• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Vulnerabilidad LNK es aprovechada por más familias de malware

En anteriores entradas hablando de la vulnerabilidad CVE-2010-2568, los investigadores de ESET ya comentaban como el malware tradicional no tardaría en aprovechar este nuevo vector de infección para propagarse. Pierre-Marc Bureau avisó la semana pasada de dos nuevas familias de malware que ya estaban aprovechándose de esta vulnerabilidad y estos últimos días hemos visto como otras familias se han adaptado para aprovecharla.

Nuestro compañero Jorge Mieres de ESET Latinomérica nos explica como uno de los packs de crimeware, conocido como Zombie Explotation Pack, ya ha incluido esta vulnerabilidad como vector de ataque del malware usado para infectar sistemas e incluirlos en las redes botnets creadas con este kit.

Asimismo, el código malicioso polimórfico de nombre Sality, conocido por modificar su código frecuentemente para evitar su detección, también se aprovecha de esta vulnerabilidad, usando páginas webs especialmente modificadas para esparcirse. Esta variante crea una serie de accesos directos .lnk y utiliza nombres típicos de carpetas del sistema o sugerentes.

Los investigadores de F-Secure también han descubierto como una nueva variante de Zeus (una de las botnets mas populares) también ha empezado a adaptar su código para incluir esta grave vulnerabilidad. Actualmente, se está usando un falso correo electrónico que dice venir del departamento de seguridad de Microsoft para infectar a los usuarios. Aunque esta variante es relativamente nueva, el exploit usado es conocido por muchas casas antivirus y permite su fácil detección. Asimismo, el hecho de que el usuario tenga que abrir el archivo adjunto e incluir un archivo de forma manual en una ubicación concreta del sistema hace que pierda efectividad.

Como hemos comentado en posts anteriores en los que tratábamos este tema, estamos en las primeras etapas de un vector de ataque que puede seguir usándose durante mucho tiempo, como lo fueron y siguen siendo las infecciones que usan la característica Autorun. Aunque Microsoft lance pronto un parche para solucionarlo, es más que probable que muchos usuarios no lo instalen hasta dentro de bastante tiempo y veamos cómo esta vulnerabilidad es aprovechada durante muchos meses, tal y como sucedió con Conficker.

Desde el laboratorio de ESET en Ontinet.com seguimos recomendando la descarga e instalación de un antivirus con capacidad de detección de amenazas que aprovechen esta vulnerabilidad como medida de protección básica.

Josep Albors

Más información acerca de la vulnerabilidad CVE-2010-2568

Según pasan los días vamos conociendo nuevos detalles sobre la grave vulnerabilidad CVE-2010-2568 que afecta a los sistemas Windows y que permite la ejecución de código a través de archivos .LNK (accesos directos) maliciosos. Pierre-Marc Bureau, uno de los investigadores más destacables de ESET, informa acerca del descubrimiento de dos nuevas familias de malware que explotan esta vulnerabilidad.

Por una parte tenemos a una nueva familia de malware identificada como Win32/Trojan.Downloader.Chymine.A. Este malware instala un keylogger (registro de las pulsaciones en un teclado) detectado como un troyano de nombre Win32/Spy.Agent.NSO. Según los estudios realizados por los investigadores de ESET, el servidor usado para albergar y servir estos componentes se encuentra ubicado en los Estados Unidos pero la IP está asignada a un usuario de China.

La otra amenaza detectada que utiliza esta grave vulnerabilidad es una vieja conocida como Win32/Autorun.VB.RP, que ha sido actualizada para incluir el exploit como nuevo vector de propagación. Al parecer, esta actualización de la amenaza ya existente, descarga e instala componentes adicionales en máquinas ya infectadas.

Estos casos responden a la evolución típica del malware, que evoluciona para aprovechar las vulnerabilidades que vayan apareciendo para, de esta forma, aumentar sus vectores de ataque. Sabiendo que aun no existe parche que solucione esta vulnerabilidad y basándonos en experiencias pasadas, es más que probable que en las próximas semanas e incluso meses veamos más casos de malware “tradicional” que es modificado para aprovechar al máximo este agujero de seguridad.

Tras analizar estas dos nuevas familias de malware, los investigadores de ESET han comprobado que se trata de ejemplares menos sofisticados que el malware Win32/Stuxnet detectado originalmente. Cabe destacar que, mientras Win32/Trojan.Downloader.Chymine.A no genera archivos .LNK maliciosos ni se propaga de forma automática, la nueva versión de Win32/Autorun.VB.RP sí que genera archivos .LNK que explotan la vulnerabilidad existente para facilitar su propagación.

