Vulnerabilidad en Pidgin

Publicado el 27/02/2010 por jbex

Vulnerabilidad en libpurple en Finch en Pidgin anterior a v2.6.6. Pidgin (anteriormente llamado Gaim) es un cliente de mensajería instantánea multiplataforma capaz de conectarse a múltiples redes (multiprotocolo) y cuentas (multicuenta) de manera simultánea.

Cuando se usa un chat XMPP multi-usuario, no valida adecuadamente los alias (nicknames) que contienen la secuencia

&ltbr>

Lo que permite a atacantes remotos provocar una denegación de servicio (caída de aplicación) mediante el alias.

Descarga la ultima versión http://www.pidgin.im/

Publicado en InfoSpyware | Etiquetado , , , | Deja un comentario

Estudio sobre el fraude a través de Internet

Publicado el 24/02/2010 por jbex

El Instituto Nacional de Tecnologías de la Comunicación hace públicos los resultados del Estudio sobre el fraude a través de Internet, que analiza la evolución del fenómeno desde 2007 hasta septiembre de 2009.

El informe describe, desde la óptica del usuario de Internet, la evolución de las situaciones relacionadas con el fraude electrónico desde 2007 hasta el tercer trimestre de 2009, y el impacto que dichas situaciones han tenido sobre el usuario, tanto a nivel económico como en el grado de e-confianza.

El diagnóstico se completa con la información procedente del Repositorio del Fraude Electrónico, que recopila información técnica a partir de los incidentes detectados por INTECO.

Disponible informe completo en castellano en formato pdf

Publicado en InfoSpyware | Etiquetado , , | Deja un comentario

La botnet Kneber en los medios

Publicado el 23/02/2010 por jbex

Se viene informado en los medios de la existencia de esta botnet, que afecta a más de 75.000 sistemas en 196 países. En realidad, no es nada nuevo. Ni el hecho de que una compañía de seguridad aparezca ante las cámaras como descubridora de algo contra lo que muchos luchamos cada día, ni que los medios no entiendan el mensaje que se ha querido transmitir.

NetWitness dice ser la empresa descubridora de esta botnet, y ha generado bastante atención de los medios (NetWitness ha puesto a disposición de todos los que le dejen sus datos de contacto, un documento técnico sobre el asunto). Lo que parece haber ocurrido es que NetWitness se ha colado en el panel de control de una de las centenas de botnets controladas por la misma familia de malware: Zeus. La empresa ha curioseado entre los datos allí robados, y ha contado 75.000 máquinas de 2.500 empresas de 196 países y 75 gigabytes de contraseñas y certificados.

La ha bautizado Kneber porque los dominios que utiliza para descargar componentes y demás comunicación con “la central” estaban registrados con el correo HilaryKneber@yahoo.com. Pero es una red creada con Zeus.

Un software que se vende en el mercado negro para que cualquiera se construya su propia botnet y la personalice como desee. Se tienen constancia de redes botnets Zeus desde octubre de 2007, manejadas tanto por el crimen informático organizado, como por atacantes ocasionales con un perfil mucho más bajo que infectan solo a algunas decenas de sistemas (Windows, habitualmente).

En realidad, lo novedoso de la botnet llamada Kneber (pero creada con Zeus) no son los números que han salido a la luz.

75.000 máquinas zombi no deja de constituir una gran red, pero desde luego no es la mayor conocida. Lo destacable de esta Zeus es que su principal objetivo son las contraseñas de redes sociales (Twitter, Facebook…).

Lo normal en este tipo de malware es el robo de credenciales bancarias. Aunque es habitual que un troyano no descarte ningún tipo de contraseña en la máquina que ha infectado, estar específicamente diseñado para redes sociales no es (todavía hoy) el objetivo primario de la mayoría.

De vez en cuando salen a la luz este tipo de noticias. Los medios generalistas siguen confundiendo una red zombi con una red “dispuesta a atacar” a no se sabe bien qué objetivos. Esto puede ocurrir, pero no es lo que actualmente está pasando ni lo que más debe preocupar a los infectados.

La persona que controle una red zombi, efectivamente, podría ordenar a esos sistemas (puesto que suele tener total control sobre ellos) que visiten todos a la vez una página y agoten sus recursos, de forma que estarían “atacando” a esa web. Pero el uso principal de estas botnets no es ese. El usuario infectado pierde por completo el control de su máquina, de sus contraseñas y, en el peor de los casos, de su dinero si realiza transacciones bancarias.

