La última vulnerabilidad en Adobe PDF

Desde hace varios días se está observando que una vulnerabilidad corregida en la última versión de Adobe (tanto su versión Reader como la que permite editar) está siendo aprovechada de forma activa para infectar sistemas. Se están creando nuevos ataques tan recientes que, en cierta forma, están pasando desapercibidos para muchos antivirus. El pasado día 5 de noviembre Adobe publicó (entre otros boletines de seguridad para otros productos) una actualización para Adobe y Adobe Reader 8 que solucionaba varias vulnerabilidades que permitían la ejecución de código. Uno de los fallos más graves se daba en la función JavaScript "util.printf", provocado por un error al procesar cadenas de formato. Adobe fue advertida del problema en abril de este mismo año. Foxit Reader, otro popular lector de PDF, también sufría una vulnerabilidad muy parecida. Foxit lo solucionó un mes después, en abril, mientras que Adobe publicó a principios de noviembre el parche. Poco después apareció información pública con los datos técnicos de la vulnerabilidad. Como era de esperar, esta vulnerabilidad está siendo aprovechada de forma activa desde hace días para instalar malware en el sistema, si se abre un archivo PDF especialmente manipulado. Se está observando una gran cantidad de correo basura o páginas web que contienen estos ficheros en PDF. En estos momentos, los nuevos archivos PDF usados para el ultimísimo ataque son detectados (a través de firmas) apenas por un 14% de motores antivirus en Virustotal.com F-Secure, versión 8.0.14332.0, fecha 2008.11.12: Exploit:W32/Pidief.AS SecureWeb-Gateway, versión 6.7.6, fecha 2008.11.12: Exploit.PDF.Shellcode.gen (suspicious) Symantec, versión 10, fecha 2008.11.12: Trojan.Pidief.D TrendMicro, versión 8.700.0.1004, fecha 2008.11.12: TROJ_PIDIEF.CW Es importante destacar que esto no significa que otros (e incluso esos mismos) motores antivirus instalados en el escritorio no puedan detectar el fichero PDF como malicioso a través de otros métodos que no sean exclusivamente las firmas. También es probable que detecten, si no el PDF, el malware que suele ser descargado a posteriori, una vez aprovechada la vulnerabilidad. El indicador de VirusTotal sólo nos permite hacernos una idea de cuántos archivos podrían llegar a pasar un primer filtro antivirus situado por ejemplo en el perímetro, integrado en el correo, donde sólo se suelen tener en cuentas las firmas para filtrar muestras y llegar así al escritorio. Además, es seguro que en muy poco tiempo sea detectado por la mayoría de los antivirus en cuanto actualicen sus bases de datos de firmas. Aunque un fallo muy similar fue encontrado en abril, no se anunció públicamente que afectase a Adobe. Sólo Foxit Reader lo solucionó, y no se han detectado ataques contra este lector. No ha sido hasta que se ha hecho público que el problema afecta a Adobe, que, aun existiendo parche, los atacantes se han lanzado a aprovechar la vulnerabilidad. Se aconseja actualizar el lector lo antes posible. En sistemas en los que la actualización no sea posible por cualquier razón, se puede desactivar la interpretación de JavaScript del lector (y eliminar así no solo este, sino otros muchos problemas futuros) con un cambio en el registro de Windows. Algunas funcionalidades del lector podrían dejar de estar operativas. En la rama: HKEY_CURRENT_USER\Software\Adobe\Adobe Acrobat\8.0\JSPrefs Añadir la clave: Nombre: bEnableJS Tipo: DWORD Valor: 0

Nuevos contenidos en la Red Temática CriptoRed (octubre de 2008)

Jorge Ramió Aguirre
Coordinador Red Temática Iberoamericana

Breve resumen de las novedades producidas durante el mes de octubre de
2008 en CriptoRed, la Red Temática Iberoamericana de Criptografía y
Seguridad de la Información.

1. NUEVOS DOCUMENTOS Y SOFTWARE PARA DESCARGA LIBRE DESDE CRIPTORED

* Seguridad y Protección de la Información: mucho más que una moda
pasajera (Jorge Ramió, presentación Power Point, 27 páginas, España)
http://www.criptored.upm.es/guiateoria/gt_m001q.htm

* 325 documentos para su libre descarga
http://www.criptored.upm.es/paginas/docencia.htm#gteoria

2. NUEVOS DOCUMENTOS RECOMENDADOS PARA SU DESCARGA LIBRE DESDE OTROS
SERVIDORES

* Informe de la Red de Sensores de INTECO del Mes de Septiembre de 2008
(España)
http://alerta-antivirus.es/documentos/rescata/Informe_mensual_200809.pdf

* Los Niños y la Inseguridad Informática (Blog de Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450012860&random=6883

