Boletín nº 64 Noticias Seguridad en Comunidad Movistar Empresas

Moderador Senior Empresas
1.056 Visitas

Boletín de Noticias de Seguridad  Comunidad Empresas

 

  

Skype no puede reparar un error de seguridad

 

Afecta al funcionamiento del programa Skype y puede ser aprovechado para realizar DLL hijacking, o secuestro de DLL. Este ataque permite descargar una librería DLL con código malicioso en una carpeta del usuario, y renombrarla con el mismo nombre de una librería normal del sistema.

Una vez instalado, Skype utiliza su propio archivo de actualización en lugar de Microsoft Update. Skype periódicamente ejecuta "%ProgramFiles%\Skype\Updater\Updater.exe" bajo la cuenta de System y cuando una actualización está disponible este Updater.exe copia y ejecuta el archivo "%SystemRoot%\Temp\SKY[abcd].tmp". Este ejecutable es el vulnerable a DLL hijacking porque al menos utiliza UXTheme.dll desde su propio directorio del sistema de Windows. Un usuario podría reemplazar esta DLL u otra para escalar privilegios.

A partir de esto, el atacante podría ganar permisos de administrador en nuestro sistema. Con este salto de privilegios, el atacante no estaría limitado a las carpetas del usuario, sino que tendría acceso a todo el sistema. Según Kanthak, aunque este bug ha sido probado en Windows, también se puede aplicar a Mac y a Linux. Más información en  ZDNet.com

 

 

Nuevo fallo en Apple: Una sola letra inutiliza tu iPhone

 

Una sola letra es necesaria para hacer que tu iPhone deje de funcionar. La publicación italiana Mobile World ha descubierto este nuevo fallo en el sistema operativo iOS 11 en el que al recibir un carácter en la aplicación de mensajería de los teléfonos Apple, así como en aplicaciones desarrolladas por terceros, provoca que el terminal entre en bucle y sea imposible acceder a dichas aplicaciones de mensajería. Más información en elmundo.es.

 

 

Saturn, el nuevo ransomware que siembra el caos entre los usuarios

 

Vuelven los ransomware después de una pequeña pausa. Algunos expertos en seguridad han encontrado una nueva amenaza presente en equipos de empresas y usuarios particulares. La han bautizado con el nombre de Saturn, ya que añade esta extensión a todos aquellos archivos del sistema que se ven afectados por su cifrado. Hay que extremar las precauciones con esta amenaza. Los expertos en seguridad indican que los archivos cifrados por el momento no son recuperables. Esto quiere decir que conviene guardar en la recámara una copia de seguridad reciente para disponer de cierta maniobrabilidad ante este tipo de sucesos. Para ser más precisos, la comprobación que realiza está relacionada con el entorno de ejecución. Si se detecta que se trata de una máquina virtual, el ransomware Saturn detiene cualquier actividad. De no ser así, comienza con el caos, modificando la configuración del sistema operativo Windows. Más información en bleepingcomputer.com

 

 

La compañía de Elon Musk fue víctima del denominado cryptojacking

 

La minería en la nube es posible hace tiempo y el código malicioso para hacerlo en ordenadores de terceros sin permiso, también. En esta ocasión, se accedió a la cuenta en la nube de Tesla para usarla y minar criptomonedas. Según lo relatado por el equipo de RedLock Cloud Security, los atacantes lograron infiltrarse en la consola de administración de Kubernetes (un sistema diseñado por Google para optimizar las aplicaciones en la nube) de Tesla, porque increíblemente no tenía contraseña. De esta forma, se hicieron de las credenciales de Tesla para entrar a la cuenta en la nube de Amazon Web Services (AWS). Estando dentro, instalaron un software de minería y, según señala la firma, probablemente lo configuraron para usar solo una parte del procesamiento y no levantar sospechas. El método llamado cryptojacking también afectó a la aseguradora británica Aviva y el fabricante holandés SIM Gemalto. Desde Tesla se refirieron al incidente: Abordamos esta vulnerabilidad a las pocas horas de conocerla. Nuestra investigación inicial no encontró indicios de que la seguridad del cliente o la seguridad de los vehículos se viera comprometida de alguna manera. Desde RedLock, aunque no han especificado cuál fue la criptomoneda que minaron, declararon que el constante monitoreo es fundamental. Más información en fayerwayer.com

