NOTICIAS Y RUMORES: Seguridad Informatica

1, 2, 3
Actualización de seguridad para QuickTime

Apple ha publicado una nueva versión de QuickTime (la 7.7.3), que solventa nueve problemas de seguridad en su versión para Windows.

Las vulnerabilidades están relacionadas con la reproducción de diferentes tipos de archivos en múltiples formatos (algunas afectan en particular a ficheros Pict, MP4, QuickTime TeXML o Targa). También existen problemas con el tratamiento de páginas web específicamente manipuladas. Los problemas podrían permitir la ejecución remota de código arbitrario.

Esta nueva versión puede instalarse a través de las funcionalidades de actualización automática (Software Update) de Apple, o descargándolas directamente desde:
http://www.apple.com/quicktime/download/

Fuente
Microsoft corrige 19 vulnerabilidades en 6 boletines de seguridad

Como se anunció el pasado viernes, Microsoft ha publicado 6 boletines de seguridad que agrupan 19 vulnerabilidades diferentes. 13 de ellas permiten la ejecución de código en el sistema.

Un pequeño resumen de los boletines publicados:

    MS12-071: El tradicional parche acumulativo para Internet Explorer en el que además se han corregido tres problemas de seguridad nuevos que permiten la ejecución de código.

    MS12-072: Dos problemas de desbordamiento de enteros en el "Shell" Windows que permiten la ejecución de código. En la práctica, permitiría a un atacante ejecutar código si un usuario pulsa sobre un fichero del tipo "Maletín" (briefcase) especialmente manipulado. Los "maletines" son en realidad carpetas que permiten la sincronización rápida de los ficheros elegidos que contengan en ella. Es útil para trabajar con medios extraíbles que contienen archivos de diferentes zonas del disco duro.

    MS12-073: Dos fallos en IIS que permiten a un usuario presentado en el sistema poder llegar a visualizar una contraseña en los logs, y un problema en el servidor FTP que permitiría a un atacante inyectar comandos.

    MS12-074: Cinco vulnerabilidades graves en el entorno .Net.

    MS12-075: Tres vulnerabilidades en el kernel de Windows. Dos permiten la elevación de privilegios, una tercera la ejecución de código a través de fuentes TrueType, lo que significa que es posible aprovecharla a través de, simplemente, visitar una web.

    MS12-076: Cuatro vulnerabilidades en Excel que permiten la ejecución de código con solo abrir un fichero de este tipo.

Para los usuarios, resultan especialmente peligrosas las vulnerabilidades en Excel y los fallos en TrueType y en las carpetas de tipo "Maletín". Para los servidores, el fallo en el FTP también es peligroso. Es cuestión de tiempo que los detalles de la mayoría de estas vulnerabilidades salgan a la luz y sean aprovechadas por los atacantes.

Fuente
AMD contrata a JPMorgan para una posible venta de la compañía.

http://www.cincodias.com/articulo/empre ... cdsemp_13/

Un saludo.
Ejecución de código arbitrario en Opera 12

Opera Software ha publicado dos boletines de seguridad referentes a sendas vulnerabilidades que afectan a su navegador Opera. Éstas podrían ser explotadas de forma remota para revelar información sensible y ejecutar código arbitrario.

La primera vulnerabilidad, considerada crítica, se debe a un error de falta de comprobación de tamaño cuando Opera almacena la respuesta en un buffer, tras una petición HTTP. Esto podría causar un desbordamiento de memoria que podría ser aprovechado por un atacante remoto para provocar una denegación de servicio, e incluso ejecutar código arbitrario.

La otra vulnerabilidad es considerada de severidad baja. Se debe a un fallo al manejar las páginas de error que podría permitir determinar la existencia de archivos locales, revelando información que no debería ser accesible por estas páginas.

Por el momento no se ha asignado ningún identificador CVE a estas vulnerabilidades.

Ambas afectan a las versiones de Opera inferiores a la 12.11, que ha sido lanzada para corregir estas vulnerabilidades. Se puede descargar desde la página oficial.

Fuente
bueno mi opera ya esta actualizado asi que problema resuelto... de momento XD
(mensaje borrado)
Windows Blue, el siguiente Windows

... Windows Blue es, o parece ser, el intento de Microsoft por acoplarse a los ciclos de producción anuales que otras compañías como Google o Apple han empezado a estandarizar. Una influencia que viene en gran parte del terreno de los sistemas operativos móviles, con iOS y Android como brillantes ejemplos, pero que también hemos podido ver por ejemplo entre OS X Lion y OS X Mountain Lion. Esta nueva versión de Windows vendría acompañada de un cambio de interfaz y Blue sería únicamente el nombre en clave o designación interna de Microsoft, no el nombre del producto en sí.

¿Para cuando? Según apuntan varios rumores para mediados de 2013 podríamos tenerlo entre nosotros. El nombre de Blue lleva ya un tiempo dando vueltas pero no hace referencia, como muchos creen, a la siguiente gran versión de Windows sino a algo que tiene mucho más sentido: actualizaciones frecuentes para mantener el sistema siempre al día.

Poniéndolo en perspectiva, tiene sentido por dos frentes. Por un lado es la misma estrategia que se ha seguido con los Service Packs durante todos estos años, por otro, no es ni mucho menos la primera vez que la compañía hace algo parecido. Así, las nuevas versiones de Windows pasarían a llamarse Windows 8.1 (o Windows 8.5), algo que recuerda a la codificación que se usaba con Windows 3.1 por ejemplo ,pero también a lo que ocurrió con Windows Phone 7.5, la puesta al día de Windows Phone 7 para añadir funcionalidades clave....

Mas en la fuente
Vamos un service pack para windows 8...
Boletines de seguridad de Microsoft en diciembre

Este martes Microsoft ha publicado siete boletines de seguridad (del MS12-077 al MS12-083) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft cinco de los boletines presentan un nivel de gravedad "crítico" mientras que los dos restantes son "importantes". En total se han resuelto 12 vulnerabilidades (dos de ellas relacionadas con las librerías 'Oracle Outside In'). Diez de estas vulnerabilidades permiten la ejecución de código arbitrario en el sistema.

    * MS12-077: Un parche acumulativo para el navegador Internet Explorer que además corrige tres vulnerabilidades (CVE-2012-4781, CVE-2012-4782 y CVE-2012-4787) que permiten la ejecución de código.

    * MS12-078: Dos problemas de seguridad en el kernel de Windows que permiten la ejecución de código arbitrario a través de fuentes TrueType y OpenType. (CVE-2012-2556 y CVE-2012-4786).

    * MS12-079: Ejecución de código debida a una vulnerabilidad en Word relacionada con ficheros RTF (Rich Text Format). Su identificador es CVE-2012-2539.

    * MS12-080: Corrige tres vulnerabilidades en Exchange Server. Una de ellas, la CVE-2012-4791, permite provocar una denegación de servicio a través de RSS feed. Las otras dos están relacionadas con las librerías 'Oracle Outside In' y permiten la ejecución remota de código (CVE-2012-3214 y CVE-2012-3217).

    * MS12-081: Soluciona un error relacionado con los nombres de ficheros y carpetas que permite la ejecución de código arbitrario. La vulnerabilidad se ha identificado como CVE-2012-4774.

    * MS12-082: Boletín de carácter 'importante' que soluciona un error de desbordamiento de memoria en el componente DirectPlay que permite la ejecución de código (CVE-2012-1537).

    * MS12-083: Una vulnerabilidad en el componente IP-HTTPS de Windows Server 2008 y 2012 permite eludir restricciones de seguridad mediante el uso de certificados revocados. Su identificador es CVE-2012-2549.


Todas las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

Fuente
Intel podría comprar a Nvidia

Algunos sitios apuntan a que Intel estaría interesado en comprar al fabricante de tarjetas de video Nvidia tal y como AMD lo hizo con ATI. Si bien Intel tiene sus propios chipsets de video para computadoras de mediano nivel (o de bajo rendimiento para ahorrar batería), la compra de Nvidia representaría un aventaja competitiva mucho más solida que las soluciones ofrecidas por AMD con los chipsets de video integrados de ATI.

¿De donde sale esta especulación? Pues al parecer surge de la necesidad de Intel por encontrar un nuevo CEO y, si llegase a ocurrir la adquisición, el actual CEO de Nvidia se convertiría en el CEO de Intel.

Las ventajas para ambas empresas serían muchas aunque, en el pasado Nvidia ha dicho que la arquitectura X86 de Intel no es precisamente la mejor que hay para dispositivos móviles (y ahí donde ambas empresas quieren empezar a ganar terreno).

Aunque, por otra parte, la realidad es que ninguna las dos están amenazadas por la tecnología de AMD/ATI por lo que tal vez, en el futuro, lo que le convenga más a estas empresas sea trabajar de manera conjunta en la creación y diseño de nuevos chipsets exclusivos que aprovechen los procesos de manufactura de Intel con el conocimiento en gráficos que posee Nvidia.

http://www.fayerwayer.com/2012/12/intel ... -a-nvidia/
Ejecución de código arbitrario en Microsoft Internet Explorer 6, 7 y 8

Microsoft ha confirmado una vulnerabilidad 0day que afecta al navegador Internet Explorer 6, 7 y 8 (las versiones 9 y 10 no se ven afectadas).


El problema, al que se la que se le ha asignado el CVE-2012-4792, reside en uso de un puntero después de liberar que permite la ejecución de código arbitrario con los privilegios que se encuentre el usuario. Esta vulnerabilidad puede permitir la elevación de privilegios y el compromiso de la totalidad del sistema.

Se han detectado ataques que explotan esta vulnerabilidad, como es el caso de la web http://www.cfr.org/ comprometida esta semana , también se ha publicado un exploit en el framework Metasploit.

Hasta el momento, Microsoft no aporta solución aunque sí que es posible que lo haga en el próximo boletín, según el propio aviso:

"On completion of this investigation, Microsoft will take the appropriate action to protect our customers, which may include providing a solution through our monthly security update release process, or an out-of-cycle security update, depending on customer needs."


Fuente
Microsoft publicará siete boletines de seguridad, sin corregir el 0day de Internet Explorer.

parche oficial al 0-day descubierto la semana pasada.

Como cada mes, Microsoft ha dado un adelanto de los boletines que publicará dentro de su ciclo de actualizaciones, esta vez el próximo martes 8 de enero. En esta ocasión se trata de siete boletines (del MS13-001 al MS13-007) que corregirán un total de doce vulnerabilidades en diversos sistemas.

De estos boletines, dos han sido calificados como críticos, corrigiendo vulnerabilidades que pueden dar lugar a la ejecución de código remoto en sistemas Microsoft Windows, Office y Developer Tools.

Pero entre ellos, no se incluirá un boletín específico para la vulnerabilidad detectada la semana pasada (CVE-2012-4792) en Internet Explorer 6, 7 y 8. Aunque los usuarios disponen del parche temporal publicado por Microsoft (Fix it 50971), ya existen nuevos exploits que consiguen comprometer sistemas actualizados con él, como advierten los investigadores de Exodus.

Lo productos afectados por la ejecución remota de código serían:
  • Familia Windows: XP, Vista, W7, Server 2003, 2008 y 2012 y los correspondientes a Windows 8 y RT.
  • Microsoft Office 2003 y 2007, Word Viewer y Office Compatibility Pack.
  • Microsoft Expression Web SP1 y 2.
Los dos boletines calificados como importantes, solucionarán fallos de seguridad también en sistemas SharePoint , Groove Server y System Center Operations Manager, en sus versiones 2007. Esta vez, los impactos potenciales son la elevación de privilegios, salto de restricciones o denegación de servicio.

Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Fuente
Nuevos certificados fraudulentos para google.com y otros dominios

Se ha detectado otro certificado fraudulento que pretende legitimar páginas falsas de google.com (aunque podría hacerlo de otras). Una entidad de confianza ha firmado un certificado falso, lo que permite que se suplanten las páginas del buscador o que el tráfico cifrado en realidad sea visto por un tercero.

Lo que ha ocurrido (otra vez) es que se ha firmado un certificado falso para dominios de Google con certificados intermedios emitidos por la empresa turca TurkTrust. Al parecer, en agosto de 2011, TurkTrust emitió y facilitó a un tercero dos certificados intermedios, en vez de los finales. Esto permitió a los receptores firmar certificados para cualquier dominio, circunstancia que parece que han aprovechado para firmar uno de *.google.com entre otros. Si de alguna forma, el atacante consigue redirigir a la víctima a otro servidor envenenando sus DNS o con cualquier otro método, llegará a un servidor falso que el navegador mostrará válido por SSL.