* Convergencia de la Inseguridad Lógica y Física: Una Visión Sistémica
(Blog de Jeimy Cano, Colombia)
http://www.eltiempo.com/participacion/blogs/default/un_articulo.php?id_blog=3516456&id_recurso=450013006&random=8553

* White Paper Application Testing and Development: Data Protection
Possibilities (Peter Carey, PDP - Elsevier)
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qNGY2R8/xXSAUR8

* IBM White Paper: The Dirty Dozen: Preventing Common Application-level
Hack Attacks. (IBM Corporation Software Group, Elsevier)
http://mail.elsevier-alerts.com/go.asp?/bEEA001/qNDS4R8/xDLEVR8

3. CONGRESOS Y SEMINARIOS POR ORDEN CRONOLOGICO DE CELEBRACION

* Noviembre 5 al 7 de 2008: III Congreso de Software Libre de la
Comunidad Valenciana (España)
http://congreso.lliurex.net/index_es.html

* Noviembre 10 al 14 de 2008: Taller de Seguridad Informática en el WALC
2008 (Mérida, Venezuela)
http://ws.ula.ve/walc2008/infor/taller6.php

* Diciembre 1 de 2008: Tercer Día Internacional de la Seguridad de la
Información DISI 2008
http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

* Diciembre 1 al 5 de 2008: V Congreso Internacional de Telemática y
Telecomunicaciones CITTEL 08 (La Habana, Cuba).
http://www.cujae.edu.cu/eventos/convencion/cittel/

* Diciembre 3 al 5 de 2008: 7th International Information and
Telecommunication Technologies Symposium (Foz do Iguaçu, Brasil)
http://www.i2ts.org/

* Diciembre 3 al 5 de 2008: International Conference E-Activity and
Leading Technologies (Madrid, España)
http://www.iask-web.org/e-alt08/e-alt2008.html

* Diciembre 10 al 12 de 2008:Conferencia Ibero Americana IADIS WWW /
Internet 2008 (Lisboa, Portugal)
http://www.ciawi-conf.org/

* Febrero 9 al 13 de 2009: IX Seminario Iberoamericano de Seguridad en
Tecnologías de la Información (La Habana, Cuba)
http://www.informaticahabana.com/?q=listeventos_es&e=16&id=es

* Febrero 25 al 29 de 2009: IADIS International Conference e-Society
2009 (Barcelona, España)
http://www.esociety-conf.org/

* Marzo 25 al 27 de 2009: International Conference on Practical
Applications of Agents and Multiagent Systems (Salamanca, España)
http://paams.usal.es/

* Abril 20 al 24 de 2009: 18th International World Wide Web Conference
WWW 2009 (Madrid, España)
http://www2009.org/

* Julio 5 al 8 de 2009: 14th IEEE Symposium on Computers and
Communications ISCC 09 (Sousse, Túnez)
http://www.comsoc.org/iscc/2009/

CONGRESOS ANUNCIADOS EN LA IACR:
* International Association for Cryptologic Research IACR Calendar of
Events in Cryptology:
http://www.iacr.org/events/

4. CURSOS DE POSTGRADO, ESPECIALIDAD Y FORMACIÓN EN SEGURIDAD

* Puedes encontrar los enlaces en:
http://www.criptored.upm.es/paginas/eventos.htm#Cursos

5. NOTICIAS SELECCIONADAS DEL MES DE OCTUBRE DE 2008
Para ampliar las noticias:
http://www.criptored.upm.es/paginas/historico2008.htm#oct08

* IV Jornada Internacional de ISMS Forum Spain en Barcelona (España)
https://www.ismsforum.es/noticia.php?noticia=121

* Segundo Encuentro Nacional de la Industria de la Seguridad en España
de INTECO (España)
https://2enise.inteco.es/

* II Ciclo de Conferencias ISACA-CV Rafael Bernal 2008 en Valencia
(España)
http://www.isaca-cv.org/

* Libro Derecho de las Telecomunicaciones del GECTI con Orientación a la
Seguridad (Colombia)
http://gecti.uniandes.edu.co/libros.html

* Storage Forum en Centro Congresos Internacional de Barcelona
Asistencia Gratuita (España)
http://www.itieurope.net/barca_visitante_carrefour_sp.php

* Presentación del Posgrado en Seguridad Informática de la Universidad
de Buenos Aires (Argentina)
http://www.criptored.upm.es//descarga/pres_PosgradoUBA_Nov26.pdf

* DISI 2008 trae a la Dra. Radia Perlman como invitada especial (España)
http://www.capsdesi.upm.es/mod/forum/discuss.php?d=74

6. OTROS DATOS DE INTERES EN LA RED

* Número actual de miembros en la red: 734
(198 universidades y 276 empresas representadas)
http://www.criptored.upm.es/paginas/particulares.htm

* Estadísticas: 27.599 visitas, con 97.575 páginas solicitadas y 42,41
GigaBytes servidos en octubre de 2008.
Las estadísticas AWStats del mes se muestran en páginas estáticas
actualizadas cada día a las 00:05 horas.
http://www.criptored.upm.es/estadisticas/awstats.www.criptored.upm.es.html.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3663/comentar

Más información:

octubre de 2008
http://www.criptored.upm.es/paginas/historico2008.htm#oct08

Disponibles presentaciones públicas de LaCon 2008

En los días del 19 al 21 del pasado mes de septiembre se celebró en
Torre del Mar, Málaga, una convención sobre seguridad informática
bastante peculiar. Bajo el nombre de LaCon'2008 se reunieron, de forma
privada, más de veinte profesionales venidos de casi todos los puntos de
España, además de algunos participantes foráneos (Italia y Eslovaquia).

