Aquellos usuarios de Windows han mirado con envidia la prestigiosa seguridad de Apple y su sistema operativo Mac OS. Pero la llegada del otoño parece que hizo ruido en el Mac OS X Lion. Esto se debe al descubrimiento de un nuevo troyano que vulnera una brecha de seguridad del tipo dopper. Una amenaza de este tipo aprovecha las llamadas “backdoors”, o sea, puertas de acceso desde atrás al sistema. El software malinetencionado permite instalar malware para infectar el equipo.

El troyano fue detectado por dos empresas de seguridad y explicaron que el mismo abre un fichero PDF en chino de manera normal, para luego en forma oculta enviar a un servidor remoto los datos del usuario y la dirección MAC de conexión. Esto permitiría a ciber-delincuentes enviar al ordenador

Adobe sigue en su rutina de actualizar su poderoso Flash Player. Así lo vimos hace unos días cuando lanzaron AFP 10.3 con importantes novedades. Ironicamente a menos de una semana de su lanzamiente, Adobe publica un parche de seguridad catalogado como crítico. malwares.

Los desarrolladores informan que es recomendable actualizar cuanto antes a esta versión (10.3.183.10), ya que los atacantes podrían aprovechar un agujero de seguridad y dañar el sistema o incluso tomar contro del mismo. Por otro lado, se detalló que otra vulnerabilidad corregida son los ataques dirigidos a través de correos electrónicos.

El paquete de mejoras esta disponible para todos los sistemas operativos y móviles.

Desde Google mencionaron que los fallos alcanzarían a ser 400. El ingeniero en cuestión se llama Travis Ormandy y se especializa en temas de seguridad informática. Además, he dejado entreverar que no recibió crédito alguno por ayudar con estas vulnerabilidades.

El gerente de comunicaciones de Adobe informó que Ormandy confunde “errores” con “ficheros de ejemplo”. Igualmente, en la nueva actualización de Chrome se corrigieron los inconvenientes y a la vez publicaron un agradecimiento a Travis:

El equipo de Chrome quiere agradecer especialmente a Travis Ormandy, del equipo de seguridad de Google, por invertir una gran cantidad de tiempo y trabajo de los ordenadores para identificar un número significativo de vulnerabilidades resueltas en esta versión de Flash Player.

Finalmente, Adobe agradeció a Google por solucionar el problema con el reproductor Flash y que trabajarán arduamente para mejorar el servicio.

La principal preocupación es que los agujeros de seguridad de las anteriores versiones son bastantes, por lo que piratas informáticos pueden aprovechar para infiltrar malware a través del programa. Y la sorpresa no termina allí, ya que se demostró que Adobe Reader esta en el top de aplicaciones preferidas para ser utilizadas a la hora de infiltrar un ataque.

Lo que no se explica del todo, es que la herramienta incorpora un sistema de actualización automática, por lo que no demanda esfuerzo alguno en contar con la última versión. Sólo podemos aseverar que los usuarios desestiman la notificación de alerta.

Recomendamos que actualices gratuitamente el lector PDF de Adobe a la versión actual.

La mencionada “caja de arena”, funciona generando un entorno de pruebas seguro que engaña al código malicioso obligándolo a revelar sus características nocivas. De esta manera, cuando el Modo Protegido se encuentre activado, las operaciones que se ejecuten dentro del Reader lo harán en un ambiente controlado, sin afectar al ordenador.

Adobe ha logrado desarrollar esta modalidad trabajando en conjunto con compañías experimentadas en el área, como el equipo de seguridad de Microsoft y el de Google Chrome. A pesar de que se trata de un gran paso en lo que respecta a la seguridad de los productos de Adobe, su Director de Seguridad Brad Arkin mantuvo un perfil bajo, alegando que el Reader aun podría seguir siendo víctima de las nuevas técnicas utilizadas por los cibercriminales.

La actualización APSB10-12 repara 18 fallos, algunos de ellos considerados como críticos, en la versión 11.5.6.606, y sus anteriores, de Adobe ShockWave Player. También afecta a las versiones de Microsoft Windows y Apple Mac OS X. Estas vulnerabilidades podrían ocasionar que un ciberdelincuente ejecute un código malicioso en el equipo afectado.

Los fallos se producen debido a desbordamientos de búfer, los cuales a su vez podrían ocasionar un desbordamiento de memoria dinámica (heap).

La actualización APSB 10-11 soluciona tres fallos considerados importantes producidos en Cold Fusion 8.0, 8.0.1, 9.0 y versiones anteriores para Microsoft Windows, Macintosh y UNIX. La explotación de los fallos podría producir que un atacante realizara ataques de cross-site scripting y podría acceder a datos privados.

Adobe recomienda actualizar Adobe ShockWave Player a su última versión disponible, la 11.5.7.609. Así se dispondrá de una mayor seguridad en el equipo y los atacantes no podrán aprovecharse de los fallos solucionados.

Si se dispone de otra versión anterior a la 11.5.7.609 en el equipo, se aconseja desinstalar ésta, reiniciar el ordenador y después, descargar la última versión de ShockWave Player.

Fuente: Inteco Cert

Hasta ahora, ZeuS no tenía este alcance, pero su nueva versión es capaz de esquivar los sistemas más fuertes de autenticación.

La compañía de seguridad Trusteer ha realizado un estudio en el que ha analizado cinco millones de equipos. En él, se revela que uno de cada 3.000 equipos se encuentran afectados por esta versión nueva de troyano.

ZeuS es utilizado por organizaciones criminales cuyo objetivo es conseguir los datos personales y bancarios de los usuarios. Infecta el equipo y se hace con las contraseñas personales, de redes sociales o números de tarjetas de crédito.

A demás de aprovecharse de Firefox, también se ha descubierto que está sirviéndose de un fallo sin solucionar en los archivos PDF. Según Dan Hubbard, CTO de la compañía Websense, cuando el usuario abre el documento malicioso, ZeuS le solicita que guarde un archivo PDF, llamado “Royal_Mail_Delivery_Notice.pdf”, que en realidad es un ejecutable de Windows que se instala y piratea el equipo.

El error que está explotando la botnet es el /Launch, que se trata de una especificación de Adobe para la función de diseño. Websense asegura que tiene constancia de que cientos de ataques provenientes de Zeus utilizan el software malicioso incorporado en la función /Launch. Además, Hubbard estima que “los ataques se seguirán produciendo”.

Adobe por su parte, ha aconsejado a los usuarios que modifiquen las preferencias de Reader y Acrobat para deshabilitar la función vulnerable y proporciona unas recomendaciones para realizar esta modificación.

El ataque fue llevado a cabo recientemente por parte de un investigador mediante la funcionalidad /Launch, como se detalla en la sección 12.6.4.5 de la especificación ISO PDF 32000-1:2008.

Si un atacante explotara este fallo, con un archivo PDF se podría acceder a otro que no estuviera en formato PDF, aparecería un mensaje señalándolo y pidiendo autorización, pero si este mensaje se manipulara, el ataque se podría simplificar usando técnicas de ingeniería social.

Para evitar este problema, se puede desactivar la opción ‘Permitir la apertura de archivos adjuntos no PDF con aplicaciones externas’ accediendo a Adobe Reader. A continuación, se debe entrar en el menú de ‘Edición’ → ‘Preferencias’ y en la parte de opciones, se debe seleccionar la categoría ‘Administrador de confianza’ y desactivar la primera opción.

Fuente: Inteco Cert

Los programas de Adobe son víctimas de numerosos ataques. Reader y Acrobat han llegado tener el 80% de todos los ataques a software, en los que los atacantes han aprovechando los archivos PDF que utilizan tantos usuarios. A continuación, les sigue Adobe Flash, que concentra el 18% de todos los exploits.

Durante el pasado año se encontraron frecuentemente fallos en el editor y lector de ficheros PDF de Reader y Acrobat, lo que ha facilitado el trabajo a los atacantes. A comienzos de año Flash y Reader tenían unas cifras de ataques parecidas, pero a medida que fue avanzando el año Reader y sus archivos PDF tomaron la delantera.

