Boletín nº 77 Noticias Seguridad en Comunidad Movistar Empresas
FBI lanza una alerta internacional para routers cisco por ser fáciles de hackear El FBI está recomendando a las empresas y hogares, reiniciar lo antes posible los enrutadores; esto basado en un informe de Cisco de que 500,000 dispositivos infectados podrían ser destruidos con un solo comando. Expertos en seguridad informática comentaron que el malware denominado VPNFilter, fue desarrollado por el grupo de hackers rusos Sofacy. El FBI confirmo la información, ya que la semana pasada obtuvo una orden de captura de un dominio utilizado para controlar los enrutadores infectados. Cisco Talos Intelligence revelo en un informe que 500,000 enrutadores hechos por Linksys, MikroTik, Netgear y TP-Link habían sido infectados con VPNFilter. Este malware recoge el tráfico enviado a través de enrutadores infectados, como las credenciales del sitio web. Pero la capacidad más preocupante es que el malware autoriza a los actores maliciosos borrar una parte del firmware de un dispositivo infectado, dejándolo inservible. Fuente: noticiasseguridad. Pérdida de datos internos en distintas empresas De acuerdo con un aviso de seguridad de Coca-Cola, un ex-empleado de una subsidiaria de Coca-Cola ha sido encontrado en posesión de un disco duro que parecía haber sido sacado de la empresa con datos personales de 8.000 empleados. El incidente tuvo lugar en septiembre de 2017, sin embargo, los funcionarios encargados de hacer cumplir la ley solicitaron a Coca-Cola que no publicitara el asunto en ese momento debido a las investigaciones en curso. Ahora que las investigaciones han concluido, Coca-Cola ha confirmado que el disco duro contenía algunos documentos pertenecientes a sus trabajadores. Esta no es la primera vez que un interno ha dañado a la compañía para la que trabajaba. Fuente: https://www.hackread.com Todos los fondos de la aplicación de criptomonedas Taylor han sido robados en ciberataque El equipo de la startup Taylor despertó y descubrió que un actor malicioso había limpiado Taylor. El robo es una pesadilla para las startups y un problema constante en la industria de la criptomoneda, comentaron expertos en seguridad informática. Taylor es una startup que a través del diseño y lanzamiento de una aplicación comercial, quiere ser la conexión entre los intercambios de criptomonedas y la tecnología móvil. El equipo logro desarrollar el asistente de intercambio de criptomonedas inteligente Taylor, que presume ser una aplicación fácil de usar que lo ayudará a obtener beneficios todos los días. Pero no todo son buenas noticias, el proyecto ha sido arruinado por un ataque que ha drenado por completo el inicio de la tienda de criptomonedas. En una publicación de blog, el equipo de Taylor dijo que “todos nuestros fondos han sido robados, no solo el ETH (2,578.98 ETH) sino también los tokens TAY”. Esto es aproximadamente $ 1.5 millones de dólares. Fuente: noticiasseguridad.com Chrome y Firefox han estado filtrando los nombres de perfiles de Facebook desde 2016 Un grupo de investigadores de seguridad ha dado a conocer un fallo de seguridad que fue introducido en los principales navegadores web, Google Chrome y Firefox, en 2016 cuando se implementó una de las últimas características del estándar CSS, mix-blend-mode, una característica que puede ser fácilmente utilizada para filtrar la información de un perfil de Facebook, pixel a pixel, para insertarla en un iframe en una web de terceros. Si todo hubiera funcionado correctamente, las propias políticas del navegador hubieran impedido que piratas informáticos se aprovecharan de esta característica, sin embargo, esto no ha sido así. Los investigadores de seguridad que han descubierto este fallo han podido demostrar cómo es posible aprovecharse de esta característica del CSS para extraer todo tipo de información directamente de un perfil de Facebook. Para ello, se analiza pixel a pixel cada imagen o contenido multimedia dentro del perfil, así como se consiguen utilizar técnicas de reconocimiento de caracteres, OCR, para extraer texto, como el nombre o las publicaciones. Fuente: redeszone.net. Revelan que 2017 fue el "peor año" para la seguridad informática El año 2017 fue el peor para la seguridad informática, ya que la cantidad de reclamos por ciberataques y pérdida de datos superó los de los cuatro años anteriores, afirma un estudio del AIG, compañía estadounidense de finanzas y seguros, cuyos resultados publica Insurance Times. Según el reporte de AIG, publicado la semana pasada, el 26 % de los reclamos en 2017 estuvieron relacionados con los 'ransomware', virus que restringen el acceso al sistema del usuario hasta que se envíe un pago para quitar las restricciones. Mientras tanto, entre 2013 y 2016 se registró apenas un 16 % de ese tipo de denuncias. Entre otras causas de pérdidas de datos, los analistas destacaron los ataques de 'hackers' y otros fallos de seguridad como accesos no autorizados y fraude de suplantación de identidad. Entretanto, según afirman analistas, el error humano sigue siendo un factor crucial en la mayoría de los reclamos a pesar de que el número de notificaciones provocadas por negligencia de los usuarios se redujo un 7 % el año pasado. Fuente: actualidad.rt.com El sector de la aviación se prepara para una lluvia de ciberataques este verano Los ciberataques están a la orden del día. Practicamente todos los sectores andan con pies de plomo y buscando la mejor forma de protegerse ante el cibercrimen. Uno de los sectores que más amenazado se va a ver este verano