About Taringa!

Popular channels

Vulnerabilidad [Día Cero] de WINDOWS 2010

DIA CERO (0-day) DE WINDOWS (07/10)






Esto es interesante para todos aquellos que usan Windows. Las noticias están en orden cronológico desde el 16 de julio 2010 que fue la fecha en que Microsoft dió a conocer el fallo hasta el "fix" provisorio que ha sacado a los usuarios finales. Al final están algunos métodos para evitar (no en su totalidad) esta última falla de Día Cero que ha afectado a unas 25,000 computadoras (Más en Europa).




Fecha: 16/07/2010


Microsoft reconoció nueva vulnerabilidad en Windows


La falla se aprovecha para los accesos directos.
La compañía todavía no ha entregado una solución.


-Cooperativa.cl

Como una manera de advertir a los usuarios, Microsoft publicó un informe de seguridad en el cual reconoció la existencia de una vulnerabilidad, relacionada con un troyano, que entrega el control de un computador a los hackers, a través del sistema de accesos directos.

Informe/Boletín oficial revelado por Microsoft el 16 de julio de 2010: http://www.microsoft.com/technet/security/advisory/2286198.mspx

Según la compañía, la vulnerabilidad responsable de este troyano existe porque Windows "lee" los links sin que el usuario tenga injerencia ni ejecute nada. Este tipo de conducta de los sistemas operativos ya pone en riesgo a los computadores por medio de los pendrives.



Windows 7 es más seguro que XP en este caso.



Para los sistemas que tengan la función "Reproducción automática" habilitada, como XP, los usuarios están potencialmente en peligro con sólo recorrer la carpeta infectada. En Windows 7 dicha característica está deshabilitada, por lo que los usuarios corren menos riesgos.

Microsoft anunció que están investigando el problema, que afecta a XP, Vista, 7 y las distintas versiones de Windows Server. Una vez que tenga un panorama completo de la situación tomará las medidas apropiadas para proteger a sus clientes.

Para los usuarios de XP, sistema operativo mayoritario del mercado, Microsoft posee una actualización que evita que se ejecute el archivo autorun.inf que viene insertado en los pendrives, permitiendo que sólo los CD y DVD desplieguen sus opciones al ingresar al equipo.



- Fuente: http://www.cooperativa.cl/microsoft-reconocio-nueva-vulnerabilidad-en-windows/prontus_nots/2010-07-19/174124.html (Cooperativa.cl)

---

También puedes evitar la reproducción automática de CD/DVD's y PenDrives en XP realizándolo manualmente, visitando este post por aletto: http://www.taringa.net/posts/ebooks-tutoriales/1938207/Desactivar-Reproduccion-Automatica-en-Win-XP.html




Fecha: 19/07/2010


Confirma vulnerabilidad (y no parchará Windows XP SP2)






Microsoft ha confirmado la existencia de una vulnerabilidad que permite a un atacante ejecutar código arbitrario en la máquina objetivo. El vector utilizado es nada menos que un acceso directo, de extensión lnk.

Sucede que la manera como están construidos los accesos directos en Windows, en particular la forma que el sistema operativo tiene para buscar, identificar y desplegar el ícono asociado a ellos, permite ejecutar ciertos comandos por el simple hecho de aparecer en una ventana del explorador de archivos. Esto último es particularmente grave: aunque cualquier persona con sentido común sabe que no debe ejecutar adjuntos, en este caso no hace falta que lo ejecutes, basta que lo veas en un directorio y cuando Windows busca el ícono se infecta.

Hasta ahora han descubierto que se está usando esa vulnerabilidad para distribuir cierto rootkit a través de pendrives, pero ese es sólo uno de los múltiples usos que se le puede dar. Piensen solamente que bastaría dejarlo en una carpeta de red para que una corporación entera se contagiara al navegar en ella.

El agujero de seguridad afecta a múltiples sistemas operativos incluyendo Windows 7. Microsoft no ha dicho cuándo piensa liberar un parche y hasta ahora sólo ha recomendado desactivar la reproducción automática o incluso desactivar el uso de íconos en accesos directos, lo cual empeora en extremo la apariencia del sistema.

