Etiqueta: parche

Se descubre nueva vulnerabilidad crítica en Windows

Las tecnologías automatizadas de Kaspersky Lab han detectado una vulnerabilidad previamente desconocida en Microsoft Windows. Esta vulnerabilidad estaba siendo explotada por un grupo criminal desconocido en un intento por obtener el control total de un dispositivo específico.

El ataque fue dirigido al núcleo del sistema –su kernel– valiéndose de una puerta trasera construida a partir de un elemento esencial del sistema operativo Windows.

Las puertas traseras son un tipo de malware extremadamente peligroso, ya que permiten que los agentes de amenazas controlen las máquinas infectadas de manera discreta con fines maliciosos. Generalmente, la adquisición de privilegios por terceros es difícil de ocultar de las soluciones de seguridad. Sin embargo, una puerta trasera que explota un error previamente desconocido en el sistema –una vulnerabilidad de día cero– tiene muchas más oportunidades de pasar desapercibida bajo el radar ya que las soluciones de seguridad comunes no reconocen la infección del sistema ni protegen a los usuarios de una amenaza desconocida.

La tecnología de prevención de exploits de Kaspersky Lab fue capaz de detectar el intento de explotar la vulnerabilidad desconocida en el sistema operativo Microsoft Windows.

 

El contexto del ataque

una vez que el archivo malicioso fue ejecutado, la instalación del malware tuvo inicio. La infección aprovechó una vulnerabilidad de día cero y logró privilegios para mantenerse en la máquina de la víctima. El malware inició entonces el lanzamiento de una puerta trasera desarrollada con un elemento legítimo de Windows, presente en todas las máquinas que funcionan con este sistema operativo: un marco de programación o scripting llamado Windows PowerShell.

Esto permitió a los cibercriminales actuar sigilosamente y evitar la detección, ahorrándoles tiempo para escribir el código de las herramientas maliciosas. El malware descargó entonces otra puerta trasera desde un popular servicio de almacenamiento de texto legítimo, lo que a su vez dio a los criminales control total sobre el sistema infectado.

“En este ataque, observamos dos tendencias principales que a menudo vemos en las Amenazas persistentes avanzadas (APTs). Primero, el uso de ataques que explotan la escalada de privilegios locales para mantenerse en la máquina de la víctima. Segundo, el uso de marcos de programación legítimos como Windows PowerShell para actividades maliciosas en la máquina de la víctima. Esta combinación proporciona a los cibercriminales la posibilidad de burlar las soluciones de seguridad corrientes. Para detectar este tipo de técnicas, la solución de seguridad debe utilizar motores de prevención de vulnerabilidades y detección de comportamientos”, explica Anton Ivanov, experto en seguridad de Kaspersky Lab.

La vulnerabilidad fue reportada a Microsoft y parcheada el 10 de abril.

Apple repara 56 vulnerabilidades en OS X El Capitán

La compañía de Cupertino emitió cambios menos radicales, compuestos en sólo de correcciones de vulnerabilidad para Yosemite OS X y OS X Mavericks además de mejorar el intercambio de Live Photos.

Apple actualizó ayer OS X El Capitán, ofreciendo parces de seguridad a una serie de vulnerabilidades, con la solución se obtuvo el arreglo de los mismos y otros fallos no relacionados con la seguridad y añadiendo capacidades a algunas aplicaciones propias. La compañía de Cupertino también emitió cambios menos radicales, los cuales contiene correcciones de vulnerabilidad para Yosemite OS X y OS X Mavericks, las ediciones de 2014 y 2013, respectivamente.

Con OS X 10.11.4, la cuarta actualización en El Capitán desde su debut en septiembre, se ha corregido 56 vulnerabilidades, para OS X Yosemite 23 y 22 para Mavericks.

El pasado año Apple dejó de parchear al predecesor de Mavericks , OS X Mountain Lion de 2012, como parte de su práctica para apoyar sólo las ediciones OS X designados como “n” “n-1” y “n-2”, donde “n” es el más nuevo. Bajo ese esquema, El Capitán es “n”, Yosemite es “n-1” y Mavericks es “n-2”. Como “n-3,” Mountain Lion ha sido retirado.

Las tres últimas versiones de OS X que corren en el 88% de todos las Macs que se puso en línea en febrero, de acuerdo con la analítica web de Net Applications. Del mismo modo, un 12% de todos las Macs en todo el mundo ejecutan un sistema operativo retirado que, si bien continúa trabajando, ya no recibe actualizaciones de seguridad.

Por ello OS X 10.11.4 también presentó mejoras en la estabilidad y compatibilidad, dado a que Apple limita esos cambios en la última edición, que van desde la importación de archivos de Evernote en la propia aplicación de notas de Apple, a una nueva capacidad para el intercambio en Live Photos entre iOS y OS X a través AirDrop y Messages. Live Photos, es una característica restringida al iPhone y 6S 6S Plus, la cual crea fotografías semianimadas mediante la captura de 1.5 segundos de audio y de vídeo, tanto antes como después de pulsar el botón del obturador.

