Monthly Archives: September 2009

Explotación de Windows SMB2 ahora es pública; pronto podrían haber ataques

Posted on by
Reply

Se ha liberado al dominio público código completamente funcional para la vulnerabilidad de SMB v2 de Windows (aún sin parche) a través de la herramienta gratuita de ataque apunte-y-clic Metasploit, elevando la posibilidad de ataques de ejecución de código remoto.

El exploit, creado y liberado por  Stephen Fewer de Harmony Security, provee un mapa claro para que los hackers planten su malware o abran puertas traseras en Windows
Vista Service Pack 1 y 2 así como también en Windows 2008 SP1 server.

[ VEA: Microsoft confirma la vulnerabilidad SMB2 vulnerability, advierte de riesgo de ejecución remota de código ]

La publicación del exploit pone a Microsoft bajo seria presión para completar su proceso de prueba de parches y liberar un arreglo para impedir los ataques.

Según Johnathan Ness de Microsoft, el equipo de respuesta de seguridad ya ha completado más de 10.000 casos de prueba separados en sus pruebas de regresión y actualmente están haciendo “pruebas de estrés, pruebas de aplicaciones de terceros y pruebas de fuzzing.”

El próximo martes de parches programado esta a más de dos semanas – el 13 de octubre de 2009 – lo cual significa que la compañía ahora está bajo presión para liberar un arreglo de emergencia fuera de programa para los usuarios de Windows vulnerables.

La falla, la cual fue dada a conocer originalmente el 8 de septiembre como un caso sencillo de ataque de denegación de servicio, no afecta a las versión RTM de Windows 7.

[ VEA: Se libera exploit remoto para agujero de gusano Windows Vista SMB2 ]

El 17 de septiembre, un equipo de escritores de exploits de Immunity crearon un explot remoto que ha sido ajustado dentro de la plataforma Canvas de pruebas de penetración de Immunity. El exploit ataca a toda las versiones de Windows Vista y Windows Server 2008 SP2.

Hasta que Microsoft libere un parche, los usuarios de Windows vulnerables deben implementar de inmediato la mitigación un-clic “lo arregla”que está disponible. El paquete de arreglo, que fue agregado al advisory previo al parche de Redmond, deshabilita efectivamente el SMBv2 y luego para e inicia el servicio Server. Provee una mitigación temporal para los ataques de ejecución remota de código dirigidos a la vulnerabilidad conocida y aún sin emparchar.

Aquí hay enlaces directos

Para revertir el cambio, y re-habilitar SMBv2, se puede:

La guía de mitigación para empresas está disponible en este post del blog y en el boletín de Microsoft security.

Traducción: Raúl Batista – Segu-info
Autor: Ryan Naraine
Fuente: Blogs ZDNet – Zero Day

Original post:
Explotación de Windows SMB2 ahora es pública; pronto podrían haber ataques |

Estados Unidos compartirá el control de Internet

Posted on by
Reply

El gobierno de ese país dejará de tener una participación prioritaria en la ICANN, el organismo que regula los dominios de la Web y al que controlaba desde la creación de la red. Era un reclamo de la Unión Europea y otros países.
Estados Unidos firmó hoy un acuerdo con la Corporación de Asignación de Nombres y Números en Internet (ICANN) que le da más independencia a la institución para coordinar el sistema.

Este acuerdo, que regirá a partir de mañana, llega después de años de críticas de la Unión Europea (UE), Rusia, China, India y otros países, que señalaban que la administración de la red de redes era demasiado importante para que quedara únicamente en manos de Estados Unidos. Entre otras cosas, se quejaban de la lentitud para extender las direcciones de Internet en otros idiomas que no sea el inglés.

Asimismo, el acuerdo establece que el organismo creado en 1998 sea “independiente y no sea controlado por ninguna entidad” y determina que la ICANN continúe siendo una organización privada y sin fines de lucro. De esta forma se pone fin al papel directo que jugó el gobierno estadounidense desde el desarrollo de Internet a partir del sistema de comunicaciones militares Arpanet de los años 60.

“Esta nueva afirmación marca una emocionante nueva etapa en el desarrollo de ICANN como una entidad verdaderamente internacional y confirma de una vez por todas que el modelo de participación pública de ICANN funciona de hecho”, dijo Rod Beckstrom, jefe ejecutivo de la Corporación. “Un mundo, una Internet, todos conectados, ese es nuestro objetivo en ICANN. Este acuerdo le da a los agentes internacionales implicados una voz aún más poderosa en nuestras actividades”, añadió.