Así las cosas y viendo que estamos tan solo en el principio de lo que parece ser un nuevo vector de ataque que va a ser usado masivamente de forma inminente, desde el laboratorio de ESET en Ontinet.com recomendamos seguir atentos a las noticias publicadas por Microsoft acerca de esta vulnerabilidad para, de esta forma, instalar el parche de seguridad tan pronto como este se encuentre disponible. Asimismo la aplicación de medidas paliativas como el Fix it publicado recientemente y la instalación de un antivirus capaz de detectar las amenazas que se aprovechan de esta vulnerabilidad son medidas básicas de protección para tener nuestros sistemas protegidos.

Josep Albors

Publicado Fix it para la grave vulnerabilidad de Windows

Siguiendo con las noticias relacionadas con la grave vulnerabilidad existente en sistemas Windows que permite la ejecución de malware sin interacción del usuario, Microsoft ha lanzado un Fix it (o solución temporal) mientras preparan un parche que la solucione. Esta solución temporal deshabilita la funcionalidad de los archivos .lnk y .pif (en cuyo manejo erróneo radica la vulnerabilidad) en un ordenador funcionando bajo Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 o Windows Server R2.

Microsoft ha puesto a disposición de todo aquel que desee aplicar este Fix it las instrucciones para aplicarlo en el siguiente enlace:

• Microsoft Fix it para vulnerabilidad en el manejo de archivos .lnk y .pif

Cabe recordar que la aplicación de esta solución temporal repercutirá en la experiencia de usuario al manejar sistemas Windows puesto que deshabilita funciones a las que estamos acostumbrados, como la representación de los iconos de las aplicaciones, pero siempre es preferible esta incomodidad al riesgo de que nuestro sistema quede infectado.

Asimismo, los chicos de Security by Default han publicado un artículo (basado en las instrucciones proporcionadas por el investigador Didier Stevens) donde explican como mitigar esta vulnerabilidad aplicando directivas de restricción de software. Todo aquel que desee conocer cómo aplicar esta solución puede pasarse por su siempre interesante blog.

Mientras vemos como se publican métodos para evitar los efectos de esta grave vulnerabilidad, los investigadores y empresas de seguridad informática seguimos alerta observando cualquier novedad acerca de posibles ataques que se aproveche de la misma. Junto a los consejos y soluciones proporcionadas en este blog, desde el laboratorio de ESET en Ontinet.com recomendamos descargar e instalar un antivirus que sea capaz de detectar y bloquear los códigos maliciosos que ya están aprovechándose de esta situación, así como también detectar variantes futuras.

Josep Albors

Actualizando información sobre LNK/Autostart.A

Según van pasando los días y los investigadores analizan el malware que se aprovecha de la nueva vulnerabilidad 0-day de Microsoft (es decir, aquella vulnerabilidad que está siendo aprovechada pero para la que no existe parche de seguridad), va apareciendo nueva información al respecto. Investigadores de ESET han detectado un nuevo malware íntimamente relacionado con el malware LNK/Autostart.A que tanto está dando que hablar en los últimos días.

El fichero que alberga esta nueva muestra detectada responde al nombre de jmideb.sys. La fecha de creación del mismo es mucho más reciente (14 de julio) que el código malicioso anterior  y sus funciones son similares a las que ya tenía presentes el malware descubierto la semana pasada (robo de información y ocultación en el sistema infectado usando técnicas de rootkit). No obstante, el certificado que usa esta nueva muestra es diferente a la detectada anteriormente. Si la semana pasada comentábamos que se había usado el certificado de la empresa Realtek Semiconductor Corp., en esta ocasión se detectó que usaba el certificado de la empresa JMicron Technology Corp. para firmar el archivo malicioso. Da la casualidad de que ambas empresas se encuentran ubicadas en el Hsinchu Science Park de Taiwan.

La proximidad de las empresas cuyos certificados fueron usados de forma ilícita para firmar los archivos infectados y el hecho de que se apuntaran a sistemas SCADA de gestión de infraestructuras críticas (concretamente, un modelo de la empresa Siemens) hace pensar en una operación muy bien planificada y profesional. Otro hecho que hace pensar en algún tipo de operación de espionaje es que la mayoría de muestras detectadas lo han sido, mayoritariamente en dos países, Estados Unidos (58%) e Irán (30%). La tensión política entre ambos países es evidente debido a la polémica sobre el supuesto uso de tecnología nuclear para la fabricación de armas de destrucción masiva por parte de las autoridades iraníes.

Más allá del problema de seguridad que supone acceder a uno de estos sistemas de gestión de infraestructuras críticas, lo verdaderamente preocupante para la mayoría de usuarios es que el exploit que se aprovecha de esta vulnerabilidad ya es público, por lo que los creadores de malware tan solo tienen que modificarlo para empezar a propagarlo de forma masiva. Recordemos que no hace falta ejecutar ningún archivo para infectar nuestro sistema y que solo visitando una unidad USB o carpeta compartida con un explorador de archivos con la capacidad de mostrar los iconos de acceso directo (.lnk) podemos infectarnos.

Puesto que los códigos maliciosos que se aprovechan de esta vulnerabilidad son detectados de forma genérica por las soluciones de seguridad de ESET, desde el laboratorio de ESET en Ontinet.com, recomendamos la descarga e instalación de un antivirus que pueda detectar y bloquear estas amenazas hasta que Microsoft lance el correspondiente parche de seguridad.

Josep Albors

Microsoft informa sobre la nueva vulnerabilidad

Si el pasado día 15 nos hacíamos eco del descubrimiento de una nueva vulnerabilidad que, en un principio, se propagaba usando dispositivos USB y se aprovechaba de un fallo en el manejo de cierto tipo de ficheros por parte de algunos exploradores de archivos, en el día de hoy Microsoft ha publicado un aviso de seguridad que arroja mas información al respecto.

Según se informa por parte de Microsoft, esta vulnerabilidad afecta a todas las versiones de Windows existentes y aun no existe parche para la misma. También se informa de que, además de propagarse mediante medios extraíbles, puede hacerlo usando la compartición de archivos de Windows y WebDav. Asimismo, se proporcionan unas instrucciones para poder mitigar este ataque y no estar indefensos ante él. Podemos encontrar el boletín de seguridad de Micrososft en el siguiente enlace:

• Microsoft Security Advisory (2286198)

Desde ESET ya se ha informado de casos de malware que están aprovechando esta nueva vulnerabilidad para infectar a los usuarios. No obstante, las soluciones de seguridad de ESET ya detectan estas nuevas amenazas con la nomenclatura de LNK/Autostart.A. Como ya avisamos en nuestro post anterior hablando de esta nueva amenaza, las muestras detectadas hasta ahora tienen capacidad de rootkit por lo que pueden ser difíciles de eliminar si no se cuenta con una solución de seguridad con capacidad para eliminar este tipo de infiltraciones.

A pesar de que todos los análisis realizados tras el descubrimiento de esta nueva amenaza apuntaba a que el objetivo de la misma eran los sistemas SCADA de gestión de infraestructuras, una vez analizado el alcance de la misma es más que probable que en poco tiempo sea usado para atacar de forma masiva cualquier sistema Windows vulnerable. Especialmente preocupante son los casos de Windows XP SP2 y Windows 2000, que se encuentran fuera de su ciclo de vida y no recibirán más actualizaciones de seguridad, dejando a sus usuarios desprotegidos ante esta y futuras amenazas.

Desde el laboratorio de ESET en Ontinet.com recomendamos instalar la actualización de seguridad tan pronto como esta se encuentre disponible y, mientras no lo esté, debemos asegurarnos de contar con un antivirus capaz de frenar esta amenaza y aplicar las instrucciones proporcionadas por Microsoft para mitigar este ataque.

Josep Albors

Nuevo tipo de ataque usando unidades USB

Los códigos maliciosos que se propagan usando la función de Autorun, incorporada por defecto en la mayoría de sistemas Windows, llevan siendo una plaga desde hace ya varios años, estando siempre entre las amenazas mas detectadas. Cuando creíamos que las nuevas opciones de seguridad incorporadas en Windows 7 iban a mitigar esta amenaza, un grupo de investigadores, ha descubierto una nueva amenaza que se aprovecha de un fallo de Windows en el manejo de ciertos archivos.

Este nuevo vector de ataque no utiliza la funcionalidad Autorun para propagarse si no que se aprovecha de una vulnerabilidad en el manejo de los archivos .lnk. Esto ocasiona que, tan solo abriendo una unidad USB infectada con un explorador de ficheros que permita mostrar iconos, como el que incorpora por defecto Windows u otros menos conocidos (p.ej.: Total Commander) nuestro sistema quede comprometido.