Adicionalmente, en el listado de sistemas vulnerables no se incluye Windows 2000 ni Windows XP SP2. No es porque sean seguros, sino porque se terminó el soporte y simplemente no van a liberar los respectivos parches.

- Fuente: http://www.fayerwayer.com/2010/07/microsoft-confirma-vulnerabilidad-y-no-parchara-windows-xp-sp2/ (F. Figueroa)




Fecha: 20/07/2010


Vulnerabilidad ‘0-day’ en Windows explotada para distribuir malware





Microsoft publicó un boletín para advertir de una nueva vulnerabilidad “0-day” en Windows que está siendo explotada para distribuir software malicioso.

La falla permite la ejecución de código por medio de archivo .Ink, los cuales corresponden a los iconos de accesos directos. Basta con abrir una carpeta de Windows o conectar una unidad USB que incluya un acceso directo malicioso para que el exploit tenga éxito. Sólo en Windows 7, en donde la función de ejecución automática de memorias USB está desactivada por defecto, el usuario tendría que acceder al dispositivo manualmente para que se explote el fallo.

Windows XP SP2, XP SP3×64, 2003, Vista, Server 2008 y 7 son las versiones afectadas. Microsoft informó que ya está trabajando en una actualización, pero hasta el momento aún no se ha determinado una fecha para su lanzamiento.

Por ahora, la única forma de bloquear la vulnerabilidad y prevenir posibles ataques es desactivando la visualización de los iconos .Ink. En el boletín de seguridad de Microsoft se incluyen los detalles para aplicar esta solución. (En Soluciones Provisionales coloqué las instrucciones para el "Fix it" automáticamente, el texto original está en inglés y traducido al español para la comunidad.)

- Fuente: http://www.opensecurity.es/vulnerabilidad-0-day-en-windows-explotada-para-distribuir-malware/ (Christian Betancourt)




Fecha: 20/07/2010

Falla de seguridad en Windows, utilizada para propagar malware



ESET, empresa desarrolladora de la multipremiada solución ESET NOD32 Antivirus, alerta sobre la existencia de un nuevo método de ataque por medio de la vulnerabilidad informada por Microsoft en su boletín del día 16 de Julio. Los sistemas operativos afectados son Windows XP, Vista, 7, 2003 y 2008 y se desconoce si funciona en versiones anteriores, dado que por encontrarse fuera de su ciclo de vida Microsoft no ha informado al respecto.

Esta vulnerabilidad está siendo activamente aprovechada por dos códigos maliciosos, uno de ellos diseñado para facilitar la infección de los sistemas operativos a través de la apertura automática de dispositivos; y el otro buscando esconderse dentro del sistema por medio de técnicas de rootkit. Ambas amenazas son proactivamente detectadas por las soluciones de ESET como LNK/Autostart.A y Win32/Stuxnet.A respectivamente.

Por otro lado, también cabe destacar que el malware Win32/Stuxnet.A posee instrucciones relacionadas al sistema de monitoreo SCADA por lo que se estima que el mismo ha sido desarrollado con la finalidad de realizar ataques dirigidos al sistema en cuestión.

Si bien las estadísticas brindadas por el Laboratorio de ESET dejan en evidencia que la mayor tasa de propagación se encuentra en USA (57,71%) e Irán (30%), la vulnerabilidad representa una grave amenaza para la seguridad de los sistemas de información, que podrían verse reflejada en América Latina.

“Es posible que la propagación de códigos maliciosos aprovechando esta vulnerabilidad se masifique y que los ciberatacantes la utilicen de forma masiva a través de otros tipos de malware. Dada la amplia utilización de los sistemas operativos Windows, tanto a nivel hogareño como empresarial, esta cuestión representa un riesgo real para la seguridad informática de los equipos que debe ser tenida en cuenta”, aseguró Jorge Mieres, Analista de Seguridad de ESET Latinoamérica.

