Boletín semanal nº 29 Noticias Seguridad en Comunidad Movistar Empresas

Angeles_Telefonica Empresas
Moderador Senior Empresas
1.763 Visitas

Noticias Seguridad.jpg

 

 *   Error humano ocasionó fallo 15000 webs de la nube de Amazon

 

El informe de Amazon apuntaba que servidores S3 experimentaban “altas tasas de error”, y ello ocasionaba que servicios tan populares y demandados como Netflix, Spotify o Pinterest presentarán fallas como descargas muy lentas o en algunos casos, interrupción de servicio.

Hoy la empresa que da servicio a más de 15,000 sitios alrededor del mundo explicó la causa: un programador de la compañía escribió un comando erróneo. Según explicó AWS a través de su página web, dicho empleado tenía la misión de depurar un problema ligado al sistema de facturación de Amazon Simple Storage Service (S3), ya que presentaba un funcionamiento lento. Para ello, debía eliminar un reducido número de servidores de un subsistema que utilizaba la facturación S3.

 

http://www.netmedia.mx/analisis/error-humano-ocasiono-falla-en-nube-de-amazon/

 

 *   Nuevo ransomware criptográfico afecta a macOS

 

El ransomware criptográfico se ha vuelto inmensamente popular entre los cibercriminales y, si bien generalmente apunta a sistemas Windows de escritorio, también hemos visto máquinas con Linux o macOS que fueron comprometidas por esta amenaza en 2016. Por ejemplo, KillDisk afectó a Linux y KeRanger atacó a OS X.

 

http://www.welivesecurity.com/la-es/2017/02/22/nuevo-ransomware-criptografico-afecta-macos/

 

*   0patch te permite solucionar la vulnerabilidad de gdi32.dll hasta que lo haga Microsoft

 

Google Project Zero es un grupo de expertos de seguridad de Google que se encargan de buscar fallos y vulnerabilidades en los sistemas operativos y programas más utilizados para comunicárselos a las compañías y hacer que estas puedan solucionarlos. Sin embargo, este grupo solo ofrece a las desarrolladoras 90 días para solucionar los fallos detectados y, de no hacerlo, estos se harán público, poniendo en evidencia a la compañía y, peor aún, en peligro a los usuarios.

 

https://www.redeszone.net/2017/03/04/0patch-solucionar-vulnerabilidad-gdi32/

 

*   Se filtran 1.370 millones de emails de uno de los mayores propagadores de spam del mundo

 

Una de estas empresas es River City Media (RCM), uno de los propagadores de spam más grandes del mundo, a pesar de que ellos se denominan como una empresa de marketing. Esta empresa manejaba hasta hace unos meses una base de datos de al menos 1.370 millones de direcciones de email, junto con otra información. ¿Cómo se ha podido saber esto? Gracias a Chris Vickery, que descubrió, probablemente en Mongo DB, la base de datos de RCM sin ningún tipo de contraseña, por lo que pudo acceder al repositorio de lo que será la caída de uno de los grandes imperios del spam en Internet.

 

https://www.adslzone.net/2017/03/06/se-filtran-1-370-millones-emails-uno-los-mayores-propagadores-spam-de.../

 

*   Kit de Phishing avanzado: robos de calidad al alcance de todos

 

Descubrimiento de los investigadores de Proofpoint, y la denominación no estaba para nada lejos de la realidad. Estamos frente a una herramienta para administrar campañas de Phishing realmente sofisticadas, la cual analizaremos desde dos puntos de vista diferentes. En primer lugar, veremos a qué se enfrenta una persona cuando es víctima de un Phishing lanzado con esta herramienta. En segundo lugar, veremos la herramienta en sí, desde el punto de vista del delincuente. Que esta herramienta pueda estar a disposición de cualquier delincuente que desee utilizarla, es peor aún. Si a esto se suma que la herramienta sea de fácil uso, brinde resultados de calidad y apunte a una capa que el software y hardware de seguridad no protegen, quizá el lector sienta un impulso de cerrar la pestaña en que abrió este post y seguir tranquilo con su día sin sumar una nueva preocupación a su vida.

 

http://blog.smartfense.com/2017/02/como-roban-la-informacion-de-tus-usuarios.html

 

*   Exploit RCE para Apache Struts (CVE-2017-5638) o cómo miles de servidores en Internet están en peligro

 

Unos de los feeds chinos que seguimos habitualmente hizo saltar por los aires nuestra actividad llevando casi toda nuestra atención a un PoC/exploit para la vulnerabilidad CVE-2017-5638 que permite RCE (ejecución remota de comandos) en las últimas versiones de Apache Struts.  El script que os mostramos a continuación, liberado por Nike Zheng (célebre y habitual hostigador de Struts), primero en páginas como Freebuf o Bobao, se aprovecha de un fallo en la función de upload del parser de Jakarta y muestra cómo modificar la cabecera Content-Header para inyectar comandos de sistema operativo cuando se llama a un action. Si lo ejecutáis contra una aplicación vulnerable el resultado será la ejecución remota de comandos con el usuario que ejecuta el servidor.  Cualquier búsqueda en Google con un dork 'filetype:action' arroja unos 35 millones de resultados, de los cuales un alto porcentaje es vulnerable, el volumen y la criticidad de los servicios afectados es simplemente dramático.

 

http://www.hackplayers.com/2017/03/exploit-rce-para-apache-struts-cve-2017-5638.html

 

*   NSMessenger: RAT totalmente Fileless a través de DNS y PowerShell

 

Mientras que las nuevas formas de ciberdelincuencia van en aumento, las actividades tradicionales parecen estar cambiando hacia técnicas más avanzadas que implican la explotación de herramientas y protocolos estándar del sistema operativo que no siempre son monitoreados. El último ejemplo de este tipo de ataque es DNSMessenger, un nuevo troyano de acceso remoto (RAT) que utiliza consultas DNS para ejecutar comandos maliciosos de PowerShell en computadoras comprometidas, técnica que hace que el RAT sea difícil de detectar en cualquier sistema tradicional. El troyano llamó la atención del grupo de investigación Talos de Cisco. Un investigador de seguridad destacó un tweet que codificaba texto en un Script de PowerShell que tenía la cadena "SourceFireSux". SourceFire es uno de los productos de seguridad corporativos de Cisco.

 

http://blog.segu-info.com.ar/2017/03/dnsmessenger-rat-totalmente-fileless.html