Monthly Archives: July 2007

Spammers aprovechan ahora las hojas de Excel

Posted on by
Reply

Como parte de sus incansables esfuerzos por distribuir masivamente sus “mensajes publicitarios”, los spammers han comenzado a usar hojas de c?lculo y archivos ZIP.

El impopular correo electr?nico no solicitado est? siendo ahora camuflado en hojas de Excel. La nueva modalidad es empleada principalmente junto con las tradicionales t?cticas conocidas como “pump-and-dump”, es decir, donde spammers hacen publicidad a una acci?n determinada, esperan que su valor aumente, para luego venderlas en el mercado burs?til.

Las compa??as de seguridad inform?tica han distribuido esta semana abundante informaci?n sobre est? nueva estrategia de los spammers.

Fuente: http://diarioti.com/gate/n.php?id=14812

Insisto: grave riesgo amenaza a usuarios de Firefox en Windows XP

Posted on by
Reply

Pese a que algunos expertos de seguridad (empezando por Schneier) se sienten m?s seguros con Opera, yo -como no soy ning?n experto- me permito seguir utilizando Firefox simplemente porque me gusta.

Sin embargo me sigue llamando poderosamente la atenci?n el manto de silencio que -al menos en la Internet hispana- cubre las frecuentes cagadas de Firefox. S?lo as? (y gracias al extendido uso del ben?fico NoScript), se explica que no hayan saltado todas las alarmas ante la grav?sima vulnerabilidad que afecta incluso a la ?ltima versi?n del navegador de Mozilla bajo Windows XP…

Actualizaci?n (27-Julio, 12:25) -> Acabo de localizar una versi?n 2.0.0.6 que, pese a estar en la carpeta de las Release Candidates, tiene todo el aspecto de ser (casi) definitiva. Tras instalarlo en mi XP y arrancarlo me produjo un pantallazo azul y Windows se reinici? solo. En el siguiente arranque el navegador funciona correctamente y ya no resulta vulnerable a las demos publicadas.

Actualizaci?n (27-Julio, 11:10) -> Acabo de a?adir un listado de referencias informativas. Dejo al criterio del lector la credibilidad de aquellos medios que informan o callan, exageran o minimizan, en funci?n de si el producto afectado -o la empresa fabricante- es o no de su particular agrado.

Y es que esta vez no caben medias tintas, porque se trata de un “zero day” en toda regla, que permite la ejecuci?n silente de c?digo y el compromiso total de la m?quina, sin m?s que seguir un enlace malicioso en una web.

Kript?polis es uno de los pocos sitios (no s? si el ?nico) que anticip? hace ya un par de d?as el evidente riesgo (incluyendo un enlace a las elocuentes demostraciones), pero vale, por m? perfecto. Sigan ustedes mirando para otro lado mientras Mozilla deshoja la margarita y el US-CERT decreta la alerta m?xima.

REFERENCIAS:

Fuente : Kriptopolis.org

Vuelven a crecer los ataques de phishing

Posted on by
Reply

La divisi?n de seguridad de EMC, RSA, ha dado a conocer su ?ltimo informe sobre de junio los ataques de phishing a entidades financieras durante el pasado mes de junio.Seg?n el Centro de Mando Antifraude (AFCC) de RSA, los ataques de phishing durante junio de 2007 afectaron a un total de 191 entidades financieras en todo el mundo, un 11,7% m?s que en junio de 2006. Adem?s, entre dichas entidades financieras se han identificado 36 bancos que nunca hab?an sido atacadas anteriormente.

Seg?n el informe referente a junio, Estado Unidos contin?a como primer pa?s afectado por el phishing, con el 70% del total de los ataques. Le sigue Reino Unido, con el 9% Canad?, con el 6% y Espa?a, que vuelve a situarse en 4? lugar, registra el 4% del total de los ataques. En concreto, se han visto afectadas a 6 entidades financieras espa?olas con un total de 32 ataques, principalmente provenientes de Estados Unidos.

Contrariamente a la tendencia observada en marzo y abril el n?mero de ataques emitidos desde Estados Unidos ha crecido durante junio, alcanzando el 59% de los ataques, frente al 55% registrado en mayo. Esto, sin embargo, no puede atribuirse a la propia actividad de los grupos que est?n detr?s del incremento de ataques de phishing, sino de los grupos que alojan la mayor parte de sus ataques fuera de ?ste pa?s.

Le sigue Hong Kong con el 10% de las emisiones de phishing, Alemania, con el 8% y Rusia con el 5%. Un dato relevante es China, que durante mayo se situ? en el 2? puesto con el 13% de ataques alojados, desapareciendo de la lista de junio.

El Centro de Mando Antifraude de RSA est? activo 24×7 y detecta, monitoriza, rastrea y bloquea ataques de phishing, pharming y troyanos sobre m?s de 200 organizaciones en todo el mundo. Hasta el momento ha bloqueado m?s de 41.000 ataques de phishing, un dato clave para la industria sobre phishing y otros ataques emergentes on line.

A principios de junio, el Centro de Mando Antifraude de RSA (AFCC) descubri? un nuevo tipo de ?phishing kit? capaz de crear sitios fraudulentos en dos segundos. Este kit en realidad es un simple archivo que crea un completo site de phishing sobre un servidor comprometido cuando se hace doble ?clic?, muy parecido a la instalaci?n de archivos ?.exe?.

Los sitios tradicionales de phishing, por regla general, incluyen varios archivos que se instalan en servidores comprometidos donde reciben el ataque. Los t?picos archivos son los de c?digo PHP, p?ginas HTML, im?genes del logo de bancos o tarjetas etc. Los archivos deben ser instalados, uno por uno, en los directorios adecuados en un servidor que es controlado por el phisher. El proceso es bastante simple y no lleva demasiado tiempo, pero el cibercriminal tiene que acceder al servidor comprometido varias veces para instalar todos los archivos de manera manual.

Con el nuevo kit de phishing ?plug-and-play?, recientemente descubierto por RSA, se reduce el tiempo y el esfuerzo del defraudador ya que el proceso de instalaci?n es autom?tico. El kit es un simple archivo de c?digo PHP, que corre sobre el servidor comprometido una sola vez, y autom?ticamente crea directorios e instala todos lo ficheros que est?n asociados a un site de phishing espec?fico. En tan solo unos segundos, el site de phishing es creado. En pruebas realizadas por el Laboratorio de RSA, en tan s?lo dos segundos pudo crearse un sitio phishing.

Concretamente, el kit contiene determinados archivos PHP y HTML, que la AFCC ya ha rastreado en varios ataques, todos dirigidos a la misma instituci?n. Adem?s, la AFCC ya ha bloqueado todos los ataques as? como una direcci?n de correo electr?nico del ciberdelincuente que fue descubierta en el c?digo PHP.

Este nuevo m?todo de instalaci?n autom?tica de sitios phishing demuestra el continuo desarrollo en el que el fraude online se encuentra. RSA estima que con el uso de este tipo de kits, los defraudadores ser?n mucho m?s capaces de automatizar procesos para secuestrar servidores y crear nuevo sitios fraudulentos. M?s a?n, los phishers que usan este kit s?lo necesitan acceder al servidor comprometido una vez, lo que disminuye el riesgo de identificaci?n por parte de los PC y sistemas de seguridad de red.

Adem?s, existen diversos m?todos que hoy d?a permiten a los atacadores buscar de manera autom?tica vulnerabilidades en servidores y cargar archivos sin tener que hackear el servidor. RSA prev? que la potencial combinaci?n de estos m?todos ? rastrear y comprometer las vulnerabilidades de los servidores, junto con los kits ?plug and play?, disminuir? dr?sticamente el tiempo invertido en crear y lanzar nuevos ataques.

A pesar de ello, la creaci?n de ataques phishing con el kit ?plug and play? no incide en c?mo estos ataques son detectados y mitigados. Una vez que el ataque est? vivo y los correos de phishing son enviados, la detecci?n y bloqueo de ?stos son exactamente igual que cualquier otro ataque de phishing. Tal como se ha comentado antes, el AFCC de RSA ya ha detectado y bloqueado diversos ataques creados con el nuevo kit de phishing ?plug and play? con la misma efectividad que los tradicionales.

Fuente: http://www.cibersur.com/modules.php?name=News&file=article&sid=8715&theme=Cibersur&ref=64

Abuso en los protocolos registrados por Mozilla

Posted on by
Reply

Se ha reportado una nueva vulnerabilidad relacionada con el manejo de los URIs, que afecta a Firefox (la versi?n 2.0.0.5 incluida), entre otros productos de Mozilla.

Un URI (Uniform Resource Identifier o Identificador Universal de Recursos), es la secuencia de caracteres que identifica cualquier recurso (servicio, p?gina, documento, direcci?n de correo electr?nico, etc.) accesible en una red. Consta de dos
partes, el identificador del m?todo de acceso o protocolo (http:, ftp:, mailto:, etc.), y el nombre del recurso (//dominio, usuario@dominio, etc.). Un URL (Uniform Resource Locators), es un URI que muestra la localizaci?n expl?cita de
un recurso (p?gina, imagen, etc.).

