Adiós, XP, adiós

Windows XP muere. Microsoft ha decidido que su vida ha sido lo suficientemente provechosa como para quitarse de en medio el sistema operativo con el que muchos usuarios se reconciliaron con Microsoft, después de sus Windows 95, 98 y Me.

Todavía existen muchos ordenadores con XP, muchos más de los que pensamos. Hay muchas empresas que no pueden, desgraciadamente, permitirse una renovación de equipos para actualizarlos y que soporten Windows 8. La crisis es la crisis, y si un ordenador, por antiguo que sea, funciona, ¿para qué cambiarlo? Mejor pagar las nóminas otro mes.

Windows XP fue lanzado al mercado hace 13 años. Sí, 13 añitos (Pobre, en plena pubertad y muere). Si miramos con un poco de perspectiva histórica, y nos remontamos al año 2001 cuando se lanzó, ¿qué le diríamos a una persona que sigue trabajando con MS-DOS versión 4? Sí, en 1988 se lanzó esa versión, 13 años antes que Windows XP. Todavía se llevaban hombreras, pelo cardado, Mecano triunfaba y usábamos pesetas.

xpfade

A pesar de todo, muchas máquinas seguirán funcionando con XP. En caso de que alguno de los lectores del blog siga usándolo, unos consejos:

  1. Cambia el sistema. Sí, es obvio, ya lo sé, pero es la mejor solución. A Windows o a Linux, pero actualízate.
  2. Instala todas las actualizaciones que tengas pendientes. Importantes, críticas u opcionales, pero no te dejes ni una.
  3. Evita utilizar una cuenta con permisos de administrador. Y esto no solo por XP, sino para todos los sistemas operativos. Es una tentación ser el usuario con mayores privilegios del sistema y que las aplicaciones se instalen sin mayores problemas. Por desgracia, el malware también se aprovecha de estos privilegios y está comprobado que el uso de una cuenta con permisos limitados mitiga buena parte de los exploits actuales, sea cual sea su objetivo (navegador, adobe, java, suites ofimáticas o el propio sistema operativo).
  4. Actualiza también tu navegador, aunque no te guste el aspecto que tiene la nueva versión. Y si no, instala un navegador actualizado y que aún ofrezca soporte para Windows XP. Google ha anunciado que mantendrá el soporte de Chrome para XP al menos hasta Abril de 2015, dando así un año más de margen. El uso de complementos de seguridad como No Script en aquellos navegadores que lo soporte también nos puede ayudar a mitigar los ataques que utilizan el navegador como vector de ataque.
  5. Elimina de tu navegador cualquier complemento no imprescindible. Sí, hay muchas barras de búsqueda y muchos complementos muy divertidos que te permiten hacer muchas cosas… incluso dejar puertas abiertas.
  6. Una vez actualizado el sistema, vamos con otra cosa de las que muchas veces no nos acordamos: Java. Es un sistema mediante el cual podemos ejecutar muchos complementos en el navegador, pero al igual que ejecutamos esos complementos, podemos estar ejecutando código malicioso que se aproveche de un error en Java.
  7. Y prosigamos con el resto de aplicaciones que necesitamos en mayor o menor medida en una navegación normal, como puede ser un lector de ficheros PDF. Lo primero, emplea el “original” de la marca, el Acrobat Reader, que aunque quizá no tenga tantas funciones tan chulas como el que has instalado, contamos con el respaldo de Adobe, que no es poco, a la hora de solucionar posibles problemas de seguridad.

¿Y las empresas? Exactamente lo mismo. El mero hecho de tener un parque más numeroso de ordenadores no les excluye de tomar estas precauciones. Solo que además, hay dos puntos muy importantes:

  • Aislar las máquinas XP de la red corporativa. Si por algún motivo (aplicaciones que no funcionan en sistemas actuales, falta de presupuesto, etc.) te ves obligado a mantener un número importante de máquinas con XP en tu red corporativa, trata de aislarlas lo máximo posible del resto. De esta forma evitarás que sean un blanco fácil frente a ataques de red. Obviamente, lo ideal sería que estas máquinas no estuviesen conectadas a Internet pero, en caso de que tengan que estarlo, evita almacenar información comprometida en ellas y conectarlas a aquellos sistemas que sí contienen este tipo de información.
  • Accede a tus servicios corporativos a través del servidor. Sabiendo que la seguridad del sistema puede comprometerse en cualquier momento, no sería mal momento para empezar a migrar a algún servicio de correo electrónico ubicado en un servidor de la empresa, sin tener que descargarlo de forma online. De esta forma, y utilizando el navegador actualizado y con los complementos de seguridad que hemos mencionado anteriormente, evitaremos que la información sensible quede almacenada en un sistema inseguro. Otros servicios como suites de ofimática también son accesibles online y los hay tanto gratuitos como de pago. No olvidemos, eso sí, la necesidad de utilizar contraseñas robustas para acceder a estos servicios.

Una vez que hemos hecho todo esto, el sistema estará en condiciones de iniciar una larga marcha en solitario por el desierto del soporte de Microsoft. Nadie nos ayudará en caso de que un gran agujero de seguridad sea descubierto. Y no quiero ser agorero, pero puede que en este desierto, en la salida del desfiladero, nos esté esperando una tribu de asaltantes poco amistosos.

Saben que vamos a pasar por ahí. Y que nuestro séptimo de caballería no responderá a nuestras llamadas. Pero nos queda un resquicio de esperanza. Instala un buen antivirus, y actualízalo. Pero no el mismo que tenías hace 13 años, cambia de versión y busca uno moderno, que sea capaz de detener también amenazas modernas. Porque todos tenemos una versión actualizada del antivirus… ¿o no?

Fernando de la Cuadra



Utilizan vulnerabilidad en Winrar para atacar a empresas y gobiernos

Categorias: exploit,Vulnerabilidades | | 2 Comentarios » |

En este artículo adaptamos el que nos traen nuestros compañeros del laboratorio de ESET Latinoamérica desde el blog WeLiveSecurity, donde se analiza una vulnerabilidad en WinRAR (el popular software de compresión de archivos).

Esta vulnerabilidad fue descubierta por el investigador israelí Danor Cohen y hay pruebas que demuestran que está siendo aprovechada en una campaña de malware dirigida a gobiernos, organizaciones internacionales y grandes empresas.

winrarlogo

El fallo de seguridad permite que los atacantes creen un archivo ZIP que aparenta contener un archivo como, por ejemplo, una foto, pero que en realidad puede contener un archivo ejecutable malicioso, lo que podría provocar una infección del sistema. De esta forma, un atacante puede comprimir fácilmente cualquier tipo de malware con WinRAR y luego hacer pasar este archivo como un fichero ZIP aparentemente inofensivo.

La vulnerabilidad fue bautizada por Cohen como “spoofing de extensión de archivo de WinRAR”, y según los investigadores de IntelCrawler, está presente en todas las versiones de este popular software, incluyendo la 5.1. La explotación de esta vulnerabilidad se produce cuando WinRAR comprime un archivo y crea nuevas propiedades, incluyendo la función de “cambiar el nombre del archivo”. Al alterar esta información, el ZIP informará que contiene algo diferente a lo que realmente alberga.

De acuerdo a IntelCrawler, los atacantes están aprovechándose de esta vulnerabilidad desde el 24 de marzo para realizar una campaña de ciberespionaje dirigida a corporaciones aeroespaciales, empresas militares subcontratadas, embajadas y otras grandes empresas. Una de las muestras era un email de spam que decía provenir del Consejo Europeo de Asuntos Legales, y en el que se adjuntaba un archivo ZIP malicioso y protegido con contraseña, la cual se incluía en el cuerpo del email.

Siendo WinRAR una aplicación bastante extendida, cabe esperar que encontremos más casos de este tipo incluso dirigidos a todo tipo de usuarios y no solamente a grandes empresas y gobiernos. Por eso, y hasta que el fabricante solucione esta vulnerabilidad, es importante que desconfiemos de aquellos adjuntos comprimidos con esta herramienta que no hayamos solicitado y, sobre todo, no los abramos por mucho que su contenido pueda parecer inofensivo.

Josep Albors



Dispositivos de todo tipo conectados a Internet utilizados para enviar spam

En los últimos meses hemos hablado largo y tendido de lo que actualmente se conoce como el “Internet de las cosas” y de cómo la tendencia actual de conectar todo tipo de dispositivos a la red no hace más que aumentar. El problema viene cuando todos estos dispositivos carecen de los mecanismos de seguridad adecuados, algo que los puede convertir en presas fáciles de los ciberdelincuentes, que los aprovecharían en su propio beneficio.

¿De qué tipo de dispositivos estamos hablando? Actualmente casi de cualquier tipo, incluyendo videoconsolas, routers y todo tipo de centros multimedia, pero también de toda una amplia variedad de electrodomésticos como neveras o incluso muñecas con la capacidad de hacer fotos y subirlas a Internet.

nevera

Una posibilidad ya anunciada

Hasta ahora siempre habíamos comentado la posibilidad de que se utilizaran estos dispositivos de forma maliciosa, ya que una gran mayoría de ellos se encuentran conectados a Internet con configuraciones inseguras.

Al parecer, esta posibilidad ya se ha hecho realidad, al menos si hacemos caso de la información proporcionada por la empresa Proofpoint, desde la que se afirma que alrededor de 100.000 dispositivos de todo tipo (entre los que se encuentran Smart TV, neveras inteligentes y otros electrodomésticos) fueron utilizados para enviar 750.000 mensajes de spam.

Un elevado porcentaje

Esto supone el 25% del total de mensajes no deseados enviados por esta particular red de dispositivos infectados, siendo el resto enviados por dispositivos más convencionales como ordenadores de sobremesa o portátiles.

Según la nota de prensa lanzada por esta empresa, este ataque se produjo en las pasadas fechas navideñas, entre el 23 de diciembre y el 6 de enero. De las 450.000 direcciones IP identificadas como participantes en esta campaña de envío de spam, se calcula que 100.000 pertenecen a dispositivos que podríamos catalogar como “no habituales” en este tipo de ataques.

Si bien sorprende la cantidad de dispositivos utilizados, acabado de empezar 2014 no debería extrañarnos este tipo de noticias. El “Internet de las cosas” forma parte de nuestra vida desde hace tiempo y las previsiones no hacen sino aumentar el número de dispositivos de todo tipo conectados a la red.

smarttv

Por eso, ahora que ya se ha demostrado el potencial que tienen para los ciberdelincuentes este tipo de dispositivos, deberíamos empezar a preocuparnos por la seguridad de estos aparatos.

Medidas a adoptar

El problema que nos encontramos como usuarios es que, a diferencia de los ordenadores, tabletas o móviles, donde podemos tener un control bastante elevado de la seguridad del dispositivo, en el “Internet de las cosas” muchas veces los fabricantes no dejan definir los parámetros de seguridad deseados, poniendo en riesgo nuestra privacidad y permitiendo que estos electrodomésticos puedan ser utilizados para realizar ciberdelitos.

Algunos de nuestros lectores seguramente se estarán preguntando si debemos empezar a plantearnos instalar un antivirus también en nuestra flamante Smart TV o nevera inteligente. Podría parecer la solución más obvia, pero hemos de recordar que el antivirus es solo una capa de seguridad y que hay otras que se deben tener en cuenta, empezando por las medidas de seguridad que implementan los fabricantes.

De momento, como usuarios podemos mitigar posibles ataques de este tipo evitando instalar aplicaciones de dudosa procedencia en aquellos dispositivos que las admitan (principalmente Smart TV). Asimismo, estar atentos ante cualquier posible actualización del firmware de todos los dispositivos que tenemos conectados a Internet no deja de ser otra buena medida de seguridad.

Lo que queda claro es que  este tipo de ataques van  a dejar de ser anecdóticos para pasar a convertirse en algo desgraciadamente habitual. No obstante, nosotros estaremos aquí para informar y ofrecer consejos de seguridad para mitigar el alcance de estos ataques.

Josep Albors

Entradas relacionadas:

Cafeteras y planchas modificadas para infectar dispositivos conectados a redes vulnerables

Smart TV, ¿el nuevo objetivo de los ciberdelincuentes?

¿Tenemos controlados todos los dispositivos con acceso a Internet?

[Podcast] hacking de dispositivos tecnológicos



Nueva vulnerabilidad 0-day en el Kernel de Windows afecta a Windows XP y Server 2003

Por experiencias anteriores ya deberíamos estar avisados de que cuando Microsoft lanza un boletín de seguridad fuera de su ciclo habitual el segundo martes de cada mes es que algo grave está sucediendo. Así lo comentan nuestros compañeros de Hispasec y así lo podemos comprobar si repasamos el boletín de Microsoft en el que se alerta de una vulnerabilidad en uno de los componentes del kernel de los veteranos Windows XP y Windows Server 2003.

Si se ha decidido a lanzar un aviso fuera del ciclo de actualizaciones es porque esta vulnerabilidad está siendo aprovechada activamente por atacantes. Por suerte, el alcance de esta vulnerabilidad es limitado y tan solo se verían afectados sistemas operativos Windows XP y Windows server 2003. No obstante, aún son muchos los usuarios que utilizan estos antiguos sistemas operativos de Microsoft a pesar de que la empresa ya anunciado el abandono del soporte para estos sistemas en un futuro cercano (8 de abril de 2014 para Windows XP y 14 de Julio de 2015 en el caso de Windows Server 2003).

Microsoft_patch_tuesday

Aparentemente esta vulnerabilidad reside en el componente NDProxy.sys, el cual falla al comprobar las entradas de la forma adecuada. De esta forma, si un atacante consiguiera aprovecharse de esta vulnerabilidad (y estuviera registrado en el sistema) podría ejecutar código arbitrario en el modo kernel de Windows. Esto le permitiría realizar una variedad de acciones que van desde la modificación o eliminación de datos hasta la instalación de programas o creación de nuevas cuentas con permisos de administrador.

Para tratar de mitigar los efectos de esta vulnerabilidad, Microsoft ha puesto a disposición de los usuarios una solución temporal que, si bien no soluciona el fallo por completo si que bloquea los vectores de ataque conocidos hasta el momento.

Para poder aplicar esta contramedida, se han de introducir los siguientes comandos desde una consola con permisos de administrador y, seguidamente, reiniciar el sistema:

sc stop ndproxy
reg add HKLM\System\CurrentControlSet\Services\ndproxy /v ImagePath /t REG_EXPAND_SZ /d system32\drivers\null.sys /f

No obstante, hay una efecto secundario y es que, aquellos servicios basados en Windows TAPI (Telephony Application Programming Interfaces) dejarían de funcionar, servicios que incluyen VPN (Red Privada Virtual), RAS (Servicio de Acceso Remoto) o la conexión de acceso telefónico. De los administradores de estos sistemas depende decidir si aplicar esta solución temporal o no. Sí bien la mayoría de usuarios domésticos no los echarán en falta es posible que en entornos corporativos estos servicios resulten esenciales.

 Josep Albors



Preparados, listos… ¡ya! Exploit en circulación

Qué poco dura la alegría en la casa del pobre, decía mi abuela. ¡Y qué poco dura la tranquilidad en los sistemas mal protegidos y sin actualizar! Hace poco os comentábamos que se había descubierto una nueva vulnerabilidad en el manejo de imágenes tipo TIFF. Bueno, pues ya está circulando por ahí el exploit.

Al parecer se ha encontrado en Oriente Medio y en el sudeste asiático, pero no debemos olvidarnos de que Internet no tiene fronteras, así que no hay que bajar la guardia ya que cualquier ordenador de cualquier punto del mundo puede verse afectado en el tiempo que tarda un correo electrónico en viajar de una parte del mundo a otra: casi nada. Bueno, depende del tamaño del adjunto, pero muy poco.

Y digo un correo electrónico porque así es como se está distribuyendo, mediante un e-mail. El exploit será muy nuevo, pero la distribución es bastante clásica. Dentro de ese mensaje nos encontraremos un fichero de Word, pero no debemos pensar que se trata de una macro, como lo era allá por los 90. No, el problema está en una imagen (evidentemente TIFF) que está dentro del documento. Al abrirlo y visualizar la imagen, ya la tenemos liada: se ejecutará un código malicioso.

Vale, ya hemos visto que podemos meternos en un lío. ¿Cómo evitarlo? En principio, como siempre hemos dicho, sentido común. ¿Has solicitado ese documento? ¿No? Pues no lo abras. Por ahora la propagación no es masiva, sino que se lleva a cabo en un mensaje enviado a propósito. En segundo lugar, ¿tienes tu sistema completamente actualizado? Y cuando digo “sistema” no me refiero al sistema operativo, sino tanto al sistema operativo como a las aplicaciones y  complementos que funcionan en él. Este problema se manifiesta en las versiones de Office 2003 y 2007; si es Office 2010, solamente si lo ejecutas sobre Windows XP y Windows Server 2003; y si usas Office 2013, tranquilo. No estás afectado.

Microsoft ha publicado una solución, pero dejemos de parchear y seamos consecuentes: actualicemos de verdad los sistemas.

Fernando de la Cuadra



Detenido en Rusia el presunto autor del Blackhole Exploit Kit

Categorias: Cibercrimen,exploit | | Sin comentarios » |

De entre todas las familias de malware más activas en los últimos meses, el kit de exploits Blackhole tiene un lugar destacado. Prueba de ello son las continuas referencias que hacemos a dicho kit en nuestro blog, conforme van apareciendo nuevas variantes que afectan a nuevos sistemas y se aprovechan de nuevas vulnerabilidades.

Ahora, y según ha confirmado Europol recientemente, el ciberdelincuente conocido como Paunch y presunto responsable de esta herramienta para el cibercrimen habría sido detenido en Rusia. Esto confirma las teorías de varios investigadores que apuntaban a que su creador era de esta región debido a la forma en la que se encontraba escrito el malware.

galex-20060823-browse

No obstante, hasta la confirmación de su detención todo eran conjeturas, puesto que servicios como crypt.am (utilizado para cifrar el kit de exploits) había sido dado de baja y el applet de Java utilizado por Blackhole no había sido actualizado en varios días.

Recordemos que Blackhole  es el kit de exploits más popular a la hora de aprovecharse de webs legítimas vulnerables y conseguir que los usuarios que las visiten se infecten, utilizando para ello exploits (nuevos y antiguos) que aprovechan vulnerabilidades en Java, Flash y otro tipo de software usado de forma masiva en millones de sistemas.

Pensado como un “Malware as a Service”, su creador ofrece todo un rango de posibilidades a la hora de personalizar las características del malware. Es difícil asegurar que la detención de su creador suponga el fin de Blackhole, puesto que puede que otros ciberdelincuentes tomen el relevo, tal y como sucedió con Zeus cuando se hizo público su código fuente.

Esta noticia nos ha llegado pocos días después de la desarticulación del conocido como mayor mercado de la droga (y otras actividades ilegales) dentro de la red Tor. En menos de una semana han caído dos de los delincuentes más buscados por sus actividades ilegales en la red, algo que deberíamos agradecer. No obstante, aún queda mucho camino por recorrer, y muy probablemente el hueco que han dejado sea ocupado en poco tiempo por otros ciberdelicuentes.

Es por eso que debemos estar alerta, evitando poner las cosas fáciles a los creadores de malware, actualizando nuestro sistema, usándolo con los permisos estrictamente necesarios y contando con una serie de medidas de seguridad y buenas prácticas que nos servirán para protegernos de la mayoría de las amenazas.

Josep Albors



Microsoft corrige grave vulnerabilidad en Internet Explorer en sus actualizaciones mensuales

Como cada segundo martes de cada mes, Microsoft no falta a su cita publicando diversos parches de seguridad para sus sistemas operativos y aplicaciones. No obstante, este mes es especial puesto que se cumplen diez años desde el inicio de este programa de actualizaciones de seguridad.

Para este mes Microsoft tiene previsto lanzar 8 boletines de seguridad que solucionan varias vulnerabilidades encontradas en diversos sistemas Windows. No obstante, el protagonismo casi absoluto se lo llevará el parche que corrige la grave vulnerabilidad 0day en el navegador Internet Explorer, de la que hablamos hace unas semanas y que obligó a Microsoft a publicar una solución temporal de emergencia. Recordemos que esta vulnerabilidad afectaba a las versiones 8 y 9 de este navegador en todos los sistemas Windows a los que Microsoft aún da soporte.

Microsoft_patch_tuesday

Precisamente la semana pasada nos llegaba la noticia de que el exploit que se aprovecha de esta vulnerabilidad en Internet Explorer había sido incluido en el popular framework Metasploit, lo que representa la posibilidad de que se lancen una gran cantidad de ataques a partir de este momento; de hecho, ya existen informaciones que indican que esta vulnerabilidad ya está siendo explotada activamente por cibercriminales.

Con respecto al resto de boletines, estos solucionan diversos fallos críticos en los sistemas operativos Windows y en .NET framework, así como también evitan la ejecución remota de código o la filtración de datos en programas y plataformas tan utilizadas como Microsoft Office, Sharepoint, Silverlight o Server Software.

No hace falta que recordemos la importancia de instalar estos parches si queremos tener nuestro sistema debidamente protegido y evitar ser víctimas de ataques que se aprovechen de los fallos solucionados con estos boletines de seguridad. Estos agujeros de seguridad son una mina de oro para los cibercriminales y no es cuestión de ponerles las cosas más fáciles.

Josep Albors



Fallo de seguridad en Adobe (y esta vez, no en los productos de Adobe)

Categorias: Cibercrimen,exploit,Filtraciones,Hacking | | Sin comentarios » |

La empresa Adobe, desarrolladora entre otros productos de Adobe Photoshop y Adobe Acrobat, ha sufrido un ataque informático que ha expuesto millones de datos privados de usuarios.

Entre otros, estos datos incluyen identificadores de usuario, contraseñas (cifradas, eso sí) y lo que es peor, números de tarjetas de crédito y de débito. El ataque se produjo recientemente según informó ayer un responsable de la compañía, cuando los atacantes lograron entrar en la red interna de Adobe y consiguieron esos datos de casi tres millones de usuarios.

adobe

Además de los datos de los usuarios (cuando un ciberdelincuente se pone a robar, no se suele quedar a medias), gracias al ataque se ha podido robar código fuente de varios programas, entre otros los de Adobe Acrobat, Cold Fusion y Cold Fusion Builder. Cabe destacar la importancia del robo de este código fuente, no ya solamente por el posible impacto económico que pueda sufrir Adobe, si no también porque puede ser utilizado para buscar nuevas vulnerabilidades de forma más rápida. Esto puede provocar una oleada de ataques en poco tiempo sobre los productos que se han visto afectados por este robo y hacer mucho daño a la ya tocada imagen de la empresa.

Este ataque no es el primero que sale a la luz, ya que hace casi un año se robaron también datos de la empresa mediante un ataque informático. En ese caso fueron 150.000 correos electrónicos y hashes de contraseñas de empleados de Adobe y clientes, como el ejército estadounidense, Google, la NASA y otros muchos.

El investigador Bryan Krebs ha publicado información muy interesante sobre este tema, ya que él mismo fue capaz de detectar la filtración de este código fuente hace varios días y avisar a Adobe de este hecho. Las siguiente captura de pantalla obtenidas en su investigación demuestran que la filtración es real y que contiene cerca de 40 gigas de datos.

adobeCFsourceimage

Imagen obtenida del blog de de Bryan Krebs

Por su parte, Adobe ha declarado que ya están trabajando con las autoridades para esclarecer el ataque. Mientras, no les consta que con el código robado se estén descubriendo vulnerabilidades que implicaran exploits, y ya se están encargando de cambiar las contraseñas robadas, aunque es altamente recomendable que los usuarios cambien sus contraseñas tal y como recomienda la propia empresa.

Sin embargo, el robo de datos de tarjetas es harina de otro costal, y tanto desde Adobe como desde nuestro Blog queremos recordar a los clientes de Adobe que vigilen con minuciosidad los movimientos de las tarjetas, no vaya a producirse alguna transacción no deseada. Además, la empresa ya ha anunciado la publicación de un parche de emergencia para el próximo martes 8 de octubre y que afectará a Adobe Reader XI y Adobe Acrobat XI, por lo que también recomendamos actualizar estos programas tan pronto como este parche se encuentre disponible.

Fernando de la Cuadra

Josep Albors



Vulnerabilidad 0-day afecta a todas las versiones de Internet Explorer

Categorias: exploit,Vulnerabilidades | | Sin comentarios » |

A pesar de que Internet Explorer ya no tiene la cuota de mercado que tuvo antaño, sigue siendo un navegador instalado y utilizado en cientos de millones de ordenadores y tablets. Es por ello que cualquier vulnerabilidad descubierta en este navegador ha de ser gestionada de forma eficaz, especialmente si afecta a todas las versiones utilizadas del navegador.

Microsoft ha lanzado una alerta avisando de la existencia de ataques dirigidos que se encuentran aprovechando esta vulnerabilidad (CVE-2013-3893) en las versiones 8 y 9 de su navegador. Esta vulnerabilidad permite la ejecución de código remoto y se produce por la forma en la que Internet Explorer accede a un objeto en memoria que ha sido borrado o no ha sido ubicado adecuadamente. Esta vulnerabilidad podría corromper la memoria de forma que permitiría a un atacante ejecutar código arbitrario dentro del navegador. De esta forma, se podrían preparar sitios webs maliciosos diseñados para explotar esta vulnerabilidad y hacer que la víctima los visite.

eset_nod32_ie8_vuln

Aún no existe un parche que solucione este fallo de seguridad pero, debido a su gravedad , Microsoft ha publicado uno de sus populares parches temporales, también conocidos como Fix it. Se puede descargar este parche temporal e instalarlo siguiendo las instrucciones proporcionadas en el enlace que Microsoft ha preparado.

Es importante que se aplique este parche temporal hasta que aparezca  una solución definitiva, especialmente en entornos corporativos ya que, al ser todas las versiones de Internet Explorer vulnerables, aumenta el número de víctimas potenciales a las que podrían afectar aquellas amenazas que se aprovechen de esta vulnerabilidad.

Josep Albors



Vulnerabilidad en SUDO para OS X permite acceder como root

Categorias: Apple,exploit,Vulnerabilidades | | 1 Comentario » |

Hace unos días comentábamos la existencia de un fallo en algunas aplicaciones de OS X e iOS que provocaba que estas se colgasen al intentar procesar una cadena de caracteres en árabe. Este fallo no representa, de momento, nada más que una molestia para aquellos usuarios de los sistemas operativos de Apple sin un riesgo de seguridad aparente. No obstante, también en fechas recientes se ha dado a conocer la existencia de una vulnerabilidad en OS X que permitiría acceder a este sistema con permisos de root (el usuario con más privilegios del sistema).

Se tiene constancia de esta vulnerabilidad desde hace al menos seis meses y afecta a las versiones de SUDO (herramienta que permite ejecutar aplicaciones con los permisos de otro usuario, normalmente root o administrador de sistema) que van desde la 1.6.0 hasta la 1.7.10p y desde la 1.8.0 hasta la 1.8.6p.

Sudo_OSX_Mountain_Lion

El problema es que, a día de hoy, todas las versiones presentes en OS X son vulnerables y, a pesar de que existen versiones superiores en el sitio oficial que solucionan el problema, los usuarios de OS X, a diferencia de los de GNU/Linux, deben esperar a que Apple lo distribuya en una futura actualización.

¿Por qué tanto revuelo ahora 6 meses después de haberse descubierto la vulnerabilidad? Bien sencillo: la gravedad de un fallo de seguridad también depende del riesgo de que este sea explotado por atacantes. Al haberse presentado recientemente un módulo para el conocido framework Metasploit es más que probable que esta vulnerabilidad sea aprovechada para atacar sistemas vulnerables. No obstante, existen una serie de requisitos para poder aprovecharse de esta vulnerabilidad.

Para empezar, la sesión iniciada debe pertenecer a un usuario con permisos administrativos, algo bastante común, pero también debe haber ejecutado previamente el comando “sudo” en el sistema (algo no muy frecuente entre usuarios de OS X a menos que tengan conocimientos técnicos o hayan tenido que resolver algún problema en el sistema).

El hecho de que el exploit existente sea del tipo local también mitiga en parte el alcance de esta vulnerabilidad, aunque no debemos olvidar que es posible obtener una shell en un equipo remoto engañando al usuario para que ejecute un fichero especialmente preparado usando, por ejemplo, alguno de los múltiples fallos en Java. Una vez obtenido el acceso, se puede ejecutar el comando “sudo –k” y cambiar la hora del sistema al 1 de enero de 1970 para conseguir que este acceso no expire. Los chicos de seguridad Apple tienen una interesante explicación en su blog acerca de cómo se utiliza este nuevo módulo para Metasploit.

De momento, Apple no ha hecho declaraciones acerca de cuándo actualizará sudo para sistemas OS X, pero, conociendo los requisitos necesarios para aprovecharse de esta vulnerabilidad, no sería mala idea que los usuarios preocupados por sus seguridad aplicaran uno de los consejos más recomendados también en sistemas Windows: crear un usuario con permisos limitados para el uso habitual del sistema. Esto se puede realizar en OS X accediendo al menú “Preferencias del sistema” > “Usuarios y grupos” y creando un nuevo usuario con permisos Estándar.

eset_nod32_osx_users

Usar usuarios con permisos restringidos es lo recomendable para todos aquellos usuarios que no necesiten modificar ciertos parámetros del sistema y es algo que ayuda a mitigar infecciones de malware o ataques externos hacia nuestro sistema. Esta medida es algo que la mayoría de sistemas GNU/Linux implementan por defecto pero que en otros sistemas se deja a decisión del usuario, haciendo que este sea más vulnerable.

Respecto a esta vulnerabilidad, esperamos que Apple decida publicar un parche de seguridad que solucione lo antes posible este fallo.

Josep Albors



Artículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje