En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan diez boletines de seguridad. Afectan a toda la gama del sistema operativo Windows y Office. En principio, hablan de 34 vulnerabilidades.

Si en mayo se publicaron dos boletines de seguridad dentro del ciclo habitual, este mes Microsoft prevé publicar diez el próximo 8 de junio. Tres se consideran críticos (ejecución remota de código) y el resto importantes (elevación de privilegios o falsificación).

Adicionalmente, y como viene siendo habitual, Microsoft publicará una actualización para Microsoft Windows Malicious Software Removal Tool. Además, se publicarán actualizaciones de alta prioridad no relacionadas con la seguridad.

Parece que Microsoft dará solución en esta tanda al problema de seguridad encontrado en SharePoint Server 2007 y Windows SharePoint Services 3.0. Hace pocas semanas, la empresa “High-Tech Bridge” publicó un fallo que afectaba a estos productos. Se trata de un cross-site scripting no persistente.

También corregirá un fallo reconocido en febrero por Microsoft (que previamente se había hecho público en la conferencia Black Hat DC 2010) en Internet Explorer. Existe un error de comprobación de permisos cuando se usa el protocolo “file:” que podría ser aprovechado por un atacante remoto para obtener datos del sistema a través de una pagina web especialmente manipulada. Al parecer se trata de un fallo complejo de resolver, según los propios descubridores, puesto que en años anteriores habían reportado vulnerabilidades parecidas, y Microsoft en ningún momento ha conseguido erradicar el problema por completo con los parches que ha ido publicando. Sin embargo, es necesario apuntar que el “modo protegido” en el que funcionan las versiones 7 y 8 por defecto en Vista, 7 y 2008, previene la explotación de la vulnerabilidad.

También se corrigen fallos en Office InfoPath, Excel Viewer.

Los parches anunciados están sujetos a cambios, por tanto, no se garantiza que no se produzcan cambios de última hora.

Hispasec Sistemas publicará puntualmente a través de este boletín información detallada sobre los nuevos parches.

Más Información:

Microsoft Security Bulletin Advance Notification for June 2010
http://www.microsoft.com/technet/security/bulletin/ms10-jun.mspx

Un email invitando a los usuarios a hackear por si mismos cuentas de Windows Live Messenger pone las suyas en peligro.

Un email, que está siendo distribuido masivamente, puede poner en riesgo la seguridad de los usuarios de Windows Live Messenger.

El correo electrónico en cuestión anuncia la existencia de una herramienta que permite recuperar contraseñas de servicios como Windows Live Messenger, Windows Live Mail o MSN Messenger. Según anuncia el propio mensaje, esta herramienta podría ser usada por los ciberdelincuentes para conseguir las contraseñas de estos servicios, aunque, eso sí, el email avisa que eso es ilegal.

Si el usuario intenta descargar la herramienta, lo que introducirá en realidad en su equipo es un backdoor, es decir, un código malicioso diseñado para permitir a un atacante remoto tomar el control del ordenador infectado.

Identificado por BitDefender como Backdoor.Bifrose.AADY, este ejemplar de malware afecta a plataformas Windows. El malware se inyecta a sí mismo en el proceso de Internet Explorer y abre una puerta trasera para que el atacante pueda tomar el control de la máquina afectada.

Además, Backdoor.Bifrose.AADY intenta leer las claves y número de serie de varios tipos de software que pueda haber instalado en el equipo y puede sustraer a su vez contraseñas de ICQ, Messenger, cuentas de email POP3 y almacenamiento protegido.

El empleo como cebo de supuestas herramientas o servicios para acceder a contraseñas de servicios como Messenger, Hotmail, etc. no es anda novedoso. Sin embargo, el hecho de que los ciberdelincuentes lo sigan utilizando, con emails más actualizados como éste, demuestra que sigue siendo rentable y que, por lo tanto, hay gente que sigue cayendo en la trampa.

Fuente: BitDefender.

La epidemia de  programas scareware y antivirus falsos que con sus ataques han obtenido millones de dólares de ganancias ha generado un nuevo tipo de mal: Los bloqueadores de SMS. Esta clase de malware, que exige a  los usuarios enviar mensajes de texto SMS a números premium, ha tenido gran presencia en Rusia y en algunas partes de Asia, dicen los expertos.

Los bloqueadores de SMS, o  bloqueadores, como comúnmente se les conoce, son una evolución inteligente de las viejas técnicas de ransomware o scareware  que exigen un pago a cambio, ya sea para la eliminación de algunos programas maliciosos en una PC, o descifrar el disco duro de un usuario que el ransomware había codificado con anterioridad. Estas tácticas han sido muy rentable para los estafadores en los últimos cuatro o cinco años, al grado de que algunos de estos grupos obtienen millones de dólares al año.

