Termina el año y desde Hispasec un año más echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2012 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.
Julio 2012:
- Se da a conocer un grave problema de seguridad en el panel de administración Plesk, muy empleado en empresas de hosting para que los usuarios administren sus recursos: páginas, DNS, correos, etc. El fallo es aprovechado activamente por atacantes, y afecta a numerosas páginas webs y servicios de hosting.
- Junto con el conjunto de boletines de julio, Microsoft realiza dos importantes avisos de seguridad: Aconseja deshabilitar los Gadgets de escritorio de Windows (también conocidos como Sidebar) y revoca preventivamente 28 entidades subcertificadoras de Microsoft. Igualmente actualiza sus políticas de seguridad PKI y anuncia el bloqueo de cualquier certificado que utilice claves RSA de cifrado menores a 1024 bits.
- Hispasec presenta Office Signature Checker, una herramienta para comprobar la firma de documentos Office (sin necesidad de ejecutarlos).
- Dentro de su ciclo habitual de actualizaciones Microsoft publica nueve boletines de seguridad, que solucionan 26 vulnerabilidades. Oracle, por su parte, corrige 87 vulnerabilidades en múltiples productos de su gama. Igualmente, Apple corrige más de 120 vulnerabilidades en Safari 6.
Agosto 2012:
- Java cada vez más se extiende como la principal vía de infección de los sistemas. La unión de applets de Java junto con una máquina virtual JRE vulnerable, son la combinación perfecta para que los atacantes infecten a sus víctimas.
- Dentro de su ciclo habitual de actualizaciones Microsoft publica nueve boletines de seguridad, que solucionan 26 vulnerabilidades. Adobe publica actualizaciones para corregir el mismo número de vulnerabilidadesen la familia Acrobat, Shockwave Player y en Flash placer; aun así se deja 16 problemas de seguridad conocidos sin resolver. Una vez más, Adobe publica una nueva actualización fuera de ciclo para Flash Player para corregir seis nuevas vulnerabilidades que afectan al popular reproductor.
- Se descubre una vulnerabilidad en Java para la que no existe parche, que está siendo aprovechada por atacantes y cuyo código es público.
Septiembre 2012:
- Detectamos una variante de Zbot que aprovecha una funcionalidad de las que implementa HTML5 en el navegador de la víctima a la que infecta. Lo hace para almacenar ciertos datos robados, que le servirán para culminar una estafa.
- Microsoft publica un aviso de seguridad donde pide a sus usuarios que dejen de utilizar MS-CHAPv2 como método de autenticación en conexiones PPTP (al menos sin encapsular). El protocolo sufría varias debilidades que lo hacen inseguro desde 1999, pero desde la revelación de nuevos métodos por Moxie Marlinspike, usarlo es un grave riesgo.
- Se anuncia la compra de VirusTotal por Google. Bernardo Quintero se despide del boletín una-al-dia.
- Se descubre un nuevo exploit que aprovecha una vulnerabilidad crítica en Internet Explorer. Permite la ejecución remota de código arbitrario y que está siendo usada por atacantes. Afecta a las versiones 7, 8 y 9 del navegador en todas las versiones del sistema operativo. Microsoft publica una actualización fuera de ciclo para corregirla.
Más información:
una-al-dia (11/07/2012) Grave vulnerabilidad en Plesk están siendo aprovechada por atacantes
una-al-dia (13/07/2012) Microsoft curándose en salud: Fin de los Gadgets y revocación de certificados
una-al-dia (15/07/2012) Microsoft curándose en salud (II): bloqueará los certificados de menos de 1024 bits
una-al-dia (17/07/2012) Hispasec presenta Office Signature Checker
una-al-dia (12/07/2012) Boletines de seguridad de Microsoft en julio
una-al-dia (18/07/2012) Actualización de seguridad de julio para productos Oracle
una-al-dia (25/07/2012) Apple corrige más de 120 vulnerabilidades en Safari 6
una-al-dia (06/08/2012) Si no actualizas Java, estás infectado
una-al-dia (14/08/2012) Boletines de seguridad de Microsoft en agosto
una-al-dia (15/08/2012) Boletines de seguridad de Adobe en agosto
una-al-dia (16/08/2012) El último boletín de Acrobat y Reader deja al menos 16 problemas de seguridad conocidos sin resolver
una-al-dia (22/08/2012) Nueva actualización fuera de ciclo para Adobe Flash Player
una-al-dia (27/08/2012) Grave vulnerabilidad sin parche en Java está siendo aprovechada por atacantes
una-al-dia (01/09/2012) El malware ya se aprovecha del HTML5
una-al-dia (02/09/2012) Rematando MS-CHAP v2: Microsoft aconseja dejar de usarlo sin encapsular (I, II y III)
una-al-dia (07/09/2012) «Mi última una-al-día: gracias y hasta otra»
una-al-dia (16/09/2012) Grave vulnerabilidad sin parche en Internet Explorer está siendo aprovechada por atacantes
una-al-dia (21/09/2012) Microsoft publica actualización fuera de ciclo para la vulnerabilidad de Internet Explorer
Antonio Ropero
Twitter: @aropero
