Una falla en la forma en que Microsoft y algunas aplicaciones de terceros precargan archivos compartidos en Windows será tratada por el fabricante de software a través del tiempo, pero hasta entonces Microsoft está impulsando a los clientes a instalar una nueva herramienta automatizada y un parche temporal para bloquear los ataques que traten de explotar la falla.

En una actualización de una investigación llevada a cabo por Microsoft sobre una vulnerabilidad de precarga de librería de enlace dinámico (DLL, por sus siglas en inglés), Microsoft anunció que emitirá actualizaciones de seguridad para hacer frente a la vulnerabilidad en sus aplicaciones. El gigante del software califico el defecto de importante porque un usuario tendría que hacer click a una serie de advertencias y pantallas para abrir un archivo malicioso que intente explotar la vulnerabilidad.

“La precarga de DLL es una clase de vulnerabilidades bien conocida y hemos establecido orientación para los desarrolladores desde hace bastante tiempo. Recientemente hemos actualizado esta orientación para proporcionar más claridad”, escribió Jerry Bryant, gerente de grupo de Microsoft de comunicaciones de respuesta en el blog Microsoft Security Response Center. “Incluso con una mejor orientación, reconocemos que puede tomar bastante tiempo para que todas las aplicaciones afectadas se actualicen y para algunas de éstas una actualización puede no ser posible.”

La falla de precarga de DLL surgió el mes pasado, cuando el investigador de seguridad y arquitecto de Metasploit HD Moore, Director de Seguridad de Rapid7, publicó detalles sobre la falla de interceptación de la carga de DLL , junto con un módulo genérico de explotación para el Metasploit Framework y un kit de auditoría para identificar las aplicaciones afectadas en un sistema. Moore dijo que publicó detalles después de que una firma de seguridad Eslovena publicara un aviso acerca de una falla de “plantación binaria” en iTunes.

Microsoft publicó un aviso de seguridad el 23 de Agosto, con orientación actualizada para los desarrolladores y una nueva herramienta que podría evitar la carga de un DLL inseguro. Además se ha desarrollado un parche temporal automatizado para hacer frente a los vectores de ataque basados en red, dijo Microsoft.

“Los clientes deben tener en cuenta que la herramienta se limita a proteger solamente contra la precarga de DLL y no protege en contra archivos .EXE que no cargan correctamente archivos a través de una ruta calificada de acceso y en consecuencia los desarrolladores tendrán que actualizar esas aplicaciones”, dijo Bryant.

Los ingenieros de Microsoft han determinado que una nueva vulnerabilidad de día cero en el kernel de Windows representa una amenaza muy baja para los usuarios.

La firma de investigación de Seguridad VUPEN Security, con sede en Francia, publicó un aviso la semana pasada sobre la debilidad del kernel de Windows y advirtió de que el error podría ser aprovechado por atacantes para provocar la caída del sistema o posiblemente obtener privilegios elevados. La vulnerabilidad afecta a Windows XP, Windows Vista, Windows 7 y Windows Server 2008 y 2003.

“La vulnerabilidad representa muy poco riesgo”, dijo Jerry Bryant, gerente del grupo de Comunicaciones de Respuesta de Microsoft, en una entrada en el blog de Microsoft Security Response Center. Según Bryant, los ingenieros de Microsoft han determinado que la vulnerabilidad sólo podría ser explotada a nivel local por una persona que haya obtenido una cuenta en el sistema objetivo.

“Para poder explotar esta vulnerabilidad, un atacante debe tener credenciales válidos para ingresar en el sistema y ser capaz de iniciar una sesión local, o ya debe tener código ejecutado en el sistema objetivo”, dijo Bryant. “La vulnerabilidad no puede ser explotada de forma remota o por usuarios anónimos.”

Bryant dijo que el problema se abordará en una actualización de seguridad en el futuro.

Adobe Systems Inc. dijo que planea lanzar actualizaciones de emergencia para reparar una grave falla de seguridad en sus productos Reader y Acrobat.

En un aviso emitido el jueves, Adobe dijo que la actualización soluciona problemas de seguridad críticos en los productos, incluyendo una vulnerabilidad de desbordamiento de enteros (integers) en Reader discutidos en la conferencia Black Hat 2010 en Las Vegas. El investigador de seguridad Charlie Miller presentó la falla en la conferencia de la semana pasada.