Esta amenaza se propaga a través de un agujero de seguridad en la interfaz del Explorador de Windows y puede infectar el equipo con sólo abrir una carpeta donde se encuentre almacenado un archivo especialmente diseñado para explotar la vulnerabilidad, sin necesidad de hacer doble clic sobre el mismo.

“El mejor consejo que puede darse a los usuarios en este momento es que mantengan actualizado su antivirus e instalen las últimas versiones de sus sistemas operativos ni bien el parche de seguridad sea liberado por Microsoft”, agregó Sebastián Bortnik, Analista de Seguridad de ESET para Latinoamérica.

- Fuente: http://www.liacolombia.com/portalvulnerabilidad-zero-day-en-windows-utilizada-para-propagar-malware/ (Hans Steffens)




Fecha: 21/07/2010


Microsoft libera Fix it para solucionar vulnerabilidad “LNK”





Microsoft ha publicado una herramienta (Fix it) para reparar la falla de seguridad en Windows sin parchear, ocasionada por vulnerabilidad en la funcionalidad de los ficheros LNK y .PIF. La compañía de Redmond a su vez, informa que continua trabajando en el desarrollo de un parche para la vulnerabilidad.

La herramienta de microsoft, mitiga la vulnerabilidad al deshabilitar la visualización de los iconos en la barra de tareas y el menú de Windows. Si bien el Fix it no es un parche que repare la falla completamente, por lo menos permite mitigar riesgos de seguridad a través del principal vector de ataque.

La vulnerabilidad se debe a que Windows lee incorrectamente determinados enlaces directos (ficheros .lnk) que han sido previamente modificados, de tal manera que cuando el usuario visualiza dichos enlaces se ejecuta el código malicioso. Esta falla de seguridad puede ser explotada a nivel local a través dispositivos USB maliciosos sin hacer uso del tradicional autorun.inf, es decir, que simplemente utilizando un explorador de ficheros que visualice iconos es suficiente para infectar el equipo. También de forma remota a través de unidades compartidas de red y WebDAV. Un exploit también puede ser incluido en los tipos de documentos específicos soportados por accesos directos, dice Microsoft

Instalación y configuración del Fix it: Esta es una traducción al español del anuncio de microsoft publicado en el aviso de seguridad técnico de INTECO-CERT.

El Fix-It permite deshabilitar la funcionalidad de los ficheros .LNK y .PIF en equipos Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server R2. Tras la instalación los iconos de la barra de tareas y del menú de inicio serán remplazados por iconos blancos sin una representación gráfica.

Para su instalación y configuración visite: Soporte Microsoft Nota: La instalación del “Fix it” requiere reiniciar el equipo

Si existen problemas a la hora de instalar el “Fix it”, puede desinstalar el mismo usando el ejecutable debajo de “Disable workaround” y llevar a cabo el proceso de forma manual:

1. Seleccionar Inicio -> Ejecutar y escribir Regedit
2. Localizar y pulsar la entrada de registro “HKEY_CLASSES_ROOTlnkfileshellexIconHandler”
3. Pulsar en el menú archivo y seleccionar exportar
4. En el cuadro de diálogo de exportación introducir LNK_Icon_Backup.reg y pulsar en guardar. (Nota: Esto creará por defecto la clave de registro en “Mis Documentos”)
5. Seleccionar el valor (Default) en la parte derecha del editor del registro. Pulsar Intro para editar el valor de la clave. Pulsar suprimir para borrar el valor de la entrada, de manera que el valor quede vacío.
6. Reiniciar explorer.exe o reiniciar el ordenador.

Deshabilitando el servicio WebClient ayuda a proteger los sistemas afectados de los intentos de aprovechar esta vulnerabilidad a distancia a través de WebDAV (Web Distributed Authoring and Versioning). Para deshabilitar WebClient Service:

1. Seleccionar Inicio -> Ejecutar y escribir services.msc
2. Pulsar boton derecho sobre WebClient service y seleccionar Properties
3. Cambiar el tipo de inicio a Disable. Si el servicio está corriendo, pulsar Stop
4. Pulsar OK y salir de la aplicación de gestión

Nota: Cuando el servicio WebClient está deshabilitado, las solicitudes de WebDAV no se transmitirán. Además, cualquier servicio que dependa explícitamente del servicio de Web Client no se iniciará, y un mensaje de error será generado en el registro del sistema.

