MICROSOFT. Lanza aviso de un 0-day en Internet Explorer

En los últimos días se ha identificado un exploit 0-day que afecta a Internet Explorer 9 y 10. Microsoft ha confirmado el problema y ha publicado un aviso con un parche temporal (en forma de Fix-It) hasta la publicación de la actualización definitiva. El desarrollo del ataque y el análisis de la vulnerabilidad dejan muchos puntos de interés.

Detalle e Impacto del ataque

• Las compañías FireEye y Symantec han colaborado en la investigación del ataque, detectado el pasado 11 de febrero por compañía FireEye al identificar un exploit 0-day que estaba siendo aprovechado desde el sitio de veteranos de guerras extranjeras de los Estados Unidos (vfw.org, Veterans of Foreign Wars).
• Mientras el ataque estaba activo, los visitantes de vtw.org cargaban el iframe insertado por los atacantes que mostraba por detrás una segunda página comprometida (alojada en aliststatus.com) El iframe img.html descargaba un archivo Flash malicioso ("tope.swf") que explotaba la vulnerabilidad del navegador. Symantec detecta el Iframe malicioso como Trojan.Malscript y el swf como Trojan.Swifi.
• El Flash al explotar la vulnerabilidad, provocaba otra descarga desde el dominio aliststatus.com para iniciar los pasos finales del ataque. Primeramente descargaba el archivo gráfico "erido.jpg" (en formato .png) que contenía diversos binarios embebidos que eran extraídos por código shell ejecutado por el SWF. Los binarios incluidos eran "sqlrenew.txt" (que realmente ocultaba una dll) y "stream.exe" (detectado como Backdoor.Winnti.C o Backdoor.ZXShell).
• Por último, el swf entonces se encargaba de cargar la dll maliciosa, la cual por su parte lanzaba el proceso "stream.exe" con la carga maliciosa final.
• Según las investigaciones de Symantec se sugiere una conexión entre este ataque y otros realizados por el grupo conocido como Hidden Lynx. Los datos indican el uso de la misma infraestructura empleada por dicho grupo para otros ataques. Según FireEye, el ataque residía en una estrategia orientada al compromiso del personal militar estadounidense

Detalle de la vulnerabilidad y Recomendaciones

• Microsoft ha confirmado la vulnerabilidad, con CVE-2014-0322, que afecta a las versiones 9 y 10 del navegador  Internet Explorer. La firma de Redmond ha publicado un aviso, en el que ofrece contramedidas e información para por lo menos de forma temporal prevenir ser afectados por este problema.
• Se ha bautizado al parche, en forma de Fix It, como "MSHTML Shim Workaround" que se encuentra disponible desde http://technet.microsoft.com/en-us/security/advisory/2934088
• Como medidas adicionales se recomienda la instalación de la versión 11 del navegador (o usar otro navegador), que no se ve afectado por el problema, así como el uso de la tecnología EMET (Enhanced Mitigation Experience Toolkit).

Más información:

• Microsoft Security Advisory (2934088) Vulnerability in Internet Explorer Could Allow Remote Code Execution http://technet.microsoft.com/en-us/security/advisory/2934088
• Operation SnowMan: DeputyDog Actor Compromises US Veterans of Foreign Wars Website http://www.fireeye.com/blog/uncategorized/2014/02/operation-snowman-deputydog-actor-compromises-us-veterans-of-foreign-wars-website.html
• Emerging Threat: MS IE 10 Zero-Day (CVE-2014-0322) Use-After-Free Remote Code Execution Vulnerability http://www.symantec.com/connect/blogs/emerging-threat-ms-ie-10-zero-day-cve-2014-0322-use-after-free-remote-code-execution-vulnerabi
• Fix it tool available to block Internet Explorer attacks leveraging CVE-2014-0322 http://blogs.technet.com/b/srd/archive/2014/02/19/fix-it-tool-available-to-block-internet-explorer-attacks-leveraging-cve-2014-0322.aspx

Fuente: Hispasec

FLASH. Nuevo ataque 0-day obliga a lanzar actualización urgente

Un nuevo ataque 0-day sale a la luz, en esta ocasión a través de Flash Player. Adobe se ha visto obligado a publicar una actualización para corregir esta vulnerabilidad (junto con otras dos).

Detalle e impacto de la vulnerabilidad

• El ataque 0-day ha sido identificado por FireEye (al igual que el que analizamos ayer a través de Internet Explorer). En esta ocasión la vulnerabilidad (identificada con CVE-2014-0502) afecta a la última versión de Flash Player (12.0.0.4 y 11.7.700.261) y se explotaba a través de la página web de tres organizaciones sin ánimo de lucro (www.piie.com, www.arce.org y www.srf.org), desde donde a través de un iframe oculto se redireccionaba al usuario a un servidor que alojaba y lanzaba el exploit propiamente dicho.
• El exploit emplea técnicas para evitar la protección ASLR (Address Space Layout Randomization) en sistemas Windows XP, Windows 7 con Java 1.6 y Windows 7 versiones no actualizadas de Microsoft Office 2007 o 2010. La vulnerabilidad podría permitir a un atacante sobrescribir el puntero "vftable" de un objeto Flash para provocar la ejecución de código arbitrario.

