miércoles, 11 de febrero de 2015

Actualizaciones plataforma Microsoft - FEBRERO 2015

Este mes tenemos nuevos boletines de seguridad. Se recomienda prestar atención aquellos en que los intrusos, aprovechando alguna configuración por defecto, pueda aprovechar la vulnerabilidad y afectar la plataforma.
Los siguientes boletines de seguridad son los que corresponden  a este mes:

1) MS15-009Security Update for Internet Explorer (3034682). Esta actualización de seguridad resuelve una vulnerabilidad pública y privada del Internet Explorer. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada para ser usada por Internet Explorer. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos. CLASIFICACION: CRITICA

2) MS15-010 : Vulnerabilities in Windows Kernel-Mode Driver Could Allow Remote Code Execution (3036220). Esta actualización de seguridad resuelve una forma cinco vulnerabilidades en Microsoft Windows. La más grave de las vulnerabilidades podría permitir la ejecución remota de un código si un atacante convence a un usuario para que abra un documento especialmente diseñado o visita un sitio web de confianza para el que contiene fuentes TrueType incrustadas. CLASIFICACION: CRITICA

3) MS15-011Vulnerability in Group Policy Could Allow Remote Code Execution (3000483). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario con un sistema de dominio, configurado para conectarse a una red controlado por el atacante. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. CLASIFICACION: CRITICA

4) MS15-012Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3032328). Esta actualización de seguridad resuelve tres vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. Un atacante que aprovechara la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos. CLASIFICACION:IMPORTANTE

5) MS15-013Vulnerability in Microsoft Office Could Allow Security Feature Bypass (3033857). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Office. La vulnerabilidad podría permitir la función de seguridad de puente si un usuario abre un archivo de Microsoft Office especialmente diseñado. El by-pass de seguridad por sí mismo no permite la ejecución de código arbitrario. Sin embargo, un atacante podría utilizar esta característica de seguridad de vulnerabilidad de bypass en conjunto con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código, para ejecutar código arbitrario. CLASIFICACION:IMPORTANTE

6) MS15-014Vulnerability in Group Policy Could Allow Security Feature Bypass (3004361). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la función de seguridad de puente si un atacante, por medio de un ataque man-in-the-middle, hace que el archivo de políticas del motor de configuración de seguridad de directiva de grupo en un sistema objetivo se alteren o de otra manera esté ilegible. Esto resulta en la configuración de directiva de grupo en el sistema para revertir a sus valores predeterminados, y potencialmente menos seguro. CLASIFICACION:IMPORTANTE

7) MS15-015Vulnerability in Microsoft Windows Could Allow Elevation of Privilege (3031432). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir a un atacante aprovechar la falta de controles de seguridad de nivel de suplantación para elevar privilegios durante la creación del proceso. Un atacante autenticado que aprovechara esta vulnerabilidad podría adquirir credenciales de administrador y los utilizan para elevar los privilegios. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos administrativos. CLASIFICACION:IMPORTANTE

8) MS15-016:Vulnerability in Microsoft Graphics Component Could Allow Information Disclosure (3029944). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la divulgación de información si un usuario visita un sitio web que contiene una imagen TIFF especialmente diseñado. Esta vulnerabilidad no permitiría a un atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría ser usado para obtener información que pudiera usarse para tratar de sacar más provecho del sistema afectado. CLASIFICACION:IMPORTANTE

9) MS15-017Vulnerability in Virtual Machine Manager Could Allow Elevation of Privilege (3035898). Esta actualización de seguridad resuelve una vulnerabilidad en Virtual Machine Manager (VMM). La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado. Un atacante debe tener credenciales de inicio de sesión de Active Directory válidas y ser capaz de iniciar una sesión con esas credenciales para explotar la vulnerabilidad. CLASIFICACION:IMPORTANTE


Hasta la próxima.
fuente : Microsoft


lunes, 2 de febrero de 2015

CTB-Locker Versión I y II

Introducción
Hay ciertos software maliciosos que al infectar nuestro equipo le da al intruso la capacidad de bloquear la PC u ordenador desde una ubicación remota y cifrar nuestros archivos privándonos del control de toda la información y datos almacenados. Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate.
Este tipo de malware se denomina RANSONWARE. Normalmente se transmiten tanto como un troyano que como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o una vulnerabilidad de software. Esto ha ido creciendo de manera exponencial desde el 2013, infectando a plataformas como Android, Microsoft, Symbian y ahora S.O de Apple.


CTB-Locker
CTB-Locker es un ransomware que en la ejecución cifra ciertos tipos de archivos presentes en el sistema del usuario. CTB-Locker pertenece a una familia de malware que cifra los archivos del usuario disponibles en el sistema y exige al usuario a pagar una cantidad de rescate para recuperar los archivos. CTB es un acrónimo de Curve Tor Bitcoin. Curve se refiere al hecho de que el malware utiliza cifrado de curva elíptica, que según el autor es el equivalente de RSA-cifrado con una clave de 3072 bits.


Infección y vector de propagación
CTB-Locker, aparece la primera vez en julio del 2014 y la segunda versión en enero del 2015.
El malware se propaga a través de correos electrónicos no deseados (SPAM), viene con un archivo adjunto en forma de un archivo .zip.  o bien dentro de otro archivo .zip, que contiene el programa de descarga de CTB-Locker.
Los correos electrónicos no deseados pueden ser similares a las siguientes capturas



Los mensajes de spam se dirigen en su mayoría a bancos e instituciones financieras, a pesar de que las infecciones pueden ocurrir en cualquier parte debido a los métodos utilizados en la propagación.
Hasta el momento, los nombres de los archivos adjuntos han sido:

·        malformed.zip
·        plenitude.zip
·        inquires.zip
·        simoniac.zip
·        faltboat.zip
·        incurably.zip
·        payloads.zip

·        dessiatine.zip



Los temas (contenido del asunto) utilizados en la campaña de spam pueden ser nombrados como uno de los siguientes:

·        [Fax server] +07909 546940
·        copy from +07540040842
·        Message H4H2LC68B7167E4F4
·        New incoming fax message, S8F8E423F9285C5
·        Incoming fax from +07843-982843
·        [Fax server]:+07725-855368
·        Fax ZC9257943991110
·        New fax message from +07862-678057


Hemos tenidos algunos casos en donde en vez de venir un archivo ZIP adjunto, viene un archivo con extensión SCR, que al ser convocado, intenta descargar el malware desde algunas direcciones IP. Si bien se puede bloquear esas direcciones IP, las mismas pueden mutar o aparecer nuevas, por o cual, no es un método eficiente de evitar la infección.

Mitigación y prevención
Para evitar ser víctima del malware, protéjase de la siguiente manera:

1) Antivirus: contar con una solución de antivirus instalado en su ordenador y que el mismo se encuentre actualizado.
2) Actualizaciones: mantenga actualizado de fixes y parches su S.O, sin importar cual sea la plataforma.
3) Boletines: verifique que recomendaciones emite el fabricante para protegerse de este malware.
4) Descargas: no descargue archivos de sitios que no son de confianza, evite sobre manera de bajar software o música de sitios no legales.
5) Correo: no abra archivos adjuntos recibidos por personas desconocidas y se alguna persona de confianza le ha enviado algún archivo con extensión ZIP o SCR y asunto en inglés, valide con el emisor si efectivamente el le ha enviado el correo.
6) Backups: realice backups de su información.
7) Telefonos y Tablets: tenga los mismos recaudos que en la PC, ya que también son víctimas del malware.
8) Microsoft: en el 2001, Microsoft emitió una KB (KB 310791) que permite hacer ajustes de seguridad sobre el S.O. Este es muy útil, para evitar una infección. Acceder a la KB desde aquí. A su vez, puede instalar y configurar el EMET 5.1, que bloqueará cualquier intento de modificación sobre los svhost.exe. Para bajar el EMET, visite este sitio.
9) Servidores Terminal Server: restrinja y ajustes las políticas de seguridad, para que un usuario no afecte al servidor o sistemas de archivos del mismo.

Síntomas
En ejecución, CTB-Locker generalmente se copia en la carpeta %temp% con un nombre aleatorio (7 caracteres), tales como:

C: \ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ fzjujkn.exe

CTB-Locker inyecta el código malicioso en svchost.exe y el código inyectado a su vez ejecuta el archivo bajado en la ubicación %temp%. El malware crea una tarea programada (<7 caracteres aleatorios> .job) para ejecutarlo al iniciar el sistema, por ejemplo: 

C:\WINDOWS\Tasks\cderkbm.job

También crea un mutex llamado al azar para asegurar que sólo se está ejecutando una instancia de malware a la vez. Esto inyecta código en svchost.exe, luego cifrar los archivos con las siguientes extensiones:
ü  Pdf
ü  .xls
ü  .ppt
ü  .txt
ü  .py
ü  .wb2
ü  .jpg
ü  .odb
ü  .dbf
ü  .md
ü  .js
ü  .pl, etc.

Después de que los archivos han sido cifrados con éxito por el malware, una ventana emergente aparecerá en la pantalla, con el tiempo de cuenta regresiva de 96 horas para obtener los archivos descifrados y algunos otros detalles, como se muestra a continuación:


Al hacer clic en el botón VIEW (ver), el usuario infectado puede ver la lista de archivos que han sido cifrados y otros detalles acerca de cómo hacer un pago y obtener los archivos descifrados de nuevo.
 
Recomendamos estar atentos y difundir esta información entre los usuarios de ordenadores, con el fin de evitar que sigan apareciendo víctimas que pierden sus archivos. Por último, no pague, por que nadie le asegure que se le enviará la solución del cifrado de archivos.

Hasta la próxima.
Fuentes: Mcafee y Microsoft.


miércoles, 14 de enero de 2015

Actualizaciones plataforma Microsoft - ENERO 2015

Este año comenzamos con actualizaciones, pero los boletines de este mes no son tan críticos, pero tampoco hay que dormirse en los laureles y no actualizar la plataforma.
Para este mes tenemos:
- 4 actualizaciones que resuelven problemas de elevación de privilegio,
- 2 actualizaciones que resuelven las vulnerabilidades función de bypass 2 de seguridad,
- 1 actualización que mitiga un problema de  denegación de servicio
- 1 actualización que resuelve el problema de una vulnerabilidad de ejecución de código arbitrario.

Los boletines son:

1) MS15-001 : Vulnerability in Windows Application Compatibility Cache Could Allow Elevation of Privilege (3023266) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema y ejecuta una aplicación especialmente diseñada. Un atacante autenticado que aprovechara esta vulnerabilidad podría eludir las comprobaciones de permisos existentes que se realizan durante la modificación de caché en el componente Microsoft Windows compatibilidad de aplicaciones y ejecutar código arbitrario con privilegios elevados.CLASIFICACION:IMPORTANTE

2) MS15-002 : Vulnerability in Windows Telnet Service Could Allow Remote Code Execution (3020393) Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante envía paquetes especialmente diseñados a un servidor de Windows afectado. Sólo los clientes que permiten a este servicio son vulnerables. De manera predeterminada, Telnet está instalado pero no activado en Windows Server 2003. Telnet no se instala por defecto en Windows Vista y sistemas operativos posteriores. CLASIFICACION:CRITICA

3) MS15-003 : Vulnerability in Windows User Profile Service Could Allow Elevation of Privilege (3021674) : Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en el sistema y ejecuta una aplicación especialmente diseñada. Un atacante local que aprovechara esta vulnerabilidad podría ejecutar código arbitrario en un sistema de destino con privilegios elevados. Un atacante debe tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local para explotar la vulnerabilidad.CLASIFICACION:IMPORTANTE

4) MS15-004 : Vulnerability in Windows Components Could Allow Elevation of Privilege (3025421) : Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante convence a un usuario para ejecutar una aplicación especialmente diseñada. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Si el usuario actual inicia sesión con derechos de usuario administrativos, un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. Los clientes cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos. CLASIFICACION:IMPORTANTE

5) MS15-005 :Vulnerability in Network Location Awareness Service Could Allow Security Feature Bypass (3022777)  : Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la función de seguridad de puente por involuntariamente relajar la política y / o configuración de determinados servicios de firewall cuando un atacante en la misma red que la víctima parodias respuestas a DNS y tráfico LDAP iniciado por la víctima. CLASIFICACION:IMPORTANTE
 
6) MS15-006 : Vulnerability in Windows Error Reporting Could Allow Security Feature Bypass (3004365)  Esta actualización de seguridad resuelve una vulnerabilidad en Windows Error Reporting (WER). La vulnerabilidad podría permitir la función de seguridad de puente si se explota con éxito por un atacante. Un atacante que aprovechara esta vulnerabilidad podría conseguir el acceso a la memoria de un proceso en ejecución. Los usuarios cuyas cuentas estén configuradas con menos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos. CLASIFICACION:IMPORTANTE
 
7) MS15-007 : Vulnerability in Network Policy Server RADIUS Implementation Could Cause Denial of Service (3014029)   Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la denegación de servicio en un servicio de autenticación de Internet (IAS) o de red del servidor de políticas (NPS) si un atacante envía especialmente diseñados cadenas de nombre de usuario a las NIC o NPS. Tenga en cuenta que la vulnerabilidad de denegación de servicio no permitiría a un atacante ejecutar código o elevar sus derechos de usuario; sin embargo, podría prevenir la autenticación de RADIUS en los IAS o NPS. CLASIFICACION:IMPORTANTE
 
8) MS15-008 : Vulnerability in Windows Kernel-Mode Driver Could Allow Elevation of Privilege (3019215) : Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la elevación de privilegios si un atacante ejecuta una aplicación especialmente diseñada en un sistema afectado. Un atacante debe tener credenciales de inicio de sesión válidas y ser capaz de iniciar una sesión local para explotar la vulnerabilidad. CLASIFICACION:IMPORTANTE
 
Por otro lado, Microsoft ha actualizado el servicio de notificación y crea MyBulletins. El mismo ofrece boletines mensuales, mostrando los mismos, pero en vez de mostrar todos los boletines, el usuario puede definir preferencias sobre que boletines (sobre que productos o plataformas) está interesado recibir notificaciones.  A su vez, ha creado un índice de explotabilidad, definiendo 4 estados

 
Exploitability Index AssessmentShort Definition
0Exploitation Detected - High Priority
1Exploitation More Likely
2Exploitation Less Likely
3Exploitation Unlikely - Low Priority
 
 
Con este cambio, Microsoft proporcionará información directamente a los clientes que participen de los programas de seguridad.

Para ingresar a MyBulletins, debe hacerlo desde ACA. Requiere que se loguee con alguna cuenta de Hotmail, Outlook o similar.-
 
Para acceder al boletín de Microsoft de este mes, ingrese aquí.
 
Es importante que antes de desplegar las actualizaciones sobre escenarios de producción, revise el boletín original de Microsoft y verifique el software afectado.
 
Para finalizar, les recomendamos que visiten el sitio de herramientas de seguridad de Microsoft, donde encontrará información de seguridad de las plataformas, soluciones gratuitas para mantener la plataforma segura y boletines de seguridad.
 
Hasta la próxima. 
 
 
 
 
 
                   

miércoles, 24 de diciembre de 2014

FELICES FIESTAS!!!!



lunes, 22 de diciembre de 2014

Actualizaciones plataforma Microsoft - DICIEMBRE 2014

Buenas, se termina el año y les dejamos a continuación, el ultimo boletín del 2014. Tenga en cuenta los procesos de actualización y no deje de mantener la plataforma actualizada.
Los boletines de diciembre son:

Boletín
KB nro
Detalle
Clasif.
MS14-085
3013126
Importante
MS14-084
3016711
Crítica
MS14-083
3017347
Importante
MS14-082
3017349
Importante
MS14-081
3017301
Crítica
MS14-080
3008923
Crítica
MS14-075
3009712
Importante

Si desea participar del Webcast de lo que fue la presentación del presente boletín, por favor visite este sitio https://msevents.microsoft.com/CUI/EventDetail.aspx?culture=en-US&EventID=1032575652&CountryCode=US

Hasta la próxima.
Saludos

Fuente: Microsoft.

miércoles, 12 de noviembre de 2014

Actualizaciones plataforma Microsoft - NOVIEMBRE 2014

En el día de ayer (11/11/2014) se ha publicado el boletín correspondiente al mes de Noviembre/2014. Estos son los boletines publicados:

Microsoft publica los siguientes 14 boletines de seguridad para vulnerabilidades recientemente descubiertas.  

ID del boletín
Título del boletín
Calificación máxima de la gravedad
Impacto de la vulnerabilidad
Software afectado
Las vulnerabilidades en Windows OLE podrían permitir la ejecución remota del código (3011443)
Crítica
Ejecución del código remoto
Todas las ediciones con soporte de Microsoft Windows.
Actualización de seguridad acumulada para Internet Explorer (3003057)
Crítica
Ejecución del código remoto
Internet Explorer 6,  Internet Explorer 7, Internet Explorer 8, Internet Explorer 9, Internet Explorer 10 e Internet Explorer 11 en los clientes y servidores Windows afectados.
MS14-066
La vulnerabilidad en Schannel podría permitir la ejecución de código remoto (2992611)
Crítica
Ejecución del código remoto
Todas las versiones con soporte de Microsoft Windows.
La vulnerabilidad en los Servicios XML Core podrían permitir la ejecución de código remoto (2993958)
Crítica
Ejecución del código remoto
Todas las versiones con soporte de Microsoft Windows.
Las vulnerabilidades en Microsoft Office podrían permitir la ejecución de código remoto (3009710)
Importante
Ejecución del código remoto
Microsoft Word 2007, Microsoft Word Viewer y el Paquete de compatibilidad de Microsoft Office.
La vulnerabilidad en TCP/IP podría permitir la elevación de privilegios (2989935)
Importante
Elevación de privilegio
Microsoft Windows Server 2003.
Una vulnerabilidad en Windows Audio Service podría permitir la elevación de privilegios (3005607)
Importante
Elevación de privilegio
Microsoft Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows 8.1, Windows Server 2012, Windows Server 2012 R2, Windows RT y Windows RT 8.1.
Una vulnerabilidad en .NET Framework podría permitir la elevación de privilegios (3005210)
Importante
Elevación de privilegio
Microsoft .NET Framework 1.1 Service Pack 1, .NET Framework 2.0 Service Pack 2, .NET Framework 3.5, .NET Framework 3.5.1, .NET Framework 4, .NET Framework 4.5, .NET Framework 4.5.1 y  .NET Framework 4.5.2 en las versiones afectadas de Microsoft Windows.
Una vulnerabilidad en Windows SharePoint Foundation podría permitir la elevación de privilegios (3000431)
Importante
Elevación de privilegio
Microsoft SharePoint Server 2010.
Una vulnerabilidad en el Protocolo del escritorio remoto podría permitir una desviación de las funciones de seguridad (3003743)
Importante
Desviación de la función de seguridad
Microsoft Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2, Windows 8, Windows Server 2012, Windows RT, Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1
Una vulnerabilidad en Internet Information Services (IIS) podría permitir la la desviación de las funciones de seguridad (2982998)
Importante
Desviación de la función de seguridad
Microsoft Windows 8, Windows 8.1, Windows Server 2012 y Windows Server 2012 R2 RTM.
Una vulnerabilidad en los Servicios Federados de Active Directory podría permitir la divulgación de información (3003381)
Importante
Divulgación de la información
Servicios Federados de Active Directory (ADFS)
Active Directory Federation Services 2.1 y Active Directory Federation Services 3.0.
MS14-078
Una vulnerabilidad en IME (japonés) podría permitir la elevación de privilegios (2992719)
Moderado
Elevación de privilegios
Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7, Windows Server 2008 R2 y Microsoft Office 2007.
Una vulnerabilidad en controlador de modo kernel podría permitir la negación de servicio (3002885)
Moderado
Negación de servicio
Todas las versiones con soporte de Microsoft Windows.


De manera rutinaria, Microsoft actualiza este aviso de seguridad para anunciar la disponibilidad de una nueva actualización de Adobe Flash Player. El martes, 11 de noviembre de 2014, Microsoft publicó una actualización (3004150) para Internet Explorer 10 en Windows 8, Windows Server 2012 y Windows RT, y para Internet Explorer 11 en Windows 8.1, Windows Server 2012 R2 y Windows RT 8.1. La actualización resuelve las vulnerabilidades descritas en boletín de seguridad de Adobe APSB14-24. Para obtener más información acerca de esta actualización, incluyendo los enlaces de descarga, consulte el artículo 3004150 de la Base de conocimiento de Microsoft.

Hasta la próxima.

Fuente: http://blogs.technet.com/