La conferencia surgió de una idea de 48bits, con el objetivo de
estrechar vínculos entre los que nos dedicamos a estos temas en un
ambiente informal y distendido. Hispasec colaboró en la logística del
evento. Tras las dos sesiones oficiales de charlas sobre
vulnerabilidades, exploits, ingeniería inversa, tecnologías antivirus,
rootkits e incluso lockpicking, se siguió hablando durante las noches
entre copas y pescaíto frito de más vulnerabilidades, más exploits, y de
todo lo humano y lo divino.

El nivel ténico de las charlas fue excelente, y el objetivo de estrechar
lazos entre los profesionales del sector, más que cumplido. Ya estamos
esperando la próxima edición, LaCon'2009, allí nos vemos.

Dado el carácter privado del evento (podríamos decir casi familiar), se
tuvo la oportunidad de abordar temas a un nivel de profundidad y detalle
que, por su naturaleza, no tienen cabida en los congresos de seguridad.
No obstante, también hay un buen número de contenidos publicables cuyos
autores han decidido compartir con la comunidad y que a continuación
ponemos a vuestra disposición en la siguiente dirección:
http://www.48bits.com/files/lacon.tar.bz2 

Una-al-día cumple 10 años

Hoy, 28 de octubre, se cumple el décimo aniversario de "una-al-día",

primer diario de información técnica sobre seguridad informática
en español. Una década informando puntualmente sobre virus,
vulnerabilidades, fraudes, alertas, y reflexiones sobre la seguridad
en Internet. 3.657 noticias. Aniversarios anteriores en Hispasec se
han caracterizado por una sobria mención o directamente han pasado
desapercibidos. En esta ocasión, hemos decidido festejar esta cifra
tan redonda con algunas sorpresas.

Diez años en la Red es mucho tiempo. Ha sido necesario sobrevivir al
cambio en el modelo económico sufrido a principios de esta década (que
a tantos servicios web dejó atrás), o a la avalancha y saturación de
información que está proporcionando hoy la web 2.0... se han producido
muchos cambios en Internet en general y en la seguridad en particular,
y los hemos intentado reflejar día a día, informando de la única forma
que sabemos: con independencia y honestidad. Estamos muy orgullosos
de seguir produciendo una-al-día y poder ofrecerlas a nuestros
suscriptores, que entre todos los canales de distribución, suman
muchas decenas de miles.

Cuando Bernardo Quintero escribió la primera una-al-día: "28/10/1998
Service Pack 4, los problemas de la solución" no podía ni imaginar que
diez años después el servicio continuaría, que lo haría en Hispasec,
proyecto web fundado exactamente dos meses después del primer envío, a
partir del éxito de los boletines iniciales. En aquel momento, otros
proyectos posteriores como Virustotal.com eran solo un vago concepto
todavía. Pero sobre todo, no podíamos imaginar que 10 años después
una-al-día e Hispasec seguiría siendo un respetado referente en
seguridad para muchos hispanohablantes o que Virustotal.com se
convertiría en un estándar de facto para el envío de malware en todo el
mundo, que procesa 60.000 muestras cada día. Es un éxito que agradecemos
y que asumimos con responsabilidad.

Es gratificante pensar que en estos diez años, hemos llegado incluso a
un cambio generacional. Muchos profesionales reconocidos eran apenas
adolescentes cuando comenzó el servicio de publicación diario. Hoy desde
sus puestos de trabajo, todavía confían en la información que a diario
les ofrece una-al-día.

Este décimo aniversario pensamos que merece una mención especial. Desde
agosto, hemos conseguido arañar algo de tiempo de nuestras agendas para
preparar varias sorpresas que esperamos que agraden a todo el mundo. Han
supuesto un importante esfuerzo y se han concebido como regalo especial
para todos los seguidores del boletín diario.

Durante las próximas semanas, pedimos a nuestros lectores que estén
especialmente atentos a los boletines, porque iremos descubriendo las
sorpresas en sucesivas publicaciones.

Gracias a todos. En especial, a nuestros fieles suscriptores: desde la
primera persona que leyó el boletín en octubre de 1998, hasta el usuario
del último correo que se ha suscrito al servicio hace apenas unos
minutos.