Por su parte, la UE saludó el anuncio. “Saludo la decisión de la administración estadounidense de adaptar el rol clave de la ICANN en la administración de Internet a la realidad del siglo XXI y de un mundo globalizado”, indicó en un comunicado la comisaria europea para Sociedad de la Información y Medios, Viviane Reding.

“Los usuarios de Internet de todo el mundo podrán esperar ahora que las decisiones de la ICANN sobre nombres de dominios y direcciones sean más independientes y más responsables, y que se tomen en cuenta los intereses de todo el mundo”, añadió.

Fuente: Clarin

Go here to see the original:
Estados Unidos compartirá el control de Internet |

Microsoft lanza hoy Security Essentials

Posted on by
Reply

Microsoft ha anunciado que será hoy mismo cuando lance su suite de seguridad antivirus gratuita Security Essentials. La nueva solución podrá descargarse desde el sitio Web de Microsoft.

El lanzamiento hoy de Microsoft Security Essentials (MSE), también conocida con el nombre en código de Morro, vendrá a reemplazar su solución de seguridad seguridad Windows Live OneCare, lanzado hace tres años.

Desde Microsoft han confirmado que esta nueva propuesta gratuita de seguridad consume pocos recursos de memoria y de espacio en la CPU y no interfiere en las tareas que ejecute el equipo. Con Security Essentials, Microsoft ofrece protección contra malware en tiempo real y, gracias a la incorporación del nuevo servicio Dynamic Signature Service, proporciona a los usuarios seguridad contra los últimos virus, adelantándose así a los boletines mensuales de seguridad de la propia Microsoft.

Los requisitos mínimos para poder ejecutar Microsoft Security Essentials es disponer de sistema operativo Windows XP SP2, o versiones superiores, como Vista y el próximo Windows 7. Asimismo, desde Microsoft ya han adelantado que este antivirus, disponible para su descarga gratuita desde la página de descargas de Microsoft, no funcionará en las copias no legales de Windows.

Fuente: IDG

Read more:
Microsoft lanza hoy Security Essentials |

Troyano bancario falsea el balance de las cuentas robadas para evitar ser detectado

Posted on by
Reply

Se ha detectado una familia de troyanos que,
además de todas las técnicas habituales que usa el malware 2.0 para
pasar desapercibido, falsea el balance del usuario víctima una vez ha
sido robado. Así, el afectado no puede detectar la falta de dinero en
su cuenta a menos que analice un extracto por algún otro medio que no
sea su propio ordenador, o le sea devuelto algún recibo.

Es común
hoy en día que los troyanos inyecten campos adicionales en las páginas
de los bancos para “capturar” la tarjeta de coordenadas o las
contraseñas secundarias que permiten el movimiento del dinero. Es común
que se salten restricciones de todo tipo impuestas por los bancos
(teclados virtuales, ofuscación, OTP…), destinadas a detener su
avance. Casi todos tienen técnicas de ocultación sofisticadas que hacen
que a pesar de los esfuerzos de las casas antivirus, no sean detectados
en su mayor parte. La mayoría también ofusca su código para dificultar
el análisis de los investigadores… Lo que no es tan común es que los
troyanos, al robar, falseen el balance de las cuentas del usuario, para
que el usuario no detecte que el dinero ha sido traspasado a otro lugar.

La
técnica que utiliza esta muestra observada es la misma que se suele
usar para monitorizar qué página está siendo visitada e inyectar los
campos. Esto habitualmente se realiza a través de BHO (Browser Helper
Objects) en Internet Explorer. Los BHO, al tener completo control sobre
el DOM (Document Object Model) de la página, pueden eludir entre otras
restricciones el cifrado, e inyectar en las páginas los campos que
estimen oportuno. Ocurre de forma totalmente transparente y sobre la
página real al ser visitada por un sistema troyanizado. Este mismo
método se utiliza para falsear el balance real de la cuenta. Así, el
usuario no percibe que está siendo robado. El troyano también se cuida
de no dejar la cuenta en números rojos, para evitar igualmente ser
detectado.

Cuanto más tiempo pase desapercibido el robo para la
víctima, más veces podrá transferir pequeñas cantidades y pasar así
también desapercibido para el banco. Los bancos, hoy en día, tienen
sistemas de alerta que avisan al usuario cuando se detectan movimientos
que se salen del patrón habitual de su usuario. Esto empezaba a ser un
problema para ciertos troyanos que realizaban grandes transferencias,
pues los bancos advertían al usuario víctima de una posible estafa. Con
estos métodos consiguen no hacer sonar ninguna alarma ni en el usuario
ni en su banco.

