Entre sus principales característica destaca:

• Contiene exploits compilados (binarios y ejecutables) de las vulnerabilidades más conocidas.
• Escanea puertos 1 al 65535 TCP después de reconocer la IP, ejecuta los exlpoits de acuerdo a la lista de puertos abiertos “Openports.TXT”.
• Realiza escaneo de puertos multihilo.
• No requiere ninguna base de datos en el back-end.
• La ejecución de exploits no se basa en técnicas de Fingerprinting, se realiza de forma independiente.
• No se necesita compilar el código fuente.

Es una herramienta para Windows ideal para realizar un testeo rápido de un IDS, debido a su eficacia y facilidad de uso.

Esta herramienta al poseer exploits puede ser detectada por algunos antivirus como infectada, es normal ya que posee el código de muchos exploits conocidos.

Más información de WinAUTOPWN:

http://winautopwn.co.nr/

Descarga de WinAUTOPWN:

http://089dc64a.seriousfiles.com/

Fuente: http://vtroger.blogspot.com/

Miller revelará los fallos en la CanSecWest security conference de Vancouver. Ha encontrado 30 vulnerabilidades en total (críticas, o sea, que permiten ejecución de código) en cuatro lectores de PDF y PPT. El peor parado es la aplicación “vista previa” (Preview) de Apple. Esta aplicación permite visualizar de forma simple diferentes formatos de archivos en Mac OS. 20 de estos fallos permiten ejecución de código con solo procesar ficheros PDF especialmente manipulados. Puesto que Safari puede procesar PDF con la vista previa al visitar una web, los fallos son aprovechables con solo visitar una página.

Lo más curioso es la forma en la que Miller ha encontrado las vulnerabilidades. Puso a prueba cuatro programas: Adobe Reader, la vista previa de Apple, PowerPoint y OpenOffice. Con un script en python de 5 líneas, modificaba un bit de un fichero PDF o PPT y se lo pasaba a los diferentes lectores. Así, en tres semanas, consiguió 1.000 formas diferentes de hacer que los programas dejasen de responder (1.000 denegaciones de servicio). Pero cuando estudió algunas de ellas detenidamente, sacó 30 vulnerabilidades que permiten la ejecución de código. El peor parado, sin duda, la vista previa de Apple con 20 de esos errores. Esto no significa que PowerPoint, OpenOffice o Adobe Reader (este último, especialmente) no contenga más vulnerabilidades que las encontradas por Miller. Cabe recordar que el investigador es especialista en Mac y probablemente se haya centrado en este software para encontrar las 20 vulnerabilidades críticas.

Miller se queja de la seguridad de Apple. Todavía no sabe si pondrá a prueba a la compañía para comprobar cuánto tardan en solucionar los errores. Es más, se sorprende de que una sola persona consiga encontrar tantos fallos en casa armado exclusivamente con un script muy sencillo, mientras que compañías como Apple (con decenas de ingenieros de software) parecen no haber realizado este tipo de pruebas antes o no haber llegado a prevenirlas de alguna forma.

Miller seguirá investigando, y espera que algunos de estos fallos sean reproducibles en el iPhone. Apple debe dar un giro hacia la seguridad como prioridad en sus productos antes de que el popular teléfono se convierta en objetivo de los atacantes. A pesar de haber sufrido innumerables reveses en cuestión de seguridad, de haberse hecho públicos errores avergonzantes, y de cmantener una política de seguridad muy cuestionable, Apple sigue priorizando el diseño y la funcionalidad, dejando quizás un poco de lado la cada vez más necesaria seguridad. Adobe (en plena crisis en este aspecto) está reaccionando con anuncios de mejora en sus métodos de actualización, entre otras medidas. ¿Para cuándo Apple?

Más Información:

Researcher Will Expose 20 Hackable Apple Security Flaws

http://blogs.forbes.com/firewall/2010/03/16/researcher-will-expose-20-hackable-apple-flaws/

Sergio de los Santos
ssantos@hispasec.com

Mozilla confirmó el descubrimiento de la vulnerabilidad por parte de un investigador de seguridad. Esta vulnerabilidad ya ha está solucionada en una versión nightly del navegador (3.6.2) y se está probando la consistencia de la misma para poder publicarla sobre el día 30 de marzo para los usuarios de la versión 3.6.

La explotación de esta vulnerabilidad podría llegar a permitir una ejecución remota de código.

Hasta que se publique la actualización de seguridad, para prevenir la explotación de esta vulnerabilidad, se puede utilizar otro navegador o versión no afectados por vulnerabilidades o instalar la versión 3.6.2 (nightly) en el sistema.

La personas que están probando la versión 3.7 deben actualizar a la 3.7 Alpha 3 o a la última revisión nightly.

Fuente: Segu-Info

Versiones Afectadas
A continuación se detallan las versiones afectadas:

Microsoft Windows 2000 SP 4
Windows XP SP 2 y Windows XP SP 3
Windows XP Professional x64 Edition SP 2
Windows Server 2003 SP 2
Windows Server 2003 x64 Edition SP 2
Windows Server 2003 con SP2 para arquitecturas Itanium
Windows Vista, Windows Vista SP 1, y Windows Vista SP 2
Windows Vista x64 Edition, Windows Vista x64 Edition SP 1, y Windows Vista x64 Edition SP 2
Windows Server 2008 para 32-bit y Windows Server 2008 para 32-bit SP 2
Windows Server 2008 para arquitecturas x64 y Windows Server 2008 para arquitecturas x64 SP 2
Windows Server 2008 para arquitecturas Itanium y Windows Server 2008 para arquitecturas Itanium SP 2
Windows 7
Windows 7 para arquitecturas x64
Windows Server 2008 R2 para arquitecturas x64
Windows Server 2008 R2 para arquitecturas Itanium
Internet Explorer 6 SP 1 en Microsoft Windows 2000 SP 4
Internet Explorer 6 para Windows XP SP 2, Windows XP SP 3, y Windows XP Professional x64 Edition SP 2
Internet Explorer 6 para Windows Server 2003 SP 2, Windows Server 2003 con SP2 para arquitecturas Itanium, y Windows Server 2003 x64 Edition SP 2
Internet Explorer 7 para Windows XP SP 2 y Windows XP SP 3, y Windows XP Professional x64 Edition SP 2
Internet Explorer 7 para Windows Server 2003 SP 2, Windows Server 2003 con SP2 para arquitecturas Itanium, y Windows Server 2003 x64 Edition SP 2
Internet Explorer 7 en Windows Vista, Windows Vista SP 1, Windows Vista SP 2, Windows Vista x64 Edition, Windows Vista x64 Edition SP 1, y Windows Vista x64 Edition SP 2
Internet Explorer 7 en Windows Server 2008 para 32-bit y Windows Server 2008 para 32-bit SP 2
Internet Explorer 7 en Windows Server 2008 para arquitecturas Itanium y Windows Server 2008 para arquitecturas Itanium SP 2
Internet Explorer 7 en Windows Server 2008 para arquitecturas x64 y Windows Server 2008 para arquitecturas x64 SP 2
Internet Explorer 8 para Windows XP SP 2, Windows XP SP 3, y Windows XP Professional x64 Edition SP 2
Internet Explorer 8 para Windows Server 2003 SP 2, y Windows Server 2003 x64 Edition SP 2
Internet Explorer 8 en Windows Vista, Windows Vista SP 1, Windows Vista SP 2, Windows Vista x64 Edition, Windows Vista x64 Edition SP 1, y Windows Vista x64 Edition SP 2
Internet Explorer 8 en Windows Server 2008 para 32-bit y Windows Server 2008 para 32-bit SP 2
Internet Explorer 8 en Windows Server 2008 para arquitecturas x64 y Windows Server 2008 para arquitecturas x64 SP 2
Internet Explorer 8 en Windows 7 para 32-bit
Internet Explorer 8 en Windows 7 para arquitecturas x64
Internet Explorer 8 en Windows Server 2008 R2 para arquitecturas x64
Internet Explorer 8 en Windows Server 2008 R2 para arquitecturas Itanium

Detalle
Microsoft ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer, el cual permite bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Esta vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada para tal fin.

Impacto
El impacto de esta vulnerabilidad es ALTAMENTE CRÍTICO.

Recomendaciones
Microsoft está investigando la vulnerabilidad y sus posibles soluciones y/o mitigaciones. Hasta tanto no se libere una actualización que corrija este problema, se recomienda visitar sólo sitios web confiables o utilizar un explorador web alternativo.

Referencias
Más información sobre este alerta:

Microsoft (en inglés):

http://www.microsoft.com/technet/security/advisory/979352.mspx

http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx

Fuente: ArCERT

Las problemas solucionados son de diversa índole y afectan a diferentes módulos de los productos vulnerables. Problemas en el tratamiento de punteros, de desbordamiento de búfer, desbordamiento de enteros, inyección de código script o en la carga de dlls se traducen en múltiples fallos que podrían permitir la ejecución remota de código arbitrario.

Las vulnerabilidades se han confirmado en Adobe Reader 9.2 y Acrobat 9.2 para Windows, Macintosh y UNIX, y Adobe Reader 8.1.7 y Acrobat 8.1.7 para Windows y Macintosh.

Dada la gravedad de los problemas, se recomienda la actualización de Adobe Reader y Acrobat desde:

http://www.adobe.com/support/security/bulletins/apsb10-02.html

Más Información:

Security updates available for Adobe Reader and Acrobat

http://www.adobe.com/support/security/bulletins/apsb10-02.html

Antonio Ropero
antonior@hispasec.com

El primero de los problemas permitiría a un atacante remoto enviar datos específicamente manipulados para consumir todos los recursos del sistema atacado. La segunda vulnerabilidad permitiría a un atacante remoto subir al servidor atacado DLLs arbitrarias, las cuales podrían ser posteriormente ejecutadas.

Adobe ha publicado la versión 3.5.3 que corrige estos problemas disponible desde:

http://www.adobe.com/support/flashmediaserver/downloads_updaters.html

Más Información:

Security update available for Flash Media Server

http://www.adobe.com/support/security/bulletins/apsb09-18.html

Antonio Ropero
antonior@hispasec.com

Se trata de un juego de preguntas y respuestas sobre riesgos en Internet, dirigido a menores de un amplio rango de edades (entre 9 y 15 años principalmente). TriviRal combina un triple objetivo de carácter didáctico (que los niños identifiquen algunos de los riesgos a los que se enfrentan en el uso de Internet), lúdico (aprender jugando sobre medidas preventivas a adoptar) e informativo (dar a conocer la existencia de recursos y servicios de ayuda y respuesta así como sensibilización sobre la seguridad y la econfianza en el uso de las TIC por los menores). Los temas tratados son el código malicioso o malware (virus, troyanos y espías), el ciberbullying (acoso entre menores) y el grooming (acoso sexual por adultos).

TriviRal está diseñado para que resulte un material educativo adecuado, tanto para uso en el ámbito doméstico, como para su empleo en el contexto escolar. Dispone de un sistema de cómputo y estadísticas que permite analizar los resultados para cada jugador (a elegir entre 1 y 4) y por cada área temática, de manera que ofrece a padres y educadores un método para medir el grado de conocimiento y aprendizaje de los menores.

Web de TriviRal:
http://www.navegacionsegura.es/

Fuente:

http://vtroger.blogspot.com/2009/10/juego-online-de-preguntas-y-respuestas.html

http://blog.segu-info.com.ar/2009/12/juego-online-de-preguntas-y-respuestas.html

Cada vez son más las ventajas que encontramos a la hora de optar por Internet para realizar nuestras compras, como la comodidad de no tener que moverse del sofá de casa, los precios competitivos o la gran variedad de artículos disponibles. Sin embargo, hay que tomar una serie de precauciones para que las compras no nos acaben saliendo realmente caras.

Bitdefender ofrece una serie de consejos que nos permitirán comprar de forma segura al tiempo que protegemos la información personal y la salud del PC del usuario:

- Saber dónde se está comprando y leer la letra pequeña. No todos los sitios web y tiendas online son seguros ni fiables. Muchos cibercriminales son muy hábiles y convincentes a la hora de crear páginas web de compras online con apariencia legítima. Hay que tener mucho cuidado para saber a quién se le está comprando.

- Desconfiar de cualquier promoción online que pida información que no sea nuestro nombre y dirección de correo electrónico. Una táctica común de phishing dirigida a los compradores online utiliza promociones y compras online para instar a que el posible comprador facilite información personal con la excusa de remitirle en el futuro cupones de descuento u otros obsequios. La mayor parte de tiendas online fiables únicamente requieren un nombre y una dirección de correo electrónico. para ofrecer cupones o muestras.

- Realizar la compra siempre desde un PC seguro con una buena suite de seguridad instalada.

- En la medida de lo posible, realizar las gestiones en sitios web conocidos y de confianza.

- Tener cuidado con los correos electrónicos desconocidos que ofrecen un “gran regalo” u “oferta especial”: lo más probable es que sean falsos y, por tanto, deben omitirse.

- Utilizar tarjetas de crédito en lugar de tarjetas de débito. Las tarjetas de débito ofrecen una menor responsabilidad en caso de ser víctimas de fraude.

- Comprobar los sellos de seguridad de todos los sitios web de compras.

- Asegurarse de que la conexión a la web es una http. Pese a que esto no garantiza la seguridad al 100%, en la mayoría de los casos los sitios suelen ser seguros.

- Considerar la posibilidad de pagar mediante formas alternativas, por ejemplo contra reembolso.

Fuente: BitDefender

Alfredo Ortega y Anibal Sacco de Core Security Technologies explicaron que el ataque es posible contra casi todos los sistemas comunes de Bios en uso actualmente.

Los investigadores idearon un script Python de 100 líneas que puede ser grabado en la memoria flash del Bios para instalar un rootkit. Debido a que el programa del Bios se activa antes que cualquier otro programa en una computadora cuando esta se incia, los programas normales de anti-virus serían incapaces de detectarlo.

“Probamos el sistema en la mayoría de los tipos comunes de Bios”, dijo Ortega. “Existe la posibilidad que los nuevos tipos de Bios de Interface Extensible de Firmware (*EFI BIOS) puedan ser resistentes al ataque, pero se requieren más pruebas.”

El ataque solo es posible si el atacante ya tiene control administrativo completo de la PC objetivo, pero esto es posible mediante una infeccion estándar de virus. Una vez conseguido eso, el operador del malware sería capaz de grabar un rootkit directamente en el Bios.

Incluso si el virus inicial fuera detectado y eliminado, la computadora seguiría aun bajo control remoto. Una limpeza complerta del disco duro y resintalacion completa del sistema operativo no lo eliminaría, advirtieron los investigadores.

Si un rootkit sofisticado fuera colocado en el Bios sería aún mas difícil para un administrador poder rastrearlo en el sistema, según Ivan Arce, gerente de Tecnología de Core Security.

“Necesitaría regrabar la memoria flash del Bios con un sistema que uno sepa que no ha sido manipulado”, dijo. “Pero si el rootkit es suficientemente sofisticado sería necesario eliminar y reemplazar físicamente el chip de Bios.”

El vector de ataque también es utilizable contra sistemas virtuales, dicen lso investigadores. El Bios en VMware está integrado como un módulo en el ejecutable principal de VMware, y por lo tanto podría ser alterado.

Sin embargo, es posible protegerse consta este ataque cerrando el chip del Bios a las actualizaciones, ya sea físicamente o mediante protegiendo por contraseña los cambios no autorizados del sistema.

“El mejor enfoque es impedir que los virus graben en la Bios,” dijo Sacco. “Necesita impedir la grabacion de la Bios, incluso si esto significa sacar un jumper en la placa madre.”

Autor: Iain Thomson
Traducción: Raúl Batista – Segu-info
http://blog.segu-info.com.ar/2009/11/nuevo-ataque-al-bios-hace-inservible-al.html

HP Openview Network Node Manager (NNM) es la herramienta que dio origen a la familia productos HP Openview. Se trata de un conjunto de herramientas para la administración de redes, posee funciones de monitorización de dispositivos, recolección, almacenamiento y tratamiento de información SNMP.

El problema reside en un error en el motor de base de datos (ovdbrun.exe) cuando procesa paquetes con un código de campo no válido enviados al puerto 2690/TCP. Un atacante remoto podría aprovechar esta vulnerabilidad para provocar la caída del servicio afectado lo que causaría la condición de denegación de servicio.

Se recomienda aplicar la actualización disponible desde el boletín de seguridad de HP:

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01926980

Más Información:

HPSBMA02477 SSRT090177 rev.2 – HP OpenView Network Node Manager (OV NNM), Remote Denial of Service (DoS)

http://h20000.www2.hp.com/bizsupport/TechSupport/Document.jsp?objectID=c01926980

Antonio Ropero
antonior@hispasec.com