es el de la aviación, a quien la Agencia Europea de Seguridad Aérea ha advertido que se avecina un verano 'caliente' con más de mil ciberataques mensuales a este sector. David Warburton, ingeniero senior de sistemas de F5 Networks afirma que con la llegada del verano la actividad en los aeropuertos crece exponencialmente. "Por desgracia, turistas y ciberdelincuentes se reparten el protagonismo a partes iguales. La Agencia Europea de Seguridad Aérea pronostica que los sistemas de aviación de este continente tendrán que hacer frente a más de mil ciberataques cada mes. Es un dato alarmante, pero no sorprendente. La tendencia a facilitar los trámites de los usuarios y la reducción de los presupuestos de TI son dos factores que se suman para reducir la seguridad efectiva de los sistemas y de los datos. En este punto, es necesario ser conscientes de que se debe priorizar la protección de las infraestructuras críticas, a menudo bastante antiguas”. Fuente: cso.computerworld.es Bancos holandeses afectados por ciberataque, todos los servicios desconectados Bancos holandeses ABN Amro y Rabobank afectados por ataques DDOS, el 27 de mayo, lo cual ha afectado a su sistema de banca en línea con servidores fuera de línea. Expertos en seguridad informática comentaron, que los actores maliciosos lanzaron ataques DDoS contra dos servidores de bancos y sobrecargaron el tráfico afectado a los sitios web. Un grupo de profesionales en seguridad informática explican, los ataques DDoS es cuando varios sistemas desbordan el ancho de banda o los recursos de un sistema específico, generalmente uno o más servidores web. Los ataques DDOS son a menudo el resultado de múltiples sistemas comprometidos, por ejemplo una botnet, que inundan el sistema de destino con tráfico. El primer ataque fue lanzado contra Rabobank y ABN Amro la semana pasada, lo que provoco que la banca en línea y móvil se desconectara, los pagos iDeal y los sitios web fueron inaccesibles. Fuente: noticiasseguridad.com Honeywell lanza su centro de Ciberseguridad Industrial Honeywell ha lanzado su primer centro de excelencia en Ciberseguridad Industrial COE en su sede de Medio Oriente en Dubai. El nuevo COE es un centro tecnológico pionero con un entorno fuera de proceso seguro para probar y demostrar las vulnerabilidades y amenazas de la red de control de procesos, capacitar a los clientes con simulaciones de ataques en tiempo real y proporcionar consultas avanzadas a los clientes. El COE demuestra aún más el compromiso de Honeywell de abordar las necesidades de ciberseguridad industrial de los clientes en la región del Medio Oriente aprovechando la experiencia, tecnología y soluciones comprobadas a nivel mundial. Esta inversión se realiza en apoyo de iniciativas del gobierno regional, como la Estrategia de seguridad cibernética de Dubai, con el objetivo de fortalecer las defensas de ciberseguridad en medio de una creciente transformación digital en todas las industrias. Fuente: www.infoplc.net Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 75 Noticias Seguridad en Comunidad Movistar Empresas
Datos de 3,1 millones de usuarios de Facebook expuestos por aplicación de terceros Después de toda la tormenta generada por el escándalo de Cambridge Analytica, una investigación llevada a cabo por New Scientist muestra que una aplicación desarrollada en la Universidad de Cambridge ha terminado por exponer los datos privados de 3,1 millones de usuarios. La aplicación, que era vendida como un test psicológico, se llamaba myPersonality y estuvo enviando datos personales como la edad, el sexo, la localización, el estado de las actualizaciones y otros resultados a investigadores de otras universidades y de distintas compañías, entre las que se encuentran Google, Microsoft, Yahoo y la propia Facebook, que accedían a lo recopilado mediante un sitio web compartido. Lo peor fue que unos estudiantes, después de subir código a GitHub (cosa normal en los entornos universitarios), acabaron filtrando, posiblemente sin querer, el usuario y la contraseña para acceder al sitio web compartido, por lo que dicha credencial se podía obtener con tan solo realizar una búsqueda en Internet. El escándalo de Cambridge Analytica ha obligado a Facebook a reforzar sus políticas en torno a la privacidad. Fuente: muyseguridad.net. Malware que mina criptomonedas CSIRT-CV ha elaborado un informe sobre el estado del arte del malware destinado a minar criptomoneda, tan en auge en los últimos meses. CSIRT-CV en colaboración con el laboratorio de malware de S2Grupo ha elaborado un informe que contiene un estado del arte de las distintas variantes de amenazas orientadas al minado de criptomoneda más comunes. En concreto se detallan el tipo de equipos objetivo más comunes de cada una, así como sus principales vías y técnicas de infección. A partir de todos los datos recopilados se puede remarcar el considerable incremento de nuevas amenazas orientadas al minado de criptomoneda, y de entre ellas el hecho de que la mayoría se basan en código reutilizado de repositorios públicos que puede ser utilizado de forma legítima. Otro detalle remarcable es que se está explotando todo tipo de dispositivos desde equipos de usuario, servidores, smartphones y dispositivos IoT. Fuente: www.csirtcv.gva.es Wicked-Mirai: nueva variante más agresiva Expertos de la empresa Fortinet identificaron a esta nueva variante de la famosa botnet Mirai a la que denominaron Wicked-Mirai. Esta nueva variante incluye al menos 3 nuevos exploit en comparación a la versión original. Usualmente los módulos que están dentro del bot Mirai son 3: Attack, Killer, y Scanner. En el análisis que realizó Fortiguard, esta nueva variante "Wicked" se centró en el mecanismo de distribución del malware. La versión original de Mirai utilizaba intentos de fuerza bruta para ganar acceso a los dispositivos IoT, pero la versión nueva viene con algunos exploit ya conocidos para realizar los ataques. Wicked utiliza los puertos 8080, 8443 80 y 81 para intentar realizar la detección de los dispositivos. Si la conexión es exitosa este intentará utilizar el exploit y descargar la carga útil. Fuente: www.seguridadyfirewall Extensiones maliciosas de Chrome infectan a más de 100.000 usuarios Ciberdelincuentes desconocidos infectaron más de 100.000 PCs mediante siete extensiones maliciosas para el navegador web Chrome, que estaban alojadas en la tienda oficial de Google. Hace tiempo que las extensiones maliciosas (y otro tipo de apps) superaron la seguridad de la tienda de aplicaciones de Google y lamentablemente se repiten este tipo de noticias a pesar de los esfuerzos del gigante de Internet. Abarcar todo su ecosistema de forma minuciosa es una tarea difícil, por lo que a veces hackers y cibercriminales consiguen colar software malintencionado tanto en la Play Store como en la Chrome Store. En enero, ICEBRG detectó cuatro extensiones maliciosas en la Chrome Store que llegaron a infectar alrededor de medio millón de computadoras, incluyendo estaciones de trabajo pertenecientes a organizaciones importantes. El mes pasado, Google decidió eliminar las extensiones de criptominado de la Chrome Web Store por los problemas derivados de esta actividad. La historia se repite, según el anuncio de la firma Radware, que habla de 100.000 máquinas infectadas por descargas de siete extensiones maliciosas de Chrome vinculadas al criptominado desde la tienda oficial. Con ello, los ciberdelincuentes habrían obtenido datos de inicio de sesión y otros confidenciales de los usuarios. Una buena parte de ellas se propagaron a través de enlaces falsos enviados a la red social Facebook. Fuente: www.muyseguridad.net Brain Food: Botnet para spam en PHP encontrado en 5.000 servidores Han conseguido comprometer 5.000 servidores con un script malicioso en PHP que ha sumado ordenadores para llevar a cabo campañas de spam a escala, las cuales van redirigiendo a los usuarios hacia páginas web sobre presuntas píldoras para potenciar dietas y mejorar la inteligencia. Fuente: www.bleepingcomputer.com Speculative Store Buffer Bypass: vulnerabilidad en Red Hat y KVM Speculative Store Bypass es una vulnerabilidad de seguridad descubierta recientemente por varios investigadores de seguridad de Google y Microsoft y bautizada por Spectre-NG y parece ser una cuarta variante del error de hardware de Spectre divulgado públicamente a principios de este año en microprocesadores modernos, y luego descubierto para afectar miles de millones de dispositivos. Los investigadores de Google y Microsoft descubrieron el error de forma independiente. Los errores se funcionan de manera similar a los errores Meltdown y Spectre, una razón por la cual se clasificaron como "variante 3a" y "variante 4" en lugar de vulnerabilidades separadas por completo. AMD, ARM, Intel, Microsoft, y Red Hat han publicado avisos de seguridad en el momento de la redacción, con explicaciones de cómo funcionan los errores, junto con los consejos de mitigación. Fuente: access.redhat.com Identifican APT Crouching Yeti, conocido por sus ataques a compañías industriales Kaspersky Lab ha descubierto la infraestructura utilizada por el conocido grupo APT de habla rusa Crouching Yeti, también conocido como Energetic Bear. Numerosos servidores en diferentes países se han visto afectados desde 2016, a veces solo con el fin de obtener acceso a otros recursos. Otros muchos, incluidos aquellos que alojan sitios web rusos, se utilizaron para ataques "watering hole". Crouching Yeti es un grupo de habla rusa de amenazas persistentes avanzadas (APT) al que Kaspersky Lab lleva siguiendo desde 2010. Es muy conocido por dirigirse contra industrias de todo el mundo, con un interés prioritario por las instalaciones de energía, con el objetivo de robar datos valiosos de los sistemas. Una de las técnicas que el grupo utiliza es la de los ataques "watering hole" (los atacantes inyectan en una web un enlace que redirige a los visitantes a un servidor malicioso). Fuente: diarioti.com Ciberdelincuetes roban 15 millones en México A finales de Abril, diversos bancos mexicanos registraron que estaban sufriendo fallas en sus sistemas de pagos y transferencias interbancarios. En este caso, el SPEI (Sistema de Pagos Electrónicos Interbancarios), que es administrado por el Banco de México(Banxico) por ser la institución financiera central del país, fue lo que presentó problemas. El sistema SPEI de México es una red doméstica similar al sistema de mensajería global SWIFT que mueve miles de millones de dólares diariamente. El 27 de abril las transferencias electrónicas de los bancos se volvieron lentas. Siendo viernes y fin de mes, varios mexicanos esperaban el pago de sus salarios por lo que algunos usuarios comenzaron a denunciar las irregularidades. Aunque se cree que fue un intento de ciberataque o una vulnerabilidad en el SPEI lo que causó que miles de trabajadores no recibieran sus pagos, Banxico rechazó la posibilidad. En su lugar acusó a los bancos afectados de ser los responsables del problema, y les ordenó trabajar en un protocolo de contingencia que provocaría retrasos en los movimientos realizados. Este protocolo de contingencia pone las transacciones en manos humanas, por lo que aunque han sido capaces de realizar algunos pagos y de retornar dinero a las cuentas originales de aquellos movimientos que no se completaron, toma una considerable cantidad de tiempo el realizar todo esto. Fuente: www.fayerwayer.com Software malicioso de minería realiza medio millón de ataques en tres días La instalación de un software de minería desde la web, a espaldas de los usuarios, es una tendencia muy en boga. Pero esta semana tomó un giro más agresivo, con un malware denominado WinstarNssmMiner, del cual se han detectado 500.000 ataques en tres días y habría dejado hasta 30.000 dólares en ganancias para los delincuentes en la criptomoneda monero. Fuente: www.criptonoticias.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín nº 70 Noticias Seguridad en Comunidad Movistar Empresas
INCIBE alerta de un intento de suplantación digital a Bankia y Mapfre El Instituto Nacional de Ciberseguridad (INCIBE), con sede en León, ha alertado hoy de una aplicación falsa que se hace pasar por la aplicación móvil oficial de Bankia en el "Play Store", y de una campaña fraudulenta de correos electrónicos que intenta suplantar a Mapfre. En un comunicado, el INCIBE ha alertado de estas dos campañas de correos fraudulentos ('phishing') que tienen como objetivo el robo de datos personales. La primera es una aplicación falsa que se puede encontrar en el mercado oficial de aplicaciones de Google. La 'app' fraudulenta que suplanta a la de Bankia tiene el objetivo de capturar el usuario y contraseña de la víctima, aparte de tener acceso a ciertos datos almacenados en el móvil y poder realizar ciertas acciones, a través de los permisos que solicita al instalar la aplicación. La segunda es una campaña de 'phishing' que intenta suplantar a la compañía de seguros Mapfre mediante un correo electrónico falso. Este correo electrónico simula la recepción de una supuesta solicitud de cambio de dirección postal, en caso de error solicita al usuario que envíe ciertos datos personales. El INCIBE ha explicado que la solución en ambos casos pasa por conectar tanto con la entidad bancaria como con la compañía aseguradora para informar de lo sucedido. Fuente: www.lavanguardia.com Best Buy, Delta y Sears sufren de robo de datos Los detalles personales relacionados con el pasaporte, la identificación, la seguridad y la información de pasajeros no se vieron afectados, dijo Delta. La cadena de tiendas por departamentos Sears y la aerolínea Delta notificaron este miércoles que parte de la información de pago de centenares de sus clientes podría haber estado expuesta a un fallo de seguridad cibernética en el proveedor de servicios de software. Sears dijo en un comunicado que fue notificada del incidente a mediados de marzo y que el problema dio lugar a un acceso no autorizado a la información de la tarjeta de crédito de al menos de 100.000 de sus clientes. El 24 de julio, la firma de tecnología que brinda servicios de soporte en línea para Delta, Sears y Kmart entre otras compañías descubrió que un agujero de seguridad informática afectó la información de pago de sus clientes en línea, dijo Sears. Fuente: www.estrategiaynegocios.net Vulnerabilidad en Cisco Smart Install Client permite ataques masivos Varios portales de internet alrededor de todo el mundo fueron bloqueados este mes a raíz de un ataque masivo lanzado contra equipos de telecomunicaciones de la compañía Cisco. Los ataques fueron producto de la vulnerabilidad de los dispositivos de Cisco, en los cuales fue instalado el Smart Install Client, una herramienta diseñada para permitir la instalación sin contacto de nuevos equipos de Cisco, sobre todo switches. La compañía precisó que los bots escanean todas las direcciones de Internet para detectar la presencia de dicha vulnerabilidad, lo que les permite ejecutar comandos en el sistema de los dispositivos de Cisco de forma remota. Talos Intelligence advirtió que los ataques podrían estar asociados "con algunos estados" e hizo referencia a la alerta que dio el CERT de Estados Unidos sobre "algunos actores cibernéticos vinculados con las autoridades rusas". Fuente: blog.segu-info.com.ar Chrome escanea el dispositivo para detectar software potencialmente no deseado De acuerdo con algunos expertos en seguridad informática, parece que Chrome está escaneando los archivos de ordenadores con Windows en busca de malware.En 2017 Google añadió algunas funciones básicas de antivirus y para ello optimizó la herramienta Chrome Cleanup Tool en una alianza con la firma de seguridad ESET. Chrome está escaneando los archivos de tu ordenador en búsqueda de malware. En caso de encontrar algún archivo sospechoso, envía metadatos del archivo donde se almacena el malware y cierta información del sistema a Google y seguidamente solicita el permiso para eliminar el archivo malicioso sospechoso. Sin embargo puedes decidir no enviar información a Google desactivando la casilla de verificación y desmarcando la opción "Informar detalles en Google". Aunque Chrome está escaneando los archivos de tu ordenador, no significa que pueda ver archivos como fotografías privadas, ya que de acuerdo con Google, el objetivo de la herramienta Chrome Cleanup Tool es asegurarse de que el malware no entre en tu navegador por medio de extensiones maliciosas. Una sección en el documento de privacidad de Chrome explica que "Chrome escanea periódicamente su dispositivo para detectar software potencialmente no deseado". Y un lenguaje similar: "Chrome escanea tu