Esta es prácticamente la misma situación que ocurrió con Comodo y Diginotar en 2011.

En esta ocasión han sido tres los certificados revocados. Dos destinados a firmar, y uno final destinado a suplantar los dominios. Si nos fijamos en los certificados revocados en el sistema, ya son dos los destinados a suplantar a Google (uno revocado en marzo de 2011 y otro ahora). Parece que cuando un atacante tiene la posibilidad de firmar dominios populares, se decanta por el buscador.

Lo curioso de este último certificado es su lista de Subject Alternative Names (o "nombre alternativo del titular"). Este es un campo del estándar X.509 que, aunque disponible desde 1999 no es excesivamente común. Los SAN permiten que los certificados sean válidos para varios dominios. Algo parecido a los comodines o "wildcards" pero que va más allá haciendo que un solo certificado sea válido para dominios totalmente diferentes. Así, el navegador, cuando valida un certificado contra un dominio se fija en el CN (common name) del certificado, en si valida con un comodín ("wilcard") y por último si valida en su lista de SAN.

*.google.com, *.android.com, *.appengine.google.com, *.cloud.google.com,
*.google-analytics.com, *.google.ca
*.google.cl, *.google.co.in, *.google.co.jp, *.google.co.uk,
*.google.com.ar, *.google.com.au, *.google.com.br, *.google.com.co,
*.google.com.mx, *.google.com.tr, *.google.com.vn, *.google.de,
*.google.es, *.google.fr, *.google.hu, *.google.it, *.google.nl,
*.google.pl, *.google.pt, *.googleapis.cn, *.googlecommerce.com,
*.gstatic.com, *.urchin.com, *.url.google.com, *.youtube-nocookie.com,
*.youtube.com, *.ytimg.com, android.com, g.co, goo.gl,
google-analytics.com, google.com, googlecommerce.com, urchin.com,
youtu.be, youtube.com


Y después ha sido firmado con el certificado de TurkTrust para darle validez.

Microsoft ha publicado la actualización correspondiente para la revocación de certificados en toda la familia Windows, mediante el KB 2798897 disponible a través de Windows Update o los canales oficiales de descarga. El resto de navegadores han actualizado sus listas de revocación para bloquear los certificados.

Fuente
Ejecución de código en Foxit Reader para Firefox

Se ha publicado una vulnerabilidad crítica en el plugin de Foxit Reader para el navegador Firefox que podría permitir la ejecución de código remoto a un atacante con solo visitar una página web especialmente manipulada.


Foxit Reader es un lector de documentos PDF que se presenta como alternativa a Adobe Reader. Se encuentra disponible para sistemas Operativos Windows y GNU/Linux, y en forma de plugin para navegadores web.

La vulnerabilidad se encuentra localizada en el plugin para el navegador Mozilla Firefox, en la librería npFoxitReaderPlugin.dll. Se debe a un error de comprobación de límites al procesar una dirección URL muy larga, y que podría producir un desbordamiento de memoria basada en pila. Como consecuencia de esto, un atacante remoto podría aprovechar este fallo para lograr ejecutar código arbitrario en la máquina afectada.

Ha sido descubierta por Andrea Micalizzi (alias "rgod"), quien además ha publicado una prueba de concepto para probar la vulnerabilidad. Simplemente se puede visitar una página con la estructura:

http://localhost/a.pdf?[Ax1024]

para que se sobrescriba el registro de instrucción.

Se ha comprobado que la última versión de Foxit, la 5.4.4.1128, es vulnerable aunque otras versiones también podrían encontrarse afectadas. Aun no se ha asignado ningún identificador CVE a este fallo y tampoco existe solución oficial por el momento.

Fuente
Nuevo 0-day en Java 7 ampliamente aprovechado por atacantes

Vuelve a ocurrir. Se descubre una grave vulnerabilidad en la última versión de Java que permite la ejecución de código con solo visitar un enlace. El fallo está siendo aprovechado por atacantes para instalar el "virus de la policía" entre otro malware, y esta vez no vale con actualizar. Los atacantes la califican como "regalo de año nuevo".

A media tarde de ayer (hora española) aparecía una alerta de nueva vulnerabilidad en Java 7u10 previamente desconocida. @Kafeine no daba detalles entonces, pero se decidió a llamar la atención debido al gran número de puntos en los que detectó que estaba siendo explotada. El fallo ya formaba parte de los kits de explotación Blackhole, Nuclear Pack, Cool Exploit Kit, Sakura... Los atacantes la conocían desde hace tiempo y estaban aprovechando para instalar todo tipo de malware, debido a la amplia difusión de estos kits. Aunque el usuario esté totalmente parcheado, se es vulnerable. Solo se puede esquivar el peligro habiendo tomado medidas adicionales.

Poco después aparecían todos los detalles. Ya existe un módulo para Metasploit, código en pastebin, y otros análisis. Oracle le asigna el CVE-2013-0422. De nuevo, no se trata de un fallo en el código (no hay desbordamientos de memoria, ni funciones mal programadas), sino de una manera inteligente (aprovechando un fallo de diseño) de eludir restricciones impuestas por Java. Se usa MBeanInstantiator para obtener una referencia a una clase en principio restringida, paro hacerlo a través de una función de confianza, y así ejecutar código. Oracle Java 7 Update 10 y todas las versiones anteriores se encuentran afectadas.

Sorprendentemente, los antivirus (por firma y de forma estática) han conseguido un nivel de detección aceptable para una muestra relativamente nueva:

https://www.virustotal.com/file/dcb8747 ... /analysis/

"Paunch", supuesto mantenedor de BlackHole, calificó a la vulnerabilidad de "regalo de año nuevo" para todos sus clientes del kit de explotación. Otros creadores de estos exploits aseguraron poco después que habían sido ellos los primeros en incluir esta vulnerabilidad en su software.

¿Protegerse?

Desinstalar Java del navegador es la opción más recomendable. Desde la versión anterior, además, Java permite una configuración más granular de su seguridad.

Ahora y siempre, es imprescindible configurar de forma personalizada ese diálogo, para que no ejecute ningún tipo de archivo Java "no confiable" (o sea, no firmado). Los exploits no suelen estarlo, o si lo están no son validados por autoridades certificadoras, con lo que al menos así se mitiga gran parte del problema. Mejor incluso, desactivar por completo el "Activar el contenido de Java en el navegador"

No se sabe cuándo lanzará Oracle una actualización. Pasarán algunos días y, aun así, teniendo en cuenta el "alto rendimiento" que ofrece a los atacantes vulnerabilidades de hace meses en sistemas que no parchean, esto seguirá siendo otra puerta abierta durante un tiempo para que el malware profesional siga su exitoso curso.

Fuente
Tres titulares tras el parche de Java

Aún no se ha asentado el polvo que levantó el último 0-day en Java y su posterior parche, cuando desde varios frentes ya se están dando detalles de nuevos problemas y vulnerabilidades. Incluso ha sido probado que esta última actualización no soluciona correctamente el fallo. Tres problemáticos "titulares" para Oracle después de la rápida respuesta al último incidente y sus medidas contra los applets no firmados.

Nuevo exploit de Java se vende por 5.000 dolares

Por un lado, Brian Krebs anunciaba en su blog, solo un día después de la publicación del parche, que en un foro privado ya se estaba vendiendo un exploit para una vulnerabilidad desconocida de Java. Según Krebs, el conocido administrador del foro ofrecía a un segundo comprador (ya había sido vendido un vez) una copia del exploit. Este se ofrecía tanto en código fuente como listo para ser usado. El precio era de 5.000 dolares. Se aseguraba que el exploit era funcional con la última versión de Java publicada el día anterior y que además era exclusivo, ya que no se encontraba en ningún kit de exploits.

Poco después, según Krebs, el mensaje fue eliminado. Tampoco existen pruebas de concepto conocidas para este supuesto exploit, así que hay que tomar la noticia con cautela.

Confirmado: Java solo ha solucionado uno de los bugs

Tal y como ha sido analizado por varios investigadores, y según define la vulnerabilidad el NIST (CVE-2013-0422), el exploit de Java que se encontró utilizaba dos fallos de diseño para ejecutarse. En primer lugar, hace uso del método público getMbeanInstantiator para obtener una referencia a objetos MbeanInstantiator privados. Después, a través del método findClass, acceder a clases en teoría restringidas.

Posteriormente, utilizaba la API de Reflection de forma recursiva para aprovechar un fallo en la limpieza en la pila de llamadas (como ha sido analizado recientemente) y poder crear las instancias de las clases obtenidas en el paso anterior.

Tras la publicación del parche, el equipo de Immunity realizó un análisis del código corregido, y ha comprobado que el primero de los pasos todavía puede llevarse a cabo. Oracle solo ha bloqueado el sistema para eludir las restricciones de Java, dejando el problema de carga de clases restringidas en el código. En el post publican una prueba de concepto que permite cargar, a través del proceso descrito, clases restringidas arbitrarias en la última versión de Java.

Este fallo no es explotable de por sí, pero combinado con otra vulnerabilidad que permitiera eludir las restricciones de Java significaría que podría seguir explotándose como hasta ahora.

Además aclaran por qué, al contrario que se afirmaba al principio, el fallo no puede explotarse en la versión 6 de Java.

Java 7 Update 11 es vulnerable

Y lo dice Adam Gowniak, el CEO de Security Explorations, que ha descubierto 49 vulnerabilidades en Java durante 2012. En un mensaje a la lista de correo Full Disclosure, asegura que se han encontrado dos nuevas vulnerabilidades que permiten el salto de la sandbox en la última versión de Java. Identificadas como fallos 51 y 52, ya han sido reportadas a Oracle junto con pruebas de concepto funcionales, y están siendo investigadas por la compañía.

Aunque no ha dado detalles técnicos, asegura que no están relacionadas con el fallo en MbeanInstantiator descrito arriba, pero sí "inspiradas" en el.

Fuente
Nueva versión de Opera 12.13 corrige cuatro vulnerabilidades

Acaba de publicarse la versión 12.13 del navegador Opera. Esta nueva versión soluciona cuatro vulnerabilidades que podrían causar denegación de servicio y ejecución de código arbitrario.

La primera vulnerabilidad, marcada como de "alto riesgo" y reportada por Arthur Gerkis, indica que la manipulación de algunos eventos DOM puede ocasionar que la aplicación deje de responder y, potencialmente, ejecución de código.

La siguiente vulnerabilidad, también catalogada como de "alto riesgo" se debe a un error en el manejo de documentos SVG con clipPaths especialmente manipulados.

Han solucionado también un error en peticiones Cross-Origin Resource Sharing (CORS) que podrían eludir la protección contra ataques cross-site request forgery (CSRF). Por último, se ha resuelto una vulnerabilidad de importancia "baja" de que Opera no ha ofrecido detalles.

La nueva versión está disponible para su descarga a través de: http://www.opera.com/browser/download/

Fuente
Los datos de 250.000 usuarios de Twitter comprometidos

Twitter ha reconocido que ha sufrido un ataque a sus sistemas por el cual se podrían ver afectados 250.000 usuarios. Esta semana han detectado patrones inusuales de acceso a las cuentas que les llevaron a identificar como accesos no autorizados a los datos de las cuentas.

Según indican no hay evidencias de que las contraseñas se hayan visto comprometidas. Pero como medida adicional de precaución, la red social enviará un correo a los usuarios que estén afectados, inhabilitando la contraseña, para que de esta forma se vean obligados a su cambio. Desde Twitter tratan de minimizar el impacto del problema ya que sólo un pequeño porcentaje de usuarios ha sido afectado.

De todas formas, exhortan a los usuarios para que creen una contraseña fuerte para el servicio. No es la primera vez que el servicio sufre un problema de seguridad, pero mientras que en ocasiones anteriores era dirigido hacia el Timeline de los usuarios, para enviar mensajes con enlaces que nos llevaban a una página web no deseada, ahora parece que son los datos el objetivo buscado.

Ataques similares al sufrido por la red social también se han dado en medios de Estados Unidos, como el New York Times o el Wall Street Journal. Desde Twitter afirman que el ataque era muy sofisticado y no parece obra de aficionados. A la vez especulan con que otras compañías puedan verse también afectadas. Por último recomiendan desactivar el plugin de Java de los navegadores web, aunque no aclaran si ha sido esta la puerta para el ciberataque.

Fuente

Fuente original y oficial
Boletín de seguridad de Oracle soluciona 50 vulnerabilidades en Java

Oracle acaba de publicar el boletín de seguridad de febrero 2013 de Java, aunque estaba planificado para el día 19 de Febrero lo han adelantado por la gravedad de algunas vulnerabilidades. Tal es la gravedad, que 26 de las vulnerabilidades tienen una puntuación CVSS de 10 con posibilidad de elevación de privilegios.


Se solucionan 50 vulnerabilidades, de las cuales, 44 afectan a la rama de desarrollo cliente pudiendo ser explotadas a través de aplicaciones Java Web Start o Applets Java especialmente manipulados. Tres afectan tanto a la rama de desarrollo cliente como servidor y dos exclusivamente a la rama servidor (JSSE) que podrían ser explotadas a través de las APIs de los componentes afectados.

Todas las vulnerabilidades permiten el ataque de forma remota a excepción de una que afecta al proceso de instalación de JRE.

Se incluye también en esta actualización la solución anteriormente publicada para la tan hablada CVE-2013-0422. Para intentar mitigar los ataques a través del plugin de Java en navegadores se cambia el valor de seguridad Java por defecto a “Alto”, además de facilitar el deshabilitar dicho plugin a través del panel de control Java en equipos Windows.

Para más información sobre las vulnerabilidades solucionadas y la aplicación de los parches, se recomienda visitar el sitio oficial del boletín.
http://www.oracle.com/technetwork/topic ... 41061.html

Fuente
Múltiples vulnerabilidades en la implementación TLS/SSL en OpenSSL

El proyecto OpenSSL acaba de publicar un boletín advirtiendo de la corrección de tres vulnerabilidades que afectarían a la implementación de los protocolos SSL, TLS y DTLS. Los problemas anunciados podrían permitir la revelación de información (texto en claro del mensaje) y diferentes denegaciones de servicio.

OpenSSL es un conjunto de herramientas de software libre desarrolladas para implementar los protocolos Secure Sockets Layer (SSL v2/v3) y Transport Layer Security (TLS v1), además de una gran cantidad de herramientas criptográficas.


La primera de las vulnerabilidades solucionadas reside en una debilidad en el cifrado por bloques CBC (Cipher-block chaining); y podría permitir a un atacante la recuperación del flujo de datos sin cifrar ("texto plano") de un mensaje mediante un ataque de tipo hombre en el medio ("Man-In-The-Middle").

Esta vulnerabilidad, investigada por el estudiante Nadhem AlFardan y el profesor Kenny Paterson, del Grupo de Seguridad de la Información de la Universidad Royal Holloway de Londres. Se le ha sido asignado el identificador CVE-2013-0169 y como se comenta en la presentación realizada, no residiría en la implementación de OpenSSL, sino en un fallo de diseño de la especificación de TLS/DTLS, tanto en la versión 1.1 como la 1.2, por lo que otras implementaciones también se verían afectadas (como NSS, GnuTLS, PolarSSL, OpenJDK...).

A modo aclaratorio, por el momento se confirma que este ataque sólo puede ser llevado con éxito en ciertas circunstancias. También se ve parcialmente mitigado cuando OpenSSL se usa junto con OpenSSL FIPS Object Module y el modo de operación FIPS activo.

Otro problema corregido ha sido una denegación de servicio relacionada con el conjunto de instrucciones de apoyo a la codificación/dulcificación AES-NI (CVE-2012-2686), y la incorrecta gestión del modo CBC. Estas instrucciones fueron diseñadas e introducidas por Intel en sus procesadores (y adoptadas posteriormente por AMD), para mejorar el desempeño del protocolo TLS y el esquema de cifrado AES. Se verían afectadas tanto las implementaciones TLS 1.1 como 1.2, siempre y cuando se utilicen este tipo de instrucciones.

Pur último, una denegación de servicio a través de la incorrecta gestión de las respuestas de verificación OCSP (CVE-2013-0166).

Se recomienda a los usuarios afectados actualizar a las versiones OpenSSL 1.0.1d, 1.0.0k o 0.9.8y disponibles desde:
http://www.openssl.org/source/

Fuente
Microsoft publicará doce boletines de seguridad el próximo martes

Como cada mes, Microsoft ha dado un adelanto de los boletines que serán publicados dentro de su ciclo de actualizaciones, esta vez el próximo martes 12 de febrero. En esta ocasión se trata de doce boletines (del MS13-009 al MS12-020) que corregirán múltiples vulnerabilidades en diversos sistemas.

De estos boletines, cinco han sido calificados como críticos, corrigiendo todos vulnerabilidades que pueden dar lugar a la ejecución de código remoto. Entre ellos, dos solucionarán vulnerabilidades para Internet Exlorer en todas sus versiones (desde la 6 hasta la 10). Los otros cinco boletines tienen una gravedad de "importante".

Microsoft Exchange Server 2007 y 2010, Microsoft FAST Search Server y Microsoft FAST Search Server 2010 for SharePoint también recibirán actualizaciones, al igual que los diversos sistemas Windows, tanto de escritorio como para servidores.

Microsoft también lanzará una actualización para su herramienta "Microsoft Windows Malicious Software Removal Tool" que estará disponible desde Microsoft Update, Windows Server Update Services y su centro de descargas.

Más información:

Microsoft Security Bulletin Advance Notification for February 2013
http://technet.microsoft.com/en-us/secu ... n/ms13-feb

Fuente
(mensaje borrado)
Ejecución remota de código en diversas implementaciones y equipos UPnP

Tras las investigaciones realizadas en las últimas semanas se ha determinado la viabilidad de una vulnerabilidad de ejecución remota de código en diversas implementaciones UPnP, que afectaría a millones de dispositivos conectados a Internet. Según las últimas estimaciones más de 40 millones de dispositivos, desde routers hasta impresoras pasando por SmartTVs y dispositivos multimedia expuestos a Internet, podrían ser vulnerables a diferentes ataques de revelación de información, denegación de servicio, o ejecución de remota de código.

Como alertamos en la una-al-dia "Discutida vulnerabilidad en routers Cisco Linksys", existiría una vulnerabilidad presente en los routers Cisco Linksys que afectaba al módulo Universal PnP (UPnP). Posteriores investigaciones han aclarado que el problema reside en la implementación de UPnP realizada y que también afecta a otras marcas, fabricantes y dispositivos que utilicen el chipset de la marca Broadcom, presente en multitud de routers y entre ellos el propio de Cisco, Linksys WRT54GL.

Verdaderamente el problema no reside en el chipset en sí, sino en una incorrecta implementación de la pila UPnP por parte de los diferentes fabricantes al utilizar versiones vulnerables o no actualizar debidamente los dispositivos, entre los que se incluyen Intel/Portable UPnP SDK (libupnp), MiniUPnP SDK o la propia de Broadcom. En esta última se ha conseguido ejecutar código de manera remota (según las investigaciones de Defensecode) e identificar 15 millones de dispositivos con chipset Broadcom y módulo UPnP vulnerable.

Las vulnerabilidades ya han sido correctamente identificadas, todas ellas relacionadas con desbordamientos de memoria basados en pila, a través del envío de paquetes UDP especialmente manipulados. Ocasionado por la falta de filtrado previo al utilizar funciones de tipo "strncpy()" o "sprintf()" y no gestionar adecuadamente los tamaños de búfer.

  • En la implementación de Portable/Intel SDK serían: CVE-2012-5958, CVE-2012-5959, CVE-2012-5960, CVE-2012-5961, CVE-2012-5962, CVE-2012-5963, CVE-2012-5964 y CVE-2012-5965 afectando al parser SSDP.
  • En la implementación MiniUPnP, CVE-2013-0230 que afectaría al módulo SOAP y CVE-2013-0229 al parser SSDP.

Tras estos datos iniciales, los investigadores de Rapid7 (creadores de Metasploit) conjuntamente con Defensecode han seguido sus investigaciones y esta semana han presentado un listado parcial de los actuales modelos vulnerables:

Enlace a pastebin – Lista parcial de afectados:
http://pastebin.com/gLuEy8rK

También se ha facilitado una utilidad para poder comprobar los equipos afectados presentes en la red local:
ScanNow for Universal Plug and Play (UPnP)
http://www.rapid7.com/resources/free-se ... n-2013.jsp

Los fabricantes están realizando las actualizaciones oportunas de sus firmwares con nuevas versiones de las implementaciones UPnP que ya no se ven afectadas, como el caso de TP-Link y su modelo TD-W8960N (firmware disponible, ver enlace más abajo). Aunque como medida general y preventiva se recomienda desactivar UPnP en aquellos dispositivos críticos expuestos a Internet.

Más información:

Security Flaws in Universal Plug and Play: Unplug, Don't Play
https://community.rapid7.com/community/ ... -dont-play

DC-2013-01-003 Broadcom UPnP Remote Preauth Root Code Execution
Vulnerability
http://www.defensecode.com/public/Defen ... visory.pdf

Cisco Security Advisory: Portable SDK for UPnP Devices Contains Buffer Overflow Vulnerabilities
http://tools.cisco.com/security/center/ ... 30129-upnp

Fixed a critical vulnerability issue related to UPnP. Model : TD-W8960N. Hardware Version: V4
http://forum.tp-link.com/showthread.php ... ed-to-UPnP

Vulnerability Note VU#922681. Portable SDK for UPnP Devices (libupnp) contains multiple buffer overflows in SSDP
http://www.kb.cert.org/vuls/id/922681


Fuente

Scanner Online
0-day en Adobe Reader y nuevas funcionalidades y vulnerabilidades en Flash Player

Se ha confirmado que se está aprovechando una vulnerabilidad en Adobe Reader que permite ejecutar código con solo abrir un PDF. Además, en los últimos días, Adobe ha publicado dos boletines de seguridad que corrigen 19 vulnerabilidades en Flash Player, una de ellas también descubierta en forma de 0-day.

El 7 de febrero Adobe publicó un boletín fuera de ciclo, APSB13-04 que corregía dos vulnerabilidades que estaban siendo aprovechadas activamente por atacantes. CVE-2013-0633 y CVE-2013-0634 que afectan a las versiones de Flash Player para Windows explotadas a través de documentos Word con objetos Flash embebidos (SWF) especialmente manipulados. También eran distribuidas mediante páginas web.

Ese día también presentaron una nueva funcionalidad destinada a mitigar este problema de objetos Flash integrados en Office. Los usuarios de Office 2010 ejecutan el contenido incrustado en los documentos en "Modo protegido" que impide de forma predeterminada que se ejecute el contenido Flash si el documento viene de Internet (queda clasificado en esa zona). Pero en las versiones anteriores (las que usan la mayoría) el contenido se ejecuta sin restricción, por defecto y sin preguntar.

La nuevafuncionalidad de Flash Player hace que cuando detecta que se está ejecutando en Office anterior a 2010, aparecerá un diálogo para que el usuario decida si quiere ejecutar ese contenido. Algo muy parecido a la filosofía adoptada por Java recientemente.

Por otro lado, Adobe publica el día 12, además, el boletín correspondiente dentro del ciclo, APSB13-05, que corrige 17 vulnerabilidades en Flash, la mayoría de carácter crítico.

Y por último, FireEye acaba de descubrir que existe una nueva vulnerabilidad en Adobe Reader 9.5.3, 10.1.5, y 11.0.1 que está siendo aprovechada por atacantes. El ataque ejecuta código con solo visitar una web que intenta cargar un PDF. Una vez con el control del sistema, descarga el malware por un lado, y por otro, muestra un documento PDF "cebo" para evitar que la víctima detecte algo extraño. Han hablado con Adobe y se han reservado los aspectos técnicos hasta que exista un parche disponible.

Más información:

In Turn, It's PDF Time
http://blog.fireeye.com/research/2013/0 ... -time.html

Raising the Bar for Attackers Targeting Flash Player via Office Files
http://blogs.adobe.com/asset/2013/02/ra ... files.html

Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/b ... 13-04.html
http://www.adobe.com/support/security/b ... b13-05.htm

Fuente
¿El fin del virus de la policía?

En estos días se anuncia un indiscutible éxito (otro) de la policía española. La Brigada de Investigación Tecnológica (BIT) de la Policía Nacional ha detenido a 11 individuos en relación al "virus de la policía". Pero desde luego no es el fin de este tipo de malware y, como de costumbre, los medios generalistas se están dedicando a intoxicar la información real con titulares demasiado optimistas.

