Múltiples versiones de Internet Explorer bajo ataque

Categorias: Malware,Vulnerabilidades | | Sin comentarios » |

Actualmente, los fallos y vulnerabilidades en los navegadores de Internet suponen uno de los mayores vectores de ataque usados por los creadores de códigos maliciosos. Sabiendo que son herramientas imprescindibles en los sistemas operativos actuales, cualquier fallo o agujero de seguridad que pueda ser aprovechado, representa una seria amenaza para los usuarios.

Recientemente, se ha descubierto una vulnerabilidad en las versiones 6 y 7 del navegador Internet Explorer que permitiría ejecutar código no autorizado en aquellas máquinas que aun tuviesen estas versiones del navegador de Microsoft. Esta vulnerabilidad afecta a varias versiones de Windows que tengan instalados los navegadores afectados, según el estudio realizado por la empresa Vupen Security.

Actualmente, la solución pasaría por desactivar el Active scripting en las zonas de seguridad locales y de Internet dentro del navegador o por actualizar a la versión 8 de Internet Explorer.

Sin embargo, la última versión de Internet Explorer también contiene un error que podría ser aprovechado para introducir código XSS en páginas web seguras, convirtiéndolas en una amenaza. Estos ataques pueden modificar el enlace de una web para introducir código malicioso en la misma, de manera que un usuario sea infectado cuando acceda a una web que considera de confianza.

Aunque aun no se han detectado ataques masivos que aprovechen estas vulnerabilidades, se espera que Microsoft lance sus correspondientes parches de seguridad con carácter de urgencia para evitar que su navegador se convierta en un incontrolado vector de ataque aprovechado masivamente.

Josep Albors



Nueva campaña de propagación de scareware

Categorias: Ingenieria social,Malware | | 1 Comentario » |

El software de seguridad falso (también conocido como scareware) es una de las amenazas mas propagadas en los últimos meses. Usan la ingeniería social para asustar a los usuarios desprotegidos y hacer que se instalen sus programas que, en realidad, de poco sirven para protegerlos contra los códigos maliciosos puesto que esos programas ya son malware en sí mismos.

Las técnicas para propagar este tipo de falsos antivirus son variadas pero, desde hace unos días, se viene usando una que utiliza el posicionamiento de las webs en los principales motores de búsqueda para redirigir a los usuarios para que descarguen este malware.

Este último ataque ha creado automáticamente decenas de miles de blogs falsos que, utilizando técnicas de posicionamiento blackhat aparecen en primer lugar al hacer cierto tipo de búsquedas:

Al ser creados de forma automática, todos los blogs tienen un diseño muy similar, basados principalmente en imágenes al azar. A continuación podemos ver dos ejemplos:

Si el usuario accede a uno de estos blogs con un navegador con la configuración por defecto y permitiendo el uso de javascript, se ejecutará un script que viene incluido en el código fuente de estas webs:

Hay que destacar que este tipo de código se puede encontrar también en webs legítimas que no tienen nada que ver con las generadas de forma automática. Esto es posible debido a que muchos usuarios olvidan parchear sus webs o las albergan en servidores con vulnerabilidades.

Cuando el usuario es redirigido desde la web infectada, se nos muestra una ventana de alerta indicando que nuestro sistema se encuentra en riesgo.

Seguidamente, se ejecuta un supuesto análisis de sus sistema, finalizando este en apenas unos segundos.

Hay que destacar que esta acción analizará carpetas del sistema Windows aunque estemos usando otro sistema operativo como GNU/Linux o Mac OS/X lo cual demuestra que tan solo se trata de una imagen animada y que ningún análisis ha sido llevado a cabo. Una vez finalizado el análisis, se mostrara el resultado, con una cantidad importante de amenazas detectadas y se nos instará a descargar e instalar el fichero Inst_58s6.exe que es el códgio malicioso en sí. Si lo ejecutamos en nuestro sistema, se nos instalará un falso antivirus que no parará de mostrarnos alertas falsas y pedirá que paguemos por la versión completa para poder eliminar las amenazas detectadas.

Como ya hemos dicho, el scareware es una de las amenazas mas recurrentes en los últimos meses y se está renovando constantemente para ofrecer versiones “actualizadas” e intentar engañar a los usuarios para que descarguen sus productos usando técnicas cada vez mas novedosas como la que hemos mostrado aquí.

Para evitar caer en las garras de los ciber-delincuentes que crean y se lucran con estos programas, desconfie siempre de este tipo de llamativos software de seguridad e instale productos con una amplia experiencia demostrable en el mundo de la seguridad informática.

Josep Albors



Windows 7 y UAC ¿más seguro?

Categorias: Malware | | 2 Comentarios » |

Como comentamos tras el lanzamiento del nuevo sistema operativo de Microsoft, esté incluye una serie de características que supuestamente lo hacen más seguro. Una de estas características es la inclusión de un UAC mejorado que permite establecer una serie de niveles dependiendo del nivel de interacción que desee el usuario.

Así pues, el nivel predeterminado que se establece nada mas instalar Windows 7 es el siguiente:

Este nivel predeterminado evita que el usuario reciba la mayoría de los avisos que se producían en Windows Vista pero, ¿es el nivel más adecuado?. Si observamos la barra de notificación, vemos que hay un nivel por encima del predeterminado:

Con el nivel más alto el sistema nos informará ante cualquier cambio que una aplicación desee realizar en el equipo o en la configuración del sistema, cosa que no ocurre con el nivel predeterminado. Sabiendo que, actualmente, la mayoría de códigos maliciosos intentan, de alguna manera, realizar cambios en el sistema (modificando archivos de Windows, introduciendo líneas en el registro, etc.) es una gran ventaja disponer de un sistema que nos avise cuando estos cambios no autorizados intenten ejecutarse.

Resumiendo. Las ventanas de notificación del UAC de Windows tienen una finalidad (que no es la de molestar al usuario) importante a la hora de informarnos de cambios importantes en la configuración de nuestro sistema, por lo que es recomendable configurar esta aplicación en su nivel más estricto.

Josep Albors



Vulnerabilidad Zero-day en Windows 7 y Server 2008 R2

Categorias: Vulnerabilidades | | Sin comentarios » |

Cuando aun no ha pasado un mes desde el lanzamiento del último sistema operativo de Microsoft, se acaba de hacer pública una vulnerabilidad que afecta a este sistema operativo y a la versión Windows Server 2008 R2. Siempre que la opción de compartir ficheros usando la función SMB se encuentre activada y no tengamos protegido el puerto de escucha 445 por el cortafuegos del sistema operativo o cualquier otro, nuestro sistema se verá expuesto a sufrir un ataque que dejará colgada la máquina.

Tanto el descubridor de esta vulnerabilidad como varios expertos han comentado la aparición de esta vulnerabilidad y publicando pruebas de concepto por lo que no sería extraño que observaramos un número elevado de ataques dirigidos a máquinas con estos sistemas operativos. Microsoft ha publicado una nota al respecto donde se indica que están trabajando en esta vulnerabilidad y destacando que no se puede tomar control remoto del sistema afectado ni ejecutar codigo malicioso en el mismo usando esta técnica.

Está vulnerabilidad que revive a fantasmas del pasado como Sasser o Blaster aun no ha sido vista afectando a un gran número de máquinas y el alcance de la misma puede estar directamente relacionada con la configuración del cortafuegos de estos sistemas.

Una vez mas, se demuestra la importancia que tiene un cortafuegos con una correcta configuración en  la defensa de nuestros sistemas. Microsoft lo sabe y la inclusión de un cortafuegos mejorado en Windows 7 demuestra la voluntad de esta empresa en concienciar a sus usuarios acerca de algo tan vital hoy en día como es la seguridad informática.

Josep Albors



Malware, iPhones y videos de Rick Astley

Categorias: Curiosidades,Hacking,Malware | | Sin comentarios » |

En los últimos días hemos venido observando como algunos usuarios de iPhone eran victimas de un “secuestro” de su terminal. Estos usuarios veían como sus teléfonos eran bloqueados, cambiándoles el fondo de pantalla, y no podían salir de este estado. Hasta la fecha se ha informado dos casos que han afectado a un número relativamente elevado de usuarios, el primero de los cuales tuvo su origen en Holanda mientras que el segundo, con mas relevancia, se originó en Australia. Este segundo caso tenía como curiosidad que se sustituía el fondo de pantalla original por una foto del famoso cantante de los 80 Rick Astley, pasando a formar parte de la ya extensa campaña de Rickroll.

Cabe destacar que el código fuente para realizar variaciones de este gusano tan peculiar se encuentra disponible en la red por lo que no es de extrañar que veamos mas terminales de este tipo bloqueadas en los próximos días.

Hay que matizar que este tipo de ataques se dirige a aquellos usuarios de iPhone con el terminal desbloqueado (lo que se conoce comúnmente como “Jailbreak”). Estos usuarios normalmente tiene activado el protocolo SSH con la contraseña por defecto que permite acceder al terminal con permisos de root (administrador), por lo que cualquiera que accediese puede realizar cualquier modificación. Aunque estos primeros ataques no pasan de ser una prueba de concepto y son fácilmente solucionables, demuestran que ninguna plataforma es invulnerable al malware si no se toman las medidas de precaución adecuadas.

Aunque la mayoría de ataques dirigidos a dispositivos móviles suelen tener como objetivo dispositivos con otros sistemas operativos, el iPhone cada vez mas está en el punto de mira de los desarrolladores de código malicioso. Existen incluso casos de compañías que realizan aplicaciones para este terminal y las venden en la App Store que, sin permiso del usuario, recopilan información del usuario para poder bombardearle con publicidad.

Conclusión. Los dispositivos móviles son, cada vez mas un objetivo muy atractivo para los creadores de códigos maliciosos. Es por ello que, como usuarios, debemos aplicar las mismas precauciones que aplicamos con nuestros equipos informáticos.

Josep Albors



Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje