinada por la puntuación de la vulnerabilidad del sistema común (CVSS) . La división de alta, media y baja gravedad se corresponden con los siguientes resultados:
- HIGH (Alto) – Las vulnerabilidades serán etiquetados de alta gravedad si tienen un CVSS base de puntuación de 7,0 – 10,0
- MEDIUM (Media) – Las vulnerabilidades serán etiquetados Medio gravedad si tienen un CVSS base de puntuación de 4,0 – 6,9
- LOW (Mínima) – Las vulnerabilidades serán etiquetados de baja gravedad si tienen un CVSS base de puntuación de 0,0 – 3,9
Algunas de las vulnerabilidades que aparecen en el resumen ya las hemos informado con anterioridad en este blog.
VER Vulnerability Summary for the Week of January 25, 2010
fuente: us-cert.gov
02
Feb
10
NUEVA VULNERABILIDAD, Sun Solaris ‘CODE_GET_VERSION IOCTL’ Local Denial Of Service Vulnerability
Sun Solaris is prone to a local denial-of-service vulnerability.
Local attackers can exploit the issue to cause a denial-of-service condition.
The issue affects Solaris 10 and OpenSolaris for x86 platforms.
Published: Jan 31 2010 12:00AM | Updated: Feb 01 2010 03:41PM
REFERENCIA DE LA VULNERABILIDAD
fuente: securityfocus.com
02
Feb
10
NUEVA VULNERABILIDAD, Oracle Times Ten In-Memory Database Remote Denial of Service Vulnerability
Oracle Times Ten In-Memory Database is prone to a remote denial-of-service vulnerability.
An attacker can exploit this issue to cause the application to crash, denying service to legitimate users.
Oracle Times Ten In-Memory Database 7.0.5 is vulnerable; other versions may also be affected.
Published: Feb 01 2010 12:00AM | Updated: Feb 01 2010 05:21PM
REFERENCIA DE LA VULNERABILIDAD
fuente: securityfocus.com
fuente: securityfocus.com
BleachBit es una herramienta multiplataforma (tanto Windows como GNU/Linux) que nos permite realizar un borrado seguro evitando dejar algunos rastros. Cabe resaltar que aunque existan este tipo de herramientas, siempre la informática forense estará un paso adelante descubriendo hasta los mas mínimos detalles de aquellos rastros que son imposibles de borrar. Sin embargo, con este pequeño articulo pretendemos explicar un poco mas a fondo esta herramienta, la cual es muy útil por que podemos borrar mucha información critica con solo un par de clicks.
DESCARGA DEL PAQUETE | LEER MAS
fuente: dragonjar.org
VMWare, la compañía por excelencia de software de virtualización de máquinas, así como una de las tecnológicamente punteras e innovadoras lleva tiempo apostando por los sistemas desplegados en la nube. Tanto es así, que han desarrollado el primer sistema operativo basado en Cloud Computing del sector.
En el blog de VMWare, se ha puesto a disposición pública las guías oficiales de securización de todos los componentes de la plataforma.
Dicha guía viene distribuida en diferentes documentos, dependiendo de qué parte del sistema queremos securizar: los hosts virtualizados, el Host (donde corren las máquinas virtuales), la consola de gestión, vCenter Server (y su base de datos), y VCenter Network (la infraestructura para conexiones de red de las máquinas virtuales) principalmente.
Se indican procedimientos seguros de implantación desde el momento de la instalación hasta el despliegue de las máquinas virtuales. Hay opciones específicas para el cifrado de las comunicaciones, de los contenedores de las máquinas virtuales, aislamiento de VLANs virtuales, política mínima de cortafuegos para acceder al COS (Console Operating System), etc,…
Estas guias de referencia deberían ser de obligada lectura para administradores de plataformas de máquinas virtuales.
fuente: securitybydefault.com
29
Ene
10
Chrome 4 aumenta su seguridad
La nueva versión del navegador de Google, Chrome 4 ha incluido dos características de seguridad que Internet Explorer 8 ofrecía en marzo del año pasado.
Google anunció que ha añadido varias nuevas características de seguridad a la nueva versión de su navegador, Chrome 4, incluidas dos que estenó Microsoft en Internet Explorer 8 el año pasado. En total son cinco los nuevos extras de seguridad que los desarrolladores web podrán aprovechar para crear páginas web más seguras.
De las nuevas características hay que destacar dos porque curiosamente forman parte de Internet Explorer 8, uno de los rivales de Chrome. La nueva versión del navegador e Google soporta ahora ‘X-Frame-Options’, una característica de seguridad que ayuda a los sites a defenderse contra los llamados ataques ‘clickjacking’, una técnica de engaño que lleva a los usuarios a revelar información confidencial, o al hacker a tomar el control de sus ordenadores, cuando se visitan páginas web que aparentemente son inofensivas.
Microsoft añadió un anti-clickjacking en Internet Explorer 8, aunque uno de los primeros investigadores que habló sobre este problema hace un año afirma que tiene un “impacto cero” a la hora de proteger a los usuarios y desde Google afirman que su tecnología es mejor.
La otra característica de seguridad de Chrome inspirada en IE8 es protección Cross-site scripting, es un tipo de vulnerabilidad que se basa en la explotación de vulnerabilidades del sistema de validación de HTML incrustado. Los ataques cross-site scripting, o XXS, se extendieron en 2008 y a menudo los ladrones de identidad los utilizan como parte de una campaña de phishing más amplia.
Además, Google Chrome soluciona 13 vulnerabilidades de seguridad y añade soporte para la sincronización de marcadores y extensiones para navegadores.
Chrome se puede descargar para Windows XP, Vista y Windows 7 desde la página web de la compañía.
Wireshark is prone to multiple buffer-overflow vulnerabilities.
Exploiting these issues may allow attackers to crash the application and deny service to legitimate users. Attackers may also execute arbitrary code in the context of vulnerable users running the application.
These issues affect Wireshark 0.9.0 through 1.2.5.
REFERENCIA DE LA VULNERABILIDAD | OTRA REFERENCIA
WEB OFICIAL DEL FABRICANTE CON LA SOLUCION
fuente: securityfocus.com | hispasec.com
Se han corregido tres nuevas vulnerabilidades en Apache Tomcat (versiones 6.0.0 a 6.0.20 y 5.5.0 a 5.5.28), que podrían permitir a un atacante evitar restricciones de seguridad, conseguir información sensible o manipular datos.
El primero de los problemas está provocado por un error de validación de entrada cuando despliega archivos WAR, que podría permitir a un atacante crear contenido arbitrario fuera de la carpeta raiz de la web mediante una escalada de directorios.
Una segunda vulnerabilidad se debe a un error cuando se despliegan archivos tras un despliegue fallido, lo que podría provocar que se desplieguen archivos arbitrarios sin restricciones de seguridad, haciéndolos accesibles sin autenticación.
Un último problema está provocado por un error de validación de entrada al desplegar y replegar archivos WAR con nombres específicamente creados, lo que podría permitir a un atacante borrar los contenidos del directorio de trabajo del host.
Se recomienda actualizar a Apache Tomcat versión 6.0.24: http://tomcat.apache.org/download-60.cgi
o aplicar las actualizaciones para Tomcat 5.x disponibles desde: http://svn.apache.org/viewvc?rev=902650&view=rev
REFERENCIAS:
Apache Tomcat 6.x vulnerabilities, http://tomcat.apache.org/security-6.html
Apache Tomcat 5.x vulnerabilities, http://tomcat.apache.org/security-5.html
fuente: hispasec.com