En Security by Default además propone otra solución haciendo uso de las Directivas de Restricción de Software.

- Fuente: http://liacolombia.com/2010/07/microsoft-libera-fix-it-para-solucionar-vulnerabilidad-lnk/ (Hans Steffens)





SOLUCIONES PROVISIONALES





-Deshabilitando la visualización de los iconos para los accesos directos (Barra de Tareas y lista de Programas del Menú Inicio de Windows Le quita estética a Windows pero más vale prevenir que lamentar.

1. Método: "Fix it For Me"

Windows lo hace automáticamente por ti con su utilidad "Fix it".

Para implementar la solución que desactiva automáticamente la funcionalidad de las extensiones .LNK y .PIF en una pc usando Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 o Windows Server R2 haga clic en el enlace "Fix this problem" situado sobre el título "Enable workaround". Para restaurar o quitar la solución aplicada haga clic en el enlace "Fix this problem" sobre el título "Disable workaround". Para ambos casos hacer clic en "Run" en el cuadro de diálogo de la descarga y siga las instrucciones del asistente.

NOTA: Una vez aplicado el "Fix it" requerirá reiniciar la pc. La instalación del Fix it se le avisará al usuario antes de reiniciar el equipo.

Impacto del Fix it:
Algunos iconos dejarán de mostrar su representación gráfica quedándonos así:


- Los de la barra de Tareas (o Inicio rápido)



- Los del Menú Inicio


Links Directos:

-Activar el Fix

-Desactivar el Fix

Ó puedes ver en el sitio de Microsoft para ver más información y descarga sobre el "Fix it".
Link: http://support.microsoft.com/kb/2286198



2. Método: "Let Me Fix it myself" (la forma manual editando el registro)

En la noticia del 21 de julio(ver arriba) nuestro amigo Hans Steffens (LIA Solutions Ltda.) explica paso a paso cómo aplicar la solución del "Fix it" manualmente para deshabilitar la visualización de los .LNK y .PIF, se le agradece por su colaboración de traducción al español ya que la solución oficial por Microsoft sólo está en inglés.

- El "Fix it" sirve para cualquier versión de Windows



3. Método: Mediante Directivas de Restricción de Software

Esta entrada detalla cómo aplicar una directiva de restricción de software para evitar la última vulnerabilidad crítica de Windows en todas sus versiones y para la que aún no hay parche. Es una libre adaptación y traducción de la entrada de Didier.

Para aplicar la directiva hay que acceder desde el panel de control, herramientas administrativas: Directiva de seguridad Local.





La primera vez que se accede a las Directivas de restricción de software, es necesario crearlas pulsando sobre el botón derecho en esa carpeta.





Posteriormente se añadirá la ruta de los discos duros donde se encuentren ficheros de sistema y que serán excluidos de la directiva. Añadiendo una nueva ruta dentro de las "Reglas adicionales", en el ejemplo el disco es C:






Para evitar la vulnerabilidad, además de los archivos ejecutables EXE, también hay que añadir las librerías DLL. En las propiedades de "Obligatoriedad", seleccionando "Todos los archivos de software"





Por último, se modificará el funcionamiento de listas negras a listas blancas. Dentro de Niveles de Seguridad, en las propiedades de "No permitido": Establecer como predeterminado.





Esta misma directiva podría ser aplicada mediante una GPO en un dominio, de tal forma que todos los equipos de la red queden protegidos de la vulnerabilidad.

Una vez aplicada, será necesario que el usuario vuelva a iniciar sesión para que los cambios tengan efecto.

