Punto NET Soluciones SRL

Punto NET Soluciones SRL
Servicios Corporativos de Ciberseguridad - IT - DBA

miércoles, 11 de febrero de 2015

Actualizaciones plataforma Microsoft - FEBRERO 2015

Este mes tenemos nuevos boletines de seguridad. Se recomienda prestar atención aquellos en que los intrusos, aprovechando alguna configuración por defecto, pueda aprovechar la vulnerabilidad y afectar la plataforma.
Los siguientes boletines de seguridad son los que corresponden  a este mes:

1) MS15-009Security Update for Internet Explorer (3034682). Esta actualización de seguridad resuelve una vulnerabilidad pública y privada del Internet Explorer. La más grave de estas vulnerabilidades podría permitir la ejecución remota de código si un usuario visita una página web especialmente diseñada para ser usada por Internet Explorer. Un atacante que aprovechara esta vulnerabilidad podría conseguir el mismo nivel de derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos. CLASIFICACION: CRITICA

2) MS15-010 : Vulnerabilities in Windows Kernel-Mode Driver Could Allow Remote Code Execution (3036220). Esta actualización de seguridad resuelve una forma cinco vulnerabilidades en Microsoft Windows. La más grave de las vulnerabilidades podría permitir la ejecución remota de un código si un atacante convence a un usuario para que abra un documento especialmente diseñado o visita un sitio web de confianza para el que contiene fuentes TrueType incrustadas. CLASIFICACION: CRITICA

3) MS15-011Vulnerability in Group Policy Could Allow Remote Code Execution (3000483). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la ejecución remota de código si un atacante convence a un usuario con un sistema de dominio, configurado para conectarse a una red controlado por el atacante. Un atacante que aprovechara esta vulnerabilidad podría lograr el control completo de un sistema afectado. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos de usuario. CLASIFICACION: CRITICA

4) MS15-012Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (3032328). Esta actualización de seguridad resuelve tres vulnerabilidades en Microsoft Office. Las vulnerabilidades podrían permitir la ejecución remota de código si un usuario abre un archivo de Microsoft Office especialmente diseñado. Un atacante que aprovechara la vulnerabilidad podría obtener los mismos derechos de usuario que el usuario actual. Los clientes cuyas cuentas estén configuradas con pocos derechos de usuario en el sistema correrían un riesgo menor que aquellos que cuenten con derechos de usuario administrativos. CLASIFICACION:IMPORTANTE

5) MS15-013Vulnerability in Microsoft Office Could Allow Security Feature Bypass (3033857). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Office. La vulnerabilidad podría permitir la función de seguridad de puente si un usuario abre un archivo de Microsoft Office especialmente diseñado. El by-pass de seguridad por sí mismo no permite la ejecución de código arbitrario. Sin embargo, un atacante podría utilizar esta característica de seguridad de vulnerabilidad de bypass en conjunto con otra vulnerabilidad, como una vulnerabilidad de ejecución remota de código, para ejecutar código arbitrario. CLASIFICACION:IMPORTANTE

6) MS15-014Vulnerability in Group Policy Could Allow Security Feature Bypass (3004361). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la función de seguridad de puente si un atacante, por medio de un ataque man-in-the-middle, hace que el archivo de políticas del motor de configuración de seguridad de directiva de grupo en un sistema objetivo se alteren o de otra manera esté ilegible. Esto resulta en la configuración de directiva de grupo en el sistema para revertir a sus valores predeterminados, y potencialmente menos seguro. CLASIFICACION:IMPORTANTE

7) MS15-015Vulnerability in Microsoft Windows Could Allow Elevation of Privilege (3031432). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir a un atacante aprovechar la falta de controles de seguridad de nivel de suplantación para elevar privilegios durante la creación del proceso. Un atacante autenticado que aprovechara esta vulnerabilidad podría adquirir credenciales de administrador y los utilizan para elevar los privilegios. Un atacante podría instalar programas; ver, cambiar o eliminar datos; o crear cuentas nuevas con todos los derechos administrativos. CLASIFICACION:IMPORTANTE

8) MS15-016:Vulnerability in Microsoft Graphics Component Could Allow Information Disclosure (3029944). Esta actualización de seguridad resuelve una vulnerabilidad en Microsoft Windows. La vulnerabilidad podría permitir la divulgación de información si un usuario visita un sitio web que contiene una imagen TIFF especialmente diseñado. Esta vulnerabilidad no permitiría a un atacante ejecutar código o elevar directamente sus derechos de usuario, pero podría ser usado para obtener información que pudiera usarse para tratar de sacar más provecho del sistema afectado. CLASIFICACION:IMPORTANTE

9) MS15-017Vulnerability in Virtual Machine Manager Could Allow Elevation of Privilege (3035898). Esta actualización de seguridad resuelve una vulnerabilidad en Virtual Machine Manager (VMM). La vulnerabilidad podría permitir la elevación de privilegios si un atacante inicia sesión en un sistema afectado. Un atacante debe tener credenciales de inicio de sesión de Active Directory válidas y ser capaz de iniciar una sesión con esas credenciales para explotar la vulnerabilidad. CLASIFICACION:IMPORTANTE


Hasta la próxima.
fuente : Microsoft


lunes, 2 de febrero de 2015

CTB-Locker Versión I y II

Introducción
Hay ciertos software maliciosos que al infectar nuestro equipo le da al intruso la capacidad de bloquear la PC u ordenador desde una ubicación remota y cifrar nuestros archivos privándonos del control de toda la información y datos almacenados. Para desbloquearlo el virus lanza una ventana emergente en la que nos pide el pago de un rescate.
Este tipo de malware se denomina RANSONWARE. Normalmente se transmiten tanto como un troyano que como un gusano, infectando el sistema operativo, por ejemplo, con un archivo descargado o una vulnerabilidad de software. Esto ha ido creciendo de manera exponencial desde el 2013, infectando a plataformas como Android, Microsoft, Symbian y ahora S.O de Apple.


