lunes, 4 de agosto de 2014

Los SCADA siguen en la mira, ahora con HAVEX.

Los investigadores de seguridad han descubierto una nueva versión del malware Stuxnet, llamado como "Havex", que fue utilizado en una serie de ataques cibernéticos contra las organizaciones anteriores en el sector energético.
Como verán en la mayoría de los casos, el sector afectado es el sector energético. El famoso gusano Stuxnet, fue diseñado para sabotear las centrales nucleares iraní, ahora, la nueva versión está programado para afectar los softwares de los sistemas de conteol industrial de sistemas SCADA y de los ICS, con capacidades de desactivar dispositivos en represas hidroeléctricas, como también centrales nucleares e incluso desactivar redes eléctricas que utilicen estos tipos de dispositivos.
El denominado Backdoor: W32/Havex.A y sus variantes de nombres según el fabricante de antivirus, es un troyano de acceso remoto genérico y se ha detectado recientemente en una seria de empresas en Europa que desarrollan aplicaciones y software para SCADA e ICS.

Havex está equipado con un nuevo componente, cuyo propósito es recoger información de la red y los dispositivos conectados al aprovechar el estándar OPC (Open Platform de Comunicaciones). OPC es un estándar de comunicación que permite la interacción entre las aplicaciones SCADA basados ​​en Windows y el hardware de control de procesos. El malware escanea la red local para los dispositivos que responden a las peticiones de OPC para recopilar información acerca de los dispositivos de control industrial y luego envía esa información a su servidor de comando y control (C&C).
La inteligencia puesta en el desarrollo, ha preparado al Havex en una función de recoger información y enviarla a un servidor para que los desarrolladores de este gusano, puedan potenciar al Havex con funciones más precisas y lograr eficientizar el ataque.

Uno de los problemas que poseen las empresas que poseen estos tipos de dispositivos, es que aún usan SCADA con versiones de Windows muy ajustadas o bien que no soportan actualizaciones que pudieran mitigar algunas de estas cuestiones de seguridad. Lo que recomendamos, es que la linea de producción o aquella red que tenga SCADA tengan las siguientes protecciones:

1) La red LAN donde están los SCADA no tenga acceso a Internet,
2) Los equipos no sean accesibles desde la red LAN a  la de los usuarios que trabajan en la compañía.
3) Si deben transferir archivos, lo hagan a otra VLAN o en una red segmentada y utilicen servicios como el FTP o similar.
4)  No permitir el uso de pendrive en aquellos dispositivos SCADA que lo soporten. La transferencia de archivos a los mismos deben ser por un canal seguro.

Nos vemos en la próxima.




miércoles, 30 de abril de 2014

Actualizaciones plataforma Microsoft - ABRIL 2014

En el mes de abril se publicaron los siguientes boletines:

1) MS14-017: Vulnerabilidades en Microsoft Word y Office Web Apps podrían permitir la ejecución remota de código (2949660). Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y dos vulnerabilidades de las que se ha informado de forma privada en Microsoft Office. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si se abre un archivo especialmente diseñado, o se obtiene una vista previa de él, en una versión afectada del software de Microsoft Office. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:CRITICA.

2) MS14-018: Actualización de seguridad acumulativa para Internet Explorer (2950467). Esta actualización de seguridad resuelve seis vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. Estas vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:CRITICA.

3) MS14-019: Una vulnerabilidad en el componente de tratamiento de archivos de Windows podría permitir la ejecución remota de código (2922229). Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario ejecuta archivos .bat o .cmd especialmente diseñados desde una ubicación de red de confianza o de confianza parcial. El atacante no podría obligar a los usuarios a visitar la ubicación de red o ejecutar archivos especialmente diseñados. En su lugar, tendría que convencerlos para que realizaran una acción de ese tipo. Por ejemplo, un atacante podría engañar a los usuarios para que hagan clic en un vínculo que los lleve a la ubicación de los archivos especialmente diseñados del atacante y, después, convencerlos para que los ejecuten.
CLASIFICACION:IMPORTANTE

4) MS14-020: Una vulnerabilidad en Microsoft Publisher podría permitir la ejecución remota de código (2950145).  Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Office. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo especialmente diseñado en una versión afectada de Microsoft Publisher. Un atacante que aprovechara la vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos.
CLASIFICACION:IMPORTANTE

Hasta la próxima.

martes, 1 de abril de 2014

1HackParaLosChicos


El evento del día viernes (28/03) mas la entrevista de Canal 10 permitió difundir conceptos para que todos entendamos que hay que proteger a los niños, que hoy están habidos de usar la tecnología pero desconocen las amenazas.
La charla en la que participamos, se basó en el contenido que publicamos en nuestro blog, que se denomina "El eslabón más débil a nivel de usuario de Internet: Los niños".