Detalle de la actualización

1.  Para corregir esta vulnerabilidad Adobe ha publicado una actualización para Flash Player, que además soluciona otros dos problemas. Las vulnerabilidades afectan a las versiones de Adobe Flash Player 12.0.0.44 (y anteriores) para Windows y Macintosh y Adobe Flash Player 11.2.202.336 (y anteriores) para Linux.
2.  Esta actualización, publicada bajo el boletín APSB14-07, resuelve la vulnerabilidad detectada por FireEye con CVE-2014-0502, un desbordamiento de búfer que podría permitir la ejecución de código arbitrario (CVE-2014-0498) y una fuga de memoria que podría permitir evitar la protección ASLR (CVE-2014-0499).

Recomendación

 Adobe ha publicado las siguientes versiones de Adobe Flash Player destinadas a solucionar las vulnerabilidades, y se encuentran disponibles para su descarga desde la página oficial:

• Adobe Flash Player 12.0.0.70 para Windows y Macintosh.
• Adobe Flash Player 11.2.202.337 para Linux.

Igualmente se han publicado actualizaciones de Flash Player para Internet Explorer y Chrome.

Más información:

• Security updates available for Adobe Flash Player http://helpx.adobe.com/security/products/flash-player/apsb14-07.html
• Operation GreedyWonk: Multiple Economic and Foreign Policy Sites Compromised, Serving Up Flash Zero-Day Exploit http://www.fireeye.com/blog/technical/targeted-attack/2014/02/operation-greedywonk-multiple-economic-and-foreign-policy-sites-compromised-serving-up-flash-zero-day-exploit.html
• Documento informativo sobre seguridad de Microsoft (2755801)  Actualización para las vulnerabilidades en Adobe Flash Player en Internet Explorer http://technet.microsoft.com/es-mx/security/advisory/2755801

Fuente: Hispasec

WHATSAPP. Restaura el servicio después de varias horas inactivo

La popular aplicación de mensajería instantánea para teléfonos móviles ha sufrido una gran caída tres días después de ser adquirida por Facebook

El servicio de mensajería móvil WhatsApp ha anunciado a última hora de este viernes que ha restablecido su servicio tras más de varias horas inactivo y un aluvión de quejas por el fallo, que se produjo apenas tres días después de cerrar el acuerdo con la red social Facebook, que adquirió la aplicación por 19.000 millones de dólares.

El perfil de la aplicación se ha elevado aún más desde que el miércoles se anunciara su compra por parte de Facebook, con una generosa oferta que es la mayor de la compañía hasta la fecha y está muy por encima de los 1.000 millones que pagó en 2012 por la red social de fotos Instagram.

La operación implicará el desembolso de 4.000 millones de dólares en efectivo, 12.000 millones de dólares en acciones de Facebook y otros 3.000 millones de dólares en acciones RSU (Restricted Stock Unit), una emisión futura similar a la de las opciones sobre acciones.

Problemas con los servidores

"Hubo un problema con los servidores. Ya ha sido resuelto", ha explicado en un correo electrónico enviado a Efe el cofundador de Whatsapp, Jan Koum, poco antes de las 23:00 GMT del sábado.

La caída no tardó en provocar revuelo en las redes sociales, y la frase "R.I.P WhatsApp" se convirtió rápidamente en Trending Topic, las diez expresiones más publicadas en Twitter.

Casi tres horas antes, a las 20:16 GMT, los responsables de WhatsApp reconocían la caída del servicio en una cuenta de Twitter dedicada a informar de posibles fallos en la aplicación, @wa--status.

"Lo sentimos, estamos experimentando problemas con los servidores. Esperamos estar recuperados y activos pronto", indicaba el mensaje.

Telegram nota los efectos de la caída de Whatsapp

Una hora después de registrarse ese problema, la aplicación Telegram, creada en Berlín por dos hermanos rusos y que busca definirse como una alternativa a WhatsApp, ha informado también de una sobrecarga en su sistema que afecta a Europa, tras haber recibido "100 nuevos registros por segundo en el servicio".

"Estamos experimentando problemas de conexión en Europa, causados por la avalancha de nuevos usuarios. Estamos solucionándolo lo más rápido posible", ha apuntado Telegram en su cuenta de Twitter.