 

 

Pymes europeas pagaron casi $100 millones por ransomware en 2017

 

Las PYMES europeas se vieron obligadas a pagar casi $100 millones para recuperar el acceso a computadoras bloqueadas, ya que un ransomware continuó atacando en la región el año pasado, según un informe de una empresa de seguridad informática. Una firma de seguridad informática realizo un estudio con 150 proveedores de tecnología que sirven a más de un millón de pequeñas y medianas empresas de toda Europa. El estudio realizado mostro que el 5% de las PYMES fueron víctimas del ransomware el año pasado, pagando $98 millones entre el segundo trimestre de 2016 y el segundo trimestre de 2017. No solo PYMES han sufrido estos ataques, empresas importantes como Maersk y FedEx han sido atacadas por ransomware, ambas informando pérdidas operacionales de $300 millones después de los ataques. El colaborador de una compañía dedicada a la seguridad informática como WebImprints, comento “El impacto del ransomware puede ser triple. El costo del rescate, el tiempo de inactividad y cualquier daño a la reputación puede tener un efecto amenazante para las PYMES…”. Más información en noticiasseguridad.com

 

 

El FBI, la CIA y la NSA recomiendan no utilizar teléfonos Huawei por miedo al espionaje chino

 

Estados Unidos no se fía ni de Huawei ni de sus teléfonos móviles. Los responsables de las seis principales agencias de inteligencia norteamericanas han advertido a los estadounidenses de que no deben utilizar los productos y servicios de las empresas chinas Huawei y ZTE, alegando que los terminales desarrollados por estas marcas podrían estar funcionando como agentes chinos y realizando labores de espionaje pare el gobierno de de Pekín. Más información en elmundo.es

 

 

El malware de la botnet DoubleDoor esquiva firewalls para instalar una puerta trasera

 

La creación de botnets es algo que se encuentra a la orden del día. Expertos en seguridad de la compañía NewSky han encontrado una que puede saltarse los sistemas de seguridad de los dispositivos accesibles desde Internet para anular otras medidas de seguridad e instalar puertas traseras en los dispositivos. Estamos hablando de DoubleDoor, una botnet que según expertos cuenta con bastante proyección.

 

Para ser más precisos, los ciberdelincuentes se están aprovechando de dos fallos de seguridad, catalogados como CVE-2015–7755 y CVE-2016–10401. Tal y como se puede observar, son dos fallos que son antiguos. Sin embargo, tal y como sucede en muchas ocasiones, los responsables de actualizar los equipos no han hecho los deberes. Esto ha provocado que los equipos continúen siendo vulnerables. Más información en redeszone.net

  

 

Un solo carácter NULL podría permitir ocultar malware a los antivirus en Windows 10

 

Anti-Malware Scan Interface deja de escanear un script tras un carácter NULL.Tal como han demostrado expertos de seguridad, el fallo en Windows Defender se encuentra con que este motor de escaneo empieza a analizar cualquier archivo o script pero, en el momento en el que se topa con un carácter NULL, el motor de escaneo deja de analizar el script, dándolo por bueno. Fallo seguridad NULL Anti-Malware Scan.

De esta manera, los piratas informáticos podrían esconder todo el código malicioso por debajo de este carácter NULL para que, aunque se analice el script, el código malicioso pase desapercibido y no sea detectado. Más información en RedesZone.net

 

 

Hackers hackeados: borran 1 TB de spyware para proteger a los usuarios

 

Afincada en Florida, en los Estados Unidos, Retina-X Studios se dedica al desarrollo de software y aplicaciones orientadas al control de dispositivos. Este ‘control’ se lleva a cabo por parte de un usuario principal, que puede ser el padre o jefe. En definitiva, una herramienta de control en el ámbito laboral y doméstico. Sin embargo, en abril de 2017 sufrieron un ataque que permitió descubrir que instalaban spyware en los dispositivos de sus clientes para extraer información que, evidentemente, en ningún caso se había cedido de forma voluntaria. 

Han sido los ‘hackeados’, y han borrado 1 TB de spyware de sus servidores en la nubeMás información en adslzone.net

 

 

Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad.