Termina
el año y desde Hispasec un año más echamos la vista atrás para recordar y
analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2012
en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega)
destacaremos muy brevemente lo que hemos
considerado las noticias más importantes de cada mes publicadas en nuestro
boletín diario.
Julio 2012:
- Se da a conocer un
grave problema de seguridad en el panel de administración Plesk, muy
empleado en empresas de hosting para que los usuarios administren sus recursos: páginas, DNS, correos, etc. El
fallo es aprovechado activamente por atacantes, y afecta a numerosas páginas
webs y servicios de hosting.
- Junto con el conjunto de
boletines de julio, Microsoft
realiza dos importantes avisos de seguridad: Aconseja deshabilitar los Gadgets
de escritorio de Windows (también conocidos como Sidebar) y revoca preventivamente
28 entidades subcertificadoras de Microsoft. Igualmente actualiza sus políticas
de seguridad PKI y anuncia el
bloqueo de cualquier certificado que utilice claves RSA de cifrado menores a
1024 bits.
- Hispasec presenta Office Signature Checker,
una herramienta para comprobar la firma de documentos Office (sin necesidad de
ejecutarlos).
- Dentro de su ciclo habitual de actualizaciones Microsoft publica nueve boletines de seguridad, que solucionan 26 vulnerabilidades. Oracle, por su parte, corrige 87 vulnerabilidades en múltiples productos de su gama. Igualmente, Apple corrige más de 120 vulnerabilidades en Safari 6.
Agosto 2012:
- Java
cada vez más se extiende como la principal vía de infección de los sistemas.
La unión de applets de Java junto con una máquina virtual JRE vulnerable, son la
combinación perfecta para que los atacantes infecten a sus víctimas.
- Dentro de su ciclo habitual de
actualizaciones Microsoft
publica nueve boletines de seguridad, que solucionan 26 vulnerabilidades. Adobe
publica actualizaciones para corregir el mismo número de vulnerabilidades
en la familia Acrobat, Shockwave Player y en Flash placer; aun así se deja 16
problemas de seguridad conocidos sin resolver. Una vez más, Adobe publica una
nueva actualización fuera de ciclo para Flash Player para corregir seis
nuevas vulnerabilidades que afectan al popular reproductor.
- Se descubre una vulnerabilidad en Java para la que no existe parche, que está siendo aprovechada por atacantes y cuyo código es público.
Septiembre 2012:
- Detectamos una variante de Zbot
que aprovecha una
funcionalidad de las que implementa HTML5 en el navegador de la víctima a
la que infecta. Lo hace para almacenar ciertos datos robados, que le servirán
para culminar una estafa.
- Microsoft publica un aviso de
seguridad donde pide
a sus usuarios que dejen de utilizar MS-CHAPv2 como método de autenticación
en conexiones PPTP (al menos sin encapsular). El
protocolo sufría varias debilidades que lo hacen inseguro desde 1999, pero
desde la revelación de nuevos métodos por Moxie Marlinspike,
usarlo es un grave riesgo.
- Se anuncia la compra de
VirusTotal por Google. Bernardo
Quintero se despide del boletín una-al-dia.
- Se descubre un nuevo exploit que aprovecha una vulnerabilidad crítica en Internet Explorer. Permite la ejecución remota de código arbitrario y que está siendo usada por atacantes. Afecta a las versiones 7, 8 y 9 del navegador en todas las versiones del sistema operativo. Microsoft publica una actualización fuera de ciclo para corregirla.
Más información:
una-al-dia (11/07/2012) Grave
vulnerabilidad en Plesk están siendo aprovechada por atacantes
una-al-dia (13/07/2012) Microsoft
curándose en salud: Fin de los Gadgets y revocación de certificados
una-al-dia (15/07/2012) Microsoft
curándose en salud (II): bloqueará los certificados de menos de 1024 bits
una-al-dia (17/07/2012) Hispasec
presenta Office Signature Checker
una-al-dia (12/07/2012) Boletines
de seguridad de Microsoft en julio
una-al-dia (18/07/2012)
Actualización de seguridad de julio para productos Oracle
una-al-dia (25/07/2012) Apple
corrige más de 120 vulnerabilidades en Safari 6
una-al-dia (06/08/2012) Si no
actualizas Java, estás infectado
una-al-dia (14/08/2012) Boletines
de seguridad de Microsoft en agosto
una-al-dia (15/08/2012) Boletines
de seguridad de Adobe en agosto
una-al-dia (16/08/2012) El último
boletín de Acrobat y Reader deja al menos 16 problemas de seguridad conocidos
sin resolver
una-al-dia (22/08/2012) Nueva
actualización fuera de ciclo para Adobe Flash Player
una-al-dia (27/08/2012) Grave
vulnerabilidad sin parche en Java está siendo aprovechada por atacantes
una-al-dia (01/09/2012) El
malware ya se aprovecha del HTML5
una-al-dia (02/09/2012) Rematando
MS-CHAP v2: Microsoft aconseja dejar de usarlo sin encapsular (I, II y III)
una-al-dia (07/09/2012) "Mi
última una-al-día: gracias y hasta otra"
una-al-dia (16/09/2012) Grave
vulnerabilidad sin parche en Internet Explorer está siendo aprovechada por
atacantes
una-al-dia (21/09/2012) Microsoft
publica actualización fuera de ciclo para la vulnerabilidad de Internet
Explorer
Antonio Ropero
Twitter: @aropero