Aquí les dejo algunas fotos de la sesión del viernes...
CHARLY, un maestro el organizador! Cuando gustes hacemos otra!


A sala llena en el IES


Hasta la próxima...

¡Enhorabuena MVP de Microsoft 2014!

Estimado/a Enrique Dutra,
Enhorabuena. Nos complace presentarle el programa de nombramiento MVP de Microsoft® de 2014. Este nombramiento se concede a los líderes excepcionales de la comunidad técnica que comparten de forma activa su experiencia de alta calidad y de la vida real con otras personas. Le agradecemos especialmente la contribución que ha realizado en las comunidades técnicas en el área de Enterprise Security a lo largo del pasado año.


Este correo acaba de notificarme que mantengo el MVP por un año más. Gracias Microsoft!! y a todos aquellos que han colaborado para lograrlo.
Hasta la próxima.


Niños, los más expuestos a la inseguridad informática

Nota publicada por Canal 10, junto con artículo en su blog





Especialistas señalan la necesidad de controlar los intercambios de información que realizan los menores a través de las redes.

En la era de la multiconexión, cada vez más usuarios optan por acceder a Internet a través de sus dispositivos móviles.
Especialmente jóvenes, emplean sus smartphones para intercambiar datos, navegar, chatear o acceder a las redes sociales.
El cambio de plataforma, desde ordenadores a aparatos cada vez más pequeños, plantea una serie de interrogantes sobre las condiciones en que se puede regular o normar dicho intercambio.
El resto en el blog del Canal 10, entre aquí.
 
Hasta la próxima.

jueves, 20 de marzo de 2014

Actualizaciones plataforma Microsoft - MARZO 2014

El mes de marzo viene agitado con las actualizaciones, ya que diferentes plataformas han publicado este mes, actualizaciones o fix para resolver problemas de seguridad.
En cuanto a Microsoft, este mes tenemos las siguientes actualizaciones:

1) MS14-012: Actualización de seguridad acumulativa para Internet Explorer (2925418)Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y diecisiete vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. Estas vulnerabilidades podrían permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. Un intruso que aprovechara estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

2) MS14-013: Una vulnerabilidad en Microsoft DirectShow podría permitir la ejecución remota de código (2929961) Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario abre un archivo de imagen especialmente diseñado. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

3) MS14-015: Vulnerabilidades en el controlador modo kernel de Windows podrían permitir la elevación de privilegios (2930275)Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La más grave de estas vulnerabilidades podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Para aprovechar esta vulnerabilidad, un atacante debe de tener unas credenciales de inicio de sesión válidas y ser capaz de aprovechar estas vulnerabilidades.CLASIFICACION:IMPORTANTE

4) MS14-016: Una vulnerabilidad en el protocolo de Administrador de cuentas de seguridad remoto (SAMR) podría permitir la omisión de característica de seguridad (2934418)Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la omisión de la característica de seguridad si un atacante realiza varios intentos de hacer coincidir contraseñas con un nombre de usuario.CLASIFICACION:IMPORTANTE

5) MS14-014: Una vulnerabilidad en Silverlight podría permitir la omisión de característica de seguridad (2932677)Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Silverlight. La vulnerabilidad podría permitir la omisión de característica de seguridad si un atacante hospeda un sitio web que incluya contenido de Silverlight especialmente diseñado para aprovechar la vulnerabilidad y convence a un usuario de que visite el sitio web. No obstante, el atacante no podría en ningún caso obligar a los usuarios a visitar un sitio web. Por lo tanto, tendría que atraerlos a un sitio web; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de un mensaje de Instant Messenger que los lleve al sitio web del atacante. También sería posible que se mostrara contenido web diseñado especialmente mediante titulares de anuncios u otros métodos para hacer llegar contenido web a los sistemas afectados.CLASIFICACION:IMPORTANTE

Por otro lado les recordamos que el mes que viene se vence el soporte para la plataforma de S.O. Microsoft XP SP3, por lo cual, se va a reducir el nro de actualizaciones en cuanto a plataformas alcanzadas en los boletines. No olviden de migrar u actualizar su S.O para evitar problemas de seguridad.
Hasta la próxima

Fuente: Microsoft.

martes, 25 de febrero de 2014

1HackParaLosChicos - TEMARIO


1HackParaLosChicos
Buenas, se aproxima el próxima 1HackParaLosChicos, aquí les paso la agenda:

Agenda

La Edición N° 3 se llevará a cabo el 28 de Marzo de 2014, en el Auditorio del Colegio Universitario IES en la calle Buenos Aires 563, Ciudad de Córdoba, Argentina; desde las 9.30 hasta las 17 horas. Trabajaremos junto a la Fundación Manos Abiertas.

Los esperamos!!!

jueves, 20 de febrero de 2014

Una vulnerabilidad en Internet Explorer podría permitir la ejecución remota de código

En el mes, se publicó una vulnerabilidad del día 0,  en donde el Internet Explorer obtiene acceso a un objeto en la memoria que se ha eliminado o no se ha asignado correctamente. La vulnerabilidad permitía  el acceso a la memoria de tal manera que podría permitir a un atacante ejecutar código arbitrario en el contexto del usuario actual dentro de Internet Explorer. Un atacante podría alojar un sitio web especialmente diseñado que está diseñado para aprovecharse de esta vulnerabilidad a través de Internet Explorer y convencer a un usuario para que visite el sitio web.

Según el boletín 2934088 publicado el día de ayer, Microsoft provee las siguientes opciones para mitigar el problema:

1) Aplicar el Microsoft Fix  que soluciona el problema de MSHTML Shim Workaround. Esto lo pueden bajar desde aquí. Esto permite que el usuario lo resuelva sin tener conocimientos avanzados de Windows.
2) Instalar y setear el Enhanced Mitigation Experience Toolkit (EMET). Para bajarlo visite este sitio web.

En base a lo que recomendamos durante la semana, es aplicar el EMET. Para eso siga los siguientes pasos

a) Vaya a Inicio, Todos los programas, Enhanced Mitigation Experience Toolkit, y seleccione EMET 3.0.
b) Cuando el UAC aparezca, presione SI para continuar.
c) Vaya a configurar Configure Apps (aplicaciones),


d) Luego selección Add (agregar) agregue el path de la ubicación del IE.



e) Los path para IE son:

- En S.O Windows de 64bits

  C:\Program Files (x86)\Internet Explorer\iexplore.exe
  C:\Program Files\Internet Explorer\iexplore.exe


- En S.O Windpws de 32 bits

    C:\Program Files\Internet Explorer\iexplore.exe

f) Luego salga del EMET presionando OK.

Esto puede ser aplicado PC de manera individual o bien en una red con el servicio de Active Directory, utilizando GPOs.

Para más información, diríjase al boletín de seguridad, ingresando AQUI.

Hasta la próxima
Saludos




miércoles, 12 de febrero de 2014

Actualizaciones plataforma Microsoft - FEBRERO 2014

El boletín de este mes tenemos:

1) MS14-010: Actualización de seguridad acumulativa para Internet Explorer (2909921)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública y veintitrés vulnerabilidades de las que se ha informado de forma privada en Internet Explorer. La más grave de las vulnerabilidades podría permitir la ejecución remota de código si un usuario, mediante Internet Explorer, visita una página web especialmente diseñada. Un atacante que aprovechara la más grave de estas vulnerabilidades podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que los que cuenten con derechos de usuario administrativos. CLASIFICACION:CRITICA.

2) MS14-011: Una vulnerabilidad en el motor de scripting de VBScript podría permitir la ejecución remota de código (2928390)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma privada en el motor de scripting de VBScript en Microsoft Windows. Esta vulnerabilidad podría permitir la ejecución remota de código si un usuario visita un sitio web especialmente diseñado. El atacante no podría obligar a los usuarios a visitar el sitio web. Por lo tanto, tendría que atraerlos para realizaran una acción; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que lleve a los usuarios al sitio web del atacante. CLASIFICACION:CRITICA.

3) MS14-007: Una vulnerabilidad en Direct2D podría permitir la ejecución remota de código (2912390)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada mediante Internet Explorer. El atacante no podría obligar a los usuarios para que vieran el contenido especialmente diseñado. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web de un atacante o a que abran datos adjuntos enviados por correo electrónico. CLASIFICACION:CRITICA.

4) MS14-008: Una vulnerabilidad en Microsoft Forefront Protection para Exchange podría permitir la ejecución remota de código (2927022)
Esta actualización de seguridad crítica resuelve una vulnerabilidad de la que se ha informado de forma privada en Microsoft Forefront. La vulnerabilidad podría permitir la ejecución remota de código si se analiza un mensaje de correo electrónico especialmente diseñado. CLASIFICACION:CRITICA.

5) MS14-009: Vulnerabilidades en .NET Framework podrían permitir la elevación de privilegios (2916607)
Esta actualización de seguridad resuelve dos vulnerabilidades de las que se ha informado de forma pública y una vulnerabilidad de la que se ha informado de forma privada en .NET Framework. La vulnerabilidad más grave podría permitir la elevación de privilegios si un usuario visita un sitio web especialmente diseñado o un sitio web que incluye contenido web especialmente diseñado. Sin embargo, el atacante no podría en ningún caso obligar a los usuarios a visitar estos sitios web. Por lo tanto, tendría que atraerlos al sitio web en peligro; por lo general, convenciéndoles para que hagan clic en un vínculo de un mensaje de correo electrónico o de un mensaje de Instant Messenger que los lleve al sitio web del atacante. CLASIFICACION:IMPORTANTE

6) MS14-005: Una vulnerabilidad en Microsoft XML Core Services podría permitir la divulgación de información (2916036)
Esta actualización de seguridad resuelve una vulnerabilidad de la que se ha informado de forma pública en Microsoft XML Core Services, incluido en Microsoft Windows. La vulnerabilidad podría permitir la divulgación de información si un usuario visita una página web especialmente diseñada mediante Internet Explorer. El atacante no podría obligar a los usuarios para que vieran el contenido especialmente diseñado. En su lugar, tendría que convencerlos para que realizaran alguna acción, normalmente incitándoles a que hagan clic en un vínculo de un mensaje de correo electrónico o de Instant Messenger que los lleve al sitio web de un atacante o a que abran datos adjuntos enviados por correo electrónico. CLASIFICACION:IMPORTANTE

7) MS14-006: Una vulnerabilidad en IPv6 podría permitir la denegación de servicio (2904659)
Esta actualización de seguridad resuelve una vulnerabilidad que se ha divulgado públicamente en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio si un atacante envía una gran cantidad de paquetes IPv6 especialmente diseñados a un sistema afectado. Para aprovechar la vulnerabilidad, el sistema de un atacante debe pertenecer a la misma subred que el sistema de destino. CLASIFICACION:IMPORTANTE

Por otro lado, se recomiendan que lean el artículo técnico de actualizaciones para el 2014: "Descripción de los cambios de contenido para 2014 de los Servicios de actualización de software y Windows Server Update Services".

Hasta la próxima

Fuente Microsoft.

jueves, 6 de febrero de 2014

Lo que se viene en actualizaciones Ms en Febrero

El Martes, 11 de febrero 2014, Microsoft está planeando lanzar cinco (5) los boletines. Dos de los boletines son identificados como críticos con los otros tres como Importante.

 
Las actualizaciones críticas abordan vulnerabilidades en Microsoft Windows y software de seguridad, mientras que las actualizaciones importantes abordan temas de Windows y el. NET Framework. Con. NET Framework incluye las actualizaciones, para aquellas personas que han tenido problemas con el. NET en el pasado, se sugiere que la actualización NET. implementarla separadamente de los demás actualizaciones con un apagado y reinicio.

Para los usuarios de Windows XP se les recuerda que el soporte termina el 08 de abril 2014.

Hasta la próxima.