CTB-Locker
CTB-Locker es un ransomware que en la ejecución cifra ciertos tipos de archivos presentes en el sistema del usuario. CTB-Locker pertenece a una familia de malware que cifra los archivos del usuario disponibles en el sistema y exige al usuario a pagar una cantidad de rescate para recuperar los archivos. CTB es un acrónimo de Curve Tor Bitcoin. Curve se refiere al hecho de que el malware utiliza cifrado de curva elíptica, que según el autor es el equivalente de RSA-cifrado con una clave de 3072 bits.


Infección y vector de propagación
CTB-Locker, aparece la primera vez en julio del 2014 y la segunda versión en enero del 2015.
El malware se propaga a través de correos electrónicos no deseados (SPAM), viene con un archivo adjunto en forma de un archivo .zip.  o bien dentro de otro archivo .zip, que contiene el programa de descarga de CTB-Locker.
Los correos electrónicos no deseados pueden ser similares a las siguientes capturas








Los mensajes de spam se dirigen en su mayoría a bancos e instituciones financieras, a pesar de que las infecciones pueden ocurrir en cualquier parte debido a los métodos utilizados en la propagación.
Hasta el momento, los nombres de los archivos adjuntos han sido:

·        malformed.zip
·        plenitude.zip
·        inquires.zip
·        simoniac.zip
·        faltboat.zip
·        incurably.zip
·        payloads.zip

·        dessiatine.zip



Los temas (contenido del asunto) utilizados en la campaña de spam pueden ser nombrados como uno de los siguientes:

·        [Fax server] +07909 546940
·        copy from +07540040842
·        Message H4H2LC68B7167E4F4
·        New incoming fax message, S8F8E423F9285C5
·        Incoming fax from +07843-982843
·        [Fax server]:+07725-855368
·        Fax ZC9257943991110
·        New fax message from +07862-678057


Hemos tenidos algunos casos en donde en vez de venir un archivo ZIP adjunto, viene un archivo con extensión SCR, que al ser convocado, intenta descargar el malware desde algunas direcciones IP. Si bien se puede bloquear esas direcciones IP, las mismas pueden mutar o aparecer nuevas, por o cual, no es un método eficiente de evitar la infección.

Mitigación y prevención
Para evitar ser víctima del malware, protéjase de la siguiente manera:

1) Antivirus: contar con una solución de antivirus instalado en su ordenador y que el mismo se encuentre actualizado.
2) Actualizaciones: mantenga actualizado de fixes y parches su S.O, sin importar cual sea la plataforma.
3) Boletines: verifique que recomendaciones emite el fabricante para protegerse de este malware.
4) Descargas: no descargue archivos de sitios que no son de confianza, evite sobre manera de bajar software o música de sitios no legales.
5) Correo: no abra archivos adjuntos recibidos por personas desconocidas y se alguna persona de confianza le ha enviado algún archivo con extensión ZIP o SCR y asunto en inglés, valide con el emisor si efectivamente el le ha enviado el correo.
6) Backups: realice backups de su información.
7) Telefonos y Tablets: tenga los mismos recaudos que en la PC, ya que también son víctimas del malware.
8) Microsoft: en el 2001, Microsoft emitió una KB (KB 310791) que permite hacer ajustes de seguridad sobre el S.O. Este es muy útil, para evitar una infección. Acceder a la KB desde aquí. A su vez, puede instalar y configurar el EMET 5.1, que bloqueará cualquier intento de modificación sobre los svhost.exe. Para bajar el EMET, visite este sitio.
9) Servidores Terminal Server: restrinja y ajustes las políticas de seguridad, para que un usuario no afecte al servidor o sistemas de archivos del mismo.

Síntomas
En ejecución, CTB-Locker generalmente se copia en la carpeta %temp% con un nombre aleatorio (7 caracteres), tales como:

C: \ DOCUME ~ 1 \ ADMINI ~ 1 \ LOCALS ~ 1 \ Temp \ fzjujkn.exe

CTB-Locker inyecta el código malicioso en svchost.exe y el código inyectado a su vez ejecuta el archivo bajado en la ubicación %temp%. El malware crea una tarea programada (<7 caracteres aleatorios> .job) para ejecutarlo al iniciar el sistema, por ejemplo: 

C:\WINDOWS\Tasks\cderkbm.job

También crea un mutex llamado al azar para asegurar que sólo se está ejecutando una instancia de malware a la vez. Esto inyecta código en svchost.exe, luego cifrar los archivos con las siguientes extensiones:
ü  Pdf
ü  .xls
ü  .ppt
ü  .txt
ü  .py
ü  .wb2
ü  .jpg
ü  .odb
ü  .dbf
ü  .md
ü  .js
ü  .pl, etc.

Después de que los archivos han sido cifrados con éxito por el malware, una ventana emergente aparecerá en la pantalla, con el tiempo de cuenta regresiva de 96 horas para obtener los archivos descifrados y algunos otros detalles, como se muestra a continuación:


Al hacer clic en el botón VIEW (ver), el usuario infectado puede ver la lista de archivos que han sido cifrados y otros detalles acerca de cómo hacer un pago y obtener los archivos descifrados de nuevo.

Recomendamos estar atentos y difundir esta información entre los usuarios de ordenadores, con el fin de evitar que sigan apareciendo víctimas que pierden sus archivos. Por último, no pague, por que nadie le asegure que se le enviará la solución del cifrado de archivos.

Hasta la próxima.
Fuentes: Mcafee y Microsoft.