Actualización de seguridad para Google Chrome

Fecha de Publicación: 06/05/2017

Descripción: Google ha publicado una actualización de seguridad para su navegador Google Chrome para todas las plataformas para corregir una nueva vulnerabilidad y ofrecer la migración a 64 bits.

El navegador se actualiza a la versión 58.0.3029.96 para Windows, Mac y Linux. En esta ocasión Google confirma la corrección de una nueva vulnerabilidad considera de gravedad alta.

Cabe señalar que en el aviso Google indica que para mejorar la estabilidad, rendimiento y seguridad los usuarios que actualmente cuentan con una versión de 32 bits de Chrome, y un Windows 64-bits con 4GB o más de memoria. En la auto actualización se efectuará la migración automática a la versión 64 bits del navegador. La versión 32 bits de Chrome seguirá estando disponible desde la página de descargas de Chrome.

La vulnerabilidad corregida está considerada como de gravedad alta y consiste en una condición de carrera en WebRTC (CVE-2017-5068). Según la política de la compañía ha supuesto 500 dólares de recompensa al descubridor del problema.

Recursos Afectados: Google Chrome 58.0.3029.81

Solución: Actualizar la versión mas reciente de Google Chrome.

Grave 0-day en WordPress permite restablecer contraseñas

Fecha de Publicación: 05/05/2017

Descripción: Se ha anunciado un grave 0-day en WordPress que podría permitir a un atacante sin autenticar conseguir el enlace de restablecimiento de contraseña y de esta forma obtener acceso a la cuenta de la víctima.

El problema, con CVE-2017-8295, reside en la funcionalidad de reinicio de contraseña que podría permitir a un atacante obtener el enlace de restablecimiento de contraseña sin autenticación previa. Esto se debe a la utilización de datos no fiables de forma predeterminada al crear el correo de restablecimiento de contraseña, que se supone que solo se entrega al propietario de la cuenta.

De esta forma mediante la modificación de la petición http el atacante podrá construir una petición de solicitud de reinicio de contraseña de cualquier usuario. En determinadas configuraciones del servidor web, el atacante podrá enviar un valor de cabecera HTTP_HOST específicamente construido a la página de reinicio de contraseña para modificar los valores de cabeceras de correo SMTP ‘From’ o ‘Return-Path’ que se utilizan para enviar el correo electrónico de restablecimiento de contraseña. Si el servidor de correo electrónico del usuario de destino no puede enviar mensajes SMTP al usuario de destino, el correo electrónico de restablecimiento de contraseña se puede devolver a la dirección de correo electrónico del usuario remoto.

Como resultado, el atacante podrá obtener el código de restablecimiento de contraseña. El impacto específico depende del tipo de servidor web, la configuración del servidor web y las condiciones del propio escenario (por ejemplo, el estado del servidor de correo del usuario de destino).

Recursos Afectados: Todas las versiones de WordPress.

Solución: No existe hasta los momentos una solución oficial.

Argentina busca adherirse al Tratado Internacional de Lucha contra el Cibercrimen

Fecha de Publicación: 28 de Abril de 2017

Descripción: El Senado acaba de emitir dictamen favorable y la Argentina está, así, un paso más cerca de sumarse a la Convención de Budapest, el primer tratado supranacional sobre delitos informáticos. Este tratado busca estandarizar las legislaciones nacionales y los protocolos y técnicas de investigación para posibilitar e impulsar la cooperación internacional en temas como las estafas informáticas, la distribución de pornografía infantil, las infracciones vinculadas a la propiedad intelectual y los atentados contra la integridad del sistema. Hasta hoy, 52 países han ratificado la Convención. El proyecto de adhesión -con reserva de los artículos que no sean compatibles con el Código Penal vigente- será votado ahora por el pleno de la Cámara alta.

El Ministerio de Justicia de su Nación postula dos motivos principales para justificar la adhesión: la cooperación internacional en materia de delitos informáticos y el establecimiento de protocolos estandarizados para la obtención de pruebas digitales.
Marcos Salt, coordinador del Programa Nacional Contra la Criminalidad Informática del Ministerio de Justicia, sostiene: «Si la Argentina adhiere tendrá la posibilidad de asegurar la cooperación internacional en, por ejemplo, casos de grooming y de pornografía infantil en Internet. Además, en materia de obtención de evidencia digital logrará que el sistema penal sea más eficiente. Hoy seguimos usando la norma de «registro y secuestro de cosas» cuando hay que registrar y secuestrar datos, aunque su naturaleza sea diferente».

Aunque el convenio internacional tiene ya una década y media de vigencia, todo lo relativo a los delitos informáticos parece «nuevo». No sólo eso: la permanente innovación tecnológica hace que toda norma de seguridad relativa a la seguridad informática esté en constante tensión y sometida a riesgos. Y, más aun, las leyes procesales y penales que sirven para castigar los cibercrímenes -o los delitos comunes cometidos mediante el uso de medios electrónicos o en los que estos medios sirvan como elemento de prueba- quedan rápidamente desactualizadas, cuando no son directamente inexistentes. Aprender de lo que ocurre afuera y promover la colaboración es siempre un camino correcto. Pero se requieren, además, recursos y capacitación para aplicar la ley.

Phishing Unicode

Fecha de Publicación: 18 de Abril de 2017

Descripción: Fue confirmado un problema en Chrome y Firefox que podría permitir la realización de ataques de phishing mediante el uso de caracteres Unicode. Conocidos como ataques homográficos, representan un problema que los navegadores intentan evitar, pero se ha descubierto una forma para evitar los controles actuales.

Ahora bien, las implicaciones en el mundo de la seguridad que pueden representar estos dominios son grandes, ya que muchos caracteres Unicode pueden ser difíciles de distinguir de los caracteres ASCII normales. De esta forma, es posible registrar dominios como «xn--pple-43d.com», equivalente a «аpple.com» por el uso de la a en cirílico «а» (U+0430) en vez de la «a» en ASCII (U+0041). Este tipo de ataques son conocidos como homográficos.

Los navegadores modernos tienen mecanismos para evitar o limitar este tipo de ataques. En Chrome y Firefox la forma Unicode se esconde si un dominio contiene caracteres de varios lenguajes diferentes. De esta forma, por ejemplo el dominio «xn--pple-43d.com» aparecerá como tal (en vez de «аpple.com») al contar con caracteres de dos lenguajes, de esta forma se evita la confusión con el dominio real.

Recursos Afectados: Usuarios de páginas webs victimas del phishing

Solución: No confiar en links de fuentes desconocidas, cuyo dominio contenga caracteres especiales, o sea diferente del dominio en el que desees ingresar

¡Kali Linux 2017.1 disponible!

Fecha de Publicación: 27 de Abril de 2017
Descripción: La popular distribución orientada a auditorías de seguridad Kali Linux 2017.1 ya está disponible. Esta es la primera versión del año 2017, e incorpora características muy interesantes, tanto para la realización de auditorías inalámbricas, para crackear contraseñas de manera local y también de manera remota usando Azure y AWS.
Entre sus novedades se incluye:
Incorporación del chipset RTL8812AU : Este chipset Wi-Fi es uno de los más utilizados en las últimas tarjetas Wi-Fi para la realización de auditorías inalámbricas. Este chipset soporta el estándar Wi-Fi AC, y es uno de los primeros chipsets en incorporar drivers para la inyección de paquetes, algo fundamental para la realización de auditorías Wi-Fi. Un modelo de tarjeta que utiliza este chipset es Alfa Networks AWUS036ACH.
Compatibilidad con GPU NVIDIA para crackear contraseñas:En esta nueva versión de Kali Linux se han incorporado mejoras para la compatibilidad del hardware de las tarjetas gráficas. Utilidades como Hashcat o Pyrit utilizan la potencia de las GPU para probar miles de claves por segundo.
Compatibilidad con AWS y Azure para el crackeo de contraseñas fuera del sistema local: Ahora Kali Linux incorpora todo lo necesario para crackear contraseñas usando los equipos de AWS y Azure, es decir, usando la «nube» tanto de Amazon como de Microsoft.
Si quieres actualizar a esta nueva versión, basta con hacer un apt update, apt dist-upgrade y reboot.