Los medios también se dejan encandilar por las cifras, cuando en realidad, la botnet llamada Kneber puede ser una simple gota en el mar de las botnets mundiales. Existen más de 700 sistemas de control de redes Zeus conocidos, cada uno con un número indeterminado de sistemas zombis en su poder. La que NetWitness ha encontrado en una de esas 700 redes son una gran cantidad de datos robados y zombis a su cargo, pero no tiene que ser la mayor, y desde luego no es el único kit para crear botnets que se conoce.

Existen decenas de ellos, cada uno funcionando con, a su vez, decenas de máquinas infectadas. En Hispasec nos enfrentamos a botnets casi a diario, compuestas a veces por algunas decenas de máquinas y, en ocasiones, por unos cuantos miles. Como ya decíamos en enero de 2008 ante una situación muy parecida a esta (ver apartado de “Más información”): “La realidad de lo que vemos día a día, al igual que cualquiera que se dedique profesionalmente al tema, es bastante más cruda e importante que lo puramente anecdótico de un troyano concreto [...] sólo se suele publicar una minúscula parte de la punta del iceberg, por lo que entre profesionales este tipo de datos ha hecho callo, nos hemos acostumbrado. Y eso, es mala señal.”

Es importante que este tipo de información salga a la luz de vez en cuando, no cabe duda. Es positivo que el usuario perciba cada cierto tiempo el peligro de un uso irresponsable de su equipo. Pero el trato que se le da a este tipo de noticias, exagerado, inexacto e incluso “desenfocado”, solo genera curiosidad temporal y confusión en el ciudadano medio, que acaba frustrado. Desgraciadamente, como muchas de las noticias que “pasan a portada”, será rápidamente olvidada, pero los atacantes sin embargo seguirán ahí, construyendo botnets cada vez mayores

Fuente: Hispasec

Publicado en InfoSpyware | Etiquetado , , | Deja un comentario

Pantalla azul de la muerte en Windows después de aplicar parche para vulnerabilidad

Publicado el 15/02/2010 por jbex

Microsoft, ha confirmado que los informes de algunos usuarios de que están experimentando la pantalla azul de la muerte en Windows después de aplicar el parche de los errores que se aplican en el boletín de seguridad MS10-015 calificado como importante para las vulnerabilidades en el kernel de Windows (977165). Así mismo la compañía de Redmond reveló que los clientes afectados por el BSOD tras la instalación de los boletines de seguridad dejaron inservible su sistema, ya que los ordenadores no eran capaces de arrancar ni en modo seguro.

El problema parece afectar principalmente a Windows XP, aunque también algunos usuarios que están ejecutando en sus ordenadores Windows Vista y Windows 7 también tuvieron un comportamiento similar. Sigue leyendo

Publicado en InfoSpyware | Etiquetado , , , , | 1 comentario

Mozilla distribuye (otra vez) plugins para Firefox infectados con malware desde el sitio oficial

Publicado el 08/02/2010 por admin

En mayo de 2008 la Fundación Mozilla distribuyó por error el plugin del idioma vietnamita para Firefox 2 infectado con adware. Aunque prometió literalmente “analizar más a menudo sus archivos para evitar que esto vuelva a ocurrir” se acaba de descubrir que dos plugins infectados con malware para Windows han estado disponibles desde su página oficial.

La fundación Mozilla ha informado que dos complementos “experimentales” para el navegador Firefox contenían troyanos para Windows.

En concreto, la versión 4.0 de Sothink Web Video Downloader y todas las versiones de Master Filer. Estaban infectados con LdPinch.gen y Bifrose respectivamente. Bifrose se trata de una peligrosa puerta trasera para Windows que suele comunicarse con UDP con su C&C (central de una botnet). LdPinch se trata de un troyano bancario con bastante solera (aparecido en 2003).

Los troyanos infectan el sistema al arrancar el navegador tras la instalación de los complementos para Firefox. Si el usuario no ha tomado ninguna precaución (utilizar una cuenta sin privilegios de administrador, o usar un antivirus actualizado, aunque esto último no garantiza nada) lo más probable que el sistema quede infectado.