- Fuente: http://www.securitybydefault.com/2010/07/solucion-la-vulnerabilidad-lnk-de.html (Alejandro Ramos)





Vulnerabilidad de ejecución automática de archivos de acceso directo "LNK" de Microsoft Windows


Bugtraq ID: 41732
Clase: Error de diseño
CVE: CVE-2010-2568
Remoto: Yes
Local: No
Publicado: Jul 15 2010 12:00AM
Actualizado: Jul 21 2010 02:26PM
Credito: VirusBlokAda
Vulnerables:
Microsoft Windows XP Tablet PC Edition SP3
Microsoft Windows XP Tablet PC Edition SP2
Microsoft Windows XP Tablet PC Edition SP1
Microsoft Windows XP Tablet PC Edition
Microsoft Windows XP Professional x64 Edition SP3
Microsoft Windows XP Professional x64 Edition SP2
Microsoft Windows XP Professional x64 Edition
Microsoft Windows XP Professional SP3
Microsoft Windows XP Professional SP2
Microsoft Windows XP Professional SP1
Microsoft Windows XP Professional
Microsoft Windows XP Media Center Edition SP3
Microsoft Windows XP Media Center Edition SP2
Microsoft Windows XP Media Center Edition SP1
Microsoft Windows XP Media Center Edition
Microsoft Windows XP Home SP3
Microsoft Windows XP Home SP2
Microsoft Windows XP Home SP1
Microsoft Windows XP Home
Microsoft Windows XP Gold 0
Microsoft Windows XP Embedded Update Rollup 1.0
Microsoft Windows XP Embedded SP2 Feature Pack 2007 0
Microsoft Windows XP Embedded SP3
Microsoft Windows XP Embedded SP2
Microsoft Windows XP Embedded SP1
Microsoft Windows XP Embedded
Microsoft Windows XP 64-bit Edition Version 2003 SP1
Microsoft Windows XP 64-bit Edition Version 2003
Microsoft Windows XP 64-bit Edition SP1
Microsoft Windows XP 64-bit Edition
Microsoft Windows XP 0
Microsoft Windows Vista x64 Edition SP2
Microsoft Windows Vista x64 Edition SP1
Microsoft Windows Vista Ultimate 64-bit edition SP2
Microsoft Windows Vista Ultimate 64-bit edition SP1
Microsoft Windows Vista Home Premium 64-bit edition SP2
Microsoft Windows Vista Home Premium 64-bit edition SP1
Microsoft Windows Vista Home Basic 64-bit edition SP2
Microsoft Windows Vista Home Basic 64-bit edition SP1
Microsoft Windows Vista Enterprise 64-bit edition SP2
Microsoft Windows Vista Enterprise 64-bit edition SP1
Microsoft Windows Vista Business 64-bit edition SP2
Microsoft Windows Vista Business 64-bit edition SP1
Microsoft Windows Vista Ultimate SP2
Microsoft Windows Vista Ultimate SP1
Microsoft Windows Vista SP2
Microsoft Windows Vista SP1
Microsoft Windows Vista Home Premium SP2
Microsoft Windows Vista Home Premium SP1
Microsoft Windows Vista Home Basic SP2
Microsoft Windows Vista Home Basic SP1
Microsoft Windows Vista Enterprise SP2
Microsoft Windows Vista Enterprise SP1
Microsoft Windows Vista Business SP2
Microsoft Windows Vista Business SP1
Microsoft Windows Server 2008 Standard Edition SP2
Microsoft Windows Server 2008 for x64-based Systems SP2
Microsoft Windows Server 2008 for Itanium-based Systems SP2
Microsoft Windows Server 2008 for 32-bit Systems SP2
Microsoft Windows Server 2008 Enterprise Edition SP2
Microsoft Windows Server 2008 Datacenter Edition SP2
Microsoft Windows Server 2003 x64 SP2
Microsoft Windows Server 2003 Web Edition SP2
Microsoft Windows Server 2003 Standard Edition SP2
Microsoft Windows Server 2003 Itanium SP2
Microsoft Windows Server 2003 Enterprise x64 Edition SP2
Microsoft Windows Server 2003 Datacenter x64 Edition SP2
Microsoft Windows 7 Ultimate 0
Microsoft Windows 7 Starter 0
Microsoft Windows 7 Professional 0
Microsoft Windows 7 Home Premium 0
Microsoft Windows 7 for x64-based Systems 0
Microsoft Windows 7 for 32-bit Systems 0
3DM Software Disk Management Software SP2

bonita lista no?

- Fuente: http://www.securityfocus.com/bid/41732 (SecurityFocus)


Mi resumen:

-Ha atacado a unos 25,000 computadoras con Windows XP,Vista y 7, la mayoría en Europa (Portugal y Rusia) y también al Reino Unido (UK).
-Actualicen sus sistemas, antivirus, anti-spywares, revisen frecuentemente el Windows Update.
-Microsoft no ha dado a conocer de parches o actualizaciones algunas hasta la fecha, aún así es recomendable estar pendiente del Windows Update.

-Tengan cuidado con las unidades removibles USB ó pendrives que usen, conecten sólo dispositivos de confianza.
-No hacer clic sobre archivos de acceso directo .LNK de la red, Internet o correos electrónicos.

-Y uno de los que más recomiendo a golpes, comiencen a usar cuentas de usuario con pocos privilegios. Si ese inoficioso logró explotar esa vulnerabilidad en tu computadora podrá obtener los mismos derechos que el usuario local. Los que tengan cuentas configuradas con pocos privilegios en el sistema operativo tendrán mucho menos impacto de infección que usuarios con privilegios de Administrador!

Mientras tanto, protéjanse hasta que salgan parches y/ó actualizaciones. Por ahora yo uso la cuenta de Visitante cuando me conecto a Internet. Rara vez uso la de Administrador (sólo para Instalar programas, realizar mantenimiento, sin Internet).

Espero haber colaborado con mi primer post y deseo que les sirva de información a muchos sobre este nuevo agujero revelado por Microsoft gracias a la compañía ESET (los mismos del nod32).

-Las noticias fueron recopiladas de Internet de muchas páginas con detalles y sus respectivas fuentes, hasta la fecha, al igual que también de la página oficial de Microsoft.

-Las soluciones provisionales las provee Microsoft en su página en Inglés traducido por mí, y otras las encontré en otros sitios que quise compartir con ustedes.

Avisaré por este medio si ya ha salido algún parche provisorio o definitivo por Microsoft para solucionar ésta vulnerabilidad que está afectando a todos los Windows. Pero descuiden, no es para alarmarse.

Un saludo.


*UPDATE Fecha: Julio 23 de 2010


- Creadores de virus comienzan a usar el primer gusano en explotar la vulnerabilidad de Microsoft, el W32.Stuxnet (cuyo objetivo son los sistemas de control de plantas eléctricas, industrias) para crear malware que infecte a la población en general en equipos con sistemas operativos Windows vulnerables (como Windows XP).

- La firma de seguridad Eslovaca ESET reportó la existencia de dos tipos de malware que explota las vulnerabilidades de seguridad en la forma que Windows asocia los archivos .lnk (accesos directos).

- Primero fue aprovechado por el GUSANO Stuxnet para sacar información de los Sistemas SCADA basados en Windows de la Compañía SIEMENS.

**UPDATE Fecha: Julio 24 de 2010


- Ahora otro malware que usa el mismo agujero, se trata del "Chymine-A Trojan" instala un keylogger mientras el autorun del gusano se actualiza para utilizar la vulnerabilidad de los accesos directos como método de infección.

- La técnica original que los hackers desarollaron fue incrustar código malicioso en archivos tipo 'shortcut' de tal manera que cuando el icono se muestre, se ejecuta el código malicioso.

***UPDATE -Fecha: Julio 25 de 2010


- Avisan que puede ser explotado en una gran variedad de técnicas que incluyen compartir archivos en red, websites maliciosas, así como infección por Unidades USB.

- Formatos de archivos que soportan asociarse con accesos directos (como p. ejemplo Documentos de Microsoft Office) pueden ya ser usados para esparcir el exploit; lo que quiere decir que usuarios que descarguen y abrán dichos archivos podrían convertirse en últimas víctimas de esta vulnerabilidad.

****UPDATE -Fecha: Julio 26 de 2010


- Microsoft ha establecido soluciones temporales y consejos de seguridad a sus usuarios finales (pueden consultar los boletines desde el sitio de Microsoft) como una medida preventiva mientras que supuestamente están trabajando en el desarollo de un fix definitivo.

- No ha sido tarea fácil para Microsoft ya que dicha vulnerabilidad involucra un agujero de seguridad en el núcleo de funcionabilidad de Windows

- Se espera el desarrollo y prueba de un parche programado para el próximo Martes, 10 de agosto.

*****UPDATE -Fecha: Julio 27 de 2010


- El gusano Stuxnet ataca los sistemas de control Industrial de Siemens e intenta robar documentos de diseño e información.

- Nueva variante del gusano Stuxnet descubre Eset, el mismo cuyo blanco fueron los sistemas SCADA basados en Windows (SIMATIC WinCC y PCS7) de Siemens tiene una segunda variante en este caso, usa otros certificados de seguridad para atacar, ahora bajo el nombre de "jmidebs.sys".

- Como el original malware W32.Stuxnet, ésta segunda variante está firmada con un certificado, usado para verificar la integridad de una aplicación cuando se instala, que fue comprado por la compañía VeriSign de JMicron Technology Corporation (En TaiwSán).

- El primer certificado usado por el gusano Stuxnet vino de la compañía Realtek Semiconductor Corp.

- Stuxnet y su segunda variante aún infectarán cualquier unidad USB adjunta al equipo, por esa razón se ha clasificado al malware como gusano.

- Irán, Indonesia e India, víctimas fatales del Gusano de robo industrial


- Extra! -Fecha:18.45 BST

- Dos compañías de seguridad han lanzado dos parches de seguridad provisionales para la conocida vulnerabilidad 'zero-day' de Windows que afecta a todas las versiones de Windows. Se trata de las compañías G Data y Sophos quienes han dejado a disposición de usuarios Windows dos potentes fixes para la vulnerabilidad.

- El primero se trata del "LNK Checker" de G data que bloquea automáticamente la ejecución de archivos maliciosos, que muestran iconos de acceso directo no-infectados normalmente, reemplazándolo con un icono de advertencia roja (como el icono de estado "no disponible" del MSN) si está infectado. Aquí les dejo el link directo: http://www.gdatasoftware.co.uk/typo3conf/ext/dam_frontend/pushfile.php?docID=8839

- Y el segundo es el "Windows Shortcut Exploit Protection Tool 1.0.0" de Sophos, que notificará al usuario cuando éste detecta un link infectado, bloqueando así a la ejecución del potente malware. Aquí está el link directo a la descarga: http://downloads.sophos.com/custom-tools/Sophos%20Windows%20Shortcut%20Exploit%20Protection%20Tool.msi

OJO:

- El segundo (Windows Shortcut Exploit Protection Tool 1.0.0) una vez instalado, removerá la imagen de los iconos del menú inicio y de la barra de tareas a "hojas en blanco". Así:



y



- Volverán a mostrarse los iconos normalmente con sólo desinstalarlo de la lista de Programas iendo al Panel de Control.

- Cabe decir que ambos sólo protegen y previenen la ejecución de los archivos ".LNK". Ambos compatibles para Windows XP, Vista y Seven.

Más info de la fuente (en inglés): http://www.guardian.co.uk/technology/blog/2010/jul/27/windows-zero-day-security

*****UPDATE -Fecha: Julio 29 de 2010


Más Info. del malware Stuxnet..

- W32.Stuxnet que se propaga por unidades USB infectadas, usa certificados digitales legítimos por terceros y con el previamente bug de Microsoft para intentar encontrar sistemas SCADA y documentos de diseño y luego subirlos a un servidor de control y comando online, en lo que parecería ser un intento de robar documentos industriales (a Siemens).

- Symantec estima que el 60% de todos los sistemas infectados son en Irán, seguido de Indonesia con un 18% e India con 8%
de infecciones.

- "Es evidente que W32.Stuxnet fue desarrollado y propagado con la intención de robar documentos críticos de infraestructura en organizaciones de países específicos" -Vikram Thakur (Symantec).