Se ha informado de la difusión de este malware en
toda Europa. Algunos lo han llamado URLZone, aunque parece una variante
de SilentBanker. El método de infección (esto sí es habitual) suele ser
la visita a páginas web legítimas infectadas, que intentan aprovechar
diferentes vulnerabilidades del navegador o del sistema operativo
Windows para ejecutar código y realizar su función.

Más Información:
New Malware Re-Writes Online Bank Statements to Cover Fraud
http://www.wired.com/threatlevel/2009/09/rogue-bank-statements/

Autor: Sergio de los Santos
Fuente: Hispasec

Read the original post:
Troyano bancario falsea el balance de las cuentas robadas para evitar ser detectado |

¿Nube o humo?

Posted on by
Reply

El juego de palabras surgió de una conferencia que presencié recientemente en Virus Bulletin 2009 y se refiere a las confusiones que surgen cuando se habla de la nube o, el mismo término más aceptado en inglés, Cloud Computing.
En primera instancia, la detección de malware por firmas siempre ha tenido dos puntos importantes a considerar:

  • El tamaño de la base de datos de firmas de malware detectado aumenta con cada actualización, y esos archivos se encuentran almacenado en el sistema del usuario (visión del cliente), lo cual representa un problema de rendimiento y de consumo de recursos para algunos antivirus.
  • Miles de nuevos malware deben ser analizados cada día, lo cual no puede ser llevado adelante por analistas humanos y se necesitan procesos automáticos e inteligentes que los realicen.

Estos puntos mencionados son los más importantes a resolver a corto y mediano plazo en lo que respecta a detección y rendimiento, motivos por los cuales algunas compañías han decidido comenzar a mudar estos servicios a la nube, manteniendo sus bases de datos en línea y analizando los archivos en un servidor, en vez de utilizar el sistema cliente.
Pero, esta “solución” presenta en sí misma algunos riesgos y preguntas tales como:

  • El objeto a analizar es enviado a la nube para ser analizado y si bien en la mayoría de los casos sólo se enviará información relativa al mismo (hash, tamaño, cabeceras, estructuras, etc.), podría ser necesario enviar en archivo completo. Esto puede representar una seria vulnerabilidad respecto a la confidencialidad del objeto.
  • La base de datos en la nube debe seguir siendo actualizada ¿a cuánto tiempo se puede bajar la actualización? Aunque la respuesta sea a décimas de segundo, el método sigue siendo reactivo.
  • El análisis en la nube sigue siendo estático y la detección, por el punto anterior, es más reactiva que proactiva en la mayoría de los casos por lo que si el objeto es analizado en la nube y no es detectado, aún será considerado no dañino (falso negativo) para el usuario.
  • Las bases de datos siguen creciendo (ahora en el servidor) y en base al crecimiento de malware detectado, que es mayor a lo que dice la Ley de Moore, ¿hasta cuando será posible seguir ampliando estos archivos?
  • Si la conexión a la nube (Internet) no se encuentra activa, el análisis no puede ser llevado a cabo. Este problema de disponibilidad del servicio puede presentarse fácilmente en malware que bloquean el acceso a la red o el acceso a los sitios de las empresas antivirus o, incluso en conexiones lentas por módem, por ejemplo.
  • Podrían presentarse problemas de performance referidos a lo que sucede con el objeto analizado mientras se espera respuesta del servicio en línea.
  • Sería posible realizar ataques de DDoS a los servidores en la nube, incluso de manera no intencional, debido a la cantidad de requerimientos de los usuarios.
  • Dependiendo del país y de que existen diferentes legislaciones en cada uno, ¿qué datos es posible enviar a la nube y cuales no? ¿qué sucede con los que no se puede enviar para realizar el análisis?
  • ¿Las botnets pueden manipular un sistema de reputación de una base datos en línea enviando requerimientos falsos?

Sin dudas la nube es una buena alternativa para propagar malware y los atacantes la utilizan a diario. Pero de lo anterior se puede concluir que los servicios de detección en la nube que han comenzado a promocionarse aún necesitan investigación y mucho trabajo para ser perfeccionados.
Hay que tener en cuenta que la seguridad en la nube no es el santo grial y a veces suele ser sólo humo. Este es el motivo por el cual ESET sigue mejorando y perfeccionando su detección heurística para que la misma sea más inteligente y su base de datos muy pequeña, permitiendo los mejores índices de detección avalados por las certificaciones antivirus.

Fuente: Laboratorio ESET

The rest is here:
¿Nube o humo? |