En los últimos meses ha habido un repunte importante en el volumen de los bloqueadores de SMS que impactan a los usuarios europeos, en particular en Rusia y algunas partes de Asia. La estafa es tan simple como efectiva: Una víctima visite un sitio malicioso, o tal vez un sitio legítimo que se ha comprometido y fue cargado con algún  código de ataque, e infecta  su equipo con una pieza de malware. Posteriormente la víctima comenzará a ver  cuadros de diálogo con un mensaje que exige el pago a fin de desinfectar la máquina.

Pero, con el fin de desinfectar la PC, la víctima debe enviar un mensaje SMS desde su teléfono celular a un número premium  controlado por el atacante, por lo general a un costo de alrededor de 10 dólares, dijo Boris Yampolsky, investigador de malware de Kaspersky Lab, en una plática dentro de la Cumbre sobre el Análisis de la Seguridad que organiza la empresa  este miércoles.

En algunas variantes de la estafa, las víctimas visualizan una imagen pornográfica en una ventana pop-up que es imposible de quitar hasta que el mensaje SMS es enviado. Algunas de las estafas obligan a  las víctimas a enviar dos mensajes separados, lo que da un total de 20 dólares. Otras variaciones le dicen a la víctima de que su licencia de Windows no es válida y se debe enviar un SMS para volver a activarla. En todos los casos, la máquina  básicamente es inutilizada hasta que el pago se haya realizado.

La nueva estafa se basa en un ecosistema de entidades que están por detrás de las escenas para poder trabajar. En una configuración habitual, el estafador compra un bloque de  números  SMS desde un agregador, que a su vez ha adquirido el número de un operador móvil. Una vez que la víctima está infectada, el SMS que fue instruido a enviar generalmente contiene un código que identifica esencialmente al estafador que lo infectó. Los operadores de telefonía móvil pagan el agregador sus honorarios, la mitad de las cuales se remite posteriormente al estafador.

Yampolsky, quien ha dado seguimiento a estos fraudes en Rusia, estima que se realizan  500,000 infecciones de bloqueo de SMS todos los días.

“El código es sofisticado. Utilizan técnicas de ofuscación y de anti-emulación para hacer que sea difícil para nosotros realizar un análisis”, dijo.

Los bloqueadores de SMS no han hecho mucha mella en los Estados Unidos y otros países occidentales por el momento, dijo Yampolsky, y se debe en gran parte a que es más difícil para los estafadores  conseguir los números de SMS necesarios para el ataque. Pero eso puede cambiar en el futuro, hasta que encuentren la forma de evadir las restricciones en los Estados Unidos

Breve resumen de las novedades producidas durante el mes de mayo de 2010 en CriptoRed, la Red Temática Iberoamericana de Criptografía y Seguridad de la Información.

1. NUEVOS DOCUMENTOS PARA DESCARGA LIBRE DESDE CRIPTORED EN EL MES DE MAYO DE 2010
* Capítulo 3 Ambientes Operativos del Libro Electrónico El Atacante Informático (Jhon César Arango, PDF, 48 páginas, Colombia)

http://www.criptored.upm.es/guiateoria/gt_m414a.htm

* Qué son y con qué objetivo se crean y distribuyen los virus informáticos (Jorge Ramió / Bernardo Quintero, PDF, 3 páginas, España)

http://www.criptored.upm.es/guiateoria/gt_m001w.htm

* Intervención Programa de Radio Nacional de España No es un Día Cualquiera: Qué son los virus informáticos (Jorge Ramió, MP3, 3:24 minutos, España)

http://www.criptored.upm.es/descarga/Intervencion_No_Es_Un_Dia_Cualquiera_2_mayo_2010.mp3

* Privacidad y Libertad de Expresión en la Era de Internet (VI Ciclo Conferencias UPM TASSI, Bárbara Navarro, PDF, 38 diapositivas, España)

http://www.lpsi.eui.upm.es/GANLESI/2009_2010/gconferencia_bn.htm

2. DOCUMENTOS RECOMENDADOS PARA DESCARGA LIBRE DESDE OTROS SERVIDORES EN MAYO DE 2010
* Informe de la Red de Sensores de INTECO del Mes de Abril de 2010 (España)

https://ersi.inteco.es/informes/informe_mensual_201004.pdf

* Inseguridad de la Información: Confusión de Fines y Perfección de Medios en el Blog IT-Insecurity (Jeimy Cano, Colombia)

http://insecurityit.blogspot.com/2010/05/inseguridad-de-la-informacion-confusion.html

* Inversión en Seguridad de la Información: Volver a los Principios en el Blog IT-Insecurity (Jeimy Cano, Colombia)

http://insecurityit.blogspot.com/2010/05/inversion-en-seguridad-de-la.html

* Esquema Nacional de Seguridad en Inglés Spanish National Security Framework (Secretaría General Técnica del Ministerio de la Presidencia, España)

http://www.csae.mpr.es/csi/pdf/ENS_SECURITY_ENGLISH_final.pdf

* La hora de los hackers (Ciclo Conferencias UPM TASSI, Carlos Sánchez Almeida)

http://www.kriptopolis.org/la-hora-de-los-hackers

3. RELACION DE CONGRESOS POR ORDEN CRONOLOGICO DE CELEBRACION
* Junio 15 al 16 de 2010: European Workshop on Smart Objects: Systems, Technologies and Applications RFID-SysTech 2010 (Ciudad Real – España)
* Junio 16 al 18 de 2010: X Jornada Nacional de Seguridad Informática ACIS 2010 (Bogotá – Colombia)
* Junio 16 al 19 de 2010: V Conferencia Ibérica de Sistemas y Tecnologías de Información CISTI 2010 (Santiago de Compostela – España)
* Junio 20 al 23 de 2010: Mexican Meeting on Informatics Security M2IS 2010 (Guadalajara – México)
* Julio 22 al 24 de 2010: International Conference on the Business and Digital Enterprises ICBDE 2010 (Bangalore – India)
* Julio 26 al 28 de 2010: International Conference on Security and Cryptography SECRYPT (Atenas – Grecia)
* Agosto 8 al 11 de 2010: First International Conference on Cryptology and Information Security LatinCrypt 2010 (Puebla – México)
* Agosto 30 a septiembre 3 de 2010: 7th International Conference on Trust, Privacy an Security in Digital Business TrustBus ’10 (Bilbao – España)
* Agosto 30 a septiembre 3 de 2010: Workshop de Seguridad Informática 2010 en 39 edición de JAIIO (Buenos Aires – Argentina)
* Septiembre 8 al 10 de 2010: XI Reunión Española sobre Criptología y Seguridad de la Información RECSI 2010 (Tarragona – España)
* Septiembre 22 al 24 de 2010: Privacy in Statistical Databases PSD 2010 de la UNESCO Chair in Data Privacy (Corfú – Grecia)
* Septiembre 22 al 24 de 2010: 5ta Conferencia de la Asociación EATIS 2010 en la UTP (Ciudad de Panamá – Panamá)
* Septiembre 23 de 2010: Fifth International Workshop on Data Privacy Management DPM 2010 (Atenas – Grecia)
* Noviembre 8 al 10 de 2010: International Conference E-Activity and Leading Technologies 2010 (Oviedo – España)
* Noviembre 29 a Diciembre 3 de 2010: VI Congreso Internacional de Telemática y Telecomunicaciones (La Habana – Cuba)
Más información en:

http://www.criptored.upm.es/paginas/eventos.htm#Congresos

4. FUE NOTICIA EN LA RED TEMÁTICA DURANTE EL MES DE MAYO DE 2010
* Presentación del Máster MASGDTIC en Auditoría, Seguridad, Gobierno y Derecho de las TICs de la UAM (España)
* Plan de Seminarios de Seguridad Informática para el Año 2010 de CYBSEC (Argentina, Paraguay, España)
* Seminario Protección de Datos, Tecnologías de la Información y Sistema Educativo en la UIMP (España)
* III Jornada de Seguridad de la Información en la Industria Financiera de CXO Community (Argentina)
* Octava edición de Asegúr@IT en Valencia (España)
* Curso de Verano sobre Seguridad Informática en Valencia (España)
* 10th International Conference on Mathematical Methods in Science and Engineering CMMSE en Almería (España)
* Cuatro Becas para Asistencia Minisimposium Applications of Algebra to Cryptography and Coding Theory en Almería (España)
* CFP International Conference E-Activity and Leading Technologies 2010 en Oviedo (España)
* Curso de Evidencia Digital y Peritaje Informático en la Universidad de los Andes (Colombia)
* Programa Profesionales de Aplicación de Derecho de Internet y TICs en Uniandes (Colombia)
* Jornada de Solventia sobre Cloud Computing y Privacidad de los Menores en la Red en Madrid (España).

Para acceder al contenido de estas noticias:

http://www.criptored.upm.es/paginas/historico2010.htm#may10

5. OTROS DATOS DE INTERES EN LA RED TEMATICA
* Número actual de miembros en la red: 824 (217 universidades y 307 empresas)

http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 36.014 visitas, con 96.348 páginas solicitadas y 37,28 GigaBytes servidos en mayo de 2010

http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html

Más Información:

Mayo 2010
http://www.criptored.upm.es/paginas/historico2010.htm#may10

Sistemas Afectados
Todos los usuarios de Macintosh que hayan instalado alguna de las aplicaciones afectadas.

Descripción

Se ha descubierto un virus de tipo espía que es instalado por varias aplicaciaciones gratuitas y salvapantallas descargables de varios sitios web. El virus, OpinionSpy, realiza varias actividades maliciosas, como enviar información confidencial a servidores remotos y abrir una puerta trasera en el ordenador comprometido.

Impacto

• El envío a terceras personas de información confidencial.
• Bajo rendimiento del equipo infectado.
• Ejecución de comandos e instalación de otros códigos maliciosos a través de la puerta trasera.

Solución

• Si utiliza Mac OS X Leopard, y sabe cuándo se produjo la infección, puede usar la característica de ‘Time Machine’ para eliminar el virus volviendo a un punto de restauración anterior a la infección (tenga en cuenta que se desharán los cambios de configuración y se eliminarán todos los archivos que haya creado o descargado desde la fecha de la copia). Si tiene alguna duda o problema sobre el funcionamiento de esta opción puede consultar la guía de MAC sobre TimeMachine.
• En caso de que no pueda volver a un punto anterior de TimeMachine o no le funcione, siga estos pasos para la eliminación del virus:
  1. Con un antivirus actualizado, localice todas las copias del virus en el ordenador. Si no dispone de antivirus, deberá adquirir un producto adecuado para OS X.
     Nota: A Menudo los antivirus informan de que ‘no puede reparar un fichero’ en el caso de gusanos o troyanos debido a que no hay nada que reparar, simplemente hay que borrar el fichero.
  2. Reinicie su ordenador y explore todo el disco duro con un antivirus para asegurarse de la eliminación del virus.
• Se recomienda cambiar las contraseñas de acceso del sistema y de los servicios a los que haya accedido durante el tiempo que el ordenador ha estado comprometido, ya que esta información ha podido ser recopilada y enviada a terceros.

Detalle
El código malicioso es descargado e instalado durante el proceso de instalación de aplicaciones y salvapantallas distribuidos desde witios web como MacUpdate, VersionTracker y Softpedia. Como el código malicioso no se encuentra empaquetado con estas aplicaciones, sino que es descargado durante el proceso de instalación, los antivirus no mostrarán un aviso al descargarlas. Las aplicaciones afectados son, entre otras, las siguientes:

• Varios salvapantallas descargables desde http://7art-s[OCULTO].com
• La aplicación “MishInc FLV To Mp3″ descargable desde http://www.[OCULTO].info/mac_flv_to_mp3.php

Algunos de estos programas, que descargan el virus, informan de que los usuarios deben aceptar la instalación de un programa de análisis de mercado llamado PremierOpinion. Pero este programa, que ha existido para sistemas Windows desde el año 2008, no sólo recopila información del navegador o del perfil de usuario como dice, sino que también realiza las siguientes actividades maliciosas:

• Abre una puerta trasera HTTP en el puerto 8254.
• Accede a todos los volúmenes accesibles, incluidos los de red, para analizar ficheros consumiento mucho tiempo de CPU. También, analiza el tráfico de la red local.
• Inyecta código y recopila información de Safari, Firefox e iChat.
• Envía regularmente la información recopilada, de forma encriptada, a servidores remotos a través del puerto 80 y 443. Puede incluir contraseñas, números de tarjetas de crédito, historial del navegador, etc.
• Puede actualizarse automáticamente y, ocasionalmente, mostrar formularios solicitando información al usuario.
• En algunos casos, afecta a la ejecución del ordenador comprometido haciendo necesario su reinicio.
• Se ejecuta como root, ya que solicita la contraseña de root al instalarse, por lo que tiene completo acceso a los ficheros y recursos del ordenador comprometido. Y, aunque se desinstale la aplicación o salvapantallas que lo instaló, el código malicioso permanece.
• Si se detiene su ejecución, es ejecutado de nuevo a través de launchd.

Referencias

• OSX/OpinionSpy Spyware Installed by Freely Distributed Mac Applications
• Virus OpinionSpy