¿Malware en el PC ?. LOS 10 SINTOMAS DE LA INFECCIÓN

Kaspersky Lab ha publicado esta lista de los 10 síntomas más habituales que significan una amenaza de malware en los ordenadores:

1. Fallos inesperados.- La consecuencia es muy llamativa: la pantalla se vuelve azul. Es un signo inequívoco de que algo va mal. Cuando sucede, es preciso analizar inmediatamente el sistema en busca de infecciones. 
2. Sistema lento.- Si no hay instalada una aplicación que consume muchos recursos, pero aun así el sistema funciona más lento de lo normal, puede estar infectado con un virus.
3. Excesiva actividad del disco duro.- De forma similar, si el equipo tira de disco duro sin causa aparente, es una advertencia de una potencial infección.
4. Ventanas extrañas.- Otra señal son las ventanas que aparecen durante el proceso de arranque, particularmente aquellas que no permiten acceder a diferentes discos.
5. Mensajes extraños.- Cuando aparecen estas cajas de dialogo, el sistema esta alertando de que algunos programas o archivos no se abrirán. Mal indicio.
6. Funcionamiento erróneo de algún programa.- Si tus programas se pierden, están corrompidos o empiezan a abrirse solos, o si recibes notificaciones de que un programa está intentando acceder a Internet por su cuenta, es un signo importante de que tu ordenador es víctima del malware.
7. Actividades inesperadas de la conexión. -Si el router pestañea constantemente, indicando un alto nivel de actividad en la red, cuando no están funcionando programas importantes o accediendo a gran cantidad de datos en Internet, algo no va bien.
8. Fallos en el correo electrónico.- Si los emails no llegan a enviarse, o si nuestros contactos están recibiendo correos extraños desde nuestra dirección, es una doble señal: o bien el sistema ha sido atacado, o bien la contraseña de correo fue robada.
9. Direcciones IP en listas negras.- Si recibes una notificación de que tu dirección de IP fue puesta en una lista negra, considéralo un signo seguro de que tu ordenador ha sido hackeado y utilizado como parte del engranaje de una botnet.
10. Desactivación del antivirus.- Muchos programas de malware se diseñan para desactivar los programas antivirus, que podrían detectarlos y eliminarlos. Si el antivirus se desactiva repentinamente, puede ser signo de un problema mayor.

Más información

• Kaspersky Lab http://blog.kaspersky.com.mx/10-signos-de-infeccion-malware/

Fuente: ITespresso

Paypal ACTUALIZACIÓN CORRIGE ERROR CRÍTICO

PayPal ha corregido un defecto fundamental que permite a un atacante eliminar cualquier cuenta a su antojo y sustituirla por una de las suyas. 

En abril, el investigador de seguridad Ionut Cernica descubrió que los titulares de cuentas PayPal estadounidenses podrían agregar una dirección de correo electrónico a la cuenta de otra persona al visitar una página web de PayPal. Esto entonces permite que la cuenta sea eliminada.

"Una vez que ha agregado una dirección de correo electrónico existente a su cuenta si usted va al perfil de su cuenta y se elimina el correo electrónico sin confirmar, la cuenta original se borrará también", dice el informe de Cernica.

"Después de que retiró la cuenta, puede hacer otra con el mismo nombre de usuario con la contraseña que desee, pero usted no tendrá ningún dinero y no se confirma."

Con el fin de alcanzar la condición de PayPal verificada, el atacante sólo tendrá que asignar una cuenta bancaria o de tarjeta de crédito para el nombre de usuario de reemplazo y pasar por el procedimiento de acreditación estándar. Si el fraude no fue descubierto rápidamente, los fondos podrían entonces ser desviados en cuanto entren.

Según el informe, PayPal reconoció el fallo una semana más tarde y en mayo dijo Cernica que un parche se había publicado -, pero el investigador informó que el dodge todavía era posible.

La revisión final se publicó esta semana, y Cernica ha recibido su recompensa por el error descubierto valorado en 3.000 dólares.

Fuente: The Register

Debian y Distribuciones Derivadas ELEVACIÓN DE PRIVILEGIOS

El investigador de seguridad del equipo de seguridad de Google, Tavis Ormandi, ha publicado en su blog una prueba de concepto sobre un problema de seguridad que afecta a Debian y otras distribuciones derivadas.

Desde la publicación de Debian Squeeze en febrero de 2011 los desarrolladores cambiaron el intérprete de comandos por defecto, que era "bash", por "dash" (Debian Almquist Shell) creado por Herbert Xu.

Recursos afectados

• Debian y distribuciones derivadas como Ubuntu.

Detalles de la prueba de concepto

• Ormandy, observó que dash tiene un comportamiento diferente a bash cuando ha de relajar los permisos con los que corre cuando detecta que está siendo invocada como "sh" (el interprete de comandos) .
• Normalmente, bash invocará la función "disable_priv_mode" si detecta que el "uid" del usuario es distinto del UID efectivo.
• Curiosamente, según comenta Ormandi, Debian ya desechó el "privmode", que impedía este problema, porque rompía la compatibilidad con UUCP (Unix to Unix CoPy) .

Impacto de la vulnerabilidad en los Sistemas afectados

1. De momento todas las máquinas virtuales Debian (a partir de Squeeze) con el script de VMware mencionado son vulnerables a elevación de privilegios.
2. Aunque no solo se restringe a dicho componente, si existiese un programa en el sistema con la misma funcionalidad y con el bit setuid activado tendríamos el mismo problema y por supuesto no es necesario que sea una máquina virtual.

Recomendación

1. VMware ya ha publicado un parche que soluciona esta vulnerabilidad de elevación de privilegios, a la que le ha sido asignado el CVE-2013-1662 que se puede descargar desde http://www.vmware.com/security/advisories/VMSA-2013-0010.html
2. Tavis ha enviado un parche a los desarrolladores de "dash" para agregar el "privmode". Podemos ver la conversación en la lista de oss-security desde aquí http://thread.gmane.org/gmane.comp.shells.dash/841

Más información:

• Security Debianisms  http://blog.cmpxchg8b.com/2013/08/security-debianisms.html
• Una al día. Elevavión de privilegios en Debian http://unaaldia.hispasec.com/2013/08/elevacion-de-privilegios-en-debian-y.html

Fuente: Hispasec

Schneider Electric Trio J-Series Radio VULNERABILIDAD EN DISPOSITIVOS

Schneider Electric ha informado de un fallo relacionado con la existencia de una clave incrustada en el código (hard-coded) para el cifrado en las comunicaciones de los dispositivos Schneider Electric’s J-Series Radios. La vulnerabilidad ha sido catalogada con nivel alto de importancia.

Recursos afectados

Los dispositivos Schneider Electric Trio J-Series Radio con versiones de firmware V3.6.0, V3.6.1, V3.6.2 y V3.6.3 afectados son los siguientes:

1. TBURJR900-00002DH0
2. TBURJR900-01002DH0
3. TBURJR900-05002DH0
4. TBURJR900-06002DH0
5. TBURJR900-00002EH0
6. TBURJR900-01002EH0
7. TBURJR900-05002EH0
8. TBURJR900-06002EH0.

Impacto de la vulnerabilidad

• Un atacante podría aprovechar este fallo y para obtener el control del dispositivo o incluso para acceder a la red en la que se encuentra instalado.
• Aunque no se conoce la existencia pública de algún exploit, la vulnerabilidad puede ser explotada remotamente.

Recomendación

• Actualizar el firmware de los productos afectados con la actualización ofrecida por el fabricante Schneider desde el siguiente enlace:  http://www2.schneider-electric.com/sites/corporate/en/support/cybersecurity/cybersecurity.page

Más información

• Aviso del ICS-CERT  https://ics-cert.us-cert.gov/advisories/ICSA-13-234-01
• Aviso de Schneider  http://download.schneider-electric.com/files?p_File_Id=141141292&p_File_Name=SEVD-2013-143-01.pdf

Fuente: Inteco

TOP Server DNP Master OPC de Software Toolbox INCORRECTA VALIDACIÓN DE ENTRADA

El controlador TOP Server DNP Master de Software Toolbox realiza una inapropiada validación de entrada en el puerto 20000/TCP. Catalogada con nivel mínimo de importancia.

Recursos afectados

• Controlador maestro DNP para TOP Server OPC Server v5.11.250.0 y anteriores

Impacto de la vulnerabilidad en el Sistema afectado

1. El controlador TOP Server DNP Master no valida la entrada en el puerto 20000/TCP, por lo que el envío de un paquete TCP manipulado, o a través de comunicaciones en serie, puede provocar un bucle infinito debiendo reiniciarse el dispositivo de manera manual.
2. Esta vulnerabilidad puede ser aprovechada de forma remota y un atacante podría utilizarla para causar una denegación de servicio.

Recomendación

• Software Toolbox publico una nueva versión del software que corrige esta vulnerabilidad v5.12.140.0 el 18 de Junio. La información y soporte sobre esta vulnerabilidad puede encontrarse en el sitio de soporte de Software Toolbox Top Server OPC I/O Server http://www.toolboxopc.com/html/v5_releasehistory.asp
• La versión del software de TOP Server más reciente es la v5.12.142.0 R2 del 5 de Agosto y puede descargarse desde: http://www.toolboxopc.com/html/support.asp

Referencias

• Aviso del ICS-CERT: ICSA-13-234-02  http://ics-cert.us-cert.gov/advisories/ICSA-13-234-02

Fuente: Inteco