ordenador periódicamente con el único propósito de detectar software potencialmente no deseado". Fuente: motherboard.vice.com La tercera violación de datos más grande de Finlandia expone 130,000 contraseñas de texto simple de los usuarios Más de 130,000 ciudadanos finlandeses han tenido sus credenciales comprometidas en lo que parece ser la tercera violación de datos más grande jamás enfrentada por el país, informa la prensa local. La Autoridad Reguladora de Comunicaciones de Finlandia (FICORA) advierte a los usuarios de una violación de datos a gran escala en un sitio web mantenido por el New Business Center de Helsinki ("Helsingin Uusyrityskeskus"), una empresa que ofrece asesoramiento a empresarios y les ayuda a crear planes comerciales correctos. Atacantes desconocidos lograron piratear el sitio web ( http://liiketoimintasuunnitelma.com ) y robaron más de 130,000 nombres de usuario y contraseñas de inicio de sesión de los usuarios, que se almacenaron en el sitio en texto sin usar ningún hash criptográfico. Fuente: thehackernews.com Error crítico de ejecución de código encontrado en CyberArk Enterprise Password Vault Se ha descubierto una vulnerabilidad crítica de ejecución remota de código en la aplicación CyberArk Enterprise Password Vault que podría permitir a un atacante obtener acceso no autorizado al sistema con los privilegios de la aplicación web. Las soluciones Enterprise Password Manager (EPV) ayudan a las organizaciones a administrar de forma segura sus contraseñas confidenciales, controlando contraseñas de cuentas privilegiadas en una amplia gama de sistemas operativos cliente/servidor y mainframe, conmutadores y bases de datos, y manteniéndolos a salvo de atacantes externos y personas malintencionadas. Descubierta por la empresa alemana de seguridad cibernética RedTeam Pentesting GmbH, la vulnerabilidad afecta a una de esas aplicaciones Enterprise Password Vault diseñadas por CyberArk, una herramienta de administración y seguridad de contraseñas que administra claves confidenciales y controla cuentas con privilegios. La vulnerabilidad (CVE-2018-9843) reside en CyberArk Password Vault Web Access, una aplicación web NET creada por la compañía para ayudar a sus clientes a acceder a sus cuentas de forma remota. Fuente: thehackernews.com Así es como los hackers se dirigen a los switches de red de Cisco en Rusia e Irán Desde la semana pasada, un nuevo grupo de piratas informáticos llamado " JHT " secuestró una cantidad significativa de dispositivos de Cisco pertenecientes a organizaciones en Rusia e Irán, y dejó un mensaje que decía: " No te metas con nuestras elecciones " con una bandera estadounidense ( en arte ASCII). MJ Azari Jahromi, ministro iraní de Comunicaciones y Tecnología de la Información, dijo que la campaña impactó aproximadamente 3.500 conmutadores de red en Irán, aunque la mayoría de ellos ya fueron restaurados. Según los informes, el grupo de piratería está apuntando a instalaciones vulnerables de Cisco Smart Install Client, una utilidad plug-and-play heredada y diseñada para ayudar a los administradores a configurar y desplegar equipos Cisco de forma remota, que está habilitada de forma predeterminada en los switches Cisco IOS e IOS XE y se ejecuta a través de un puerto TCP 4786. Fuente: thehackernews.com Intel admite que no será posible reparar el defecto de espectro (V2) en algunos procesadores Como lo especuló el investigador que reveló las fallas de Meltdown y Specter en los procesadores Intel, algunos de los procesadores Intel no recibirán parches para el ataque de análisis de canal lateral de Specter (variante 2). En una guía de revisión reciente de microcódigo ( PDF ), Intel admite que no sería posible abordar el defecto de diseño de Spectre en sus CPU antiguas específicas, ya que requiere cambios en la arquitectura del procesador para mitigar el problema por completo. El fabricante de chips ha marcado "Detenido" para el estado de producción de un total de 9 familias de productos: Bloomfield, Clarksfield, Gulftown, Harpertown Xeon, Jasper Forest, Penryn, SoFIA 3GR, Wolfdale y Yorkfield. Estas vulnerables familias de chips, que en su mayoría son viejas y salieron a la venta entre 2007 y 2011, ya no recibirán actualizaciones de microcódigos, dejando a más de 230 modelos de procesadores Intel vulnerables a los piratas informáticos que accionan millones de computadoras y dispositivos móviles. Fuente: thehackernews.com Si estás interesado en temas de seguridad, te recomendamos que accedas a nuestro foro de seguridad. ¡Hasta la próxima semana!Boletín semanal nº 39 Noticias Seguridad en Comunidad Movistar Empresas
* La asignatura pendiente del coche autónomo es la ciberseguridad La asignatura pendiente del coche autónomo es la ciberseguridad. Los vehículos se asemejan cada vez más a ordenadores con ruedas. Los más sencillos ya cuentan con un sinfín de dispositivos electrónicos y los autónomos son pura conectividad, lo que los convierte en presa fácil y golosa de los ciberdelincuentes. Todo dispositivo conectado es susceptible de ser atacado, y los coches autónomos no iban a ser una excepción. Sin embargo, parece que las compañías y fabricantes están enfocando más sus esfuerzos en diseñar modelos inteligentes capaces de moverse con la menor intervención humana que en protegerlos para resistir al malware. http://www.ticbeat.com/seguridad/la-asignatura-pendiente-del-coche-autonomo-es-la-ciberseguridad * SambaCry: Vulnerabilidad en Linux Ahora llega el turno de equipos Linux. Una vulnerabilidad descubierta recientemente en Samba, llamada SambaCry, hace que los equipos con Linux queden expuestos en Internet. De esta forma son vulnerables a un ataque de la misma intensidad que WannaCry. Investigadores ya han detectado malware que se está aprovechando de esta vulnerabilidad en los equipos Linux. En los casos detectados se ha visto que los equipos han sido infectados con software de minería de criptomonedas. No se sabe con exactitud el número de usuarios atacados, aunque los hackers ya han obtenido beneficios a través de estos ataques. https://www.profesionalreview.com/2017/06/11/equipos-linux-atacados-por-la-vulnerabilidad-sambacry/ * Fallo de verificación en Chrome permite grabar audio y vídeo Ran Bar-Zik, desarrollador web en AOL, ha descubierto y reportado un fallo de Google Chrome que permite a una página web grabar audio y vídeo sin que aparezca el correspondiente distintivo en la pestaña. A pesar de que incluso los sitios web maliciosos necesitan que el usuario les conceda permisos para poder acceder al micrófono y a la cámara, el bug hallado en Google Chrome abre la puerta a la creación de mecanismos para grabar audio y/o vídeo de forma malintencionada. Con el fin de saber qué página web está grabando audio o vídeo, Google Chrome muestra un distintivo con un círculo rojo en la pestaña correspondiente. Este círculo rojo es también un estándar utilizado para indicar que se está grabando, ya que lo podemos encontrar en muchas aplicaciones y dispositivos, incluido smartphones. https://www.bleepingcomputer.com/news/security/chrome-bug-allows-sites-to-record-audio-and-video-without-a-visual-indicator/ * Investigadores de seguridad consiguen portar uno de los exploits de WannaCry a Windows 10 WannaCry ya lleva un tiempo dando a medios de todo el mundo titulares sin parar. De su irrupción destacó lo rápido que logró extenderse por todas partes. Sin embargo, lo que más llamaba la atención era que hacía uso de dos exploits de la NSA, EternalBlue y DoublePulsar. Este hecho conectaba al ransomware directamente con Shadow Brokers. Ahora y según hemos podido saber gracias a Fossbytes, investigadores de seguridad de la empresa RiskSense han conseguido portar EternalBlue a Windows 10. La idea es que los hackers éticos puedan investigar cómo se comporta este malware en la última iteración del sistema operativo de Microsoft. https://www.genbeta.com/seguridad/investigadores-de-seguridad-consiguen-portar-uno-de-los-exploits-de-wannacry-a-windows-10 * Malware utiliza funciones ocultas de Intel Management Engine (ME) El equipo de seguridad de Microsoft ha descubierto una familia de malware [PDF] usada por un grupo de ciberespionaje llamado "Platinum", y que se aprovecha de una característica de los procesadores Intel para saltar las herramientas de seguridad y robar datos. Sí, de una característica, no de un fallo o de una vulnerabilidad, al menos no en el estricto sentido de la palabra. Esta familia de malware usa la función SOL (Serial-over-LAN) de la Tecnología de Gestión Activa de Intel (AMT) como una herramienta de transferencia de archivos. Y, gracias a la forma en la que esa tecnología funciona, es capaz de sobrepasar la interfaz de red del sistema local de forma que ninguna herramienta de seguridad instalado puedan detectarlo. https://www.bleepingcomputer.com/news/security/malware-uses-obscure-intel-cpu-feature-to-steal-data-and-avoid-firewalls/ * Google soluciona 101 vulnerabilidades en Android Google ha publicado el boletín de seguridad Android correspondiente al mes de junio en el que corrige un total de 101 vulnerabilidades, 28 de ellas calificadas como críticas. Como es habitual, Google divide las vulnerabilidades corregidas en dos bloques principales en función de los componentes afectados. En el nivel de parches de seguridad 2017-06-01 ("2017-06-01 security patch level") se solucionan 21 vulnerabilidades, solo una de ellas se considera crítica y podrían permitir la ejecución remota de código al tratar archivos multimedia. Otras 14 de ellas son de gravedad alta y seis de importancia moderada. http://unaaldia.hispasec.com/2017/06/google-soluciona-101-vulnerabilidades.html * Impresoras utilizadas para identificación de documentos y personas Se habla de cómo las elecciones del año pasado en Estados Unidos sufrieron ciberataques por parte de la inteligencia militar rusa y ahora el FBI ha detenido a "Reality Leigh Winner" (25) por filtrar Secretos de Estado. Al parecer, esta persona hizo llegar a los medios datos que daban fuertes indicios de que Rusia intentó hackear las elecciones estadounidenses en las que Donald Trump fue elegido presidente. Para encontrarla la NSA ha estudiado (entre otras cosas) un rastro invisible que dejan las impresoras al imprimir documentos. El problema es que la mayoría de las nuevas impresoras imprimen casi de forma invisible unos puntos amarillos que rastrean exactamente cuándo y dónde se imprime cualquier documento: los "Tracking Dots". Esos puntos indican el número de serie y modelo de la impresora, además de la fecha y hora exacta de la impresión. Debido a que la NSA registra todos los trabajos de impresión, puede utilizar esto para hacer coincidir exactamente con quién imprimió el documento. http://blog.erratasec.com/2017/06/how-intercept-outed-reality-winner.html#.WUECFJLygQoBoletín semanal nº 35 Noticias Seguridad en Comunidad Movistar Empresas
