Tutoriales y Manuales
Entradas Mensuales
-
►
2024
(Total:
1090
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
▼
2014
(Total:
185
)
-
▼
octubre
(Total:
32
)
- Hasta 12 millones de sitios con el CMS Drupal 7 po...
- Hackean la web de AEDE
- OVH World Tour en Barcelona
- Oppo R5: El teléfono más delgado del mundo mide 4,...
- Huawei Honor 6 quiere hacerle la competencia al On...
- Disponible la 17ª encuesta de Internet de la AIMC
- Disponible CentOS 6.6
- Ubuntu 14.10 Unity y Ubuntu MATE
- Manual y trucos para Notepad++: ejemplos de uso pl...
- La RAE confunde el término hacker con cracker
- Grave vulnerabilidad de ejecución remota de código...
- ¿La LFP, Mediapro y Prisa planean un DDoS contra r...
- LG estrena su procesador propio Nuclun en el nuevo...
- Google Security Key, la verificación en dos pasos ...
- Horarios de las Ponencias de ConectaCon en Jaén
- VMworld Barcelona 2014
- OnePlus One: el smartphone chino barato que funcio...
- Disponible Tails 1.2 la distribución Linux para na...
- Firefox Hello permite hacer videollamadas directam...
- El servidor web NGINX cumple 10 años
- Ya puedes votar al blog de ehn en los #XBitácoras ...
- Google Nexus 6 con Android 5.0 Lollipop
- ¿Apple ralentiza tu viejo iPhone para que compres ...
- anonabox : un router basado en Tor
- Funcionamiento y configuración protección DDoS de ...
- Nvidia GTX 980 y GTX 970 versión para portátiles
- Disponible CAINE 6.0: distro GNU/Linux para anális...
- Hacen público el código fuente de BadUSB
- Formación 11ª edición del congreso NoConName en Ba...
- Mejoras en la infraestructura del servidor TeamSpe...
- ¿Se acabó Adobe Reader para Linux?
- Merchandising de elhacker.NET
- ► septiembre (Total: 18 )
-
▼
octubre
(Total:
32
)
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Blogroll
Etiquetas
seguridad
(
396
)
privacidad
(
364
)
google
(
355
)
ransomware
(
341
)
vulnerabilidad
(
305
)
Malware
(
265
)
Windows
(
246
)
android
(
244
)
cve
(
237
)
tutorial
(
237
)
manual
(
222
)
software
(
206
)
hardware
(
196
)
linux
(
127
)
twitter
(
117
)
ddos
(
95
)
WhatsApp
(
92
)
Wifi
(
85
)
cifrado
(
77
)
herramientas
(
75
)
hacking
(
73
)
sysadmin
(
68
)
app
(
65
)
Networking
(
57
)
nvidia
(
53
)
ssd
(
51
)
youtube
(
50
)
firmware
(
44
)
adobe
(
43
)
office
(
41
)
hack
(
40
)
firefox
(
36
)
contraseñas
(
32
)
eventos
(
32
)
antivirus
(
31
)
juegos
(
31
)
cms
(
30
)
flash
(
28
)
anonymous
(
27
)
apache
(
26
)
MAC
(
25
)
programación
(
25
)
exploit
(
23
)
multimedia
(
23
)
javascript
(
22
)
Kernel
(
20
)
ssl
(
19
)
SeguridadWireless
(
17
)
documental
(
16
)
Forense
(
15
)
conferencia
(
15
)
Debugger
(
14
)
lizard squad
(
14
)
técnicas hacking
(
13
)
auditoría
(
12
)
delitos
(
11
)
metasploit
(
11
)
Virtualización
(
10
)
adamo
(
9
)
reversing
(
9
)
Rootkit
(
8
)
Ehn-Dev
(
7
)
MAC Adress
(
6
)
antimalware
(
6
)
oclHashcat
(
5
)
Entradas populares
-
Después de ver qué es una vCPU y la diferencia entre núcleos (cores) e hilos en los procesadores, pasamos a explicar toda la nomenclatura d...
-
iperf3 es la última versión del popular programa iperf para medir el ancho de banda entre dos o más equipos en red local o Internet . Es...
-
A finales del mes de agosto hablábamos de que los legisladores estadounidense habían solicitado la investigación de TP-Link . Y así, ya ten...
Grave vulnerabilidad de ejecución remota de código a través de Microsoft Office
viernes, 24 de octubre de 2014
|
Publicado por
el-brujo
|
Editar entrada
Microsoft ha detectado una grave vulnerabilidad apodada Sandworm que podría permitir la
ejecución remota de código y que afectaría a todas las versiones de
Microsoft Windows, excepto Windows Server 2003, a través de ficheros
manipulados para Microsoft PowerPoint.
También han confirmado que la falla de día cero está siendo activamente explotada por los piratas a través de ataques limitados y dirigidos que usan documentos maliciosos de PowerPoint enviados como adjuntos de correo electrónico, aunque todos los tipos de archivo de Office pueden ser utilizados para llevar a cabo mismo ataque.
De acuerdo con el Microsoft Security Advisory publicada el martes, la vulnerabilidad día cero (CVE-2014 a 6352) reside en el código del sistema operativo que se encarga de OLE. La tecnología OLE (Object Linking and Embedding) es la más comúnmente utilizada por Microsoft Office para incrustar datos de, por ejemplo, una hoja de cálculo de Excel en un documento de Word, aunque por el momento solo se están aprovechando de PowerPoint.
De acuerdo con el Microsoft Security Advisory publicada el martes, la vulnerabilidad día cero (CVE-2014 a 6352) reside en el código del sistema operativo que se encarga de OLE. La tecnología OLE (Object Linking and Embedding) es la más comúnmente utilizada por Microsoft Office para incrustar datos de, por ejemplo, una hoja de cálculo de Excel en un documento de Word, aunque por el momento solo se están aprovechando de PowerPoint.