- Symantec colocó gratis un scanner de virus esta semana que a la larga ha sido descargado 1,500 veces, según la compañía. Aquí coloco el link de la página de Symantec: http://security.symantec.com/sscv6/home.asp?langid=ie&venid=sym&plfid=21&pkj=EYDGWFVYZZALEWNSWLW hay dos tipos, el primero es un scan de seguridad para verificar si nuestro pc tiene amenazas y el segundo (dura mas tiempo) hace un escaneo de virus en tu pc. Necesitarán permitir el uso de controles ActiveX en IE.

*****UPDATE -Fecha: Julio 30 de 2010


Resalta: Sality.AT se une y lidera en el "0-day"

- Microsoft anunció hoy que el lunes 2 de agosto lanzará un "parche de emergencia para Windows para controlar la vulnerabilidad ya conocida, según la notificación de avance, todas las versiones de Windows son afectadas, incluyendo el reciente service pack 1 de Windows 7 jaja.. y Windows Server 2008 R2.

- Aquí una gráfica reportada por MMPC (Microsoft Malware Protection Center) quienes afirman que hay un incremento progresivo en cuánto al número de computadoras reportadas desde el 20 de julio hasta la fecha. Más abajo, los nombres de los malwares conocidos que han venido explotando ésta vulnerabilidad de los accesos directos (.LNK) de Windows.



- Como se puede observar, los de MMPC se enfocan en Sality.AT (les recomiendo que entren para informarse más de éste nuevo virus) otra variante de malware que es altamente virulento y que ha prevalecido después de agregar un vector de vulnerabilidad del .LNK, superando aun así al famoso y conocido Stuxnet.

- Síntomas que posiblemente indican la presencia del malware Sality.AT

- Terminación inesperada de ciertas aplicaciones, procesos y/ó servicios de seguridad.
- Inhabilidad para ejecutar el Editor de Registro de Windows (regedit).
- Presencia del siguiente "driver": %SystemRoot%system32driversamsint32.sys
- Falla en la ejecución de ciertas aplicaciones de seguridad debido al borrado de componentes instalados con los siguientes extensiones: .AVC y .VDB
- Más info. del virus, hacer clic en Sality.AT en color naranja.

*****UPDATE -Fecha: Agosto 2 de 2010


- Como prometió Microsoft, hoy lanzó el "parche de emergencia" para la vulnerabilidad crítica de Windows con los archivos .LNK, entre tanto como también prometió, Microsoft no enviará dicho fix (a través del Windows Update) a los usuarios que usan Windows XP SP2 , quienes retiraron su soporte a éste hace tres semanas, incluyendo Windows 2000. Disponible para Vista y 7.

- Al parecer Microsoft lanzó éste parche (de emergencia) que en sí, evita que se ejecute código malicioso cuando se muestre un icono de un archivo infectado, sin embargo, se está a la espera del parche definitivo que programó para el próximo martes 10 de Agosto después de haber encontado evidencia que la vulnerabilidad estaba siendo explotada.

"Todos los usuarios Windows deben asegurarse que sus sistemas están parcheados como los exploits de estas vulnerabilidades son capaces de hacer "lo que quieran", y que pueden ser llevados vía e-mail (hipervínculos), torrents ó ataque de descargas desde páginas webs." - Ondrej Vlcek (Jefe de tecnología de la firma de seguridad Avast)

Link de la noticia oficial: http://blogs.technet.com/b/seguridad/archive/2010/08/02/ms10-046-liberado-fuera-de-programaci-243-n-hoy.aspx
Información acerca del parche de seguridad(en inglés): http://www.microsoft.com/technet/security/Bulletin/MS10-046.mspx

Para asegurarse de instalar el parche, en el Windows Update del panel de Control es preferible que tengan marcada la casilla como muestra la imagen:



-Fuente:http://www.pcactual.com/2010/08/03/1680/microsoft_lanza_parche_emergencia_para_windows_vista.html

Esperaremos a ver el parche definitivo de Microsoft del mes de agosto, el próximo martes 10. Y actualicen sus Windows.

Un saludo grande.
0No comments yet