Podéis escucharlo con el reproductor o descargar el podcast directamente.

Más información sobre el programa: Programas y Podcast de 5.0 en RNE.

Para quienes no conozcan este proyecto, está liderado por Pravir Chandra de Fortify Software, compañía especialista en software de seguridad y comprada por HP hace ya casi un año. Sobre su definición, cito textualmente (traduciendo al castellano) su definición directamente sacada de la página web oficial de OpenSAMM:

“El modelo de madurez de seguridad de software (en inglés Software Assurance Maturity Model – SAMM) es un marco abierto para ayudar a las organizaciones a formular e implementar una estrategia a seguir para la seguridad en el software, encajando en los diferentes riesgos a los que se enfrenta una organización. Los recursos proporcionados por el SAMM ayudarán en lo siguiente:

• Evaluación de las prácticas de seguridad en software de la organización.
• Construcción de un programa de seguridad en software balanceado en iteraciones bien definidas.
• Demostración de mejoras concretas en un programa de garantía de la seguridad.
• Definición y medida de actividades relacionadas con la seguridad dentro de una organización.
• SAMM fue definido con la flexibilidad en mente y así poder ser utilizada en pequeñas, medianas y grandes empresas, independientemente del estilo de desarrollo. Además, este modelo puede ser aplicado en toda la organización, para una única línea de negocio, o incluso para un proyecto en concreto.

Como proyecto libre, el contenido de SAMM siempre permanecerá neutral a fabricante y queda disponible libremente para que todo el mundo pueda utilizarlo.”

Desde su primera versión publicada, este proyecto formó parte de la comunidad OWASP, con lo que ello conlleva: que toda la comunidad pueda contribuir y en esta ocasión, traducir el documento a otros idiomas. Además de la propia guía, en la sección de descargas (parte de Tools) de la página de OpenSAMM, se dispone de una serie de herramientas para apoyar las fases propuestas, como por ejemplo plantillas de entrevistas, hojas de ruta, planes de trabajo, planes de proyecto, gestor de vulnerabilidades…

¿Tienes en cuenta la seguridad en tu proceso de desarrollo? Si tienes dudas o directamente es una respuesta negativa, ya tienes por dónde empezar, además de forma totalmente gratuita y en tu idioma.

La versión original en inglés puede descargarse desde este enlace PDF [inglés], y su versión recién traducida al castellano, puede descargarse aquí.

Fuente: securitybydefault.com

¿Preciso un guardaespaldas? ¿Mi Linux es inseguro? Bueno, no exactamente, pero gran parte de la seguridad de un sistema depende de los usuarios. Un sistema seguro no es aquel en el que el usuario se despreocupa por su seguridad. Los consejos que aquí comparto tienen que ver con éstas prácticas que los usuarios y/o el administrador del sistema deberían tener en cuenta para mejorar su seguridad.

1: Usar las claves de cifrado

Para muchos, esto es una molestia. Al iniciar sesión, que tu máquina realice peticiones para conectarse a una red (o un servidor LDAP, etc), el sistema te pide introducir la clave de cifrado de tu “llavero de claves” (o keyring). Existe una enorme tentación para desactivar esta función, dándole una contraseña en blanco y despedir así a la advertencia de que la información se transmitirá sin encriptar (¡incluidas las propias contraseñas!). Esto no es una buena idea. Aunque es realmente una molestia, esta función está ahí por una razón – para cifrar las contraseñas sensibles cuando se envían a través de nuestra red.

2: Obligar a los usuarios a que modifiquen sus contraseñas

En cualquier entorno multi-usuario (como Linux), tenés que asegurarte de que sus usuarios cambien sus contraseñas cada cierto tiempo. Para ello se utiliza el comando chage. Podés comprobar el vencimiento de la contraseña de un usuario con el comando sudo chage-l NOMBRE DE USUARIO (donde NOMBRE DE USUARIO es el nombre del usuario que querés comprobar). Ahora, supongamos que querés que la constraseña de ese usuario y obligar a que la cambie en la siguiente sesión. Para ello, podés ejecutar el comando sudo-E FECHA_EXPIRACION chage-m-M EDAD_MINIMA EDAD_MAXIMA-I-W PERIODO_INACTIVIDAD DIAS_ANTES_DE_EXPIRAR (donde todas las opciones en mayúsculas tienen que ser definidas por el usuario). Para obtener más información sobre este comando, consultá la página de manual (escribí el comando man chage).

3: No desactivar SELinux

Al igual que el llavero de claves (keyring), SELinux está ahí por una razón. SE stands for Security Enhanced and it provides the mechanism that controls access to applications. SE significa Seguridad Mejorada (Enhanced Security) y proporciona el mecanismo que controla el acceso a las aplicaciones. He leído de una serie de “soluciones” a distintos problemas en los que se recomienda desactivar SELinux. En realidad, más que una solución, esta medida termina generando más problemas. Si un programa en particular no está funcionando correctamente, es recomendable estudiar una modificación de las políticas de SELinux que se adapten mejor a tus necesidades en lugar de deshabilitar SELinux por completo. Si te parece engorroso hacerlo a través de la línea de comandos, es posible que quieras jugar con una interfaz llamada polgengui.

4: No inicies sesión como root por defecto

If you need to do administration on a machine, log in as your regular user and either su to the root user or take advantage of sudo. Si tenés que administrar en un equipo, conectate como tu usuario normal y usá su o sudo para realizar esa tarea específica con privilegio de root. Al iniciar sesión como usuario root, efectivamente estarías evitándole a los posibles intrusos uno de los mayores obstáculos de seguridad al permitirles el acceso a los sistemas y subsistemas que normalmente no serían accesibles al iniciar sesión como un usuario estándar. Inicia sesión con tu cuenta regular. Siempre. No importa que ingresar la bendita contraseña del root cada vez que necesites hacer algo te esté colmando la paciencia.

5: Instalá las actualizaciones de seguridad rápidamente

Existe una diferencia enorme entre la forma en Linux y Windows manejar las actualizaciones. Mientras que Windows normalmente realiza una actualización masiva una vez cada tanto, Linux hace frecuentes actualizaciones más pequeñas. Hacer caso omiso de estas actualizaciones pueden ser desastroso si el agujero de seguridad adecuado no es parcheado en su sistema. Nunca olvides que algunas de esas actualizaciones son parches de seguridad que deben ser aplicados de inmediato. Por esa razón, no ignores nunca el ícono que indica la disponibilidad de nuevas actualizaciones. Mantenete al día y, al final del día, vas a tener un sistema más seguro.

Para subir una montaña hay que dar pequeños pasos

Siguiendo al pie de la letra estos consejos tu sistema será mucho más seguro. Eso sí, esta no es una completa lista de cosas que podés hacer para mejorar tu seguridad. Es sólo el principio, una suerte de lista que contiene aquellas cosas “tontas” que muchos usuarios se ven tentados a hacer y que empeoran significativamente la seguridad del sistema que utilizan.

Fuente: Usemos Linux

Vía: revistalinux.net

El simposio contará con los siguientes ponentes:

David Treviño: “Seguridad en la nube”.

Jesús Torrecillas: “Ya estamos en problemas. ¿Y ahora qué hacemos?”

Isreael Sotelo: “Seguridad de la información. Más allá de firewalls y mejores prácticas”.

Romeo Sánchez: “¿Seguro que estás seguro? La seguridad falsa en las aplicaciones web”

Además, Ivonne Muñoz y Pablo Oyervides.

La entrada general son 100 pesos y 80 para estudiantes con credencial.