* Pangu tiene un Jailbreak para iOS 10.3.1 Se especula con la salida de un nuevo Jailbreak para iOS 10.3 o iOS 10.3.1. El rumor indica que el equipo de Pangu puede publicar, incluso la semana que viene, un nuevo Jailbreak que afecte a las últimas versiones del sistema operativo iOS. Parece que los miembros del equipo Pangu, con sede en China, han estado demostrando un Jailbreak en un iPhone 7 en un iOS 10.3.1. De este modo, se ha ido alimentando las especulaciones respecto a este asunto. Muchas personas creen que el Jailbreak es cuestión de días o pocas semanas. * Chrome 29 parches de seguridad Esta nueva versión parchea un total de 12 vulnerabilidades, además de añadir nuevas funciones para mejorar el rendimiento del navegador, tanto en el ordenador como en el móvil. https://www.adslzone.net/2017/04/20/chrome-58-ya-disponible-con-pantalla-completa-en-android-y-29-parches-de-seguridad/ * Routers Linksys vulnerables La empresa IOActive publicó que varios modelos de routers Linksys tienen vulnerabilidades que se pueden explotar con diversos fines maliciosos. Los modelos son: EA2700, EA2750, EA3500, EA4500v3, EA6100, EA6200, EA6300, EA6350v2, EA6350v3, EA6400, EA6500, EA6700, EA6900, EA7300, EA7400, EA7500, EA8300, EA8500, EA9200, EA9400, EA9500, WRT1200AC, WRT1900AC, WRT1900ACS y WRT3200ACM. De entre los usos maliciosos que pueden darse a estas vulnerabilidades, se halla la posibilidad de tomar control de los routers, y utilizarlos para crear una red de bots y organizar con ella un ataque DDoS. http://blog.ioactive.com/2017/04/linksys-smart-wi-fi-vulnerabilities.html * Canal encubierto entre dos VM usando el caché compartido de la CPU Un grupo de investigadores ha demostrado que puede extraer información de una máquina virtual de Amazon Web Services a través de la memoria caché de una CPU que comparte con otras VM en la nube. Un documento titulado (traducido) "Hola desde el otro lado: SSH sobre los canales encubiertos del robusto caché en la nube (PDF)" explica los retos de la extracción de datos de caché de la CPU. http://www.hackplayers.com/2017/04/canal-encubierto-entre-dos-vm-usando-cache-cpu.html * Firefox 53 fin del soporte a Windows XP y Vista A diferencia de otras actualizaciones recientes, Firefox 53 incluye una gran serie de cambios y novedades, y además dice adiós para siempre a los equipos que aún tengan instalado Windows XP y Windows Vista, dos sistemas operativos a los que Microsoft ya dejó de dar soporte oficialmente. https://www.genbeta.com/navegadores/llega-firefox-53-con-nuevos-temas-quantum-compositor-y-fin-del-soporte-a-windows-xp-y-vista * PINLogger: Usando sensores para robar el pin de tu smartphone Los dispositivos móviles registran más datos de los que realmente necesitan. El problema es que ese registro no siempre se informa al usuario. Muchas aplicaciones reclaman permisos excesivos, y en el caso de los navegadores, extraen valores de los sensores integrados. Un grupo de investigadores en la Universidad de Newcastle demostró que es posible utilizar esto de forma maliciosa con un nuevo ataque llamado PINLogger, el cual interpreta datos de los sensores y calcula el número pin con una precisión del 94 por ciento en apenas tres intentos. http://www.neoteo.com/pinlogger-usando-sensores-robar-pin-smartphone/ * Herramienta para detectar #DoublePulsar instalado en Windows vulnerables (Actualiza!) Los delincuentes ya han comenzado a explotar las herramientas de hacking de la NSA filtradas el fin de semana pasado por ShadowBrokers y esto se ve facilitado porque hay cientos o miles de sistemas Windows vulnerables y expuestos a Internet. El conjunto de herramientas de hacking está orientado a Windows XP, Windows Server 2003, Windows 7 y 8 y Windows 2012. Microsoft liberó los parches para todas las vulnerabilidades explotadas, pero aún existen riesgos en sistemas no compatibles, así como con aquellos que aún no han instalado los parches. Múltiples investigadores de seguridad han realizado análisis en masa en los últimos días y han encontrado decenas de miles de computadoras Windows en todo el mundo infectadas con DoublePulsar, el implante espía de la NSA. Los investigadores han publicado una herramienta gratuita en GitHub para que cualquiera pueda usarla. http://blog.segu-info.com.ar/2017/04/herramienta-para-detectar-doublepulsar.html * TrueOS es un sistema operativo basado en FreeBSD orientado a escritorio, incorpora ZFS TrueOS es un sistema operativo orientado a escritorio, pero con opciones y características más propias de los sistemas operativos para servidores. Este sistema operativo TrueOS está basado en FreeBSD, una distribución de Unix muy conocida y que está orientada a la seguridad y estabilidad. TrueOS tiene como base FreeBSD-CURRENT, esto significa que recibe las últimas actualizaciones de este sistema base, actualizaciones de seguridad, drivers e incluso los paquetes disponibles para FreeBSD también son compatibles con TrueOS https://www.redeszone.net/2017/04/23/trueos-es-un-sistema-operativo-basado-en-freebsd-orientado-a-escritorio-incorpora-zfs/ * Actualizaciones de seguridad de Oracle, abril 2017 Solventan múltiples vulnerabilidades (300) encontradas hasta la fecha en diferentes productos de la compañía: Oracle Database, Oracle Application Server, Oracle Secure Backup, Oracle E-Business Suite, Oracle Java SE, Solaris, Oracle VM VirtualBox, Oracle Financial Services Analytical Applications Infrastructure, etc... Desde la empresa recomiendan parchear lo antes posible las diferentes versiones afectadas, ya que el aprovechamiento de esos fallos por parte de usuarios malintencionados podría comprometer seriamente la integridad del sistema. http://www.oracle.com/technetwork/security-advisory/cpuapr2017-3236618.html * Noticias sobre nuevas versiones de la familia ISO 27000 ¿Es un hacker vigilante tratando de proteger su dispositivo IoT? Un misterioso desarrollador detrás del gusano Hajime ("comienzo" en japonés) quiere que la gente piense que es así. Hajime fue descubierto en octubre pasado [PDF] y desde entonces ha infectado decenas de miles de productos fáciles de hackear, como DVR, cámaras de Internet y routers. Sin embargo, el programa hasta ahora no ha hecho nada malicioso. En su lugar, el gusano ha estado impidiendo que el malware Mirai infecte los mismos dispositivos. http://www.csoonline.com/article/3191092/security/a-vigilante-hacker-may-have-built-a-computer-worm-to-protect-the-iot.htmlBoletín semanal nº 16 Noticias Seguridad