La propia Mozilla informa de que los antivirus Antiy-AVL, Avast, AVG, Gdata, Ikarus, K7AntiVirus, McAfee, Norman y VBA32 detectan este tipo de malware de forma directa, aunque esto no significa que otras marcas sean capaces de reconocer el malware por comportamiento, o gracias a su heurística, por lo que realmente no podemos conocer qué otros antivirus han podido bloquear la infección. Evidentemente, los complementos son solo el vehículo de infección, y desinstalarlos no implica la eliminación del troyano del sistema.

Para prevenir que esto vuelva a pasar, Mozilla dice que ha añadido dos herramientas adicionales de detección de malware, y que volvieron a analizar todos los complementos (de hecho, así detectaron que Sothink Web Video Downloader también estaba infectado).

Es la segunda vez que Mozilla tropieza con la misma piedra, añadiendo complementos infectados en su página oficial. La primera vez que se hizo público fue en mayo de 2008. Como dijo Window Snyder (responsable de seguridad de Mozilla) en aquella ocasión “estas cosas pasan”.

Master Filer ha sido descargado unas 600 veces desde septiembre de 2009 y enero de 2010. Sothink Web Video Downloader se ha descargado unas 4.000 veces desde febrero a mayo de 2008.

Master Filer fue eliminado del repositorio oficial el 25 de enero de 2010 y la versión afectada de Sothink Web Video Downloader el 2 de febrero de este año. Resulta “curioso” que se hayan percatado de este problema muchos meses después de la infección, y cuántos meses han tardado en retirar los componentes.

Hay que tener en cuenta que cuando ya sucedió en 2008, prometieron análisis diarios de los complementos. Los sistemas antivirus o cualquier otra medida tomada por Mozilla contra el malware, han resultado claramente insuficientes o ineficaces. En general, cualquier antivirus resulta insuficiente o ineficaz por sí solo, si no es acompañado de otras medidas de seguridad.

Las conclusiones vienen a ser las mismas que escribíamos hace año y medio. Confiar exclusivamente en la detección en un momento concreto, y no analizar los archivos con (mucha) mayor asiduidad, ha supuesto el mayor error por parte de la Fundación Mozilla.

Hoy en día las firmas pueden tardar meses, como ha sido el caso, en ser añadidas y poder detectar (de forma estática) un archivo infectado. No sabemos qué métodos usa Mozilla para analizar sus archivos, pero el añadir dos nuevos métodos antivirus puede mitigar el problema aunque no tiene por qué solucionarlo.

Otra lección importante es que no hay que relajarse por pensar que solo los archivos ejecutables o binarios son susceptibles de estar infectados o de ser específicamente malware.

Vía: Hispasec

Publicado en InfoSpyware | Etiquetado , , , , | Deja un comentario

Apple publica actualización de seguridad para iPhone e iPod Touch

Publicado el 04/02/2010 por admin

Aplica acaba de publicar una actualización (a la versión 3.1.3) de los populares iPhone e iPod Touch destinada a corregir cinco vulnerabilidades que podrían llegar a permitir la ejecución de código arbitrario en los dispositivos afectados.

El primero de los problemas corregidos está relacionado con el tratamiento de archivos mp4 específicamente creados, que podría dar lugar a un desbordamiento de búfer con posibilidad de ejecución de código arbitrario al reproducir un archivo de este formato.

Otro desbordamiento de búfer con posibilidad de ejecución de código arbitrario se produce al visualizar imágenes tiff maliciosamente creadas. Un tercer problema en el tratamiento de mensajes de control de USB, podría permitir acceder al contenido de los datos del usuario en dispositivos bloqueados.

También se ha corregido un problema al acceder a servidores ftp específicamente manipulados, que podría dar lugar a divulgación de información, al cierre de la aplicación o a la ejecución de código arbitrario. El último de los problemas corregidos podría permitir la carga de audio y video en el correo cuando la carga de imágenes remotas se encuentre deshabilitada.

Esta actualización también corrige otros problemas menores como un error en el indicador de carga de la batería en los modelos 3GS, problemas con la apertura de determinadas aplicaciones de terceros y un problema que produce cuelgues inesperados cuando se utiliza el teclado Kana japonés.

Se recomienda actualizar a través de iTunes, ya que es el único lugar donde se encuentra disponible ésta actualización.

http://support.apple.com/kb/HT4013?viewlocale=es_ES&locale=es_ES

Vía: Hispasec

Publicado en InfoSpyware | Etiquetado , , , | Deja un comentario