Toda la información en http://amsi.org.mx/

Laboratorio Hispasec
hispasec.com

Cualquiera que sepa lo que es la ingeniería social, estará de acuerdo en que la “pregunta secreta” es una de las peores ideas de la historia en cuanto a seguridad. Es MUY fácil dar con la respuesta buscando un poco sobre el propietario de la cuenta, tener acceso así a sus cuentas de correo, y de ahí a su cuenta bancaria, dominios, planes y proyectos. Nunca uses la opción de la “pregunta secreta” si te la ofrecen.

Pero quiero destacar un detalle sobre cómo de débiles son los mecanismos de seguridad en Twitter. Hasta hace un par de días, la contraseña para acceder a los servidores de Twitter era “password”. Así de obvio e idiota, como el mismo registro en Twitter te indica. Cualquiera que probara suerte con algo tan simple podía acceder al panel de administración del sitio, con lo que eso supone.

¿Qué significaría una intromisión a nivel de administrador en un sitio del calibre de Twitter? Sé que muchos genbeteros son detractores de este servicio de microblogging, pero hasta los más recalcitrantes estarán de acuerdo que podría formarse un caos considerable. Pocos sitios están logrando una repercusión similar en medios tradicionales, por ejemplo.

En cuanto a los documentos expuestos, no van a acabar con Twitter, pero desde luego dejan a la compañía en una situación muy embarazosa. Según Biz Stone, “podrían enrarecer las relaciones con socios actuales o en proyecto”. Entre ellos había acuerdos con empleados, agendas de los fundadores, horarios de citas con candidatos a varios puestos, registros y facturas de teléfono, previsiones financieras, proyecto para un show de TV sobre Twitter, acuerdos de confidencialidad con AOL, DELL, Ericsson o Nokia, lista de restricciones de dietas a empleados, tarjetas de crédito, cuentas de Paypal…

Son especialmente delicados los resúmenes de reuniones. En ellas trazan no sólo los planes de futuro de la empresa, sino aspectos de relaciones con Google, Microsoft y otros socios de menor tamaño. Por ejemplo, un tema del día fue “¿Compramos TwitPic?”, y se decidió no hacerlo. En las reuniones se da el visto bueno a webs y aplicaciones de tercero, y las que no pasan el corte en estas reuniones llegan a desaparecer, como el sitio de micropagos Mogees.

Pero sobre todo hay una lección en todo esto. Nunca, jamás consideres que tus documentos confidenciales están suficientemente protegidos. Una falsa sensación de seguridad es lo peor que puede pasarte. Si varias personas tienen acceso a documentos que pueden poner en riesgo proyectos y contratos, asegúrate de que entienden la importancia de este hecho, y que no usan “password” como contraseña.

Fuente: genbeta.com

Lo dicho, entramos en materia.

Descripción general

Es un auditor de seguridad de red remoto. Consta de dos partes, un cliente (nessus) y un servidor (nessusd).

Se utiliza para comprobar la seguridad y encontrar vulnerabilidades para que puedan ser solucionadas por el administrador del sistema.

La opciones de interfaz de uso son tanto gráficas como en línea de comandos, siendo, esta última, la más típica en este tipo de aplicaciones en Ubuntu y otras distribuciones de Linux.

Nessus 4

Este programa es multiplataforma y está disponible para Windows, Linux, FreeBSD, Mac OS X.

Consta de algunos plugins, haciendo de esta aplicación una de las más extensibles de su gama.

Estado de la herramienta

Aplicación en pleno auge, muy utilizada por los adminsitradores de red y con contínuas actulizaciones, aunque no se puede acceder a versiones anteriores a la que tengan como actual en la web oficial.

Los inicios de Nessus estaban ligados al open source, pero a partir de la versión >=3.0, Nessus cambia su licencia y ya no está bajo la GPL.

El desarrollo de la herramienta, y por lo tanto la nuevas actualizaciones, depende exclusivamente por los propietarios de Nessus y, actualmente, no existe una comunidad de desarrolladores en Internet para esta aplicación. El fork que se creó a partir del cambio de lincencia, llamado OpenVas, sigue su rumbo por el open source.

Proceso de instalación en ubuntu

Hay que instalar el servidor y el cliente de manera individual.

El servidor puede estar instalado en cualquier máquina. El programa cliente solo sirve de interfaz para consultar o realizar peticiones al servidor.

Instalacion del cliente: sudo aptitude install nessus
Instalación del servidor: sudo aptitude install nessusd

Además de instalar el servidor tenemos que ejecutar un sudo nessusd & para que se active el servicio del nessus en segundo plano, o podemos añadirlo a la lista de programas que se inician al arrancar el equipo. Luego tenemos que hacer un sudo nessus-adduser para crear un usuario para poder conectarse al servidor nessus, pudiendo ser, este usuario, de la propia máquina o nuevo.

Descripción de utilización

El servidor se arrancará primero y despues el cliente. El cliente se debe conectar al servidor para poder realizar las peticiones de escaneo, etc. El servidor puede escanear una máquina o un conjunto de ellas, incluso una red entera.

Para que inice el escaneo hay que acceder al Setup, donde se puede especificar la dirección de servidor y el puerto para conectar, después jugar con las opciones de escaneo y rangos de puestos, número de hosts a testear al mismo tiempo, etc.

En la pestaña target se especifica los objetivos a escanear. Una vez se ha configurado todo lo anterior ya se puede iniciar el escaneo (Start Scan).

Para obtener resultados hay que esperar un laargo tiempo, en función de las opciones elegidas.

Enlaces de interés

• http://www.nessus.org

Otra información

Existe un fork llamado OpenVas, de código abierto, de esta aplicación que persigue la misma meta que Nessus.

“La reunión del Anti-Phishing Working Group en Barcelona reunirá equipos mundiales de respuesta contra el crimen electrónico”.

La conferencia sobre crimen electrónico de Barcelona reunirá el próximo mes a líderes en operaciones TI, seguridad y fuerzas policiales de Europa, Estados Unidos, Asia y Australia para discutir prioridades operacionales en la lucha contra el phishing y el resto de formas de crimen electrónico.

Equipos de respuesta contra el crimen electrónico públicos y de la industria, investigadores y técnicos especialistas en lucha contra el crimen electrónico de todo el mundo se reunirán en Barcelona el próximo mes en la tercera reunión del Counter-eCrime Operations Summit (CeCOS III) del Anti-Phishing Working Group (APWG), una conferencia anual internacional dedicada a unificar la respuesta de la industria y sector público ante la plaga global del crimen electrónico.

Peter Cassidy, secretario general del APWG, comenta: “Los criminales que se han organizado en Internet han crecido en sofisticación técnica, capacidad de control y en habilidad a la hora de evitar su detección. En CeCOS III, el APWG propondrá algo importante: imaginad una respuesta unificada al crimen electrónico, tan organizada como los crímenes contra los que lucha; imaginad una respuesta sin fronteras contra el crimen electrónico.”

CeCOS III reunirá a líderes en operaciones TI, seguridad y fuerzas policiales de Europa, América, Australia, este y sur de Asia para hablar sobre prioridades operacionales en la lucha global contra el phishing y el crimen electrónico. La conferencia, que tendrá lugar los días 12, 13 y 14 de mayo, tratará temas relacionados con los retos operacionales y el desarrollo de recursos comunes para los equipos de respuesta a incidentes, personal de fuerzas policiales y profesionales de la informática forense que protegen a los consumidores y empresas de las amenazas del crimen electrónico cada día.

CeCOS III es una conferencia abierta para los miembros de la comunidad de lucha contra el crimen electrónico, organizada por el APWG y apoyada por sus patrocinadores, que incluyen a La Caixa, Telefónica, S21Sec, GMV, MarkMonitor, EMC RSA Security Division, Ecija, Deloitte, Symantec y TB Security, una mezcla de líderes de la industria que reflejan la naturaleza de los participantes y el carácter internacional de CeCOS III.

Aunque la mayor parte de los patrocinadores provienen de la industria, los programas de CeCOS tienen en cuenta los eventos más importantes para investigadores y gestores relacionados con el crimen electrónico tanto del sector público como privado. En la reunión del año pasado en Tokio, entre los 250 de los participantes se podían encontrar representantes de fuerzas policiales, compañías tecnológicas, de seguridad financiera y de servicios de seguridad, agencias gubernamentales, grupos de asesoramiento a consumidores y centros de investigación de todo el planeta.

El CeCOS del APWG repasará los avances técnicos de los grupos contra el phishing y el e-crime y, al mismo tiempo, analizará los resultados conseguidos mediante medidas técnicas, operacionales y de políticas que se han mostrado efectivas a la hora de contrarrestarlos desde los escritorios hasta el punto de registro de nombres de dominio.

Estos son algunos de los temas que se tratarán en CeCOS III:

• Análisis de las técnicas usadas para comprometer los ordenadores de los monjes del Dalai Lama, presentado por el técnico que descubrió dichos incidentes y que trazó su origen en China.
• Análisis e interpretación de Conficker por parte de un técnico de SRI, una empresa californiana que avisó sobre las nuevas y peligrosas funcionalidades del gusano.
• Estrategias defensivas para gestores de TI empresariales.
• Estrategias para proteger a los consumidores del crimen electrónico.
• Técnicas emergentes de ataque contra sistemas de escritorio.
• Informes del de campo sobre crimen electrónico en Italia, España, Reino Unido, Malasia e India.
• Estrategias de defensa evolutivas para el sistema de nombres de dominio.

Los ponentes de CeCOS III participarán en discusiones sobre asuntos operacionales relacionados con el intercambio de información forense, eliminación de dominios criminales, evolución del crimeware, una arquitectura global de respuesta ante eventos de crimen electrónico, la coordinación de respuestas ante casos de crimen electrónico utilizando un formato común de notificación y el intrigante caso de una agencia gubernamental que espiaba las comunicaciones por e-mail de un grupo disidente, entre otros temas.

Las figuras reconocidas del campo, investigadores y personal de respuesta a incidentes elegidos como ponentes en CeCOS III provienen de reconocidas compañías que trabajan contra el crimen electrónico, centros de investigación y agencias de todo el mundo, incluyendo los Estados Unidos, FBI, SRI, ICANN, CERT Japón, Policía Federal Australiana, Centro de Información de la Red de Internet China, Telefonica, La Caixa, Universidad de Cambridge, Universidad de Baylor, Universidad Carnegie Mellon y el Instituto Interregional de las Naciones Unidas para Investigaciones sobre la Delincuencia y la Justicia.

Para leer con más detalle el contenido del programa, puede visitar la agenda del CeCOS III en esta dirección:

http://www.antiphishing.org/events/2009_opSummit.html

Para obtener información de registro para la conferencia, puede visitar esta direcciones:

http://secure.lenos.com/lenos/antiphishing/opSummit09/

Para la reserva de hotel, puede visitar esta dirección:

http://www.antiphishing.org/events/2009_opSummit.html#location

Fuente: Julio Canto – jcanto@hispasec.com

I Jornadas sobre Seguridad Informática BS3C 2009

Los ataques a la seguridad de las infraestructuras informáticas se incrementan anualmente, generando continuos y más sofisticados casos de phishing bancario, robos de información, suplantación de identidades y un aumento histórico en las cifras de envío de spam.

Aunque es complicado conocer los riesgos que afectan a nuestra información y comunicaciones, una vez concienciados e informados, es posible analizar muchos de sus vectores más comunes.

Para tratar de aclarar alguno de estos temas, contaremos con la participación de reconocidos expertos del País Vasco y otras regiones, los cuales explicarán diversas técnicas y metodologías relacionadas con Internet y la seguridad en las infraestructuras telemáticas.