Nuevas Versiones en Normas ISO 27000

Fecha de Publicación: 26 de Abril de 2017

Descripción: Esta semana finalizó la reunión formal ISO/IEC JTC1/SC27 WG1 en Nueva Zelanda, con el objetivo de votar y registrar las decisiones y los progresos para la siguiente publicación de la familia ISO:27000.
La próxima reunión del SC27 será en Berlín a finales de octubre de 2017, luego en Wuhan en China en abril de 2018.
Las principales resoluciones de esta reunión fueron:

  • Una revisión menor actualizará ISO / IEC 27000: 2016 para reflejar la reciente publicación de 27002, 27004 y 27011.
  • El uso gubernamental y regulatorio de la 27001 se convertirá en el Standing Document 7 y se mantendrá para uso interno del comité.
  • ISO 27002: se generarán dos versiones de la norma, mostrando estructuras alternativas para comentar en la siguiente etapa.
  • ISOO 27005: se producirá una especificación de diseño revisada para la próxima revisión, más un corrigendum para la norma actual.
  • ISO 27007: se producirá texto revisado para FDIS.
  • ISO 27008 se producirá texto revisado para un DTS.
  • ISO 27009 se revisará en forma anticipada en lugar de publicar un corrigendum, y los «casos de uso» que le acompañan se convertirán en un SD.
  • ISO 27014: sobre gobernanza de la seguridad de la información, se generará un NWIP para revisar la norma, con un documento básico.
  • ISO 27019: se producirá texto revisado para FDIS.
  • ISO 27021: sobre las competencias de los profesionales de ISMS, también irá a FDIS (a pesar de cuatro desaprobaciones, lo que indica preocupaciones con esta norma).
  • ISO 27102: sobre el seguro de ciberseguridad, se producirá un primer borrador de trabajo siguiente.
  • Los marcos de seguridad cibernética y el trabajo de resiliencia de la seguridad cibernética se combinarán inicialmente en un SD que se convertirá en un PDTR.

Finalmente, se ha publicado la ISO/IEC 27003:2017. Esta es una versión completamente revisada de la guía de implementación del Sistema de Gestión de Seguridad de la Información (SGSI), publicada originalmente en 2010.
Desafortunadamente, la ISO 27005 sobre gestión del riesgo de la información quedó desactualizada con respecto al conjunto y no se espera que aparezca una versión revisada al menos en un par de años.
Mientras tanto, ISO 27003 da consejos útiles en esta área, y la ISO 31000:2009 (un estándar de gestión de riesgo muy respetado) se aplica fácilmente a los riesgos de la información. Existen otros estándares, métodos y enfoques de gestión del riesgo de la información, todos los cuales tienen sus ventajas y desventajas: si su organización ya está familiarizada con otro enfoque de la gestión de riesgos, probablemente se puede aplicar directamente o adaptarse a la demanda Gestión del riesgo de la información.

Actualización: Google Chrome 58

Fecha de Publicación: 23 de Abril de 2017

Descripción: Google anuncia una nueva versión de su navegador Google Chrome 58. Se publica la versión 58.0.3029.81 para las plataformas Windows, Mac y Linux, que junto con nuevas funcionalidades y mejoras, además viene a corregir 29 nuevas vulnerabilidades.

En esta ocasión, aunque se han solucionado 29 nuevas vulnerabilidades pero solo fue facilitada información de 12 de ellas (tres de gravedad alta, ocho de importancia media y una considerada como baja).

Cabe señalar que entre los problemas corregidos se encuentra el fallo en el tratamiento de caracteres representados en formato Punycode, que permitía la realización de ataques de phishing con caracteres Unicode. También del trabajo de seguridad interno, varias correcciones procedentes de auditoría interna, pruebas automáticas y otras iniciativas. Según la política de la compañía las vulnerabilidades anunciadas han supuesto un total de 14.000 dólares en recompensas a los descubridores de los problemas.

Recursos Afectados: Usuarios de este navegador

Solución: Actualizar la versión de Google Chrome

Solucionadas 102 vulnerabilidades en sistema Android

Fecha de Publicación: 06/04/2017
Descripción: En el boletin de seguridad publicado por Android referente a Abril, anunció que fueron corregidos 102 vulnerabilidades, de las cuales 15 de ellas, críticas.
A nivel de parches de seguridad 2017-04-01 (Siendo los que afectan al núcleo de servidios de Android) se corrigieron 23 vulnerabilidades, de las cuales 6 fueron críticas y permitian la ejecucion remota de codigo desde Mediaserver.
En el parche de seguridad 2017-04-05 se corrigieron vulnerabilidades en controladores y componentes. En dicho bloque fueron solucionadas 79 fallos en el kernel, controladores y componentes OEM (Original Equipment Manufacturer), de las que 26 son críticas.
Cabe destacar que los primeros dispositivos en recibir estas actualizaciones son los Pixel y Nexus (Propios de Google), mientras que los demás fabricantes continuan aplicando estas actualizaciones periodicamente. En el proceso de actualización tambien influye las compañías telefónicas.Algunos dispositivos puede durar mucho tiempo sin recibir actualizaciones, lo que se convierte en el punto debil de Android.
Recursos afectados: Dispositivos Android. Destacan Qualcomm, MediaTek y HTC.
Solución: Actualizar el sistema operativo del dispositivo movil.

Microsoft publica la “Security Update Guide”

Fecha de publicación: 12/04/2017

Descripción: Este mes Microsoft cumplió con lo prometido, publicando una lista en la que publica información acerca de las vulnerabilidades corregidas, ocupando este el puesto de sus boletines de seguridad. Actualmente esta lista posee 650 entradas, siendo esta cifra los parches publicados para cada producto. También fueron corregidas 51 vulnerabilidades que, según la clasificación de Microsoft, 13 son de categoría crítica, 29 importantes y 2 de inportancia moderada.

Dentro de las vulnerabilidades corregidas destaca la grave 0-day en Office y WordPad, con CVE-2017-0199, que está siendo explotada en la actualidad. Este problema, afecta a todas las versiones de Office, incluyendo la última Office 2016 en Windows 10 totalmente actualizado. Basta con abrir un documento específicamente creado con alguna versión afecta y el atacante puede lograr la ejecución de código arbitrario. El exploit detectado se conecta a un servidor remoto, descarga un archivo que contiene una aplicación html y la ejecuta como archivo hta. Como los .hta son ejecutables el atacante consigue la ejecución de código total en el sistema de la víctima.

Recursos Afectados:

Internet Explorer

Microsoft Edge

Microsoft Windows

Microsoft Office y Microsoft Office Services y Web Apps

Visual Studio para Mac

.NET Framework

Silverlight

Adobe Flash Player

Solución: Instalar las actualizaciones de seguridad para cada uno de los productos afectados

iOS corrige vulnerabilidad en WiFi

Fecha de Publicación: 05/04/2017
Descripción: Apple publicó su versión 10.3.1 para dispositivos moviles. Este problema fue anunciado por los investigadores de Project Zero de Google. Con CVE-2017-6975, permite la ejecución de codigo arbitrario en el chip WiFi, pero el problema viene desde al reconectar el chip con el firmware de los chips Broadcom Wi-Fi HardMAC SoC. Com es de costumbre, basta con entrar a Ajustes, en la sección General, ir a la opción de Actualización de software.
Al problema ser de los chips Broadcom, va mas allá de los Apple; los dispositivos Samsung e incluso los Nexus se ven parcheados con la actualización de seguridad referente al mes de abril para los dispositivos Android.
Recursos Afectados: Dispositivos Apple y Android, fundamentalmente con chips Broadcom.
Solución: Actualizar el sistema operativo del dispositivo movil.