Fuente: RTVE.es

APPLE. Promete corregir "muy pronto" fallo de codificación en los Mac

El gigante tecnológico Apple Inc dijo el sábado que lanzará una actualización de software "muy pronto" para frenar la capacidad de espías y piratas informáticos de acceder a correos electrónicos, información financiera y otros datos sensibles desde computadores Mac.

La portavoz de Apple Trudy Muller dijo a Reuters: "Somos conscientes de este tema y ya tenemos un parche de software que será lanzado muy pronto".

La portavoz confirmó los hallazgos anunciados en la noche del viernes sobre que un gran fallo de seguridad en iPhones y en iPads, también presente en notebooks y computadores de escritorio que usan el sistema operativo Mac OS X.

Apple lanzó un parche en la tarde del viernes para los aparatos móviles que usan el iOS, y la mayoría se actualizará de manera automática. Una vez que salió el parche, los expertos lo analizaron y vieron los mismos problemas fundamentales en el sistema operativo para computadores.

Eso dio inicio a una carrera, ya que las agencias de inteligencia y los delincuentes intentarán escribir programas que tomen ventaja de la falla en los Macs antes de Apple lance un parche para ellos.

El error es tan raro, en retrospectiva, que los investigadores responsabilizaron a Apple por pruebas insuficientes y algunos especularon que había sido incluido de manera deliberada, ya sea por un ingeniero deshonesto o por un espía.

Ex agentes de inteligencia dijeron que las mejores "puertas traseras" suelen parecer un error.

Muller rehusó referirse a las teorías.

"Es tan malo como se puede imaginar, es todo lo que puedo decir", dijo el profesor de criptografía de la universidad John Hopkins, Matthew Green.

Adam Langley, quien lidia con problemas de programación similares como ingeniero de Google, escribió en su blog personal que el fallo podría no haber aparecido sin pruebas detalladas.

"Creo que solamente es un error y me siento muy mal por quien lo haya cometido", escribió.

El problema está en la forma en que el software reconoce los certificados digitales utilizados por sitios de bancos, el servicios Gmail de Google, Facebook y otros para establecer conexiones cifradas.

Una única línea en el programa y un corchete omitido significan que esos certificados no fueron autenticados, así que los piratas informáticos pueden hacerse pasar por sitios de internet y capturar el tráfico electrónico antes de pasarlo al sitio real.

Además de interceptar los datos, los piratas informáticos podrían agregar links a sitios webs maliciosos en correos electrónicos reales, obteniendo el control total del computador que recibe el mensaje.

El intruso necesita tener acceso a la red de la víctima, ya sea a través de una relación con el proveedor de internet o mediante una conexión WiFi común en lugares públicos. Veteranos de la industria advirtieron a los usuarios que eviten las conexiones WiFi inseguras hasta que el parche esté disponible e instalado.

Fuente: Reuters

BLACKBERRY. Vulnerabilidad en algunos de sus productos

BlackBerry ha publicado el boletín de seguridad BSRT-2014-002 que corrige una vulnerabilidad importante en sus productos BlackBerry Enterprise Service, Universal Device Service y BlackBerry Enterprise Server. El problema podría permitir a atacantes revelar información sensible del sistema.

Estos productos BlackBerry están, en general, enfocados al mundo empresarial; se pueden utilizar para la gestión multiplataforma (PC, Mac, iOS , Android y Blackberry OS) de todos sus dispositivos, móviles y tabletas.

Detalle e Impacto de la vulnerabilidad

La vulnerabilidad, con CVE-2012-4447, consiste en un error en la implementación del sistema de logs a la hora de gestionar las excepciones producidas durante una sesión de usuario. Lo que podría ser aprovechado por un atacante local o en red adyacente para revelar información sensible y recabar credenciales de usuario.

Recursos afectados

 Afecta a las siguientes versiones:

1.  BlackBerry® Enterprise Service 10, 
2. Universal Device Service 6 y 
3. BlackBerry® Enterprise Server 5.0.4

Recomendaciones

Se recomienda actualizar a las últimas versiones disponibles de BlackBerry como  son:

• Para  Enterprise Service 10 (http://www.blackberry.com/go/serverdownloads )
• Y Para  BlackBerry Enterprise Server 5.0.4 ( https://swdownloads.blackberry.com/Downloads/entry.do?code=2A2107D1BCB556A30424FAEDE85797A2 )

NOTA: Para instalaciones de Universal Device Service 6 se recomienda actualizar a BlackBerry Enterprise Service 10.

Más información:

BSRT-2014-002 Information disclosure vulnerability affects BlackBerry, Enterprise Service 10, Universal Device Service 6 and BlackBerry, Enterprise Server 5.0.4  http://www.blackberry.com/btsc/KB35647

Fuente: Hispasec