Mediante la utilizaci?n de comandos maliciosos, es posible invocar desde un simple enlace, la ejecuci?n de un determinado c?digo. Esto puede ser hecho tambi?n desde otro navegador, como Internet Explorer, si alguno de los productos vulnerables est? instalado en el equipo (Firefox en este caso).

En las ?ltimas semanas se ha hablado bastante del tema. La ?ltima versi?n de Firefox (2.0.0.5), corrige algunas vulnerabilidades relacionadas con los URIs. Tambi?n Thunderbird y SeaMonkey han sido actualizados al respecto.

Esto ha generado cierta pol?mica, ya que en la mayor?a de estos casos, las aguas est?n divididas, en relaci?n a si el problema es del producto que registra en el registro los URIs necesarios para su funcionamiento (en este caso Firefox), o en el que permite la ejecuci?n de c?digo al interpretar un determinado URI (el caso de Internet Explorer).

Mozilla ha reconocido en su momento el problema y lo ha solucionado en parte (ahora vemos que se reporta uno nuevo).
Microsoft ha comentado que no es un problema de su software, ya que por una caracter?stica de dise?o, el navegador hace lo que debe hacer. Es decir, cuando se hace clic en un URL se llama al programa encargado de manejar el protocolo pertinente, sea o no el propio programa de Microsoft.

Tal vez lo que deber?a hacer es advertir que se va a ejecutar un programa diferente, como lo hacen otros productos.

La pelea entre fan?ticos de uno u otro programa, no lleva a nada, ya que el problema existe, sin importar el software que se prefiera.

Por el momento, debemos mencionar este problema como una vulnerabilidad de Firefox, ya que la ejecuci?n de c?digo puede producirse por su presencia en el equipo, como lo
demuestran las pruebas de concepto publicadas.

Los URIs afectados por el momento (adem?s de los mencionados d?as anteriores), son mailto: y telnet:. El primero puede ejecutar c?digo por solo hacer clic en un enlace. El segundo, requiere cierta interacci?n con el usuario.

Otros URIs afectados: news: y nntp:

De todos modos, hay ciertas limitaciones para ataques maliciosos que resulten exitosos, utilizando estas debilidades en el dise?o del software involucrado.

Otros productos (por ejemplo Trillian, que corrigi? una
vulnerabilidad similar hace unos d?as), que registran
protocolos propios, tambi?n son afectados.

* M?s informaci?n:
Remote Command Exec (FireFox 2.0.0.5 et al)

http://securityvulns.com/Rdocument607.html

More URI Handling Vulnerabilites (FireFox Remote Command Execution)

http://securityvulns.com/Rdocument606.html

Mozilla protocol abuse

http://larholm.com/2007/07/25/mozilla-protocol-abuse/

Fuente: http://www.vsantivirus.com/abuso-uris-250707.htm

Parche para versiones antiguas de Windows XP y 2003

Posted on by
Reply

Microsoft ha publicado un parche para un problema que puede producirse, cuando un usuario con Windows XP o Windows Server 2003 intenta migrar su versi?n, luego de haberse previamente actualizado a Windows XP Service Pack 2, Windows Server 2003 Service Pack 1 y Windows Server 2003 Service Pack 2.

El error provocado es una infracci?n de acceso. En ese momento, el proceso de instalaci?n deja de responder.

Los sistemas afectados son Microsoft Windows XP Professional y Home Edition, y Microsoft Windows Server 2003, Standard Edition, Enterprise Edition y Datacenter Edition, todos de 32-bit.

Seg?n Microsoft, el error se produce por un tama?o inadecuado del b?fer que almacena la lista con las revisiones a actualizar, cuando se han instalado muchas actualizaciones anteriormente.

Si usted ha sufrido este problema, debe proceder a instalar la siguiente actualizaci?n:

Actualizaci?n para Windows XP (KB928595)
http://www.microsoft.com/downloads/details.aspx?displaylang=
es&FamilyID=7c3cb9b8-dd93-4d1d-9515-f9888c1f6c9d

Actualizaci?n para Windows Server 2003 (KB928595)
http://www.microsoft.com/downloads/details.aspx?displaylang=
es&FamilyID=d00ac9c5-4fef-4e9a-8217-5b55550c9de6

M?s informaci?n:

http://support.microsoft.com/kb/928595/es

http://www.vsantivirus.com/ms-kb928595.htm