Los archivos PDF maliciosos alcanzaron el 56% de todos los exploits durante el primer trimestre de 2009, y fueron aumentando notablemente, llegando a sumar el 80% en el cuarto trimestre. Flash en cambio, mejoró durante el año, ya que empezó teniendo un 40% de todos los fallos y su porcentaje disminuyó hasta el 18% a finales de año.

Según ScanSafe, estos datos son “un claro indicativo” de que los atacantes se decantan por explotar los archivos PDF. Esto puede deberse a que han coincido el “incremento de la disponibilidad de vulnerabilidades en el software de Adobe” y la gran propagación que tiene el uso de estos programas entre los internautas.

El presidente del Instituto SANS de Tecnología aconseja a las empresas que para una mayor seguridad “deberían evitar a Adobe en la medida de lo posible. La seguridad de esta empresa parece estar fuera de control y utilizar sus productos puede poner a cualquier organización en peligro. Para tratar de minimizar el número de ataques hay que evitar el uso de los productos de Adobe siempre que se pueda”.

Los autores del Informe Anual de Amenazas de 2009, señalan por su parte que “es bien conocido” que los hacker suelen utilizar los archivos y programas que más se utilizan en la red. Según esto, no es de extrañar que exploten los fallos de Adobe, aprovechando su difusión, para llegar al mayor número de usuarios posible.

Adobe intenta corregir sus fallos y mejorar sus productos, el pasado martes publicó sus dos últimas actualizaciones (http://antivirus.es/actualizaciones-para-adobe-reader-y-acrobat-1052) que reparaban dos errores importantes de seguridad.

El fallo más grave, CVE-2010-0186, podría ocasionar peticiones no autorizadas de dominios cruzados. El atacante podría cambiar el comportamiento de la “sandbox”, con lo que se producirían peticiones falsas. El segundo fallo corregido, CVE-2010-0186, es un problema de denegación de servicio.

Las actualizaciones se encuentran disponibles en la página web de Adobe o se puede acceder a ellas a través del boletín publicado. Se recomienda la actualización de los programas para mantener el equipo con una mayor protección y no correr riesgos de ataques de fallos de denegación de servicio solicitudes cruzadas de dominios no permitidas.

Hoy ha publicado la actualización para corregir el fallo que tanta polémica ha suscitado, al haberse utilizado para realizar el ataque chino a 35 empresas estadounidenses, entre ellas Google y Adobe. Además, Microsoft ha reconocido que sabia de la existencia del fallo desde hace cinco meses.

Los fallos cubiertos se podrían utilizar para efectuar un código arbitrario y comprometer completamente el equipo. El parche corrige un total de ocho vulnerabilidades. No todas tienen la misma gravedad ni afectan a todas las versiones del Explorer. La gravedad de los fallos cambia según la versión del navegador y la plataforma Windows de la que se disponga.

Entre los fallos corregidos se encuentran un cross-site scripting y uno de validación de URL’s que podría provocar la efectuación remota de código a través de una URL creada de forma maliciosa.

El fallo más explotado, conocido como ‘Aurora’, es de una naturaleza parecida a la de otras cinco vulnerabilidades, que en muchas ocasiones pueden posibilitar la ejecución remota del código.

Por si no se hubiera suscitado bastante polémica con el ataque chino y el fallo de Internet Explorer, ahora se ha reconocido por la propia de Redmond, que se tenía constancia de esta vulnerabilidad desde el pasado mes de agosto. Al parecer, un investigador de la firma de Israel BugSec, Meron Sellen, reportó la vulnerabilidad en agosto y Microsoft corroboró en septiembre la gravedad de ésta.

Otros fallos, que son corregidos también con este parche, habían sido igualmente comunicados a Microsoft por Zero Day Initiative hace seis meses. Microsoft tenía programado publicar este parche en su ciclo normal de publicación de actualizaciones de febrero, pero ante la gravedad de los ataques se ha visto obligado a publicarla antes.