COMPASS Blog » sophos

Nueva amenaza explota vulnerabilidades en los iconos de Windows

Alberto Jiménez — Mon, 26 Jul 2010 22:55:58 +0000

En los últimos días una amenaza conocida cómo CPLINK se está aprovechando de una debilidad en todos los sistemas operativos de Microsoft, desde Windows XP hasta 7.

Adjunto reportes (en inglés) de la amenaza por parte de Microsoft y Sophos.

Microsoft Security Advisory (2286198)

Vulnerability in Windows Shell Could Allow Remote Code Execution

Executive Summary

Microsoft is investigating reports of limited, targeted attacks exploiting a vulnerability in Windows Shell, a component of Microsoft Windows. This advisory contains information about which versions of Windows are vulnerable as well as workarounds and mitigations for this issue.

The vulnerability exists because Windows incorrectly parses shortcuts in such a way that malicious code may be executed when the icon of a specially crafted shortcut is displayed. This vulnerability can be exploited locally through a malicious USB drive, or remotely via network shares and WebDAV. An exploit can also be included in specific document types that support embedded shortcuts.

Microsoft is currently working to develop a security update for Windows to address this vulnerability.

We are actively working with partners in our Microsoft Active Protections Program (MAPP) to provide information that they can use to provide broader protections to customers.

Y la nota de Sophos que ofrece una herramienta para solucionar el problema.

The Windows Shortcut Exploit

What you need to know

What is the Windows Shortcut Exploit?

The Windows Shortcut Exploit, also known as CPLINK, is a zero-day vulnerability in all versions of Windows that allows a Windows shortcut link, known as an .lnk file, to run a malicious DLL file. The dangerous shortcut links can also be embedded on a website or hidden within documents.

The exploit works when you open a device, network share or WebDav point carrying an infection—you don’t need to click on anything for the exploit to work, even if you have AutoPlay and AutoRun disabled.

SophosLabs first saw this exploit at work through the rootkit W32/Stuxnet-B, which targets Siemens SCADA systems to discover the system default password.

While Stuxnet only affected Windows machines with infected USB drives plugged in, the Windows Shortcut Exploit in general can work through file shares and WebDav as well.

Am I at risk?

At the moment, there is no patch from Microsoft to fix this exploit; however, our free Windows Shortcut Exploit Protection Tool will block this exploit from running on your computer. Sophos customers are already protected from this exploit.

The Windows Shortcut Exploit affects all Microsoft-supported versions of Windows—anything newer than Windows XP SP3—as well as older versions.

How do I protect against this?

Download our free Windows Shortcut Exploit Protection Tool to block the exploit from running on your computer. If you’re an existing Sophos Endpoint customer, you are already safe from this exploit.

Microsoft’s officially recommends disabling icon rendering; however, this advice could make Windows significantly harder to use.

Fuente:

http://www.sophos.com/security/topic/shortcut.html

Share on Facebook

Actualizaciones Importantes

Alberto Jiménez — Tue, 15 Jun 2010 18:23:42 +0000

Adobe, la empresa desarrolladora de Flash y otros programaas importantes como AIR y Acrobat Reader está recomendando a los usuarios de Flash (o sea, todo el mundo) la actualización del programa.

Además se recomienda la actualización de AIR y cualquier otro programa Adobe que tenga para asi reducir el riesgo a infectarse de Virus, dado que las amenazas de los últimos días se aprovechan de los programas de Adobe para causar daños.

Las nuevas versiónes de Flash y otros programas como AIR y Acrobat Reader se puede bajar de forma gratuita aqui: Flash | Acrobat Reader | AIR | ShockWave

Fuente: http://www.sophos.com/blogs/gc/g/2010/06/11/critical-patches-update-adobe

Share on Facebook

Alertas de actualización de Windows falsas llegan a correo

Alberto Jiménez — Thu, 10 Dec 2009 15:59:55 +0000

Engaño en los correos

En los últimos días una amenaza bastante peligrosa está llegando a los correos, y que se aprovecha de la imagen y confianza de Microsoft para engañar y perdirle al usuario que baje e instale unas actualizaciones falsas, que en realidad infectan con virus y otro tipo de malware a la computadora, el e-mail del engaño, según Sophos, se ve así:

foto: Sophos Labs

Obviamente, la situación es delicada pues se aprovecha de la buena intención de los usuarios de actualizar su computadora para instala programas maliciosos. Ante esta amenaza, es importante recordar que la computadora, independientemente del Sistema Operativo que tenga, se debe mantener actualizada en todos los sentidos. En Windows acepte actualizaciones únicamente del programa que sirve para tal propósito “Windows Update” y nunca acepte propuestas de actualización de otro lugar. En Mac OS X y Linux, actualice únicamente por los canales oficiales.

Recordemos también que la actualización, por los medios adecuados, es el primer frente de defensa ante los Virus y Malware más modernos.

+ info específica de la amenaza: http://www.sophos.com/blogs/sophoslabs/v/post/7804

Share on Facebook

Virus para iPhone proliferando

Alberto Jiménez — Mon, 09 Nov 2009 15:28:11 +0000

Aunque las Mac siguen siendo en gran parte bastante seguras ya que no hay muchos virus, hace unos días un hacker holandés puso en evidencia una una vulnerabilidad en los “jailbroken” iPhones. O sea, si usted tiene un iPhone y le hizo jailbreak está en riesgo de contagiarse de virus y de que su información sea robada.

foto: sophos.com

Lo que pasa es que cuando se le hace el “jailbreak” a un iPhone se permite acceso a los sistemas básicos y el password de acceso es conocido por todos, por lo que es suficiente que el iPhone se encuentre en la misma red que uno infectado para contagiarse también.

Si usted le ha hecho el jailbreak a su iPhone es recomendable que entre a Cydia e instale y ejecute el app: MobileTerminal introducir el comando passwd y cambiar el password a algo mas seguro.

fuente: http://www.sophos.com/blogs/gc/g/2009/11/08/iphone-worm-discovered-wallpaper-rick-astley-photo/

Share on Facebook

Nueva amenaza de Antivirus falso

Alberto Jiménez — Sun, 20 Sep 2009 01:19:20 +0000

Imagen de Antivirus falso. Blog Sophos.

Nueva advertencia de Sophos sobre Antivirus falso. Este tipo de programas son muy comunes y se previenen con un antivirus real y actualizado, pero más lo más importante, es estar pendiente de que se mantenga de esa manera.

En caso de infección puede seguir los consejos de seguridad posteados hace unos días (link) para remover la amenaza.

El problema de estos virus, es que engañan al usuario al hacerlos pensar que está instalando un programa legítimo y el problema se hace peor cuando el virus asegura que encontró cierta cantidad de amenazas y es necesario comprar la “versión completa” para poder removerlos.

Si el usuario cae en la trampa, se verá obligado a dar detalles de su tarjeta de crédito y por lo tanto será estafado por una cuantiosa suma.

En resumen, siempre manténgase con un Antivirus real, de prestigio y actualizado, así puede saber que no necesita otro que se le puede aparecer en Internet para estafarlo.

Imagen y fuente: http://www.sophos.com/blogs/sophoslabs/v/post/6592

Share on Facebook