Archivo de la etiqueta: Deep Security

Un nuevo zero-day en Adobe Flash utilizado en la campaña Pawn Storm dirigida a Ministerios de Asuntos Exteriores

pawnstorm-300x140

Análisis de Brooks Li, Feike Hacquebord y Peter Pi

El equipo de investigación de Trend Micro ha descubierto que los atacantes que están detrás de Pawn Storm están utilizando un nuevo exploit zero-day en Adobe Flash en su última campaña. Pawn Storm es una campaña de ciberespionaje de larga duración conocida por dirigirse a objetivos de perfil alto y por emplear la primera vulnerabilidad zero-day vista en Java en los dos últimos años.

En esta reciente campaña, Pawn Storm se dirigía a varios Ministerios de Asuntos Exteriores de todo el mundo. Los objetivos recibieron correos electrónicos de spear phishing que contenían enlaces que conducen al exploit. Los emails y direcciones URL se han creado a mano para simular que dirigen a información sobre temas de actualidad, empleando asuntos en el mensaje de correo electrónico que contienen los siguientes temas:

  • “Un suicida con coche bomba se dirige contra el convoy de tropas de la OTAN en Kabul”
  •  “Las tropas sirias ganan terreno mientras Putin defiende con ataques aéreos”
  • Israel lanza ataques aéreos contra objetivos en Gaza”
  • “Rusia advierte que responderá a Estados Unidos sobre la acumulación de armas nucleares en Turquía, Europa”
  • El ejército de Estados Unidos informa que 75 rebeldes entrenados por Estados Unidos regresan a Siria”

Sigue leyendo

Sandworm y SCADA

Al hilo de la noticia de que la vulnerabilidad “sandworm” (CVE-2014-4.114) se está utilizando en ataques contra la Organización del Tratado Atlántico Norte (OTAN) y varias industrias europeas, los investigadores de Trend Micro Kyle Wilhoit y Jim Gogolinski y el resto del equipo de Trend Micro FTR han descubierto nuevos y preocupantes ataques que utilizan esta vulnerabilidad. Nuestros investigadores acaban de encontrar ataques activos contra las organizaciones que utilizan el software de control de supervisión y adquisición de datos (SCADA), como un primer paso evidente en los ataques dirigidos de estilo APT.
Estos ataques se dirigen a PCs con Microsoft Windows que funcionan con la suite CIMPLICITY HMI con un spear phishing. El mail tiene un archivo adjunto malicioso que se abre en la aplicación CIMPLICITY e intenta aprovechar esta vulnerabilidad “sandworm” en Microsoft Windows. Si el ataque contra el sistema Microsoft Windows CIMPLICITY tiene éxito, intenta descargar el malware Black Energy en el sistema.
Black Energy es una familia de malware asociado con ataques dirigidos que controla por completo y de forma remota un sistema comprometido. Dos miembros de la familia de malware Black Energy BLACKEN.A y BLACKEN.B ya se han visto en otros ataques que utilizan la vulnerabilidad “sandworm”.
Otro tema interesante que nuestros investigadores han encontrado es que los mails de spear phishing parecen venir de Oleh Tiahnybok, un político ucraniano con claros puntos de vista anti-rusos.
Microsoft ha lanzado una actualización de seguridad que protege contra los intentos de aprovechar la vulnerabilidad  “sandworm”, MS14-060. En base a la actividad actual y anterior, esta actualización de seguridad debe ser una prioridad para el despliegue inmediato tan pronto como sea posible, especialmente en aquellos sectores de infraestructuras críticas.
Trend Micro ofrece protección contra esta vulnerabilidad con Trend Micro Deep Security y Office Scan con el plugin de Intrusion Defense Firewall (IDF). También ofrecemos protecciones contra BLACKEN.A y BLACKEN.B través de Office Scan y nuestros otros productos de seguridad de end point.
Puede encontrar información más detallada sobre la vulnerabilidad “sandworm” en este post y más detalles de nuestras investigaciones en estos nuevos ataques centrados en SCADA aquí.

Trend Micro Deep Security protege a los usuarios de la vulnerabilidad RUBY ON RAILS

En enero de este año se dio a conocer una vulnerabilidad: Ruby on Rails (CVE-2013-0156).

En aquel momento, indicamos que no había ningún ataque conocido pero que sería cuestión de tiempo el que surgiera un exploit para esta vulnerabilidad. Recomendábamos, entonces, que los administradores parchearan/actualizaran su software de Ruby on Rails a la última versión.

Desde aquel momento, Deep Security ha protegido a sus usuarios de la vulnerabilidad a través de las siguientes reglas con el módulo de Deep Packet Inspection:

  • 1005331 Ruby On Rails XML Processor YAML Deserialization DoS
  • 1005328 Ruby On Rails XML Processor YAML Deserialization Code Execution Vulnerability

Estas reglas permiten que Deep Security bloquee el tráfico de red relacionado con esta vulnerabilidad, previniendo que ningún exploit pueda afectarnos.

El pasado 28 de Mayo, un exploit que atacaba esta vulnerabilidad, fue descubierto. Consiste en un código que consigue convertir los sistemas afectados en miembros de una red bot. El payload malicioso se detecta como “ELF_MANUST.A”

Para información más detallada, acceded aquí:  http://blog.trendmicro.com/trendlabs-security-intelligence/trend-micro-deep-security-guards-users-from-ruby-on-rails-exploit/

 

EL PARCHEO VIRTUAL: La solución que toda empresa necesita.

 Este artículo publicado por darkreading acerca de una iniciativa que Google va a tomar, es realmente interesante. Puede leerlo aquíSe trata de una medida de seguridad muy importante y que desde el punto de vista de la seguridad parece correctísima: se trata de informar a todos los usuarios de su buscador de qué fabricantes que ellos encuentren, tienen bugs día zero o malware que puede afectarles. Google da un plazo de 7 días a estos vendors afectados para que limpien sus sistemas de dichos bugs antes de informar a los usuarios de esto.

 ¿Cómo se puede integrar Trend Micro en este escenario y cómo puede ayudar a los usuarios y fabricantes en entredicho?

Gracias  a DEEP SECURITY (en concreto con el módulo de Deep Packet Inspection), somos capaces de implementar parcheo virtual sobre las máquinas en las que se detecten las vulnerabilidades a nivel de sistema operativo/aplicación de forma automática y conseguir así evitar problemas de infección . Cerramos la ventana de exposición a cualquier tipo de exploit que pudiera entrar en esas vulnerabilidades abiertas y, así, de esta manera, los usuarios que accedan no correrán riesgos.

 

Ya está disponible la nueva versión de Deep Security (9)

Os comunicamos que en nuestro centro de actualizaciones ya tenemos disponible la versión 9 de nuestra solución para protección de datacenters.

Independientemente de si nuestros servidores son físicos, virtuales o alojados en nubes de cualquier tipo (públicas o privadas), Deep Security nos va a proporcionar todas las funcionalidades de seguridad que necesitamos a través de módulos que se pueden adquirir de forma personalizada (inspección profunda de paquetes con sistema de detección y prevención de vulnerabilidades así como con control de aplicaciones avanzada; firewall avanzado a nivel de red; antimalware; sistema de monitorización del a integridad e inspección avanzada de logs).
Sigue leyendo