Un seguimiento hecho por una compañía de seguridad informática, Sophos, durante varios meses, determinó el número de sitios web con virus, software espía y otros programas peligrosos es ahora tres veces mayor que en 2007 .

En el informe se glosa la siguiente información: las bandas organizadas de cibercriminales se apoyan cada vez más en las debilidades e inseguridades de sitios y herramientas muy populares, como Blogspot, Facebook y Linkedinlo que les permite propagar malware con suma facilidad.

En el Informe Semestral los expertos de Sophos estiman que el total del malware existente ya sobrepasa los 11 millones, a razón de 20.000 nuevas muestras de software sospechoso cada día. Esto se traduce en 1 nuevo programa malicioso cada 4 segundos.

Sitios i-legítimos

En el trabajo, se da cuenta de otro hecho preocupante: el 90% de estas páginas, que propagan Caballos de Troya y programas espía, son sitios web legítimos. Algunos de ellos, incluso pertenecientes a grandes y reconocidas compañías incluidas en Fortune 500, que han sido hackeadas a través de ataques de a sus aplicaciones SQL que no fueron adecuadamente protegidas.

El Informe también detalla intentos de hackers y spammers de aprovecharse de sitios Web 2.0, tales como Facebook o LinkedIn, atacar dispositivos con sistemas operativos distintos a Windows, tales como Apple Macs y Linux, y adelanta la probabilidad de ataques emergentes contra usuarios del popular iPhone de Apple .

El mayor problema del malware, sin duda, lo tiene Windows, pero esto no significa que los usuarios de Mac y Linux deban estar tranquilos. Se han encontrado amenazas contra otras plataformas y hay un riesgo de que los usuarios de estos sistemas operativos caigan en el error de que, de algún modo, son inmunes a los ataques de Internet, afirma Graham Cluley, Consultor de Tecnología de Sophos. El uso de sistemas tales como Facebook, Bebo o LinkedIn demuestra que los cibercriminales están buscando nuevas vías para propagar sus códigos maliciosos y publicidad no deseada .

FUENTE

Microsoft publica 7 boletines de seguridad con los parches correspondientes para diferentes vulnerabilidades de sus productos. Tres de ellos están catalogados como críticos.

El boletín MS08-030, catalogado como crítico, corrige una vulnerabilidad que puede permitir que alguien cercano a su computadora, pueda tomar el control de la misma si acepta las conexiones Bluetooth.

El problema es una vulnerabilidad en los protocolos Bluetooth, específicamente en SDP (Discovery Protocol), lo que permite a un atacante enviar una gran cantidad de paquetes modificados especialmente para ello, y lograr acceder al PC vulnerable. El protocolo bluetooth requiere que el ataque sea hecho a una corta distancia.

Según el blog de seguridad de Microsoft, las probabilidades que este fallo pueda ser explotado son muy pocas, de todos modos Microsoft cataloga su boletín como crítico. Son vulnerables Windows XP y Window Vista con todos los Service Pack instalados.

Otro boletín crítico es el MS08-031, el cuál incluye una actualización de seguridad acumulativa para Internet Explorer. Corrige dos vulnerabilidades que afectan a todas las plataformas y todas las versiones soportadas del programa, con diferentes grados de riesgo para el sistema.

Las versiones para servidores de Windows, son relativamente seguras, debido a la configuración restringida de seguridad mejorada. En cambio, los otros sistemas de Windows, pueden ser víctimas de ataques que podrían llegar a la ejecución remota de código. El mayor problema está en la vulnerabilidad que causa una corrupción de la memoria del programa cuando se manejan objetos HTML.

El boletín MS08-033, menciona dos vulnerabilidades críticas en componentes DirectX que podrían permitir la ejecución remota de código. Una de ellas afecta solo a DirectX 7 y 8 en Windows 2000, pero la otra, relacionada con la transmisión de archivos AVI y ASF, compromete a todas las versiones del sistema operativo, incluyendo Windows Server 2008. ASF (Advanced Streaming Format) es un formato de datos usado para almacenar audio y video y transmitirlo a través de redes (incluido Internet).

Importante es catalogado el boletín MS08-034, que menciona una elevación de privilegios mediante una vulnerabilidad en el protocolo WINS, usado para gestionar la resolución de nombres descriptivos, asociados a las direcciones IP (Internet Protocol) de las computadoras de una red. Aunque este protocolo es obsoleto, puede aún provocar problemas si no se instalan los parches, ya que un atacante podría tomar el control completo del sistema.

También importante es el boletín MS08-035, que corrige una vulnerabilidad en el Directorio Activo, un componente central de la plataforma Windows que proporciona los medios para gestionar las identidades y relaciones que organizan los entornos de red. El problema puede ser utilizado para provocar una denegación de servicio, y el atacante podría hacer que el sistema dejara de responder o se reiniciara. Todas las versiones de Windows son vulnerables.

El protocolo PGM es un protocolo de transporte multicast fiable, para aplicaciones que necesitan enviar datos multicast (multidifusión), ordenados o desordenados, sin duplicidades, entre múltiples orígenes y destinos. El boletín MS08-036 corrige algunas vulnerabilidades que podrían hacer que el sistema deje de responder. Para que ocurra una comunicación PGM, debe estar instalado el servicio Microsoft Message Queue Server (MMQS). Son vulnerables Windows XP, Vista, Server 2003 y Server 2008.

El boletín con categoría más baja, es el marcado como MS08-032. Catalogado como importante, consiste en una actualización acumulativa que afecta varios kill bits para diferentes controles ActiveX (esto es, que desactiva la posibilidad de ejecución de los mismos). Dos controles ActiveX son desactivados en este caso, uno es el componente Microsoft Speech API, y el otro es de una herramienta de terceros llamada BackWeb.

Referencias:

http://www.microsoft.com/technet/security/bulletin/ms08-030.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-031.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-032.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-033.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-034.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-035.mspx
http://www.microsoft.com/technet/security/bulletin/ms08-036.mspx

FUENTE

Si bien las páginas con scripts dañinos ya se han convertido en una costumbre, es poco frecuente que se desconfíe de una página de error 404, indicando que la misma no ha sido encontrada.

Sin embargo, en estos momentos se están encontrando gran cantidad de sitios webs que redirigen al usuario a una supuesta página de error 404 conteniendo enlaces a scripts dañinos y que prueban diversas vulnerabilidades en el sistema operativo y las aplicaciones instaladas por el usuario.

Ante esta técnica de Ingeniería Social y engaño, el usuario no sospecha del sitio web y puede pensar que realmente la página no se encuentra. En realidad lo que sucede es que el error es simulado y en el código fuente de la misma puede verse como se prueban diversos scripts que terminan descargando malware en el equipo del usuario (un troyano en el caso de la imagen).

Ante esta amenaza y para evitar ser engañado es recomendable utilizar un antivirus con capacidades proactivas y actualizar todas las aplicaciones.

FUENTE

Según reportes recientes, la vulnerabilidad explotada en Flash Player de la que ayer informábamos, no sería un problema para usuarios que estuvieran instalada la última versión del programa en sus navegadores (al momento de este artículo, sería la 9.0.124.0).

La vulnerabilidad está siendo explotada por sitios maliciosos y es provocada por un desbordamiento de búfer. El ataque puede producirse por la simple visita a un sitio web que contenga un archivo flash malicioso.

Los últimos reportes confirman que el exploit se encuentra activo en varios sitios chinos. Estas páginas, luego de utilizar la vulnerabilidad en Flash, descargan diferentes clases de malware en los equipos de los usuarios.

Utilizando otros exploits, como los empleados para la inyección de código SQL en sitios Web vulnerables a ese tipo de ataque, los usuarios pueden ser redirigidos a las páginas que aprovechen la vulnerabilidad en Flash Player para infectarlos.

Se calcula como muy grande la cantidad de páginas web propensas a este tipo de ataque, haciendo que esta vulnerabilidad sea muy peligrosa.

Si la ejecución de código falla, de todos modos podría provocarse una condición de denegación de servicio (DoS), dejando de responder el programa asociado (por ejemplo Internet Explorer), o incluso Windows.

Se ha publicado información detallada sobre la técnica requerida para explotar esta vulnerabilidad, además de una prueba de concepto.

Se aconseja la inmediata actualización a la versión de Flash Player más reciente (al momento de este artículo, la 9.0.124.0).

No son vulnerables los usuarios que utilicen los siguientes productos y versiones en sus navegadores:

- Adobe Flash Professional 8 8.0.42.0
- Adobe Flash Player Plugin 9.0.124.0
- Adobe Flash Basic 8.0.42.0
- Adobe AIR 1.01

Podrían ser vulnerables las versiones independientes del reproductor, pero no lo son las que se instalan como plugins o complementos en navegadores como Internet Explorer o Firefox.

Adobe Flash Player es un reproductor multimedia de archivos SWF (películas en Flash), FLV (Flash Video) y otros. Este tipo de archivos, incluye audio, video y metadatos, incluidos scripts.

FUENTE

Las técnicas utilizadas por los creadores de malware son cada vez más ofensivas y menos predecibles para el usuario hogareño que sólo busca poder navegar sin complicaciones.

Si no tenemos el sistema operativo y el antivirus actualizado podemos ser víctimas de la siguiente metodología de infección: al acceder a una página web, nos encontramos con una imagen, que a simple vista, parece ser completamente inofensiva.

Sin embargo, al mirar el código fuente nos encontramos con un script malicioso que descarga y ejecuta un malware.

Además, también intenta explotar dos vulnerabilidades específicas del sistema operativo y descargar otro código malicioso a través de etiquetas iframe.

Por otro lado, si el sistema operativo se encontrase actualizado con los últimos parches de seguridad y la base de firmas de la solución antivirus debidamente actualizada, la experiencia sería que la amenaza quedaría bloqueada de la siguiente manera:

En este sentido, muchos son los factores que intervienen marcando la diferencia entre un sistema debidamente protegido y un sistema infectado, pero sin lugar a duda, mantener la solución antivirus actualizada con las últimas firmas marca la diferencia.

FUENTE

Microsoft publicó 11 boletines de seguridad, 6 de ellos críticos, aunque se habían anunciado 12. Este es un resumen de las vulnerabilidades y problemas solucionados por estos parches.

Boletines “Críticos” (6):

1. Boletín de seguridad de Microsoft MS08-007 (Crítico)

Una vulnerabilidad en el miniredireccionador WebDAV podría permitir la ejecución remota de código (946026).

La actualización resuelve una vulnerabilidad crítica en WebDAV, una extensión del Protocolo de transferencia de hipertexto que permite el control de objetos y atributos en un servidor Web. Puede ser utilizada para obtener el control completo de un sistema afectado.

Software afectado: Windows XP SP2, Windows XP Professional x64 Edition y Windows XP Professional x64 Edition SP2, Windows Server 2003 SP1 y SP2, Windows Server 2003 x64 Edition y Windows 2003 Server x64 Edition SP2, Windows Server 2003 SP1 y SP2 para Itanium, Windows Vista y Windows Vista x64 Edition.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-007.mspx

2. Boletín de seguridad de Microsoft MS08-008 (Crítico)

Una vulnerabilidad en la automatización de vinculación e incrustación de objetos (OLE), podría permitir la ejecución remota de código (947890). Puede ser explotada para la ejecución de código por la simple visita a una página web maliciosa.

Los usuarios cuyas cuentas estén configuradas con permisos administrativos, corren un riesgo mayor.

Software afectado: Windows 2000 SP4, Windows XP SP2, Windows XP Professional x64 Edition y Windows XP Professional x64 Edition SP2, Windows Server 2003 SP1 y SP2, Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition SP2, Windows Server 2003 SP1 y SP2 para Itanium, Windows Vista, Windows Vista x64 Edition, Microsoft Office 2004 para Mac, y Microsoft Visual Basic 6.0 SP6.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-008.mspx

3. Boletín de seguridad de Microsoft MS08-009 (Crítico)

Corrige una vulnerabilidad en Microsoft Word que podría permitir la ejecución remota de código (947077). Un atacante podría obtener el control completo del sistema por medio de un documento maliciosamente creado.

Software afectado: Microsoft Office 2000 SP3, Microsoft Office XP SP3, Microsoft Office 2003 SP2 y Microsoft Office Word Viewer 2003.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-009.mspx

4. Boletín de seguridad de Microsoft MS08-010 (Crítico)

Actualización de seguridad acumulativa para Internet Explorer (944533), que resuelve tres vulnerabilidades. La más grave de ellas, podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada.

Software afectado: Internet Explorer 5.01 e Internet Explorer 6 SP1 en Microsoft Windows 2000 SP4. Internet Explorer 6 en Windows XP SP2, Windows XP Professional x64 Edition y Windows XP Professional x64 Edition SP2, Windows Server 2003 SP1 y SP2, Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition SP2, Windows Server 2003 SP1 y SP2 para Itanium. Internet Explorer 7 en Windows XP SP2, Windows XP Professional x64 Edition y Windows XP Professional x64 Edition SP2, Windows Server 2003 SP1 y SP2, Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition SP2, Windows Server 2003 SP1 y SP2 para Itanium, Windows Vista y Windows Vista x64 Edition.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-010.mspx

5. Boletín de seguridad de Microsoft MS08-012 (Crítico)

Vulnerabilidades en Microsoft Office Publisher podrían permitir la ejecución remota de código (947085). Se trata de dos vulnerabilidades que podrían permitir la ejecución remota de código si un usuario abre un archivo de Publisher malicioso.

Software afectado: Microsoft Office 2000 SP3, Microsoft Office Publisher 2000, Microsoft Office XP SP3, Microsoft Office Publisher 2002, Microsoft Office 2003 SP2.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-012.mspx

6. Boletín de seguridad de Microsoft MS08-013 (Crítico)

Resuelve una vulnerabilidad en Microsoft Office que podría permitir la ejecución remota de código (947108). Solo es necesario abrir un documento de Office modificado maliciosamente que contenga un objeto con formato incorrecto, para que un atacante pueda tomar el control total del sistema.

Software afectado: Microsoft Office 2000 SP3, Microsoft Office XP SP3, Microsoft Office 2003 SP2 y Microsoft Office 2004 para Mac.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-013.mspx

Boletines “Importantes” (4):

1. Boletín de seguridad de Microsoft MS08-003 (Importante)

Resuelve una vulnerabilidad en Active Directory, que podría permitir una denegación de servicio (946538). El problema ocurre en las implementaciones de Active Directory en Microsoft Windows 2000 Server, Windows Server 2003 y Active Directory Application Mode (ADAM) cuando se instala en Windows XP Professional y Windows Server 2003.

En Windows Server 2003 y Windows XP Professional un atacante debe tener credenciales de inicio de sesión válidas para aprovechar esta vulnerabilidad. Un atacante que se aproveche de la misma podría provocar que el sistema deje de responder o se reinicie automáticamente.

Software afectado: Microsoft Windows 2000 Server SP4, Windows XP Professional SP2, Windows XP Professional x64 Edition y Windows XP Professional Edition SP2, Windows Server 2003 SP1 y SP2, Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition SP2, Windows Server 2003 x64 Edition y Windows Server 2003 x64 Edition SP2, Windows Server 2003 SP1 y SP2 para Itanium.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-003.mspx

2. Boletín de seguridad de Microsoft MS08-004 (Importante)

Una vulnerabilidad en el procesamiento del Protocolo de control de transmisión/Protocolo de Internet (TCP/IP) en Windows, podría hacer que el programa deje de responder (946456).

Software afectado: Windows Vista y Windows Vista x64 Edition.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-004.mspx

3. Boletín de seguridad de Microsoft MS08-005 (Importante)

Resuelve una vulnerabilidad en el servidor Internet Information Services (IIS), que podría permitir la elevación de privilegios (942831) a un usuario local.

Software afectado: Microsoft Internet Information Services 5.0, Microsoft Internet Information Services 5.1, Microsoft Internet Information Services 6.0 y Microsoft Internet Information Services 7.0 (Windows Vista).

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-005.mspx

4. Boletín de seguridad de Microsoft MS08-006 (Importante)

También corrige una vulnerabilidad en Internet Information Services (IIS), la cuál podría permitir la ejecución remota de código (942830). El problema lo ocasiona la manera en que IIS maneja la información para las páginas web ASP.

Un atacante que explote esta vulnerabilidad podría obtener los mismos derechos que la identidad de proceso de trabajo (WPI).

Afecta a aquellos servidores IIS con páginas ASP, cuyos grupos de aplicaciones estén configurados con una WPI que use una cuenta con privilegios administrativos. De forma predeterminada, la WPI está configurada con privilegios de cuenta de servicio de red, lo que impide la explotación de esta vulnerabilidad.

Software afectado: Microsoft Internet Information Services 5.1 y Microsoft Internet Information Services 6.0.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-005.mspx

Boletines “Moderados” (1):

1. Boletín de seguridad de Microsoft MS08-011 (Moderado)

Esta actualización soluciona tres vulnerabilidades en el convertidor de archivos de Microsoft Works que podrían permitir la ejecución remota de código (947081).

Para explotar maliciosamente el problema, un usuario debe abrir un archivo de Works (.wps) especialmente diseñado por un atacante, utilizando una versión afectada de Microsoft Office, Microsoft Works o Microsoft Works Suite.

Software afectado: Microsoft Office 2003 SP2, Microsoft Works 6 File Converter, Microsoft Office 2003 SP3, Microsoft Works 6 File Converter, Microsoft Works 8.0, Microsoft Works Suite 2005.

Referencia:
http://www.microsoft.com/technet/security/bulletin/ms08-011.mspx

FUENTE

Para el próximo martes, Microsoft anuncia la publicación de al menos 12 boletines, con una extensa cantidad de vulnerabilidades solucionadas, según su notificación de adelanto de boletines de seguridad para febrero de 2008.

Cómo siempre, este avance revela información limitada sobre los problemas solucionados, cuyos detalles estarán disponibles recién cuando se publiquen los boletines y las actualizaciones estén disponibles.

De los 12 boletines, al menos 7 solucionarán vulnerabilidades críticas. Al menos una de estas vulnerabilidades afecta a todas las versiones actuales de Windows (incluyendo Vista), menos a Windows 2000.

Otra de las vulnerabilidades de los boletines catalogados como críticos para todas las versiones de Windows, menos para Windows Server 2003, donde está catalogada como moderada. Esto se debe a la característica de configuración de seguridad mejorada de Server 2003.

Curiosamente, el mismo boletín también afecta a Microsoft Visual Basic 6.0 Service Pack 6 y Microsoft Office 2004 para Mac, donde la vulnerabilidad es catalogada como crítica.

VBScript y JScript en Windows 2000, Windows XP y Windows Server 2003 (excluyendo a Vista), son afectados por vulnerabilidades corregidas en otro de los boletines catalogados como críticos.

También crítico es el boletín que contiene actualizaciones para todas las versiones de Internet Explorer en todas las versiones actuales de Windows. Esto incluye también a Internet Explorer 7 para Windows Vista.

El último de los boletines catalogados como críticos, corrige varias vulnerabilidades en varios productos y versiones de Office. Una es crítica para Publisher 2000, pero solo importante para Publisher 2002 y 2003.

Otra es crítica para Office 2000 SP3, e importante para Office XP SP3 y Office 2003 SP2 (Office 2003 SP3 no parece ser afectado).

También Word 2000 SP3 posee una vulnerabilidad crítica, la cuál es corregida por este boletín. La misma vulnerabilidad es importante para Word 2002 SP3, Word 2003 SP2, y Office 2004 para Mac.

Uno de los boletines marcados como importantes, afecta las funciones del Directorio Activo en Windows 2000, Windows XP SP2 y Windows Server 2003.

Los demás boletines catalogados como importantes, corrigen vulnerabilidades en Windows Vista, e IIS en todas las versiones de Windows.

Una vulnerabilidad corregida en uno de estos boletines catalogados como importantes, afecta a Microsoft Works 6, Works 8.0 y Works 2005, con diversos grados de gravedad (de importante a moderado), según el sistema.

También es importante recordar que el 12 de febrero, Microsoft lanzará Internet Explorer 7 a través de su canal de actualizaciones Windows Server Update Services (WSUS). Desde el pasado mes, el IE7 ya ha estado disponible para usuarios comunes, a través del servicio de actualizaciones automáticas, (ver “Los últimos días del Internet Explorer 6″, http://www.vsantivirus.com/22-01-08.htm)

Relacionados:

Microsoft Security Bulletin Advance Notification for February 2008
http://www.microsoft.com/technet/security/Bulletin/MS08-feb.mspx

Sobre los niveles de severidad:

Los siguientes parámetros son los utilizados por Microsoft para catalogar sus boletines, de acuerdo a la importancia o urgencia de las actualizaciones:

* Crítico. Una vulnerabilidad cuya explotación puede permitir la propagación de un gusano de Internet sin la intervención del usuario.

* Importante. Una vulnerabilidad cuya explotación podría comprometer la confidencialidad, la integridad o la disponibilidad de datos y archivos del usuario, o de los recursos del sistema.

* Moderado. La explotación de una vulnerabilidad está significativamente mitigada por factores como la configuración por defecto, la intervención del usuario o la dificultad para realizarla.

* Baja. Una vulnerabilidad cuya explotación es muy difícil, o cuyo impacto es mínimo.

Más información:

Microsoft Security Bulletin Advance Notification
www.microsoft.com/technet/security/bulletin/advance.mspx

FUENTE