No se han detenido los responsables del virus de la policía como si se tratase de un equipo reducido de personas que se dedicaban a infectar a los usuarios. En la página del ministerio del interior, lo explican:

"Los agentes han desarticulado la célula financiera de la organización ubicada en la Costa del Sol y que blanqueaba el dinero logrado por este fraude, obteniendo sólo este grupo más de 1.000.000 € al año"


Lo que se ha desarticulado es uno de los grupos dedicado a lavar la impresionante cantidad de dinero que estaban consiguiendo con solo una de las decenas de variantes creadas por uno de los muchísimos grupos que están en ello. En el vídeo que acompaña a la noticia, las 200 tarjetas de crédito que aparecen (clonadas o creadas a través de números robados) dejan claro que eran más el departamento "financiero" que técnico. Además, se dice que:

"Entre los arrestados se encuentra el responsable de la creación, desarrollo y difusión de las diferentes versiones del malware a nivel internacional: un ciudadano de 27 años y origen ruso que fue detenido en los Emiratos Árabes Unidos"


Este hombre fue arrestado en diciembre, en realidad. Pero no pensamos que sea "el máximo responsable". Además, si lo fuera, no importaría demasiado (luego veremos por qué). Pensamos que la creación, desarrollo y difusión son precisamente tres actividades más bien independientes que muy extrañamente pueden recaer sobre la misma persona.

  • La creación la adjudicamos a la persona que tuvo la idea de usar la imagen de la policía, las acusaciones... como reclamo para secuestrar el ordenador. Puede que este mismo fuera quien lo programase en primera instancia y comenzara su distribución a pequeña escala... o no. Además, por supuesto esto es una evolución de otras ideas. Recordemos que en 2009 ya pudimos ver secuestros del ordenador en nombre de la RIA (Recording Industry Association of America) acusando al usuario de tener contenido descargado ilegalmente y pidiendo rescate. Un ataque muy parecido. El virus de la policía como tal, comenzó en Alemania en 2010.

  • El desarrollo se lo adjudicamos a quien lo programó, y a todos los que observaron rápidamente que era una genial idea. Estos plagiaron la idea, creando variantes propias, copiaron el código, o mandaron a terceros su programación, quién sabe. El caso es que sería ingenuo pensar que existe una única banda creando y distribuyendo algo que está teniendo tanto éxito, en un mundo en el que se puede copiar lo que sea, y que además está al margen absoluto de la ley. Todos copian en una especie de sálvese quien pueda y recoge la parte del pastel más grande posible.

    Hemos observado variantes buenas y malas técnicamente hablando... que usaban muy diferentes técnicas para bloquear el sistema: desde Internet Explorer en modo quiosco hasta la creación de escritorios virtuales pasando por ventanas sin bordes. Otros activaban la cámara y otros cifraban correos... No todos han sido creados por el mismo grupo, ni el mismo grupo ha creado una sola variante.

  • La difusión es lo más curioso. Habitualmente, su éxito ha sido distribuirse por vulnerabilidades en Java a travésde kits de exploits. Y aquí estamos totalmente convencidos de que poco han tenido que ver los creadores del malware en sí. La distribución a través de kits de exploits es un mundo muy grande, que se complementa con el malware pero que opera a otro nivel. La difusión ha podido hacerse a través de terceros, pagando sus servicios de uso de kits, de investigación de vulnerabilidades, etc... y más frentes, alejados quizás del núcleo "duro" de la creación. Como en el comercio habitual, la distribución puede ser totalmente externalizada. Quizás existan grupos reducidos que han plagiado la idea, programado el malware y distribuido a pequeña escala, todo a la vez... pero serán los menos (aunque quizás no por ello menos en número).

En definitiva, ni mucho menos es el fin del virus de la policía. Es un modelo demasiado lucrativo como para que sea descartada por los atacantes a corto plazo. Hemos tenido la suerte de colaborar en cierto modo con la policía, y además le hemos hecho un seguimiento muy de cerca al desarrollo de este malware. Sin duda su éxito ha sido arrollador, como en otros tiempos ocurría con virus concretos con gran difusión.

Pero no se trata de, como "antiguamente" un malware con nombre y apellidos. Lo que ha triunfado, el éxito, debe atribuirse al modelo: no al malware, no a un archivo concreto, no a un solo método de distribución. Lo que ha permitido que solo una cédula de blanqueo de dinero haya conseguido un millón de euros en un año es la idea, el concepto global de un ransomware bien distribuido y convincente. Y eso no se va a detener con la desarticulación de un grupo de personas. Lamentablemente, quizás tampoco tenga un efecto disuasorio pronunciado. Se juzgará a un reducido número de personas que se han lucrado con el malware (que no es poco).

En cualquier caso, la actuación de la policía ha sido impresionante. No es sencillo detectar (y mucho menos detener) a este tipo de delincuentes, o al menos abatir una de sus patas imprescindibles (la encargada de lavar el dinero). El esfuerzo en coordinación es complejo y merece todo nuestro reconocimiento.

Fuente
Java detrás de los ataques a Apple, Facebook y Twitter

Estos últimos días se han conocido varias noticias de ataques relevantes: los ingenieros de Facebook, Twitter y Apple han sido infectados por malware en las redes internas de estas compañías. Los ataques parecen tener en común varios elementos, pero básicamente, están basados en fallos de seguridad en Java.

que durante el mes de enero, sistemas (al parecer, portátiles) internos (probablemente de ingenieros) habían sido comprometidos con malware. No aclaraba cuántos. Según cuenta Facebook, una página que trataba sobre el desarrollo para móviles (al parecer iPhoneDevSDK) había sido comprometida. En ella, habían subido un exploit para Java que aprovechaba una vulnerabilidad previamente desconocida y que permitía la ejecución de código. Facebook se apresura a admitir que sus sistemas estaban completamente actualizados y que contaban con un antivirus. Estas medidas son necesarias (en especial la de actualizar) pero, lógicamente, insuficientes.

Poco después, el día 19, Apple también admite un problema de seguridad. De nuevo, sus desarrolladores visitan una web específica para programadores y el plugin de Java hace el resto, infectando los sistemas Mac.

Tanto Facebook como Apple aseguran que no han accedido a datos sensibles de su red y que siguen con las investigaciones. Por su parte, Facebook reportó a Oracle el fallo utilizado y fue corregido en su actualización del 1 de febrero.

Precisamente ese día, Twitter admite algo parecido. Detectaron accesos a sus datos (esta vez los atacantes sí que tuvieron éxito) y los pudieron acceder a las contraseñas (afortunadamente cifradas y salteadas) de 250.000 usuarios. Aunque no acusa directamente a Java, en la misma nota recomiendan la desactivación de Java del navegador.

Un ataque ingenioso

Los 0-day (fallos aprovechados por atacantes antes de que exista parche) solo pueden ser mitigados por la seguridad en profundidad. Curiosamente, las vulnerabilidades de este tipo están siendo muy habituales en los últimos tiempos, mientras que la seguridad en profundidad sigue olvidada en favor del mantra obsoleto que confía ciegamente en el antivirus, cortafuegos y sentido común... herramientas que por sí mismas no solucionan nada.

Introducir un exploit previamente desconocido en una web visitada por programadores es una buena idea. Evidentemente, este fallo no solo afectó a Facebook o Apple, sino que seguro son muchos más los infectados. No se trataría por tanto de un ataque dirigido contra estas empresas, pero sí que quizás "orientado" hacia programadores, con todo lo que ello significa. El truco consistiría en esperar a que las víctimas acudieran a una web, en vez de enviar un enlace, fichero o cualquier otro señuelo como sucede habitualmente. Esto incluso lo hace menos sospechoso y las víctimas pueden sentirse mucho más confiadas en que realmente, "no han hecho nada malo".

Usar un exploit de Java es una garantía de éxito además. Es sencillo de explotar, elude muchas restricciones sin complejidad, y está más que estudiado por la ingeniería de las mafias del malware cómo evitar la inmensa mayoría de los motores antivirus. Por si fuera poco, al esparcirse a través del navegador, se consigue entrar en las redes internas de las compañías sin demasiado esfuerzo. Hoy en día, pensar en que los ataques se producen desde fuera, saltando servidores, cortafuegos, IDS y otras medidas es un concepto muy de los 90. ¿Por qué pelear contra los altos y vigilados muros del castillo, si puedes "aparecer" ya dentro gracias a la magia de las vulnerabilidades en los navegadores? Los ataques se realizan sobre los equipos de escritorio de las personas que ya están en la red interna, y a través del navegador preferiblemente.

¿Por qué no estaban protegidos?

En los últimos meses, se ha advertido desde todos los frentes que es necesario (no recomendable, sino imprescindible) desactivar Java del navegador o activarlo exclusivamente para ejecutar ciertos applets firmados muy concretos. Esta es una buena medida contra los 0-days que han aparecido y aparecerán contra este software. Al parecer, algunos programadores de Facebook, Twitter y Apple no lo tuvieron en cuenta.

Lamentablemente, cualquier compañía puede ser comprometida de esta manera, pero el hecho de que los atacantes hayan tenido éxito a través de un software tan probadamente atacado como Java, hace que piense en que, al menos, podía haberse evitado esta vía sin demasiado esfuerzo y que se le ha puesto muy fácil a los atacantes. Este tipo de incidentes aporta muy mala imagen a las empresas que lo sufren. No hay más que ver el amable eufemismo usado para titular las notas de prensa en las que Twitter y Facebook admiten que han sido atacadas: "Seguimos manteniendo seguros a nuestros usuarios" y "Protegiendo a la gente de Facebook".

Fuente
(mensaje borrado)
Nueva actualización para Adobe Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player para evitar tres nuevas vulnerabilidades que afectan al popular reproductor. Estas vulnerabilidades podrían permitir a un atacante tomar el control de los sistemas afectados.

Las vulnerabilidades afectan a las versiones de Adobe Flash Player 11.6.602.168 (y anteriores) para plataformas Windows, Adobe Flash Player 11.6.602.167 (y anteriores) para plataformas Macintosh y Adobe Flash Player 11.2.202.270 (y anteriores) para Linux.

Esta actualización, publicada bajo el boletín APSB13-08, resuelve un problema de permisos en la sandbox de Firefox (CVE-2013-0643), una vulnerabilidad en la característica ExternalInterface ActionScript (CVE-2013-0648) y un desbordamiento de búfer en el servicio broker de Flash Player (CVE-2013-0504). Todos los problemas podrían permitir la ejecución remota de código.

Adobe advierte que los problemas con CVE-2013-0643 y CVE-2013-0648 se están explotando en la actualidad en ataques dirigidos diseñados para que el usuario pulse sobre un enlace que le dirige a un sitio web malicioso con contenido Flash (SWF) malicioso. Este exploit está diseñado para afectar al navegador Firefox.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Adobe Flash Player 11.6.602.171 para Windows y Macintosh.
  • Adobe Flash Player 11.2.202.273 para Linux.
  • Adobe Flash Player 11.6.602.171 para Google Chrome (actualización automática).
  • Adobe Flash Player 11.6.602.171 para Internet Explorer 10 para Windows (actualización automática).

Más información:

Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/b ... 13-08.html

Fuente
Llenar el disco duro con solo visitar una web

Se ha encontrado un método para, a través de las nuevas funcionalidades de HTML5, hacer que el disco duro se llene por completo con solo visitar una web. Esto podría considerarse una especie de denegación de servicio del sistema, que aprovecha la potencia que ofrece el lenguaje para otros fines.

Feross Aboukhadijeh ha creado el "HTML5 Hard Disk Filler". En realidad no es más que una manera de eludir las restricciones de tamaño de la tecnología Web Storage de HTML5 y saturar así el disco duro de información.

Web Storage está ya en todos los navegadores modernos, y permite almacenar datos en el contexto del navegador y que sean manipulados a través de JavaScript. Por ejemplo, con los comandos: localStorage.setItem("key", "value"), localStorage.getItem("key")... La diferencia con las cookies, es que permite almacenar mucha más información. Hasta 10 megas (en teoría) frente a los 4k de las cookies y que no son automáticamente enviados al servidor. El servidor no tiene acceso a esos datos a no ser que el cliente los envíe expresamente a través de JavaScript. Hablamos de esto hace tiempo cuando se detectó que cierto malware estaba haciendo uso de estas funcionalidades para pasar inadvertido.

Web Storage permite almacenar una cantidad de megas por cada dominio. En Internet Explorer (el que más) hasta 10 megas. No se ha encontrado la forma de eludir esta restricción directamente, sino que el truco usado por Aboukhadijeh es el de utilizar muchos subdominios y almacenar información por ellos. Aunque ninguno exceda la cuota permitida, se acumulan en el disco y pueden llegar a llenarlo, saturando el sistema.

Prueba de concepto

En http://www.filldisk.com se ha colgado una prueba de concepto con bastante humor. Llena el disco de imágenes de gatos mientras suena la música del "Trololo".

Firefox es inmune y no permitirá que se cargue espacio indefinidamente. Opera preguntará una vez se exceda el límite. Chrome, Safari e Internet Explorer sin embargo, simplemente permitirán que se llene el disco.

la carpeta de usuario (en el caso de Windows %LOCALAPPDATA%\Google\Chrome\User Data\Default\Local Storage) múltiples ficheros de 5 megas, con los subdominios mencionados. Son ficheros SQLite.

En Opera los podemos encontrar en
%LOCALAPPDATA%\AppData\Local\Opera\Opera\pstorage. Al mirar el index.dat, se podrá saber dónde han ido a parar los datos.

En Safari para Windows, lo podemos encontrar en %LOCALAPPDATA%\Apple Computer\Safari\LocalStorage. Un dato interesante es que el problema funciona en los teléfonos móviles con navegador Chrome o Safari. Si un atacante utiliza esta técnica, el teléfono podría quedar saturado.

Aunque en la página se asegura que se borra el espacio de las imágenes de gatos una vez pulsado el botón, es conveniente revisar si ha quedado algún "resto" en los lugares correspondientes. En 2011 ya se advirtió que esto podría ser posible. Abusar del almacenamiento a través de subdominios. No se sabe aún si los navegadores solucionarán este problema. Por el momento, el usuario tampoco puede defenderse de forma simple, porque por ejemplo en Windows no es sencillo crear cuotas para carpetas concretas. Sí para volúmenes.

Más información:

Web page fills up hard disk
http://www.h-online.com/security/news/i ... 14634.html

Anatomy of a "feature" - what happens if a website grabs all your disk
space?
http://nakedsecurity.sophos.com/2013/03 ... isk-space/

5 Obscure Facts About HTML5 LocalStorage
http://htmlui.com/blog/2011-08-23-5-obs ... orage.html

El malware ya se aprovecha del HTML5
http://unaaldia.hispasec.com/2012/09/el ... html5.html


Fuente
Los atacantes firman applets con certificados robados

La seguridad en Java sigue siendo un desastre. Además de los últimos 0-day y actualizaciones (al menos parece que sacan rápido nuevas correcciones), se ha encontrado un applet firmado con un certificado robado. Este applet no aprovecha una vulnerabilidad, sino que el hecho de estar firmado le permite comprometer el equipo. Además, en este caso concreto, la configuración de Java por defecto demasiado relajada, ayuda al atacante.

Malware Domain List anunció en Twitter que había encontrado un Jar que descargaba archivos maliciosos, incluso en la última versión conocida. La primera impresión, por supuesto, fue la de encontrarse ante un nuevo 0-day. Teniendo en cuenta los últimos acontecimientos y que el año pasado la mitad de las infecciones vinieron por Java, era lo más lógico. Por cierto, el último episodio (encontrado el día 28 siendo explotado y arreglado muy recientemente) se diferenciaba sustancialmente de los fallos anteriores. Este aprovechaba una vulnerabilidad en la propia máquina virtual, no un problema de escapada de la "sandbox", como se ha venido haciendo últimamente. Pero no, este Jar no aprovechaba ningún fallo.

Había sido descargado de un sitio comprometido que, por supuesto, habían convertido en un punto de infección con un Exploit Kit. Lo "interesante" de este Jar es que no aprovecha nada extraño, solo que está firmado. Como ya mencionados en la serie dedicada a Java hace unas semanas, los applets firmados son como ejecutables en los que confía el sistema totalmente.

Han firmado el applet con un certificado robado de una empresa que existe. Aunque a la víctima le aparece un mensaje, no es extraño que muchos confíen en él y lo ejecuten.

Con esta simple técnica, no necesitan de vulnerabilidades.

Pero la culpa sigue siendo de Java

Una nota curiosa, es que este applet estaba firmado con un certificado que fue revocado por GoDaddy el día 7 de diciembre (descubierto por Jindrich Kubec). En teoría, Java debería haberlo bloqueado, mirando la lista de certificados revocados de GoDaddy online (http://crl.godaddy.com/gds5-16.crl). ¿Por qué no lo ha hecho? Simple: esta opción no está activa por defecto. Como estudiamos en una-al-día anteriores, era una posibilidad para los atacantes ahora que la seguridad por defecto de Java está en "alta" y los applets no firmados no se ejecutarán sin preguntar. Con estos certificados robados, el ataque es más realista (aunque no tanto... la diferencia entre diálogos no es tanta). En ese momento recomendábamos activar la opción "Comprobar certificados para la revocación mediante listas de revocación". Esto significa que se comprueba "online" si un certificado ha sido revocado. Como no se hace por defecto, todo el sistema se invalida: basta con firmar un applet con un certificado (revocado o no), el usuario que no haya modificado esa opción no percibirá diferencia alguna.

Otra cosa es que Java haya incluido en su lista negra el certificado (cosa que no ha ocurrido). Sí que ha incluido dos nuevos bloqueos de applets en su lista negra (C:\Program Files\Java\jre7\lib\security\blacklist) desde las últimas versiones. Pero no dan información sobre cuáles ni por qué.

Quizás este caso sea anecdótico y no muestre una tendencia, pero parece relevante. En cualquier caso, en estos días la seguridad en Java está dando tanto que hablar, que han creado dos páginas "interesantes":

  • Una web que establece una línea de tiempo entre los 0-days encontrados y sus soluciones (para aclarar un poco el asunto):
    http://eromang.zataz.com/uploads/oracle ... eline.html
  • Otra, un poco menos útil, que nos permite saber de un vistazo cuántos días lleva sin aparecer un 0-day en Java.


Más información:

Mejorar y entender la seguridad del plugin de Java (IV)
http://unaaldia.hispasec.com/2013/02/me ... d-del.html

When a Signed Java JAR file is not Proof of Trust
http://eromang.zataz.com/2013/03/05/whe ... -of-trust/


Fuente
Nueva actualización para Adobe Flash Player

Adobe ha publicado una nueva actualización para Adobe Flash Player para evitar cuatro nuevas vulnerabilidades que afectan al popular reproductor. Estas vulnerabilidades podrían permitir a un atacante tomar el control de los sistemas afectados.

Flash Player 11.6.602.171 (y anteriores) para Windows y, Adobe Flash Player 11.2.202.273 (y anteriores) para Linux, Adobe Flash Player 11.1.115.47 (y anteriores) para Android 4.x, y Adobe Flash Player 11.1.111.43 (y anteriores) para Android 3.x y 2.x.

Esta actualización, publicada bajo el boletín APSB13-09, resuelve una vulnerabilidad de desbordamiento de entero (CVE-2013-0646), una vulnerabilidad de uso después de liberar (use-after-free) (CVE-2013-0650), una vulnerabilidad de corrupción de memoria (CVE-2013-1371) y una vulnerabilidad de desbordamiento de búfer basado en pila (CVE-2013-1375). Todas ellas pueden dar lugar a la ejecución de código arbitrario.

Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

  • Adobe Flash Player 11.6.602.180 para Windows y Macintosh.
  • Adobe Flash Player 11.2.202.275 para Linux.
  • Adobe Flash Player 11.6.602.180 para Google Chrome (actualización automática).
  • Adobe Flash Player 11.6.602.180 para Internet Explorer 10 para Windows (actualización automática).
  • Adobe Flash Player 11.1.115.48* para Android 4.x.
  • Adobe Flash Player 11.1.111.44* para Android 3.x y 2.x.
  • Adobe AIR 3.6.0.6090.

Fuente
Ejecución remota de código en la plataforma de juegos Origin

Se ha publicado un estudio que revela la posibilidad de ejecutar código remoto a través de la plataforma de juegos Origin, afectando a más de los 40 millones de usuarios que acceden regularmente a sus juegos (como Crysis 3, Simcity, Battlefield...).

Los investigadores Luigi Auriemma y Donato Ferrante de la firma ReVuln, que ya alertaron de una vulnerabilidad similar en Steam en noviembre de 2012, han realizado el mismo análisis en la plataforma de Electronics Arts y han encontrado una vulnerabilidad equivalente. Según sus investigaciones un atacante remoto podría ejecutar código malicioso a través de enlaces origin:// especialmente manipulados.

Básicamente la plataforma Origin utiliza el siguiente protocolo para iniciar y comprobar la validez de un juego:

  • Inicio del ejecutable del juego que invoca a la plataforma Origin instalada en el sistema, mediante un URI personalizado al efecto "origin://"
  • Cierre del proceso del juego.
  • La plataforma Origin una vez hechas las comprobaciones DRM que indican que el juego es original, lo lanza a través del mismo URI inicial suministrado.

Este URI "origin://" como tal es accesible a través de cualquier acceso directo del sistema o desde el navegador, por lo que un atacante sólo tendría que incluir un URI malicioso en su página web, o en un correo y distribuirlo.

Los investigadores comentan que existen diferentes maneras de conseguir que se ejecute el código. En su comunicado se centran en la función OpenAutomate que permite iniciar un test de comprobación del sistema.

Una URI maliciosa utilizando este comando sería la siguiente:

origin:// comando /< ID del juego>?CommandParams = openautomate\\< IP
del atacante >\\ openautomate.dll

Donde ID es el identificador del juego instalado en el sistema y openautomate.dll la librería especialmente modificada que, aparte de ejecutar el juego, inicia el código malicioso desde la IP del atacante.

El ID del juego no es particular para cada usuario, por lo que es trivial incluir en una llamada un conjunto de IDs de juegos vulnerables por 'openautomate' para explotar la vulnerabilidad, aunque no se conozca a priori qué juego del catálogo mantiene el usuario instalado en su sistema.

En este vídeo se puede ver el proceso completo y la demostración de la vulnerabilidad:
http://vimeo.com/61361586

Como solución temporal, se indica la posibilidad de desactivar o bloquear el protocolo "origin://" en el sistema y en el navegador, por lo que sólo se podría iniciar el juego desde la plataforma Origin directamente, hasta que se solucione la vulnerabilidad.

Más información:

EA Origin Insecurity (when local bugs go remote... again)
http://revuln.com/files/ReVuln_EA_Origin_Insecurity.pdf

Fuente
(mensaje borrado)
Elevación de privilegios a través de Skype para Microsoft Windows

La instalación por defecto de Skype es vulnerable a un ataque de elevación de privilegios que podría permitir a un atacante local sin privilegios ejecutar código arbitrario con privilegios de SYSTEM en entornos Windows.

Skype es un software gratuito que permite realizar llamadas mediante voIP, videoconferencias, enviar mensajes instantáneos y compartir archivos desde un ordenador personal, smartphone, tablet o videoconsola entre otros dispositivos.

Existe un error en la aplicación 'Click to Call' de Skype (c2c_service.exe) al no restringir correctamente las rutas de búsqueda para las librerías DLL que utiliza. Además el directorio donde se encuentra esta aplicación dispone de permisos de escritura para cualquier usuario. Para Windows XP el directorio donde se instala 'Click to Call' es 'C:\Documents and Settings\All Users\Application Data\Skype\Toolbars\Skype C2C Service', mientras que para Windows 7 es 'C:\ProgramData\Skype\Toolbars\Skype C2C Service'.

Un atacante local sin privilegios podría aprovechar lo anterior para realizar un DLL Hijacking y conseguir ejecutar código arbitrario a través de un archivo DLL especialmente manipulado que sea cargado por 'Click to Call' (por ejemplo 'msi.dll') desde su propio directorio. Debido a que 'c2c_service.exe' se ejecuta como un servicio con privilegios SYSTEM en los sistemas operativos Microsoft Windows, la ejecución arbitraria de código se haría con dichos permisos.

Para aprovechar la vulnerabilidad es necesario reiniciar el servicio 'c2c_service.exe' o el equipo.

La última versión publicada de Skype para Windows soluciona esta vulnerabilidad. Esta disponible para su descarga desde la página oficial.

Más información:

Skype Click to Call Update Service local privilege escalation
http://seclists.org/bugtraq/2013/Mar/94

Fuente
Editado por #1302#. Razón: tag fail
Google corrige diez vulnerabilidades en Chrome

Google ha publicado la versión 26.0.1410.43 de su navegador Chrome para todas las plataformas (Windows, Linux, Mac y Chrome Frame). Esta nueva versión corrige diez vulnerabilidades de diversa importancia.


  • Dos vulnerabilidades de impacto alto: con el CVE-2013-0916, un uso de memoria previamente liberada en Web Audio descubierta por Atte Kettunen de OUSPG (que ha sido premiado con $1000 por Google). La segunda, que no ha sido atribuida, tiene identificador CVE-2013-0921 y trata el salto de restricciones de la funcionalidad Isolated Sites, que puede permitir a los procesos que inicia una web acceder a los de otra.

  • Otras dos vulnerabilidades de impacto medio: Un fallo en el manejo de contenido activo en elementos EMBED durante una operación de copia y pegado (con identificador CVE-2013-0926), descubierta por Subho Halder, Dev Kar y Aditya Gupta de xys3c. Por otro lado y con CVE-2013-0920, un use-after free en la API de marcadores, reportada por Mustafa Emre Acer, del Google Chrome Security Team.

  • Por último, seis vulnerabilidades de perfil bajo, entre las que destacan: Un uso de memoria ya liberada aprovechando extensiones que muestran ventanas emergentes (CVE-2013-0919). De nuevo por Mustafa Emre Acer, esta vulnerabilidad solo está presente en plataformas Linux.

También una falta de restricciones en el número de intentos para llevar a cabo una autenticación HTTP básica, que permitía el uso de fuerza bruta, reportada por "t3553r" y con identificador CVE-2013-0922. Por último, CVE-2013-0923, un fallo que permite la corrupción de la memoria a través de la API USB.

Además de las soluciones de seguridad, Google introduce con esta versión mejoras para el corrector ortográfico y la posibilidad de crear accesos directos para usar Chrome con distintos perfiles.

Esta actualización está disponible a través del propio navegador vía Chrome Update automáticamente o desde el sitio oficial de descarga:
http://www.google.es/intl/es/chrome/

Más información:

Stable Channel Update
http://googlechromereleases.blogspot.co ... te_26.html

Fuente
Mozilla publica 11 boletines de seguridad para Firefox

Mozilla ha publicado la versión 20 de su navegador Firefox, que corrige 11 fallos de seguridad descritos en 11 boletines e implementa varias mejoras para la navegación privada y otros cambios estéticos.

La versión número 20 del popular navegador ha incluido una nueva funcionalidad que permite iniciar la navegación privada (que no almacena datos en el historial), con la misma sesión que se tiene en la ventana normal. Hasta ahora, era necesario reiniciar todo el navegador para poder navegar "de incógnito", pero con esta nueva versión, las pestañas de incógnito y las "normales" pueden convivir en la misma sesión del navegador.

Otro cambio significativo es que la ventana de descargas habitual en los últimos años ha desaparecido, mostrándose ahora en un discreto desplegable a la derecha de la barra de navegación.

En cuando a las vulnerabilidades corregidas, tres boletines (MFSA 2013-36, MFSA 2013-35 y MFSA 2013-30) tienen un impacto crítico. El primero corrige un error relacionado con la implementación de 'Same Origin Wrappers' y que podría permitir una ejecución de código arbitrario con los permisos del usuario. El segundo es un error en la biblioteca 'WebGL' que implementa Firefox y que también podría permitir la ejecución de código arbitrario y el tercero contiene tres vulnerabilidades relacionados con el manejo de memoria.

Otros cuatro boletines (MFSA 2013-38, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31) tienen un impacto alto. Uno de ellos corrige un error en las funciones relacionadas con el histórico de JavaScript, que se podrían utilizar para realizar una suplantación de identidad a través de un ataque XSS. Otros dos corrigen una elevación de privilegios a través del sistema de 'Mozilla Updater' y 'Mozilla Maintenance Service' y el último solventa un fallo en la biblioteca 'Cairo' con el que se podría ejecutar código arbitrario.

Los cuatro boletines restantes (MFSA 2013-40, MFSA 2013-39, MFSA 2013-37, MFSA 2013-33) tienen un impacto medio. El primero se trata de una lectura fuera de límites en un vector, el segundo una corrupción de memoria a través del renderizado de imágenes PNG, el tercero permitiría la revelación de información sensible (cuyo vector de ataque está relacionado con el uso de pestañas) y el cuarto permitiría un acceso no autorizado (de lectura y escritura) a la carpeta 'app_tmp' en dispositivos Android.

La nueva versión está disponible a través del sitio oficial de descargas de Firefox: http://www.mozilla.org/es-ES/firefox/new/
Por otra parte, cabe señalar que ocho de los boletines publicados (MFSA 2013-40, MFSA 2013-38, MFSA 2013-36, MFSA 2013-35, MFSA 2013-34, MFSA 2013-32, MFSA 2013-31 y MFSA 2013-30) también afectan a Thunderbird y SeaMonkey, por lo que se han publicado las versiones 17.0.5 y 2.17 de ambos productos.

Más información:

Firefox Gives You More Control Over Your Privacy:
https://blog.mozilla.org/blog/2013/04/0 ... r-privacy/

Security Advisories for Firefox:
https://www.mozilla.org/security/known- ... refox.html

Fuente
Microsoft publicará nueve boletines de seguridad el próximo martes

Al igual que todos los meses, Microsoft ha proporcionado un adelanto de los boletines de seguridad que se van a publicar el próximo día 9 de abril. Un total de nueve boletines, dos de ellos tendrán un carácter crítico y los siete restantes están marcados como importantes.

Los dos boletines críticos corrigen fallos de seguridad que podrían permitir la ejecución de código arbitrario. Los sistemas afectados son Internet Explorer 6, 7 y 8, Windows XP, Server 2003, Windows Vista, Server 2008, Windows 7, Server 2008 R2, Windows 9, Windows Server 2012 y Windows RT.

Entre los siete marcados como importantes existen tres impactos diferentes. Uno de ellos permitiría una revelación de información sensible afectando a Microsoft SharePoint Server 2013. Otro de ellos permitiría una denegación de servicio, afectando nuevamente a todos los Microsoft Windows anteriores excepto Windows RT.

Los cinco boletines restantes marcados como importantes podrían permitir la elevación de privilegios. Estos afectarían a todos los Microsoft Windows, además de a Microsoft Office, Office Web Apps 2010, Microsoft SharePoint Server 2010, Groove Server 2010 y Microsoft SharePoint 2010 Foundation.

También se publicará un parche para Windows Defender en las versiones de Windows 8 y Windows RT. Este parche corregirá una elevación de privilegios y la instalación del mismo requerirá reiniciar el sistema.

Más información:

Microsoft Security Bulletin Advance Notification for April 2013
http://technet.microsoft.com/en-us/secu ... n/ms13-apr

Fuente
Microsoft publica nueve boletines de seguridad

Microsoft ha publicado nueve boletines de seguridad que agrupan varias vulnerabilidades diferentes. Dos de los boletines son considerados como "críticos" y afectan al navegador Internet Explorer y al ActiveX del escritorio remoto. El resto de boletines restantes han sido clasificados como nivel "importante".

  • MS13-028: (Internet Explorer): El boletín acumulativo resuelve dos vulnerabilidades que permiten ejecutar código arbitrario a través de Internet Explorer, en todas sus versiones.
  • MS13-029: Resuelve un grave problema de seguridad en el ActiveX de RDP (Escritorio Remoto) que podría permitir ejecutar código con solo visitar una web. El fallo se encuentra concretamente en la librería mstscax.dll.

Los boletines importantes son:

  • MS13-030: Un fallo en SharePoint permitiría a un atacante acceder a información sensible.
  • MS13-031: Resuelve dos vulnerabilidades en el kernel de Windows al tratar incorrectamente los objetos en memoria, que podrían permitir a un usuario elevar sus privilegios en el sistema. Afecta a toda la gama de Windows.
  • MS13-032: Un problema de consumo de recursos en LDAP podría permitir provocar una denegación de servicio. Afecta a toda la gama de Windows.
  • MS13-033: Un problema de elevación de privilegios en CSRSS. No se ven afectados Windows 7,8 o 2008 R2.
  • MS13-034: Un problema de elevación de privilegios en todo el software antimalware de Microsoft. Esto incluye desde Windows Defender, hasta la herramienta básica de eliminación de malware, pasando por toda la gama Forefront.
  • MS13-035: Un fallo a la hora de senear HTML en InfoPath 2010, SharePoint Server 2010, Microsoft Office Web Apps 2010 y Groove Server 2010, permitiría elevar privilegios a un atacante si abre un contenido especialmente manipulado.
  • MS13-036: Soluciona cuatro vulnerabilidades de elevación de privilegios en el driver Win32k y una en NTFS. Afecta a todos sus sistemas operativos.

Las actualizaciones publicadas pueden descargarse a través de Windows Update o consultando los boletines de Microsoft donde se incluyen las direcciones de descarga directa de cada parche.

Más información:

Una vulnerabilidad en el cliente de Escritorio remoto podría permitir la ejecución remota de código (2828223)
http://technet.microsoft.com/es-es/secu ... n/MS13-029

Una vulnerabilidad en SharePoint podría permitir la divulgación de información (2827663)
http://technet.microsoft.com/es-es/secu ... n/MS13-030

Vulnerabilidades del kernel de Windows podrían permitir la elevación de privilegios (2813170)
http://technet.microsoft.com/es-es/secu ... n/MS13-031

Una vulnerabilidad en Active Directory podría provocar la denegación de servicio (2830914)
http://technet.microsoft.com/es-es/secu ... n/MS13-032

Una vulnerabilidad en el subsistema de tiempo de ejecución de cliente-servidor (CSRSS) de Windows podría permitir la elevación de privilegios (2820917)
http://technet.microsoft.com/es-es/secu ... n/MS13-033

Una vulnerabilidad en el Cliente de Microsoft Malware podría permitir la elevación de privilegios (2823482)
http://technet.microsoft.com/es-es/secu ... n/MS13-034

Una vulnerabilidad en el componente de saneamiento de HTML podría permitir la elevación de privilegios (2821818)
http://technet.microsoft.com/es-es/secu ... n/MS13-035

Vulnerabilidades en el controlador modo kernel podrían permitir la elevación de privilegios (2829996)
http://technet.microsoft.com/es-es/secu ... n/ms13-036


Fuente
(mensaje borrado)
Ejecución de código a través del formato ASF en VLC media player

VideoLan Organization, responsable de VLC media player, ha publicado un boletín de seguridad en el que corrige una vulnerabilidad para este reproductor que podría permitir a un atacante ejecutar código arbitrario.

VLC (VideoLAN client) es un reproductor multimedia de código abierto y distribuido con licencia GPL que dispone de soporte para diversos códecs de audio y vídeo, además los formatos DVD, VCD y protocolos de streaming.

El error es producido por un mal procesado en vídeos ASF localizado en el fichero 'modules/demux/asf/asf.c'. Podría causar un desbordamiento de búfer que podría hacer que el reproductor deje de funcionar e incluso podría permitir una ejecución de código con los privilegios con los que se esté ejecutando el reproductor al intentar reproducir un vídeo ASF especialmente manipulado.

Se han visto afectadas dos funciones: 'GETVALUE2b' y 'DemuxPacket'. La primera función se ha sustituido por la función 'GetValue2b' que ahora tiene la siguiente definición:

static inline int GetValue2b(int *var, const uint8_t *p, int *skip, int left, int bits)

que admite dos parámetros más que la función anterior, y en la que ahora la sentencia switch del parámetro 'bits' hace una comprobación más para evitar que la variable 'var' (pasada ahora como puntero) pueda apuntar a una dirección errónea.

En la segunda función afectada, los cambios producidos han sido principalmente la inicialización de las variables utilizadas para evitar que en la declaración de las variables, estas contengan "basura" y que en algún tramo de la ejecución del programa tengan valores inesperados.

El error ha sido solucionado en la versión 2.0.6 y está ya disponible su descarga en su página oficial.

Más información

VideoLAN Security Advisory 1302
http://www.videolan.org/security/sa1302.html

VLC official GIT repository
http://git.videolan.org/?p=vlc.git

Fuente
Java corrige 42 vulnerabilidades y mejora un poco sus opciones de seguridad

Oracle corre una carrera de obstáculos para corregir y mejorar su plugin de Java. En la última actualización de seguridad, corrige 42 fallos, la mayoría críticos. Introduce algunas mejoras en los mensajes de advertencia y opciones, y continúa el soporte para la rama 6, que dijo que abandonaría el febrero.

Se acaba de publicar Java 7u21 y Java 6u45. Además de la cantidad de vulnerabilidades corregidas, se mejoran los mensajes de seguridad y se eliminan algunas opciones de seguridad peligrosas, inútiles y activadas por defecto. Hasta ahora, y como avisamos hace algunas semanas, los mensajes de que un applet se encontraba firmado o autofirmado no se diferenciaban mucho. Parece que han trabajado en eso... pero no demasiado.

Para empezar, han eliminado la opción "Baja" de la configuración de seguridad (la famosa palanquita) cosa se vaticinó como inútil. Permitía la ejecución de los applets no firmados de forma automática en el sistema sin preguntar.

Imagen

Los mensajes sobre applets firmados cambian ligeramente, pero no demasiado. Muestra la URL por completo al Jar y cambia el mensaje de recordar la selección.

Imagen

Tampoco cambian demasiado los mensajes sobre applets autofirmados.

Imagen

Si el applet no está firmado, sí que cambia un poco el mensaje:

Imagen

Algo interesante es que han eliminado la inútil opción sobre la que ya advertimos "Permitir otorgamiento de acceso elevado a aplicaciones autofirmadas", que venía activada por defecto y que hacía que en la práctica un applet autofirmado se comportase como uno firmado. Pero siguen sin activar de manera predeterminada la opción de comprobar los certificados revocados o desactivar una versión anticuada de la rama 6 si la encuentra en el equipo mientras instala la 7 (al menos recordárselo al usuario).

Imagen

Por lo que en realidad no ha cambiado demasiado estéticamente, y un poco su funcionalidad. Al menos, se ve que están trabajando en el asunto intensamente, y en cada nueva versión intentan mejorar. Desde enero, los cambios son notables, pero insuficientes. Los mensajes no son la solución. El bloqueo absoluto por defecto de los applets no firmados, y un sistema de actualización obligatorio y automático (también por defecto), entre otras medidas, será la única forma de proteger al usuario.

Más información:

una-al-dia (28/01/2013) Mejorar y entender la seguridad del plugin de Java (I)
http://unaaldia.hispasec.com/2013/01/me ... d-del.html

una-al-dia (29/01/2013) Mejorar y entender la seguridad del plugin de Java (II)
http://unaaldia.hispasec.com/2013/01/me ... el_29.html

una-al-dia (30/01/2013) Mejorar y entender la seguridad del plugin de Java (III)
http://unaaldia.hispasec.com/2013/01/me ... el_30.html

una-al-dia (03/02/2013) Mejorar y entender la seguridad del plugin de Java (IV)
http://unaaldia.hispasec.com/2013/02/me ... d-del.html

Mejorar y entender la seguridad del plugin de Java (y V)
http://unaaldia.hispasec.com/2013/02/me ... el_11.html


Fuente
Las vulnerabilidades más usadas por los kits de explotación

Recientemente se ha publicado la última versión de una tabla colaborativa en la que se detallan qué "exploits packs" intentan explotar qué vulnerabilidades además de otros datos relevantes sobre los kits y sus posibilidades. Se observa de forma esquemática qué fallos son los más codiciados y utilizados.

Hoy, la mayor amenaza se encuentra en el navegador. Sus vulnerabilidades y las de los plugins que exponen al exterior, permiten a los atacantes ejecutar código en el sistema con solo visitar una web. Los exploits packs son los encargados de recopilar esos fallos, crear exploits y "servirlos" a la víctima según su perfil. A cada usuario se le buscará la vulnerabilidad adecuada que explotar, y el payload que lanzar. Con este esquema se mueven las grandes mafias desde hace años, alquilando o distribuyendo estos exploits kits para esparcir su malware.

En la tabla se analizan unos 50 exploits kits (contando las diferentes versiones de un mismo kit) que se han conocido desde 2011 a 2013. Observamos así a primera vista ya diferencias entre algunos. Si bien BlackHole es de los más reconocidos y prolíficos, no es el que contiene un mayor número de exploits en su arsenal. Unos 6 u 8 (es complicado ser exactos puesto que el usuario del kit puede añadir a su gusto). Sin sorpresas, todas las vulnerabilidades están destinadas a Java. La última que se le conoce es la CVE-2013-0431 que afecta a 7u11. El otro exploit kit por excelencia, el Cool Pack, es el que más exploits contiene. Quizás 20. 8 de Java, 4 de Internet Explorer y 2 contra Adobe PDF reader (incluyendo el 10).

La vulnerabilidad reciente más "famosa" entre los kits, presente en más de 20, es CVE-2012-1723. De esta vulnerabilidad ya hemos hablado en una-al-día (en la que se llegó a afirmar con la intención de llamar la atención sobre el grave problema que suponía: "Si no actualizas Java, estás infectado". Se hizo extremadamente popular en 2012 y fue prácticamente el pistoletazo de salida para el calvario de Java, una especie de ensañamiento de los atacantes contra esta tecnología. Se trataba de un fallo de diseño, no una vulnerabilidad en la máquina virtual. Fue solucionada el 12 de junio de 2012.

Otras muy populares son: CVE-2011-3544 (Java Rhino), CVE-2012-1723 (Java Byte / verifier) y CVE2012-5076 (Java-wx). En general, si observamos la panorámica de la tabla y tenemos en cuenta que las celdas de color amarillo fluorescente se corresponden con vulnerabilidades de Java, podemos hacernos una idea de su popularidad en los exploits en los últimos tiempos. A partir de 2006 en adelante, (quizás hasta 2010) las más populares atentaban contra Internet Explorer 6 (azul) y Adobe Reader (rosa)

Imagen

Otro software muy atacado es Internet Explorer en sí. CVE-2012-1889, CVE-2012-4792, y CVE-2012-4969 son recientes y bastante populares, y afectan a las versiones 8 y 9. Esto es menos rentable para los atacantes, puesto que depende mucho del sistema operativo y su explotación suele ser más compleja. Pero siguen usándola cuando no funcionan otras.

Si nos remontamos a vulnerabilidades más antiguas, tenemos que durante 2010, fue tremendamente popular CVE-2010-0188 que afectaba a Adobe Reader. Aunque sigue siendo objetivo de atacantes, rectificaciones en sus políticas y mejoras de seguridad han calmado el problema. Más allá todavía, sorprenden vulnerabilidades clásicas de Microsoft que todavía se siguen usando como CVE-2006-0003 (MDAC) que afectaba a Internet Explorer 6.

Conclusiones

Con los profesionales distribuyendo malware a través de medios profesionales a su vez (como lo son estos kits de explotación) es muy útil saber qué balas están usando contra las víctimas. Sabemos que durante 2012 el 50% de las infecciones por malware vinieron a través de la explotación de vulnerabilidades en el plugin de Java, y esta recopilación no hace más que confirmar cómo y por qué.

Aunque el usuario debe preocuparse de todas las vulnerabilidades, es necesario priorizar y comprender cuáles elevan realmente el riesgo y cuáles hacen asumibles ese peligro. Está claro que con cierto software, las probabilidades se disparan y es necesario vigilarlo de cerca.

Más información:

ExploitPackTable_2013
https://docs.google.com/spreadsheet/ccc ... hLUE#gid=0


Fuente
Últimas versiones del virus de la policía y más ideas para protegerse

El virus de la policía continúa evolucionando, con altos niveles de infección y nuevas estrategias fundamentadas siempre en la misma premisa: el secuestro del ordenador con la excusa de que, ante la detección de actividad ilegal en el sistema, es necesario pagar una multa a la policía. Veremos qué ligeros cambios se han observado en las últimas versiones y una idea para protegernos.

Las últimas versiones aparecían en forma de DLL. Era necesario llamarlas conociendo el nombre de la función de entrada del binario para poder ejecutarlo. Esta estrategia podía estar orientada a intentar eludir los sistemas de ejecución automática y desatendida de los laboratorios, puesto que la DLL pasaría a veces inadvertida si no se llamaba a la función concreta. Estas muestras solían instalarse en la carpeta de inicio.

En los últimos tiempos se ha observado que el malware ha pasado a utilizar un archivo con extensión .DAT (y de nombre skype), que no es más que un ejecutable (cuyos dos primeros bytes son MZ). Esto no es un problema para que sea lanzado, pero sí podría confundir a usuarios y análisis. Además crea un skype.ini. También ha vuelto a los "orígenes", anclándose en una rama del registro donde se lanza el explorer.exe. Veamos cómo funciona.

El ejecutable, fundamentalmente, busca el %APPDATA% del usuario, puesto que en Windows 7, podrá escribir sin problemas en él. Ahí dejará el archivo skype.dat (ejecutable).

Imagen


En el registro, acudirá a la rama de usuario (también porque puede escribir sin problemas en ella) donde se lanza explorer.exe (proceso encargado de dibujar el escritorio y delegar los tokens de seguridad). Ahí se añade como ejecutable que será lanzado al inicio. Es muy extraño que un usuario necesite modificar ese punto del registro, así que podría ser protegido por permisos. Esto ya lo hace la herramienta WinLockLess, negando por permisos de registro la escritura en los puntos habituales que utiliza el ramsonware.

Imagen


Pero también es posible tocar los permisos NTFS de la máquina, para evitar que se escriba en un punto clave que están usando tanto los creadores del virus de la policía como el malware en general. %APPDATA% es una variable que apunta habitualmente a

C:\usuarios\nombreusuario\appdata\roaming

Ahí se almacena información de los programas del usuario y su configuración privada. En esta carpeta es muy extraño que se creen ficheros. No suele ser necesario. Normalmente son directorios que alojan archivos con datos. Todavía más extraño es que se necesite ejecutar código desde la raíz de %APPDATA%.

Por tanto, de nuevo, utilizar los permisos NTFS (siempre demasiado relajados por defecto) puede mitigar el problema. Podemos decirle a Windows que impida la ejecución de ficheros desde esta carpeta, pero que siga permitiendo crear carpetas e, incluso, archivos... pero que no los ejecute.

Gráficamente es muy simple. En las propiedades de la carpeta Roaming, Seguridad, Opciones Avanzadas, Cambiar Permisos, Agregar. Ahí añadimos que "Todos" no puedan explícitamente ejecutar archivos. Importante indicar que esto se aplica a "Solo archivos".

Imagen


Con esto no se evita la infección, pero sí que en el siguiente reinicio se ejecute el fichero. Si se desea, también se puede evitar la escritura de ficheros en la raíz de Roaming.

Por línea de comando, se puede llamar a:

icacls %appdata% /deny *S-1-1-0:(OI)(IO)(X)

Donde "(OI)(IO)" indica el "Solo ficheros", el "X" la ejecución, y "S-1-1-0" es el SID del usuario "Todos" en los Windows.

Imagen


Importante apreciar que en Windows XP, por implementar una versión ligeramente diferente de NTFS, es posible seguir estos pasos pero no tendrán exactamente el mismo comportamiento.

Más información:

Golpe policial a una de las mayores redes cibercriminales especializada en infectar millones de ordenadores de todo el mundo
http://www.interior.gob.es/press/golpe- ... ?locale=es

una-al-dia (21/06/2011) Vídeo: Troyano secuestra el ordenador en nombre de la policía nacional acusando al usuario de terrorista zoofílico
http://unaaldia.hispasec.com/2011/06/vi ... or-en.html

una-al-dia (28/02/2012) Vuelve el troyano que se hace pasar por la policía: Cómo protegerse (de verdad)
http://unaaldia.hispasec.com/2012/02/vu ... r-por.html

una-al-dia (02/03/2012) El virus de la policía "evoluciona" e impide el acceso en modo seguro
http://unaaldia.hispasec.com/2012/03/el ... ona-e.html

una-al-dia (06/03/2012) Más información sobre el virus de la policía
http://unaaldia.hispasec.com/2012/03/ma ... de-la.html

una-al-dia (09/03/2012) El malware de la policía aprovecha un exploit de Java "in-the-wild" y el secreto su "éxito"
http://unaaldia.hispasec.com/2012/03/el ... ha-un.html

una-al-dia (18/03/2012) WhitePaper: Estudio técnico del troyano de la policía
http://unaaldia.hispasec.com/2012/03/wh ... oyano.html

una-al-dia (24/05/2012) Nuevas versiones del malware de la policía y cómo eludirlas
http://unaaldia.hispasec.com/2012/05/nu ... de-la.html


Fuente
Me ha pasado algo parecido. Lo malo es que a los archivos les cambia la extension por un html y cuando lo inicias te lleva a la pagina con la "cuenta atras".

Ya he eliminado el virus, aunque los archivos afectados no han vuelto a su ser... Yo lo he eliminado con Eset nod 32 antivirus version 4.

¿Puedo recuperar los archivos? ¿Alguien sabe algo?

Un saludo y gracias





Hathaway escribió:Bienvenidos a este nuevo proyecto.
La idea de este hilo es informar de las últimas noticias en pc que nos puede afectar, ayudanos entre usuarios y así tener todo recopilado en un hilo para que sea mucho más fácil encontrar información a los usuarios.

En este hilo, trataremos temas de virus, como solucionarlos, seguridad informática y novedades en el sector.

Espero a todos que os guste.

La primera noticia que publicaré, creo que en estos momentos es muy importante y hay muchos usuarios preocupados por este virus.

Nueva version del "virus policia" mas peligrosa y dificil de eliminar


El virus:
La nueva versión del virus de la policía ha sido detectada por el sitio español de soporte de McAfee. Como el original, se trata de malware tipo Ramsonware para sistemas Windows distribuido generalmente mediante spam, que bloquea los ordenadores hasta que la víctima no pague la ‘multa’ exigida.

Tras bloquear el equipo, el malware muestra una imagen falsa que simula un comunicado de la Policía Nacional, asegurando haber encontrado en el equipo del usuario archivos pirateados o material de pornografía infantil, por lo que exige pagar una cantidad económica a través de Ukash o paysafe.

Aunque este tipo de virus es sumamente conocido y desde la Policía Nacional se ha vuelto a insistir que se trata de una estafa ya que el Cuerpo no reclamará nunca una ‘multa’ como esa, recomendando no pagar absolutamente nada y si se ha hecho, interponer la correspondiente denuncia, no son pocos los usuarios que siguen cayendo en sus redes.

La última versión detectada sube un escalón más en su peligrosidad ya que además de bloquear el administrador de tareas elimina el Safe Boot para el arranque en modo seguro.


¿Cómo eliminarlo?
Tendremos que eliminarlo manualmente y debemos utilizar una solución de seguridad desde un Live CD o pendrive como Kaspersky Rescue Disk, o directamente utilizar herramientas como Malwarebytes Anti-Malware.

Eliminación manual: Oficina de Seguridad del Internauta

Guia completa de creación y uso de un USB con Kaspersky Rescue Disk

Descargar Malwarebytes Anti-Malware

Fuentes: MuySeguridad y OSI
Ejecución de código arbitrario a través de Adobe Flash Player y AIR

Adobe ha publicado un solo boletín de seguridad APSB13-16, que corrige una grave vulnerabilidad que permite la ejecución de código arbitrario en Flash Player y AIR.

Adobe Flash Player es un popular reproductor de archivos flash en Internet. Se usa para todo tipo de animaciones en anuncios de páginas. Adobe AIR es un entorno para hacer aplicaciones (incluidas de escritorio) que engloba varias tecnologías como Flash, HTML y AJAX.

La vulnerabilidad, publicada en el boletín APSB13-16, ha sido descubierta por Mateusz Jurczyk y Ben Hawkes del equipo de seguridad de Google y se le ha asignado el CVE-2013-3343. Afecta a las últimas versiones tanto de Flash Player (11.x) como de AIR (3.7.x) para todas las plataformas que los soportan (Windows, Macintosh, Linux, Android 2.x, 3.x y 4.x) y podría causar una corrupción de memoria del equipo (bloqueo) y, potencialmente, una ejecución de código, por ello ha sido considerada como crítica por Adobe (nivel 5).

El fabricante recomienda actualizar a las últimas versiones tanto de Flash Player como de Adobe AIR desde su página de descargas, desde Google Play o Amazon Marketplace.

Más información:

Security updates available for Adobe Flash Player
http://www.adobe.com/support/security/b ... 13-16.html


Fuente
Roban un certificado a Opera y publican una actualización maliciosa para su navegador

Opera ha anunciado que el pasado 19 de junio sufrió un ataque dirigido sobre su red interna, resultado: robo de un antiguo certificado empleado para firmar código. La compañía reconoce que ha sido usado para firmar malware y que incluso miles de usuarios del navegador (durante un periodo de algo más de media hora) han podido recibir una actualización maliciosa de forma automática.

No es la primera vez que a una importante compañía le roban un certificado digital empleados para la firma de su software, podemos recordar casos como los de Adobe o la compañía antivirus Bit9. Al final el resulto es el mismo, unos atacantes logran firmar malware con un certificado legítimo, lo que puede facilitar su instalación, pasar desapercibido ante algunos antivirus o hacerse pasar por software legítimo sin levantar sospechas. Esto es lo que ha ocurrido recientemente en Opera.

Aunque el aviso de Opera anuncia un impacto limitado, que el ataque fue contenido y sus sistemas revisados, reconocen el robo de un antiguo certificado expirado usado para la firma de código. El portavoz de Opera, Sigbjorn Vik, indicó que el certificado se ha usado para la firma de malware.

"Esto puede permitirle distribuir software malicioso que aparezca incorrectamente como publicado por Opera Software, o que parezca ser el navegador Opera"


Actualmente se reconoce la existencia de al menos una muestra de malware firmada con este certificado y que actualmente, según VirusTotal, la detectan 23 de 47 antivirus. Lo que puede considerarse aun más grave es que, según la alerta, varios miles de usuarios del navegador Opera en el sistema operativo Microsoft Windows podrían haber sido objeto de una actualización maliciosa de manera automática. El responsable de Opera estima que la ventana de exposición habría sido desde las 01:00 a las 01:36 (entre las 3:00 y la 1:36 hora española) horario UTC del día 19 de junio.

Adicionalmente, alertan de que varios miles de usuarios del navegador Opera en el sistema operativo Microsoft Windows podrían haber sido objeto de una actualización maliciosa de manera automática. El responsable de Opera estima que la ventana de exposición habría sido desde las 01:00 a las 01:36 (entre las 3:00 y la 1:36 hora española) horario UTC del día 19 de junio.

No se aclara en el comunicado si los atacantes llegaron a usar la infraestructura de Opera para liberar la actualización maliciosa, ya que según la ventana de tiempo podría coincidir con el ataque. Otra posibilidad sería que hubiesen comprometido los servidores de nombres de Opera, los cuales se encuentran en su infraestructura, y hubiesen usado un servidor malicioso.

Cabría destacar el hecho de que el ataque haya sido detectado el día 19, al mismo tiempo que la ventana de exposición. Sin embargo este tipo de ataque requiere de cierta complejidad y no sería exagerado pensar que los atacantes podrían haber llevado más tiempo, días tal vez, dentro de su infraestructura.

Opera confirma que liberará una nueva versión del navegador que incluirá un nuevo certificado, por lo que recomiendan encarecidamente que se actualice a la nueva versión tan pronto como esté disponible.

Más información:

Security breach stopped
http://my.opera.com/securitygroup/blog/ ... ure-attack

una-al-dia (13/02/2013) El ataque a Bit9, malware firmado con certificados y otras conclusiones
http://unaaldia.hispasec.com/2013/02/el ... o-con.html

una-al-dia (30/09/2012) ¿Qué ha pasado con el certificado de Adobe?
http://unaaldia.hispasec.com/2012/09/qu ... do-de.html

8ecbca0de44c82d1c7ffced288aa68c1247bb1255693cd1c5747fb6cef394b43
https://www.virustotal.com/en/file/8ecb ... /analysis/


Fuente
Apple sufre un robo de datos que afecta a 275.000 cuentas



El sitio para desarrolladores de Apple ha sufrido un ataque por parte de un experto en seguridad. Su intención, asegura, era alertar de las filtraciones de información en el sistema de la compañía. Ha tenido acceso a 275.000 cuentas.

Según informa The Guardian, Apple ha reconocido un ataque a su sitio developer.apple.com que tuvo lugar el pasado jueves y que ha sido reclamado por el experto en seguridad turco Ibrahim Balic.

Balic ha publicado un vídeo en YouTube en el que detalla la intrusión y defiende que no se trata de un ataque 'hacker', sino un toque de atención hacia Apple, a quien informó al instante el pasado jueves. Poco después, el sitio para desarrolladores de Apple pasó a ser inaccesible.

"Mi intención no era atacar", ha recalcado Balic. "En total, encontré 13 fallos e informé directamente, uno a uno, sobre ellos a Apple. Justo después de que informara, el centro para desarrolladores fue cerrado", ha explicado.

Balic apunta que "no ha tenido noticias de Apple" desde que les informó de los errores, y critica que "anunciaron que fueron atacados". "Mi objetivo era informar de error y recopilar datos con el propósito de saber cuán profundo podía llegar", insiste.

Anteriormente, el pasado febrero, 'hackers' consiguieron inyectar 'software' malicioso a través del sitio para desarrolladores de Apple, que había llegado a los Mac de algunos empleados. En el pasado también se utilizaron tretas a través de servicios como el de atención al cliente para 'hackear' cuentas aisladas.

La preocupación sobre esta intrusión se ha extendido hacia las aplicaciones y ha saltado la duda sobre si alguna de las disponibles en la App Store ha sido infectada. Sin embargo, Apple asegura que el atacante no tuvo acceso al código de los desarrolladores.




http://www.elmundo.es/elmundo/2013/07/2 ... 81264.html

PD:. El video lo han pasado a privado y no se puede ver.
Crónica del ataque a los foros de Ubuntu

El pasado día 21 de julio Canonical anunciaba la detección de una intrusión en el servidor correspondiente a los foros de la comunidad de Ubuntu (ubuntuforums.org). Los datos sustraídos comprendían las cuentas de correos de los usuarios así como los hashes de las contraseñas de acceso a los foros.

buntuforums.org usa el software vBulletin para la gestión de los foros. vBulletin está basado en PHP, posee licencia propietaria, y su desarrollo se inició en el año 2000. La última versión publicada data del 25 de mayo de 2012, hace más de un año.

Según parece, el atacante consiguió una cuenta de moderador de los foros y accedió con ella el 14 de julio. Aunque en principio no tienen claro como la obtuvo, los privilegios de esta cuenta permiten a un moderador publicar comunicados (announcements) con contenido HTML sin filtrar, posibilitando que el atacante inyectara código javascript dentro del mismo. Esto convertía la página en una trampa, ya que todo usuario registrado que la visitara ejecutaría el código incrustado en su navegador. Evidentemente la intención era extraer las cookies de sesión de cuentas más privilegiadas.

Publicado el comunicado, el atacante envió un mensaje privado a tres administradores. En dicho mensaje les informaba que se producía un error de servidor en la página de comunicados y les conminaba a visitar dicha página.

Uno de los administradores visitó la página que el atacante preparó y no observando nada anormal respondió al atacante. Este último ya se habría logueado con la sesión del administrador, al haber sido extraída su cookie de sesión, elevando así sus privilegios en vBulletin.


Ahora con una cuenta de administrador y a través de una funcionalidad propia de vBulletin, el atacante podía ejecutar código PHP. Con esto consiguió subir dos shells en PHP y a través de ellas hizo un volcado de la base de datos (MySQL) asociada a los foros. Posteriormente volvió a loguearse el día 20 de julio para cambiar la página de inicio por un mensaje reivindicando el ataque.

Como podemos observar en este ataque, la elevación de privilegios no es un concepto aislado del sistema operativo, tiene su correspondencia en la web, perfectamente extrapolable. Los administradores de los foros no tienen claro que tipo de código javascript se usó en la página creada por el atacante, esta fue borrada por uno de los administradores.

Aun así, podemos ver aquí el ejemplo perfecto de lo que supone una vulnerabilidad de Cross-site scripting (del tipo permanente). A menudo infravalorada, ya que cuesta demostrar su verdadero impacto y entenderla, este tipo de vulnerabilidad se califica de gravedad alta en las auditorias, mientras que su percepción por parte del personal no relacionado con seguridad es habitualmente menor.

También se evidencia aquí un vector interesante: la ingeniería social. El mensaje convincente de un moderador sobre un tipo de error casual. Este hecho causa un elemento de confianza en el administrador, mientras que el tipo de mensaje, una petición poco sospechosa (¿Quien no ha visto un error HTTP 500 de manera casual?) y que no deriva en ninguna actuación adicional (caso cerrado) hace que el administrador baje la guardia ante un problema que no existe y se olvide pronto de este evento.

El resto del ataque no se diferencia más de otros: subir una shell y el resto es historia.

Nos queda una pieza para completar el puzzle y es la forma en la que se hizo con la cuenta de moderador (no son empleados, son voluntarios), no se aportan detalles, tan solo, Canonical, afirma no conocer como el atacante consiguió esta cuenta. También destaca el hecho de que el atacante se logueara por primera vez el día 14 de julio y concluyera el ataque el día 20. Una paciencia estratégica.

Más información:

Notice of security breach on Ubuntu Forums site
http://blog.canonical.com/2013/07/21/no ... rums-site/

Ubuntu Forums are back up and a post mortem
http://blog.canonical.com/2013/07/30/ub ... st-mortem/


Fuente
147 respuestas
1, 2, 3