Otras modificaciones de El Capitán han arreglado problemas de compatibilidad entre el sistema operativo y AnyConnect cliente VPN de Cisco ampliamente utilizado en el entorno empresarial, y la mejora de la fiabilidad de la conexión de una Mac a Internet, usando la herramienta de Personal Hotspot del iPhone.

El nuevo OS X 10.11.4 se puede descargar desde la App Store. El parche de actualización sólo para Yosemite y Mavericks, conocido como la actualización de seguridad 2016-002, también se puede descargar desde la sección de actualizaciones de la App Store de Mac para los sistemas que ejecutan esas ediciones.

Gregg Keizer

 

Vuelven a surgir fallas en Java por parches rotos

Investigadores han detectado que el parche de Oracle de 2013 se puede sortear fácilmente para atacar las últimas versiones de Java. A raíz de lo publicado sobre la vulnerabilidad sea explotable de nuevo, se ha corregido el camino a nuevos ataques sobre PC y servidores que utilizan la última versión de Java.

El fallo, que está registrado como CVE-2013-5838 en la base de datos Common Vulnerabilities and Exposures (CVE), fue puntuado por Oracle con un 9.3 sobre 10 usando el Common Vulnerability Scoring System (CVSS). El fallo se puede utilizar de forma remota, sin autentificación, comprometiendo totalmente la confidencialidad, integridad y disponibilidad de un sistema.

Según los investigadores de la compañía polaca Security Explorations, que fueron los primeros en informar a Oracle del fallo, los atacantes pueden utilizar el exploit para burlar los sistemas de seguridad de Java. En condiciones normales, el Java Runtime Environment (JRE) ejecuta el código Java dentro de una máquina virtual que está sujeta a restricciones de seguridad.

El jueves, Security Explorations reveló que el parche de Oracle para la vulnerabilidad se había roto. El fallo se podría evitar con un sencillo desvío, cambiando cuatro caracteres en el código lanzado por Oracle en 2013, según escribió el CEO de Security Explorations, Adam Godwdiak, en un correo electrónico enviado a la lista completa del Full Disclosure.

Los investigadores de la compañía aseguran que su nuevo exploit se han probado con éxito en las últimas versiones disponibles de Java: Java SE 7 Update 97, Java SE 8 Update 74 y Java SE 9 Early Access Build 108.

En su primer informe en octubre de 2013, Oracle notó que el CVE-2013-5838 sólo afectaba a las implementaciones de los clientes de Java y podían ser explotadas a través de “sandboxed Java Web Start applications y sandboxed Java applets”. Según Security Explorations, esto no sería correcto. “Hemos verificado que podría ser utilizado con éxito en entornos de servidores así como en Google App Engine para Java”, explicó Godwiak en el mensaje al Full Disclosure.

En la parte del cliente, el incumplimiento del nivel de seguridad de Java, señala que sólo permite ejecutar applets de Java y su comportamiento  click-to-play puede actuar como mitigador. Estas restricciones de seguridad pueden prevenir ataques silenciosos automatizados.

Para explotar la vulnerabilidad de las actualizaciones de Java, los atacantes necesitarían encontrar un fallo independiente que les permitiera eludir las indicaciones de seguridad o convencer a los usuarios de que aprobaran sus applet maliciosos, siendo esta  última ruta la más probable.

Security Explorations no ha notificado a Oracle de esta desviación de CVE-2103-5838 antes de su divulgación. Según Gowdiak, la nueva política de la compañía es informar al público inmediatamente cuando se encuentran vulnerabilidades de las cuales ya se ha informado a los vendedores. “No vamos a tolerar más parches rotos”, aseguró Gowdiak.

Dada esta medida de preferir alertar de forma pública ante un fallo, se desconoce si Oracle pondrá en marcha una actualización de emergencia de Java para contrarrestar esta vulnerabilidad o si esperará a la próxima actualización trimestral programada para el 19 de abril.

Lucian Constantine

Oracle lanza 248 parches de seguridad en un día

Los administradores de sistemas de Oracle se encargaron de lanzar ayer 248 parches, la actualización más extraordinaria realizada por la compañía hasta la fecha, ocasionados por la detección de numerosas vulnerabilidades, cinco de las cuales están catalogadas con una severidad extrema, según Common Vulnerability Scoring System (CVSS), una firma de seguridad especializada en sistemas SAP y Oracle. De acuerdo con CVSS, la mayoría las vulnerabilidades se concentran en Java SE, la plataforma de Oracle para las aplicaciones Java que corren en servidores y ‘desktops’.

A través de un extenso comunicado oficial, Oracle insta a los administradores a instaurar los parches de manera inmediata. “Oracle recibe con regularidad informes relacionados con intentos de explotación de vulnerabilidades, motivo por el que disponemos ya de los parches correspondientes. En alguna ocasión hemos recibido información acerca de ataques perpetrados con éxito, debido a que los usuarios no han tenido la celeridad necesaria a la hora de implementar dichos parches”, afirma la compañía en un comunicado.