Adobe dijo que planea lanzar las actualizaciones la semana del 16 de agosto. Las mismas serán ofrecidas para Windows, Macintosh y Unix.

Las actualizaciones representan una “liberación fuera de ciclo”, dijo la compañía. La próxima actualización de parches regulares para Adobe Reader y Acrobat está programada para 12 de octubre.

La aparición de un exploit utilizado por un sitio web para lograr el “jailbreak” del iPhone llevó a los investigadores de seguridad a emitir advertencias sobre la seguridad de los teléfonos inteligentes.

El sitio web, Jailbreakme.com, permite a los usuarios de iPhone y IPAD que visitan el sitio a través de Safari causar el “jailbreak” de sus dispositivos – obtener aplicaciones no autorizadas por Apple – con un simple botón deslizante, dijo Graham Cluley, Senior Technology Consultant de Sophos. El sitio web aprovecha una vulnerabilidad en la forma en que la edición móvil de Safari maneja archivos PDF, dijo.

“Lo que preocupa a mi y a otros en la comunidad de seguridad, sin embargo, es que si simplemente visitando un sitio web con tu iPhone puede ocasionar este “jailbreak”, imagínense qué otra cosa podrían hacer los hackers al explotar esta vulnerabilidad? Los criminales cibernéticos serían capaces de crear páginas web con trampas que podrían – si son visitadas por un usuario desprevenido de iPhone, iPod Touch o IPAD – ejecutar código en los dispositivos sin permiso del usuario, “escribió Cluley en un blog.

VUPEN, una firma de investigación en seguridad de TI, publicó el martes pasado un aviso sobre dos vulnerabilidades en Apple IOS para el iPhone y IPAD que los atacantes podrían explotar para “tomar el control completo de un dispositivo vulnerable.”

Dave Marcus, gerente de investigación de seguridad y comunicaciones de McAfee, dijo que las vulnerabilidades podrían ser utilizadas para otros ataques.

“Esto debe servir como una alerta para cualquier persona con un dispositivo móvil: la explotación remota es real y está aquí para quedarse”, escribió en un blog. “Por ahora, estas vulnerabilidades están siendo utilizadas (hasta donde sabemos) para lograr el “jailbreak” de los iPhones, pero se podría utilizar para hacer muchas otras cosas a los iPhones y a sus propietarios en todo el mundo.”

Después de una investigación internacional de dos años, la policía eslovena ha detenido a un sospechoso de crear la botnet Mariposa, que se estima ha infectado hasta 12 millones de computadoras.

El FBI anunció el miércoles el arresto la semana pasada por la Policía Criminal eslovena de un hombre esloveno de 23 años de edad, conocido como “Iserdo”. Las autoridades no revelaron su nombre completo o real. Es sospechoso de crear el “Butterfly Bot” malware que se utilizó para construir la botnet Mariposa, la cual fue clausurada por las autoridades españolas a finales del año pasado.

Iserdo supuestamente vendió el Bot mariposa a otros criminales, que han desarrollado redes de computadores infectados, y también desarrolló versiones personalizadas y vendió plug-ins para aumentar la funcionalidad de la red de zombis.

Según el FBI, la botnet fue utilizada para robar contraseñas de entidades financieras y sitios Web, robar información de tarjetas de crédito y cuentas bancarias, lanzar ataques de denegación de servicio e infectar computadoras.

“En los últimos dos años, el software utilizado para crear la red de bots Mariposa fue vendido a cientos de otros delincuentes, convirtiéndolo en uno de los más notorios en el mundo”, dijo el director del FBI Robert Mueller en una declaración preparada.

Tres presuntos operadores de Mariposa fueron detenidos en febrero por las autoridades españolas: Florencio Carro Ruiz, Jonathan Pazos Rivera y Juan José Ríos Bellido.

La investigación Mariposa fue un esfuerzo de cooperación entre el FBI y las policías de Eslovenia y España.

Una nueva vulnerabilidad de día cero en la interfaz gráfica de usuario de Microsoft está siendo atacada a través de memorias USB y otras unidades extraíbles.

Microsoft publicó un aviso de seguridad el viernes pasado advirtiendo sobre ataques limitados y enfocados contra el shell de Windows, la interfaz de usuario principal de Windows que organiza el escritorio y sistema de archivos. Los ataques funcionan en prácticamente todas las versiones de Windows y podría permitir a un atacante tomar el control completo de la máquina de la víctima.