Todo empezaba con un correo electrónico (un ataque de spear-phishing
en el que se adjuntaba un fichero .ppsx ppsx (un fichero de Powerpoint
que al abrirlo se pone automáticamente en modo presentación, lo único
diferente a un .pptx standard).
Al abrirlo, el fichero muestra un listado de simpatizantes prorrusos… y por debajo intenta descargarse dos ficheros de una carpeta SMB remota: slide1.gif y slide.inf. Los ficheros .inf se pueden usar para tareas de instalación de software (todos recordaréis los infames autorun.inf que tan “buenos” ratos nos hicieron pasar en los USB), y algunas de las cosas que suelen hacer es renombrar ficheros o añadir claves en el registro.
En este caso, el .inf renombra el .gif a un .exe (una variante del malware de acceso remoto BlackEnergy), y crea una clave en el registro para que se lance en el próximo reinicio. El motivo principal para no descargarse un .exe directamente es que muchos antivirus o los proxys web de las organizaciones los bloquean por defecto, de ahí esta “triquiñuela”.
Fuente:
http://www.securityartwork.es/2014/10/16/sandworm-llueve-sobre-mojado/
Análisis en inglés en el blog de Symantec:
http://blog.trendmicro.com/trendlabs-security-intelligence/an-analysis-of-windows-zero-day-vulnerability-cve-2014-4114-aka-sandworm/
Al abrirlo, el fichero muestra un listado de simpatizantes prorrusos… y por debajo intenta descargarse dos ficheros de una carpeta SMB remota: slide1.gif y slide.inf. Los ficheros .inf se pueden usar para tareas de instalación de software (todos recordaréis los infames autorun.inf que tan “buenos” ratos nos hicieron pasar en los USB), y algunas de las cosas que suelen hacer es renombrar ficheros o añadir claves en el registro.
En este caso, el .inf renombra el .gif a un .exe (una variante del malware de acceso remoto BlackEnergy), y crea una clave en el registro para que se lance en el próximo reinicio. El motivo principal para no descargarse un .exe directamente es que muchos antivirus o los proxys web de las organizaciones los bloquean por defecto, de ahí esta “triquiñuela”.
Fuente:
http://www.securityartwork.es/2014/10/16/sandworm-llueve-sobre-mojado/
Análisis en inglés en el blog de Symantec:
http://blog.trendmicro.com/trendlabs-security-intelligence/an-analysis-of-windows-zero-day-vulnerability-cve-2014-4114-aka-sandworm/
La vulnerabilidad publicada por Microsoft podría ser explotada si un
usuario abre un fichero Microsoft Office especialmente manipulado
conteniendo un objeto OLE. Un atacante remoto que consiga aprovechar
esta vulnerabilidad podría obtener los privilegios del usuario que abra
el fichero. El ataque requiere interacción del usuario para tener éxito,
en sistemas Windows con una configuración por defecto.
Se ha reservado el identificador CVE-2014-6352 para esta vulnerabilidad.
Microsoft ha detectado ataques dirigidos que están intentando explotar esta vulnerabilidad a través de Microsoft PowerPoint.
Se ha reservado el identificador CVE-2014-6352 para esta vulnerabilidad.
Microsoft ha detectado ataques dirigidos que están intentando explotar esta vulnerabilidad a través de Microsoft PowerPoint.
Solución
Microsoft ha publicado una solución alternativa para determinadas versiones de Windows y PowerPoint.
Además, Microsoft recomienda:
Además, Microsoft recomienda:
Microsoft ya ha publicado una revisión de seguridad temporal (parche) para la falla que previene la explotación de la vulnerabilidad:
- Microsoft Fix it 51026 "OLE packager Shim Workaround"
El Fix it está disponible para Microsoft PowerPoint en las ediciones de 32 bits y x64 basados de Microsoft Windows, con la excepción de las ediciones de 64 bits de PowerPoint en las ediciones x64 de Windows 8 y Windows 8.1.
Windows Vista, aunque pudieran estar afectadas por este fallo, no disponen de soporte técnico, como es el caso de Windows XP.
- No abrir ficheros Microsoft PowerPoint de fuentes no fiables.
- Activar el control de cuentas de usuario o User Account Control (UAC).
- Desplegar EMET 5.0 y configurar la funcionalidad de Attack Surface Reduction.
"Mientras que la vulnerabilidad original (CVE-2014-4114) estaba embebida en archivos OLE que vinculaban archivos externos, la más nueva vulnerabilidad (CVE-2014-6352) hace referencia a archivos OLE que tienen payloads ejecutables embebidos dentro de ellos", explicaron los investigadores.Aún no hay parche para la segunda vulnerabilidad, pero Microsofr ha ofrecido un Fix It (programa diagnóstico que permite detectar problemas) y soluciones para bloquear los vectores de ataque conocidos. También ha recomendado a los usuarios no abrir archivos de Power Point o cualquier otro archivo de Office descargado desde fuentes desconocidas. La vulnerabilidad afecta a todas las versiones de Windows.
"En este nuevo ataque, el archivo .EXE malicioso y el .INF están ya embebidos dentro de los objetos OLE, en lugar de descargar el malware de un sitio remoto. Una ventaja de este enfoque es que no requerirá que la computadora se conecte a la ubicación de la descarga, evitando así cualquier detección del Sistema de Prevención de Intrusiones a la Red (NIPS)," hizo notar Ronnie Giagone, analista de amenazas de Trend Micro, y compartió aspectos técnicos del ataque.
Enviar por correo electrónico
Escribe un blog
Compartir en X
Compartir con Facebook
Compartir en Pinterest
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.