* Vulnerabilidad en Chrome para Android, que permite infectar 318.000 dispositivos Una vulnerabilidad en Chrome para Android se está explotando activamente y permite descargar silenciosamente aplicaciones (.APK) de troyanos bancarios en el dispositivo de la víctima. Los investigadores de Kaspersky, Mikhail Kuzin y Nikita Buchka, descubrieron una campaña de publicidad maliciosa que aparece en el navegador y descarga una aplicación APK en el dispositivo. Mediante un engaño, los atacantes convencen al usuario para cambiar la configuración de seguridad del dispositivo y permitir la instalación de aplicaciones de terceros y de tiendas que no son de Google Play. Este engaño permite instalar la aplicación en el dispositivo. Desde el mes agosto, el troyano ha infectado más de 318.000 dispositivos Android en todo el mundo, gracias a los anuncios de Google AdSense que estaban siendo abusados para difundir un troyano denominado Svpeng. * Microsoft publica 14 boletines de seguridad y soluciona 68 vulnerabilidades, incluidos 2 0-day Microsoft ha publicado 14 boletines de seguridad (del MS16-129 al MS16-142) correspondientes a su ciclo habitual de actualizaciones. Según la propia clasificación de Microsoft seis de los boletines presentan un nivel de gravedad "crítico" mientras que los ocho restantes son "importantes". En total se han solucionado 68 vulnerabilidades (algunas de ellas en varios productos). También se han solucionado dos 0days, incluido el reciente anunciado por Google. Además se han corregido otras nueve vulnerabilidades adicionales en Flash Player. http://unaaldia.hispasec.com/2016/11/microsoft-publica-14-boletines-de.html * El ataque de DDoS desciende el sistema de calefacción central en invierno en Finlandia Ocurrió a finales del mes pasado cuando un ataque golpeó el sistema de calefacción en Finlandia, un ataque de Denegación de Servicio Distribuido (DDoS) provocó la interrupción de los sistemas de calefacción para al menos dos bloques de viviendas en la ciudad de Lappeenranta, dejando literalmente a sus residentes bajo condiciones climáticas muy adversas. Ambos apartamentos son gestionados por una empresa llamada Valtia, una empresa de servicios de instalaciones con sede en Lappeenranta. El CEO Valtia Simo Rounela confirmó al medio de comunicación Inglés lenguaje Metropolitan, que el sistema de calefacción central y agua caliente en ambos edificios se habían convertido en un objetivo de los ataques DDoS. * Cuidado con los mensajes de correo electrónico de phishing posteriores a las elecciones que apuntan a las ONG y los Think Tanks Pocas horas después de que Donald Trump ganara la elección presidencial de 2016, un grupo de hackers lanzó una ola de ataques cibernéticos dirigidos a los think tanks de Estados Unidos con una nueva campaña de phishing diseñada para engañar a las víctimas en la instalación de malware. El grupo de hackers del Estado-nación, también conocido como Cozy Bear, APT29 y CozyDuke, es el uno de los implicados en la reciente violación de los datos del Comité Nacional Demócrata (DNC) y está supuestamente vinculada al gobierno ruso. El miércoles, los hackers enviaron una serie de correos electrónicos de phishing a decenas de objetivos asociados con organizaciones no gubernamentales (ONG), think tanks de política en Estados Unidos e incluso dentro del gobierno de Estados Unidos, dijo la firma de seguridad Volexity. * Google pixel El nuevo smartphone Android lanzado por Google hace sólo unos meses ha sido hackeado por los hackers chinos en menos de un minuto. Sí, el último smartphone Pixel de Google ha sido hackeado por un equipo de piratas informáticos de sombrero blanco de Qihoo 360, además de la competencia de piratería PwnFest 2016 en Seúl. El equipo Qihoo 360 demostró una vulnerabilidad de prueba de concepto que utilizó una vulnerabilidad de día cero para lograr la ejecución remota de código (RCE) en el smartphone de destino. La vulnerabilidad a continuación, puso en marcha la tienda Play Google en el teléfono inteligente de píxeles antes de abrir Google Chrome y la visualización de una página web que leer "Pwned Por Equipo Alfa 360," los medios de comunicación Reg informes. Qihoo 360 ganó un premio en efectivo de $ 120,000 por hackear el píxel. * 5 principales bancos rusos sufren poderosos ataques DDoS Ahora, en el último incidente, al menos cinco bancos rusos han estado sujetos a una serie de ataques DDoS durante dos días, dijo el regulador bancario ruso. La estatal Sberbank fue uno de los cinco objetivos de los ataques que comenzaron el martes por la tarde y duraron los próximos dos días. Según Kaspersky Lab, el ataque más largo duró 12 horas y alcanzó un máximo de 660.000 solicitudes por segundo proveniente de una botnet de al menos 24.000 dispositivos hackeados ubicados en 30 países. Para más información sobre todas estas noticias, puedes acceder a la web The Hacker News.