El ataque explota la forma en que Windows procesa los iconos de acceso directo en el sistema del usuario. Microsoft dijo que desactivar la reproducción automática (AutoPlay) hace que sea más difícil que funcione el ataque. Como solución, el gigante del software sugiere deshabilitar la visualización de los iconos de acceso directo de manera que los usuarios finales no puedan ver y hacer click en los accesos directos.

Además, el ataque puede llevarse a cabo de forma remota a través de unidades compartidas de red o unidades remotas WebDAV. Microsoft dijo que deshabilitar el servicio WebClient bloquea el uso del servicio WebDAV cliente para aprovechar la vulnerabilidad.

Los investigadores de VirusBlokAda, un proveedor de antivirus con sede en Belarús, detectaron en junio un malware nuevo en memorias USB que intentaba aprovechar la vulnerabilidad. El malware instala dos controladores diseñados para que el malware sea indetectable, dijo la compañía.

“Sólo tienes que abrir el dispositivo de almacenamiento USB infectado con Microsoft Explorer o cualquier otro gestor de archivos que pueda mostrar iconos … para infectar su sistema operativo y permitir la ejecución del malware”, escribió Sergey Ulasen de VirusBlokAda.

Microsoft planea arreglar una falla de día cero activamente atacada en su centro de ayuda y soporte técnico basado en Web y corregir un error en el controlador de pantalla que podría permitir la ejecución remota.

En su aviso previo emitido hoy, el gigante del software anunció que emitirá cuatro boletines, tres críticos, reparando vulnerabilidades en Windows y Microsoft Office. Las correcciones son parte de los boletines de seguridad del Martes de Parches del gigante del software, programado para su emisión el 13 de julio.

Microsoft advirtió la semana pasada que estaba detectando un aumento de los ataques dirigidos contra una vulnerabilidad en el Centro de Ayuda y soporte técnico de Windows, una funcionalidad basada en Web que proporciona apoyo técnico a los usuarios. La falla afecta a los usuarios de Windows XP y Windows Server 2003. El fallo fue divulgado el mes pasado por el ingeniero de Google, Tavis Ormandy, un investigador de vulnerabilidades conocido por encontrar errores de codificación a nivel de kernel del sistema operativo. No mucho tiempo después de la divulgación, surgieron miles de exploits que intentan atacar la vulnerabilidad.

Una advertencia de seguridad fue emitida en mayo sobre una vulnerabilidad en el Windows Canonical Display Driver, que se encarga de los gráficos y la elaboración de DirectX en juegos y otros programas de software. El fallo afecta a Windows 7 y Windows Server 2008. Microsoft calificó la amenaza que representa la vulnerabilidad como mínima. Al explotar la falla, un atacante podría provocar que un sistema se bloquee y se reinicie.

En adición, otras tres vulnerabilidades que afectan a Office 2003 y Office 2007 serán abordadas por Microsoft. Además, Microsoft advirtió que julio marca el fin del soporte de Microsoft para las plataformas Windows 2000 y Windows XP SP2.

En junio, Microsoft emitió 10 boletines de seguridad, haciendo frente a 34 vulnerabilidades en Windows, SharePoint de Microsoft, Internet Explorer (IE), Internet Information Services (IIS), y el Marco. NET.

Adobe publicó hoy un aviso de seguridad, emitiendo una actualización para Adobe Reader y Acrobat que corrige 17 vulnerabilidades de software.

La falla existe en Adobe Flash Player 10.0.45.2 y versiones anteriores que corren en todos los sistemas operativos. Adobe corrigió la falla en Flash para Windows, Macintosh y Linux el 10 de junio. Brad Arkin, director de seguridad y privacidad de productos de Adobe dijo que la falla sería corregida en Adobe Reader y Acrobat 9.3.2 para Windows, Macintosh y UNIX para el 29 junio.

“La actualización adelantada del próximo trimestre de Adobe Reader y Acrobat también resuelve una serie de vulnerabilidades reveladas de manera responsable “, escribió Arkin en una entrada de blog que describe el programa de actualizaciones adelantadas. La emisión de hoy estaba prevista para el 13 de julio.

Un error de corrupción de memoria dentro de un componente del reproductor puede permitir a un atacante ejecutar código de forma remota y tomar el control de la máquina de la víctima.

El software ampliamente utilizado de Adobe está siendo atacado con cada vez más frecuencia por los atacantes. Los ataques han obligado al proveedor de software a centrarse en el desarrollo de software seguro. A pesar de la utilización de una amplia cantidad de herramientas de análisis estático y dinámico para probar errores, los hackers continúan encontrando vulnerabilidades de día cero en el software.

La vulnerabilidad de Flash surgió a principios de este mes con informes de que los atacantes estaban atacando activamente de la vulnerabilidad. Los atacantes engañan a los usuarios para que hagan clic en los archivos SWF o integran archivos SWF directamente en documentos de Adobe Reader y Acrobat.

Trustwave ha adquirido al vendedor de Firewall de Aplicación Web (WAF por sus siglas en inglés) Breach Security, en un acuerdo que integrará el firewall con las ofertas de servicios de prueba de penetración y revisión de código del proveedor.

Los términos del acuerdo no fueron revelados. Los equipos de Breach Security protegen a las aplicaciones Web contra ataques mediante la detección de anomalías. Trustwave, empresa con sede en Chicago, dijo que seguirá apoyando el WAF de Breach Security y lo integrará a su suite actual de seguridad de aplicaciones.

El SpiderLabs de Trustwave vende pruebas de penetración, revisión de código seguro, capacitación en el desarrollo de software seguro, así como servicios de respuesta a incidentes. La compañía dijo que las pruebas de penetración en combinación con las tecnologías WAF protegerían mejor a las aplicaciones web contra ataques.

“Esta adquisición añade tecnología verdaderamente innovadora a la cartera de productos de Trustwave, aumentando en gran medida nuestra capacidad para ayudar a nuestros clientes a asegurar su información”, dijo en un comunicado Robert J. McCullen, presidente y consejero de Trustwave. “La combinación de una solución WAF líder en la industria con nuestros servicios del SpiderLabs debe hacer que nuestras capacidades de seguridad de aplicaciones no tengan paralelo en la industria”.

El firewall de aplicación WebDefend de Breach Security incluye la inspección del tráfico web de entrada y salida para la detección de datos sensibles, como tarjetas de crédito y números de Seguro Social. Además, Breach Security ha sido el custodio principal de ModSecurity, el firewall de aplicación web de código abierto más popular del mundo con más de 10,000 instalaciones.

Trustwave dijo que está comprometido con apoyar ModSecurity y su base de usuarios diversa y extendida.

“Los hackers atacan cada vez más las aplicaciones web inseguras como punto de entrada a la red de una organización”, dijo en un comunicado Sanjay Mehta, director general de Breach Security. “La incorporación de WAF a la suite de seguridad de aplicaciones de Trustwave proporciona a los clientes con una solución sin igual de defensa en profundidad para proteger a las aplicaciones en todo el ciclo de vida de desarrollo de software.”

Los investigadores de Sophos han detectado malware que explota la debilidad de día cero de Windows XP divulgada la semana pasada por un ingeniero de Google.

La divulgación de la falla, que se encuentra en el Centro de Ayuda y Soporte de Windows, una funcionalidad basada en Web de apoyo técnico a los usuarios finales, renovó el viejo debate acerca de la divulgación responsable. Microsoft dijo que el ingeniero de Google, Tavis Ormandy, un investigador de vulnerabilidades conocido para encontrar errores de código a nivel de kernel del sistema operativo, sólo dio al gigante de software tres días para investigar la falla antes de publicarla.

En una entrada de blog, los investigadores de Sophos dijeron que descubrieron el malware que explota la vulnerabilidad el pasado martes. El código malicioso, el cual se propaga a través de una página web comprometida, descarga y ejecuta una pieza de malware adicional en la computadora de la víctima, revelaron.

En una entrada de blog distinta, Graham Cluley, Consultor Senior de Tecnología de Sophos, dijo que la divulgación de Ormandy fue irresponsable. “Así que mi pregunta al señor Ormandy es esta – ¿Se siente orgulloso de su comportamiento? ¿Cree que ha ayudado a elevar la seguridad en Internet? ¿O es que usted pone su vanidad por delante de la seguridad de los demás? “, preguntó Cluley.

Microsoft dijo en un mensaje de Twitter que estaba al tanto de ataques limitados de explotar la vulnerabilidad de Ayuda de Windows, y aconsejó a los clientes que apliquen la corrección incluida en su boletín de la semana pasada.