Hace unos días Google reconocía en su blog oficial haber sido objeto de un ataque “altamente sofisticado” de origen chino sobre sus infraestructuras. En su evaluación de daños declaraban el robo de propiedad intelectual y un ataque limitado sobre dos cuentas de correos de GMail, señalando, que tenían evidencias de que el objetivo final era la obtención de información sobre activistas chinos para los derechos humanos.

En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail que han estado siendo accedidas de forma ilícita durante cierto tiempo, relacionadas con activistas pro derechos humanos en China de varios continentes.

Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.

Read More

Se ha publicado recientemente un error de seguridad en IIS 6.x que permite eludir restricciones de seguridad y ejecutar código ASP arbitrario mediante el uso de una múltiple extensión. Tercer susto del año para Microsoft y su IIS.

Internet Information Services (IIS), es un servidor de aplicaciones implementado por Microsoft que permite montar distintos servicios como FTP, SMTP, NNTP y HTTP/HTTPS. Está basado en varios módulos que permiten procesar distintos lenguajes web, por ejemplo ASP y ASP.NET. También pueden ser incluidos los de otros como PHP o Perl.

Read More

Desde el equipo de trabajo de AltoSec queremos hacer llegar nuestro saludo a todos los que nos han apoyado mediante su confianza por estas próximas fiestas.

Cuando comenzamos con el proyecto AltoSec teníamos una visión que implicaba fortalecer a las empresas de la región en la temática seguridad y servir de socio estratégico y tecnológico para que puedan ocuparse de su negocio sin preocuparse por los problemas de sistemas.
A o largo del año 2009 hemos consolidado nuestra posición sumando más clientes a nuestra cartera, al tiempo que seguimos teniendo a los amigos que nos acompañaron desde el principio. Esto último, para nosotros, es un gran mensaje. Nos dice que estamos en el camino correcto y que nos tienen la confianza que buscábamos al comienzo.

Así, para los que nos acompañan desde el principio, para los que nos acompañan a partir de este nuevo año y para los que nos van a acompañar seguro durante el 2010.

FELICES FIESTAS

AltoSec

Esta semana se han dado a conocer dos problemas de seguridad relacionados con Internet Explorer. Un fallo es muy grave y permite la ejecución de código arbitrario en el sistema con solo visitar una página web. El otro fallo es mucho más leve, y solo permite que un atacante obtenga información confidencial a través de archivos PDF impresos desde el navegador.

De la primera vulnerabilidad, la más grave, se han dado todos los detalles de forma pública. No se han observado de forma masiva ataques que la aprovechen, pero dadas las circunstancias, parece que no tardarán en aparecer. El fallo está en el manejo de punteros en la función “getElementsByTagName” de mshtml.dll al procesar objetos CSS. Un atacante remoto podría ejecutar código arbitrario con los privilegios del usuario que corra Internet Explorer con solo visitar una página especialmente manipulada.

Read More

Marsh Ray y Steve Dispensa dicen haber descubierto una vulnerabilidad en el protocolo SSL y TLS que podría permitir inyectar texto en una conversación cifrada si el atacante tiene acceso al tráfico. El fallo se encontraría en el protocolo en sí, y por tanto afectaría a prácticamente todas las implementaciones de todos los sistemas. Sin embargo otras voces indican que quizás el fallo no sea tan grave.

Read More