Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

24/07/2015

Boletín 11/07/2015 - 24/07/2015

La web de citas Ashley Madison (La vida es corta. Ten una aventura) ha sido hackeada comprometiendo la información privada de más de 37 millones de usuarios. El responsable ha sido el grupo denominado The Impact Team que ha publicado 40Mb de esa información para demostrar que, efectivamente, tienen los datos. De esta forma están chantajeando a los propietarios del portal para que cierren, en caso contrario publicará información de los clientes sobre transacciones con tarjetas, fantasías sexuales, nombre real, dirección postal, etc.

También ha sido hackeado Cloudminr.io que alberga un servicio en nube de Bitcoins. Los atacantes tomaron el control total de Cloudminr.io y están tratando de vender la información, que incluye unos 80.000 usuarios, nombres, direcciones de correo electrónico y contraseñas. Al parecer esta información se almacenaba sin cifrar por lo que está completamente comprometida.

Microsoft recomienda cambiar la contraseña de Skype lo antes posible tras la detección de numerosas cuentas comprometidas. Se cree que ciberdelincuentes han tenido acceso a un grupo de credenciales de usuarios.

Sabemos que Internet actualmente es un campo de batalla y lo podemos visualizar en la siguiente página que dispone de un mapa hipnótico que muestra un flujo constante (a veces un diluvio) de ciberataques representados por coloridos láseres. Se trata de ataques registrados en una infraestructura con 8 millones de sensores repartidos en 50 países.

Microsoft ha publicado una actualización fuera de ciclo para corregir una vulnerabilidad crítica con la que se puede llegar a ejecutar código remotamente sin intervención del usuario. Afecta a la librería Windows Adobe Type Manager y viene seis días después de actualizar una librería similar de Adobe dentro de los boletines programados para el mes de julio. Los más destacados han sido los boletines MS15-066, MS15-067 y MS15-068 que corrigen un total de cuatro vulnerabilidades críticas que afectan al motor VBScript, al servicio RDP y a máquinas virtuales.

El pasado 14 de julio Microsoft terminó el mantenimiento de Windows 2003 y 2003 R2 por lo que ya no van a publicar ningún tipo de actualizaciones adicionales. De hecho, la actualización que soluciona la vulnerabilidad CVE-2015-2426 del día 21 no tiene versión para Windows 2003. Como mucho se podría renombrar la dll afectada (atmfd.dll) analizando su repercusión. Recomendamos la actualización inmediata a un sistema con soporte o su aislamiento. Se puede consultar el ciclo de vida de las versiones de Windows en la siguiente página donde ya podemos ver que aparece el periodo de mantenimiento de Windows 10.

Desde CSIRT-CV hemos publicado la tercera edición de 2015 para los microcursos y, la segunda para los cursos online con un nuevo curso en la plataforma; un año después del lanzamiento del curso Uso seguro en Android y tras la buena acogida que ha tenido, os presentamos el curso Uso seguro en iOS.
También hemos ampliado y actualizado la guía de Whatsapp para incluir más información sobre las nuevas funcionalidades de esta aplicación de mensajería.

Actualizaciones de programas:
Después de la publicación de los recursos de Hacking Team, han visto la luz varias vulnerabilidades en Adobe Flash que están haciendo que diversos portales e incluso el navegador Firefox, decidan abandonar el uso de este complemento.
Hasta 50 vulnerabilidades serán corregidas con estos tres boletines de seguridad publicados por Adobe con respecto a Adobe Reader, Acrobat, Sockware y Flash Player.

Como es tradicional, Oracle ha publicado su boletín trimestral de actualizaciones para sus aplicaciones, donde incluye parches para los fallos y vulnerabilidades detectados en los últimos tres meses.
Dentro del análisis de la Operación Pawn Storm, Trend Micro ha descubierto un nuevo 0-day para Java. Oracle ha publicado una actualización que debe aplicarse cuanto antes.

CSIRT-CV