A lo largo de las jornadas realizaremos, además, diversas actividades lúdicas y muestras artísticas relacionadas con la cultura tecnológica; como despedida y cierre, se celebrará una fiesta nocturna en la que contaremos con reconocidos DJ’s de la zona, proyecciones visuales, diversos concursos y una entrega final de regalos a los participantes, todo ello dentro de un ambiente agradable, cercano y distendido.

El aforo máximo para el evento es aproximadamente 40 personas y para inscribirte será necesario que realices tu reserva de forma online, sigue las instrucciones que puedes encontrar en el siguiente enlace:

http://www.blindsec.com/jornadas/index.html/inscripcion

El desarrollo de las “I Jornadas sobre Seguridad Informática BS3c” tendrá lugar durante los días Viernes 24 y Sábado 25 de Abril, en el laboratorio tecnológico M3, localizado en el centro de la villa de Bilbao.

Fuente: blindsec.com

http://www.capsdesi.upm.es/

La asistencia es gratuita, si bien se requiere y recomienda una inscripción previa.

Organizado por la Cátedra UPM Applus+ de Seguridad y Desarrollo de la Sociedad de la Información, de 09:00 a 14:00 horas se analizarán y debatirán temas relacionados con la seguridad de nuestros datos de carácter personal en este tipo de redes sociales, entornos virtuales que han adquirido una notable notoriedad pública en estos últimos años, convirtiéndose en un verdadero fenómeno de masas y de máxima actualidad.

Siguiendo el reciente informe “Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online”, elaborado por el Instituto Nacional de Tecnologías de la Comunicación INTECO y la Agencia Española de Protección de Datos AEPD, con fecha de febrero de 2009, podemos destacar de dicho documento:

“La notoriedad de estos espacios sociales online no queda exenta de riesgos o posibles ataques malintencionados. Es una preocupación de las organizaciones nacionales, europeas e internacionales con competencias en las materias afectadas por el uso de estas redes, que han impulsado la elaboración de normas y recomendaciones dirigidas a garantizar el acceso seguro de los usuarios -con especial atención a colectivos de menores e incapaces- a estas nuevas posibilidades online.”

Por tal motivo, este seminario está dirigido a público en general y de forma muy especial a jóvenes, adolescentes y padres de familia.

El seminario contará con destacados invitados:

- D. Artemi Rallo Lombarte
Director de la Agencia Española de Protección de Datos AEPD
- D. Arturo Canalda González
Defensor del Menor de la Comunidad de Madrid
- Dña. María Teresa González Aguado
Defensora Universitaria de la UPM
- D. Antonio Troncoso Reigada
Director de la Agencia de Protección de Datos de la Comunidad de Madrid APDCM
- D. Emilio Aced Félez
Subdirector de Registro de Ficheros y Consultoría de la APDCM
- Dña. Gemma Déler Castro
Directora IT & Telecom BU de Applus+
- D. Ícaro Moyano Díaz
Director de Comunicación de Tuenti
- D. Pablo Pérez San-José
Gerente del Observatorio de la Seguridad de la Información, Instituto  Nacional de Tecnologías de la Comunicación INTECO

Las conferencias planificadas son las siguientes:

• Los menores y las nuevas tecnologías”, de D. Arturo Canalda.
• Las redes sociales como nuevo entorno de confianza”, de D. Ícaro Moyano.
• Redes sociales: nueva frontera para la privacidad de los digital  babies”, de D. Emilio Aced.
• Diagnóstico sobre la seguridad de la información y privacidad en las  redes sociales online”, de D. Pablo Pérez.

Además, se contará con un Coloquio de una hora y media de duración, donde los asistentes podrán realizar sus preguntas a un grupo de expertos así como debatir sobre esta temática.

PREINSCRIPCIONES: por limitación del aforo, deberá realizarse una preinscripción, recomendándose hacerlo en la página Web de la Cátedra UPM Applus+, siguiendo las instrucciones que aparecen en dicho servidor:
http://www.capsdesi.upm.es/

El seminario se transmitirá por videostreaming a través de los servicios del Gabinete de Tele-educación de la UPM, GATE, desde una url que se informará en breve en el sitio Web de la Cátedra. En este caso, no hace falta inscribirse pues su visualización es libre.

Puede descargar el tríptico en formato pdf con el programa del seminario desde la página Web de la Cátedra UPM Applus+.

Fecha: miércoles 6 de mayo de 2009

Hora: de 09:00 a 14:00 horas

Inscripción: gratuita pero requiere una inscripción previa

Lugar: Sala de Grados 3004 de la EUITT-UPM, en Madrid Cómo llegar: http://www.euitt.upm.es/escuela/como_llegar

Para información adicional, por favor dirigirse a Dña. Beatriz Miguel Gutiérrez a la dirección de correo bmiguelATeuitt.upm.es o bien al teléfono 91 336 7842, en este último caso con atención solamente de 09:00 a 11:30 horas.

* Se entregará certificado de asistencia con 3 créditos CPE a quien lo solicite *

Fuente: Jorge Ramio Aguirre en Hispasec.com

El pasado martes 10 de febrero, en su boletín MS09-002, Microsoft solucionó dos vulnerabilidades críticas que afectaban sólo a Internet Explorer 7. Ambas permitían la ejecución de código arbitrario si la víctima visitase una web especialmente manipulada. Apenas una semana después de que Microsoft hiciese público el parche, se han detectado los primeros ataques. Una vez con el parche en su poder, los atacantes aplican ingeniería inversa para conocer las zonas de código que modifica la actualización, y averiguar los detalles técnicos concretos de la vulnerabilidad para así aprovecharla en su beneficio con exploits.

Normalmente este tipo de vulnerabilidades que permiten ejecución de código en el navegador necesitan que la víctima visite una web manipulada. En este caso, además de este vector, los atacantes se están ayudando de un documento Word con un objeto ActiveX incrustado en su interior. Cuando se interpreta con Word el documento, Internet Explorer 7 visita la web que sí contiene el exploit y se aprovecha la vulnerabilidad (si la víctima no ha aplicado el parche). Se establece un paso previo que al parecer puede resultar rentable al atacante: en vez de inducir a la visita de una página web, se incita al usuario a abrir un documento que, gracias a su interactividad con el navegador, abrirá una página web que sí permite infectar al sistema.

La ventaja adicional para los creadores del malware es que esto se produce de forma transparente al usuario. Pero sólo si se ha sido descuidado en la configuración de su paquete ofimático. Si se evita la ejecución de macros en Word, el control ActiveX no se instanciará y no se descargará nada. Por defecto Microsoft bloquea la ejecución de macros en Office. Obviamente, la visita directa a la página (sin abrir el documento) también infectará a la víctima siempre que no esté parcheada y no haya elevado la seguridad de su navegador para evitar la ejecución de JavaScript en sitios desconocidos.

Una vez infectado, como es habitual, el malware descarga diferentes componentes y robará información confidencial de la víctima. En diciembre se dio ya el primer caso de vulnerabilidades en Internet Explorer 7 aprovechadas a través de documentos Word.

Aunque McAfee habla de que el exploit está “in the wild”, en VirusTotal.com, mientras se redacta este artículo, solo hemos recibido una muestra que McAfee haya denominado así. Trend Micro, por el contrario, sugiere que el ataque es todavía limitado. Por firmas (el sistema de detección que se usa en VirusTotal.com), son los dos únicos antivirus que detectan el archivo DOC por ahora. En cualquier caso, se recomienda actualizar el navegador lo antes posible.

Más información:

MS09-002 Exploit in the wild uses MSWord Lure http://www.avertlabs.com/research/blog/index.php/2009/02/17/ms09-002-exploit-in-the-wild-uses-msword-lure/

Another Exploit Targets IE7 Bug
http://blog.trendmicro.com/another-exploit-targets-ie7-bug/

Cumulative Security Update for Internet Explorer (961260) http://www.microsoft.com/technet/security/bulletin/MS09-002.mspx

Fuente: Hispasec.com