Muchos de los parches de Oracle se han realizado en productos ampliamente utilizados como la base de datos de la compañía del mismo nombre, y la suite e-Business, señalaba Eric Maurice, director de la división Software Security Assurance de Oracle. El directivo, sin embargo, no detallaba el por qué de tanto parche en esta ocasión, si bien el aviso daba crédito a las afirmaciones de muchos investigadores que encontraron defectos en los sistemas de sus empresas incluyendo a Google, ERPScan, Zero Day Initiative de HP, Salesforce.com y Onapsis. Aplicaciones empresariales como las de Oracle y SAP suelen probarse con mayor frecuencia e intensidad por expertos en seguridad, dado que aunque el ataque a este tipo de sistemas no suele ser muy común por parte de hackers, la elevada sensibilidad de los datos que encierran si despierta un atractivo entre los ciberdelincuentes.

Predicciones de seguridad móvil para 2014

Seguridad móvil predicciones Palo AltoPalo Alto Networks acaba de publicar sus predicciones para 2014 en lo que a seguridad móvil se refiere. La compañía cree que en el año que acaba de comenzar se consolidarán algunas tendencias que ya comenzaron en 2013.

Según Palo Alto Networks, 2013 fue un año decisivo para el malware móvil ya que muchas organizaciones sufrieron incidentes de seguridad.

Pero, ¿cómo será 2014 en lo que a seguridad móvil se refiere? Aquí están las tres predicciones de Palo Alto Networks.

1. El ecosistema de sistemas operativos móviles es demasiado grande para una protección de parches. Esta compañía considera que “el ecosistema móvil es mucho más complicado y de mayor alcance que Windows”. Por ello, recomienda a las empresas que no se enfoquen en asegurar los dispositivos de manera individual y busquen soluciones que lleven las políticas de firewall de nueva generación a una amplia serie de casos de uso de movilidad, independientemente del sistema operativo que utilicen.

2. Los problemas de seguridad móvil desvían la atención de los administradores de seguridad fuera del firewall. En este sentido, Palo Alto Networks recuerda que “todavía existen demasiadas soluciones de seguridad móvil que protegen el dispositivo móvil de un usuario mientras se encuentran detrás del firewall corporativo, pero no hacen cumplir la política de seguridad móvil cuando los usuarios están fuera de él”. Este es un enfoque “corto de miras”, según la compañía.

3. El bloqueo no funcionará. “Muchas organizaciones tienen todavía un enfoque de bloqueo en la seguridad móvil y han puesto en marcha políticas que son tan estrictas que eliminan los beneficios de productividad y flexibilidad del BYOD”, resalta Palo Alto Networks. Y agrega que “la enorme popularidad de los smartphones y tablets significa que los usuarios los acabarán utilizando en las redes les guste o no a los administradores”.

De hecho, en 2014 una buena porción de las empresas se apartará del enfoque “lock it down” para adoptar un modelo de seguridad móvil que dé a los usuarios un respiro, preservando a la vez la seguridad de la red empresarial”, asegura Palo Alto Networks.

Microsoft alerta de ataques dirigidos contra Windows y Office

Windows parchado
Microsoft lanzó una herramienta FixIt para prevenir que la vulnerabilidad sea explotada.

Microsoft advirtió sobre posibles ciberataques contra una nueva vulnerabilidad detectada en varias versiones de Windows y Office, la cual podría permitir a un atacante controlar el equipo de un usuario.

La falla, que afecta a Windows Vista, a Windows Server 2008 y a Microsoft Office desde la versión 2003 a la 2010, se está utilizando como parte de ataques dirigidos con archivos adjuntos maliciosos que se están produciendo principalmente en Oriente Medio y Asia.

A falta de un parche, Microsoft lanzó una herramienta FixIt, que evita los intentos de explotar la vulnerabilidad.

Cómo actúa

En el comunicado publicado en su página web, Microsoft advirtió que “el exploit requiere interacción con el usuario, ya que el ataque se disfraza como un correo electrónico y se dirige a objetivos concretos, por medio del cual se solicita la apertura un archivo adjunto de Word especialmente diseñado.

Si el archivo adjunto es abierto o se emplea la vista previa, intentará aprovechar lavulnerabilidad empleando una imagen de gráficos con formato incorrecto incrustada en el documento. El atacante que aproveche esta vulnerabilidad, podría obtener los mismos derechos de usuario que el usuario conectado”.

Microsoft asegura que la vulnerabilidad no afecta a las versiones actuales de Windows, y que los usuarios que ejecuten productos potencialmente vulnerables pueden tomar un par de acciones con el fin de protegerse, como instalar de la herramienta FixIt y desplegar el Enhanced Mitigation Experience Toolkit (EMET), que ayuda a mitigar los exploits contra cierta clase de vulnerabilidades.