Una vez se ha conseguido infectar el sistema atacado, los archivos que componen esta amenaza consiguen ocultarse en el sistema usando técnicas de rootkit, lo que dificulta su detección. Asimismo, si se analizan las propiedades de los archivos maliciosos se observa que poseen la firma digital de Realtek Semiconductor Corp. , empresa que nada tiene que ver con el desarrollo de malware.

Pero la preocupación no es solo que pronto veamos muchas más muestras de malware que se aprovechan de esta vulnerabilidad en el manejo de los ficheros .lnk. Lo realmente preocupante a fecha de hoy es que ya hay investigadores que avisan de que estas primeras muestras detectadas han sido diseñadas para atacar sistemas SCADA. Este tipo de sistemas se usan para gestionar grandes infraestructuras, muchas de ellas críticas, y pueden gestionar desde una lavandería a una central nuclear. Si realmente han sido usados con tal fin representarían una grave amenaza para la seguridad de las infraestructuras críticas, cada vez más en el punto de mira de los ciberdelincuentes.

Debido a que no existe solución para esta vulnerabilidad y a que, una vez hecha pública, es más que probable que empecemos a ver una gran cantidad de malware que se aproveche de la misma, desde el laboratorio de ESET en  Ontinet.com recomendamos descargar e instalar una solución antivirus con capacidad de detección de malware con funcionalidades de rootkit para evitar ser presas de esta amenaza.

Josep Albors

Se incrementan los ataques a Windows XP

Por si necesitáramos más motivos para migrar a sistemas operativos Windows actuales, aparte del fin del soporte para Windows XP SP2, Microsoft acaba de hacer pública la noticia de que está detectando un incremento considerable en los ataques orientados a este sistema operativo. Se trata de ataques que aprovechan la vulnerabilidad en el centro de ayuda y soporte y que están siendo explotados de forma masiva por los creadores de malware para propagar sus creaciones.

Esta vulnerabilidad fue corregida el pasado martes por el boletín MS10-042 que Microsoft lanzó como parte de las actualizaciones periódicas que realiza cada segundo martes de cada mes por lo que se recomienda actualizar nuestros sistemas tan pronto como sea posible. El incremento de esta actividad con fines maliciosos ha sido muy importante, pasando de 10.000 ataques que aprovechaban la vulnerabilidad hace apenas 2 semanas a 25.000 a fecha del 12 de Julio.

No obstante, el problema realmente grave empieza ahora, cuando millones de usuarios siguen usando Windows XP SP2 (o incluso versiones anteriores) y ya no recibirán actualizaciones de seguridad en el futuro. Se abre un futuro muy negro para estos usuarios y muy provechoso para los creadores de malware que tendrán a su disposición un amplio número de sistemas vulnerables para poder infectar.

Desde el laboratorio de ESET en Ontinet.com queremos recordar que aplicaciones como un antivirus o cortafuegos son una capa de protección frente a las amenazas pero pueden tener una utilidad limitada si el sistema operativo en el que trabajan no se encuentra debidamente actualizado.

Josep Albors

Vulnerabilidad XSS (corregida) afectó a Youtube

Durante el día de ayer fueron varios los usuarios que estuvieron aprovechándose de una vulnerabilidad en los comentarios de Youtube. Esta vulnerabilidad permitía introducir código en los comentarios para realizar diferentes acciones maliciosas. Debido a lo simple que resultaba realizar el ataque (simplemente introducir el código que se desease en los comentarios) fueron miles los usuarios que realizaron este ataque o que fueron víctimas del mismo.

Gracias a Cristian de la redacción de Segu-Info, podemos ver la información que se generó en diferentes blogs acerca de este tema. Por ejemplo, en el siguiente post se explica el código que debíamos usar para realizar cada tipo de ataque. Tal y como se observa, no se necesita de mucho conocimiento para poder generar nuestro propio ataque personalizado. Es por ello que muchos de los ataques se lanzaron contra objetivos específicos, como, por ejemplo, los videos del cantante Justin Bieber y, aunque al principio muchos apuntaban a los usuarios de 4chan como responsables de estos ataques organizados, es probable que otros grupos también participaran.

La reacción de Youtube no se hizo esperar y, en primera instancia, se decidió bloquear los comentarios para, posteriormente, lanzar un parche que bloqueaba esta vulnerabilidad. A pesar de la gravedad de la misma, fueron pocos los casos graves en los que se consiguió robar información de los usuarios ya que la mayoría de comentarios maliciosos redirigían a otros vídeos, enlaces o sitios webs. La rapidez a la hora de solucionar esta vulnerabilidad impidió que se usase de forma masiva para, por ejemplo, propagar malware en forma de falsos antivirus.

Para evitar ser afectados por ataques similares en el futuro, desde el laboratorio de ESET en Ontinet.com aconsejamos evitar pulsar sobre enlaces sospechosos aunque nos aparezcan en sitios de confianza y muestren ventanas de alerta. Asimismo, la descarga e instalación de un antivirus capaz de bloquear las amenazas que puedan aprovecharse de este tipo de vulnerabilidades resulta esencial para proteger nuestros sistemas.

Josep Albors

Adobe adelanta las actualizaciones de Acrobat y Reader

Viendo que las vulnerabilidades descubiertas en las aplicaciones Acrobat y Reader estaban siendo aprovechadas y, tras lanzar el parche que solucionaba la grave vulnerabilidad en Flash, Adobe ha decidido adelantar el lanzamiento de las nuevas versiones de sus productos, previstas para el próximo 13 de Julio. Así pues, desde ayer, los usuarios pueden actualizarse a Adobe Reader 9.3.3 y Acrobat 8.2.3 simplemente accediendo al menú Ayuda del producto y pulsando sobre la opción Buscar Actualizaciones.

Estas nuevas versiones también solucionan el vector de ataque que podía producirse aprovechándose de la funcionalidad “/Launch” integrada en los archivos PDF y que permite la ejecución de código cuando se abre un archivo PDF modificado. A pesar de no tratarse de una vulnerabilidad sino de una funcionalidad con una utilidad definida, en las últimas semanas hemos visto casos que se aprovechaban de la misma para propagar malware.

Debido a la gravedad de las vulnerabilidades que han sido solucionadas y que, del mismo modo que ocurrió con el caso de Adobe Flash, estas ya estaban siendo aprovechadas por los creadores de malware, desde el departamento técnico de ESET en Ontinet.com, recomendamos a todos los usuarios de estas aplicaciones que las actualicen cuanto antes.

En estos casos resulta indispensable contar con un antivirus actualizado que pueda detectar los posibles exploits que se lancen con la intención de aprovecharse de las vulnerabilidades de nuestro sistema operativo o de las aplicaciones instaladas en él. De esta forma, contaremos con una protección hasta que se lancen los parches correspondientes.

Josep Albors

Descubierta vulnerabilidad en FreeBSD

Que los sistemas con una arquitectura basada en UNIX gozan de una estabilidad envidiable es algo innegable. Pero incluso un sistema como FreeBSD puede verse afectado por una vulnerabilidad que permita a un usuario no autorizado obtener permisos de administrador (root).

Según informa el descubridor de esta vulnerabilidad, Patroklos Argyroudis, esta se produce cuando se llama a la función nfs_mount() desde los comandos mount y nmount. Si se proporcionan unos valores incorrectos, puede producirse un error conocido como stack overflow que, dependiendo de la versión que estemos usando en esos momentos, tendrá un efecto u otro.

Las más afectadas son las versiones 7.2-RELEASE y 7.3-RELEASE donde, el aprovechamiento de esta vulnerabilidad puede llevar a un usuario a obtener permisos de root en el sistema. La versión 8.0-RELEASE se ve afectada por un kernel crash o una denegación del servicio pero no permite que se produzca la escalada de privilegios debido a mejoras de seguridad implementadas en esa versión. Por último, no se han observado incidencias en las versiones 7.1-RELEASE y anteriores ya que este bug se introdujo en la versión 7.2-RELEASE.

Para poder aprovechar esta vulnerabilidad se ha de tener acceso al sistema por lo que las posibilidades de realizar un ataque son muy limitadas. Desde el departamento técnico de ESET en Ontinet.com recomendamos a los administradores de sistemas FreeBSD restringir el uso de los comandos mount y nmount (y, en general, de cualquier otro comando que un usuario normal no debería usar) solamente a los administradores. De esta forma se evitará que se aprovechen este tipo de vulnerabilidades hasta que se lance un parche que las solucione.

Josep Albors

Artículos Anteriores »