En esta ocasión vemos cómo los ciberdelincuentes se vuelven a aprovechar de las vulnerabilidades presentes en una versión obsoleta de WordPress, concretamente la 3.2.1, para colgar código malicioso en una parte del blog. Los blogs afectados son inocuos si se navega por ellos y no se accede a la sección comprometida. Esta técnica se usa para evitar que los mecanismos de reputación de URL bloqueen estos blogs y la amenaza quede activa durante más tiempo.

Para conseguir que los usuarios accedan al enlace donde se encuentra el código malicioso, los ciberdelincuentes emplean la clásica técnica de enviar millones de correos spam simulando ser una factura pendiente de pago que incluye el enlace malicioso. De esta forma, cuando un usuario pulsa sobre dicho enlace, accederá a una web que simula estar cargándose.

No obstante, en realidad el usuario está siendo redireccionado a un enlace con dominio ruso y que contiene una cadena de código ofuscado para dificultar su detección.

Si desciframos este código, vemos cómo apunta a un enlace dentro del dominio ruso que veíamos anteriormente y que procede a cargar un exploit kit. Algunos investigadores han apuntado que se trata del Phoenix Exploit Kit y que procede a intentar ejecutar una serie de exploits dependiendo del navegador, sistema operativo o software instalado en el sistema de la víctima.

Dentro de los diferentes exploits que se intentan ejecutar, encontramos algunos diseñados para aprovechar vulnerabilidades en Java y, de esta forma, afectar a varios sistemas operativos. Otros están diseñados para aprovecharse de vulnerabilidades en el manejo de archivos PDF e incluso encontramos un exploit para aprovecharse de una vieja vulnerabilidad en Internet Explorer 6.

Los sitios que cuentan con una versión de WordPress vulnerable y que han sido modificados para infectar a los usuarios se cuentan por cientos. El hecho de que solo una parte del sitio web se encuentre comprometido dificulta que sus administradores se den cuenta a menos que hagan una revisión a fondo. Con respecto a los usuarios que pulsan sobre el enlace malicioso que se envía por correo, pueden evitar infectarse si cuentan con una solución antivirus que detecte esta amenaza e impida el acceso al sitio web malicioso.

Como hemos visto, las webs legítimas pueden suponer también un grave peligro si sus administradores no toman las debidas medidas de precaución. Desde el laboratorio de ESET en Ontinet.com, como en anteriores ocasiones, recomendamos evitar pulsar sobre enlaces contenidos en correos sospechosos y contar con una solución antivirus que nos proteja si pulsamos accidentalmente sobre ellos.

Josep Albors
@JosepAlbors

Según la empresa, esta vulnerabilidad se ha detectado en Adobe Reader X (10.1.1) y anteriores para Windows y Mac, Adobe Reader 9.4.6 y versiones 9.x anteriores para UNIX y Adobe Acrobat X (10.1.1) y anteriores para Windows y Mac. El aprovechamiento de esta vulnerabilidad podría hacer que el sistema se colgase y permitiría a un atacante tomar el control del sistema afectado.

Adobe ha anunciado que lanzará un parche para Adobe Reader y Acrobat 9.4.6 para Windows la semana que viene, mientras que el resto de versiones tendrán que esperar hasta la próxima actualización trimestral prevista para el próximo 10 de enero. La razón, según los desarrolladores, para lanzar solamente ese parche con carácter de urgencia se debe a que es precisamente esa vulnerabilidad la que está siendo aprovechada para propagar malware.

Por otro lado, en los últimos días hemos estado recibiendo correos en nuestro laboratorio que decían provenir de Adobe y adjuntaban una supuesta actualización. Ignoramos si los ciberdelincuentes que prepararon esta campaña de envío masivo de spam con adjunto malicioso estaban al tanto de la vulnerabilidad descubierta, pero lo cierto es que han conseguido lanzarla en un momento clave.

El correo malicioso se presenta tal y como vemos en la imagen anterior y anuncia una serie de mejoras en varios productos Adobe, aunque no se mencionan parches de seguridad. Asimismo, se adjunta un fichero comprimido adjunto que contiene una variante del bot Zeus. Normalmente, solo los usuarios desprevenidos y que no contasen con un antivirus actualizado se verían afectados, pero, viendo el anuncio de Adobe, es posible que los ciberdelincuentes detrás de esta campaña de spam consigan más éxito del esperado.

Desde el laboratorio de ESET en Ontinet.com recomendamos que todos los usuarios que usen los productos de Adobe afectados por la vulnerabilidad descubierta los actualicen tan pronto como esté disponible el parche. Asimismo, recomendamos desconfiar de correos electrónicos que digan provenir de Adobe, puesto que pueden contener ficheros adjuntos o enlaces desde los que se descargue malware.

Josep Albors

Por desgracia, muchos de estos sitios terminan descuidados y con unos agujeros de seguridad preocupantes. Los ciberdelincuentes se aprovechan de esto e introducen malware en este tipo de webs para que, a su vez, infecten a todos los usuarios que las visiten. Se calcula que el ataque que analizamos en esta ocasión ha conseguido afectar a más de seiscientas mil páginas según la empresa Armorize, que fue la que dio la voz de alarma.

Tal y como podemos ver en la imagen a continuación, bastantes de los resultados que arrojan las búsquedas en Google en el momento de escribir estas líneas pertenecen a webs españolas:

En esta ocasión, los cientos de miles de webs vulnerables redirigen a los usuarios a otros sitios preparados para aprovechar vulnerabilidades en versiones antiguas de Adobe Flash Player, Java o en el propio navegador web. Esto nos recuerda una vez más la importancia de contar con las versiones más recientes de los programas que usamos en nuestro sistema.

Básicamente, el ataque consiste en inyectar código en las webs vulnerables de manera que redirigen de forma silenciosa al usuario. Este código apunta a dos páginas web en concreto: http://nbn[xxx].com/urchin.js y http://jjg[xxx].com/urchin.js, y se inyecta en el código fuente de la web vulnerable de la siguiente forma:

Estas webs redirigen a su vez a otros enlaces donde se lanzan una serie de ataques contra versiones vulnerables de aplicaciones ampliamente usadas. Tal y como queda patente, la intención es la de afectar al mayor número de usuarios posible.

Como vemos, descuidar la seguridad de nuestro sitio web puede tener graves consecuencias tanto para nosotros como para aquellos que la visitan. Es por ello que, desde el laboratorio de ESET en Ontinet.com, recomendamos revisar periódicamente en busca de actualizaciones de nuestro gestor de contenido y contar con un antivirus en nuestro servidor web para detectar y eliminar posibles intrusiones.

Josep Albors

Sabiendo que la web mysql.com recibe alrededor de 400.000 visitas diarias, resulta un objetivo muy suculento para un atacante que quiera propagar malware entre un gran número de usuarios. Así pues, ayer nos podíamos encontrar con el siguiente código Javascript oculto en esta web:

Dicho y hecho: durante unas horas, todos aquellos que visitaron mysql.com fueron redirigidos de forma transparente por un script hacia un sitio web preparado para lanzar una serie de ataques sobre los usuarios en busca de vulnerabilidades, utilizando para ello una herramienta automatizada conocida como BlackHole exploit pack.

Esta herramienta intenta aprovechar posibles vulnerabilidades en el navegador del usuario y sus complementos, así como también en diversos programas de Adobe, Java, etc. En resumidas cuentas, lo que se intentaba era encontrar un agujero por el que colar código malicioso, aprovechando alguna vulnerabilidad presente en las aplicaciones que usara todo aquel que accediese a mysql.com.

Un ataque a una empresa de esta magnitud da mucho que pensar y, según el investigador Brian Krebs, es posible que todo se comenzara a fraguar el pasado 21 de septiembre. Ese día, este investigador encontró un mensaje en un foro de hackers rusos en el que se vendía un acceso a mysql.com con permisos de administrador (root) por solo 3000 dólares.

La hipótesis de que esa venta finalmente se produjera y el acceso haya sido aprovechado para inyectar código malicioso en mysql.com es bastante realista, y nos da una idea del mercado actual de tráfico de vulnerabilidades.

Por su parte, Armorize, la empresa de seguridad que descubrió este ataque, ha publicado un interesante vídeo en el que se observa cómo se producía la infección de un usuario que accediera al sitio con un navegador vulnerable mientras se estaba propagando malware.

Este tipo de ataques a grandes empresas viene siendo demasiado habitual desde hace unos meses, ya sea en la forma de filtraciones de datos privados, defacements (alterar el contenido de una web) o sirviendo malware a los usuarios que las visiten. Desde el laboratorio de ESET en Ontinet.com seguimos recomendando mantener nuestro sistema y aplicaciones actualizados (especialmente nuestro navegador web) para evitar vernos afectados por ataques similares en el futuro.

Josep Albors

Esta herramienta fue publicada sin previo aviso en la lista de correo de Full Disclosure y, según los desarrolladores de Apache, se está usando activamente. Recordemos que el software de servidor web Apache es el más usado, con más de la mitad de instalaciones a nivel mundial.

Al aprovechar este exploit, una vulnerabilidad presente en un módulo instalado por defecto, el número de servidores que puede verse afectado es especialmente grande, más aun cuando todavía no se ha lanzado un parche que solucione el problema. No obstante, se han publicado una serie de pasos para mitigar el alcance de esta vulnerabilidad mientras se prepara un parche que debería estar disponible en las próximas horas.

Tal y como apuntan desde Hispasec, no es la primera vez que se usa un exploit similar para causar un fallo en este tipo de servidores. Ya en enero de 2007, otro investigador consiguió explotar el mismo vector de ataque, pero, en esta ocasión, para agotar el ancho de banda de un servidor vulnerable.

El mayor problema para Apache es que la publicación de la herramienta se ha hecho llevando la filosofía “Full disclosure” (publicación, sin previo aviso, de vulnerabilidades y herramientas para aprovecharlas) a sus máximas consecuencias, hecho que, si bien ha permitido que se tomen cartas en el asunto casi de forma inmediata, está causando bastantes quebraderos de cabeza a todo aquel que gestione un sistema Apache vulnerable.

Desde el laboratorio de ESET en Ontinet.com recomendamos aplicar cuanto antes las medidas de mitigación proporcionadas por la fundación Apache y aplicar el parche tan pronto como esté disponible.

Josep Albors

Estos investigadores han conseguido sortear todas las medidas de seguridad del navegador (la citada sandbox) y del propio sistema operativo Windows 7 (ASLR y DEP) para desarrollar un exploit que ejecuta código sin autorización. En el vídeo que mostramos a continuación se muestra como, tan solo visitando una web específicamente preparada se ejecuta la calculadora de Windows sin la interacción del usuario:

Está prueba de concepto demuestra que un atacante con malas intenciones podría preparar una serie de webs maliciosas con este exploit y que, en lugar de la inofensiva calculadora de Windows, ejecutase malware. No obstante, Vupen es una reputada firma de seguridad y, tal y como ellos mismos anuncian, no la harán pública y solo la compartirán con sus clientes gubernamentales (y suponemos que también con Google para que la soluciones lo antes posible).

Pruebas de concepto como esta demuestran que, tarde o temprano, se descubre un agujero de seguridad en cualquier aplicación o sistema operativo. Todo depende de lo bien desarrollado que se encuentre el código fuente y de las precauciones en materia de seguridad que se toman. No debemos olvidar que, muchas veces, las prisas por sacar un producto nuevo, actualización o incluso un parche hacen que no se revisen o implementen todas las medidas de seguridad aconsejadas.

Desde el laboratorio de ESET en Ontinet.com no vemos motivos de alarma para que los usuarios de Chrome dejen de usar este navegador, puesto que la vulnerabilidad no se ha hecho pública, pero sí que aconsejamos extremar las precuaciones a la hora de navegar por Internet o seguir enlaces que encontramos en emails, Twitter o Facebook.

Josep Albors

Adobe ha lanzado el respectivo aviso de seguridad, informando de las vulnerabilidades en sus productos e indicando que se está trabajando en actualizaciones de los mismos que solucionarían estos problemas. Esto deja a los usuarios de las versiones comprometidas a la merced de los exploits que se aprovechan de estas vulnerabilidades si no los detectan y detienen a tiempo. La situación se agrava cuando, desde hace días se vienen registrando ataques que se aprovechan de esta nueva vulnerabilidad, en forma de correos con documentos de Word adjuntos que incluyen un objeto Flash (.swf) malicioso.

Esta situación no es nueva, puesto que ya se produjo un caso muy similar el pasado mes de marzo, con una vulnerabilidad muy parecida, pero usando archivos de Excel en lugar de Word para propagarse. Asimismo debemos destacar las múltiples plataformas que se pueden ver afectadas por esta vulnerabilidad, demostrando de nuevo que, no solo Windows es objeto de amenazas y que las aplicaciones de terceros suponen, ahora mismo, el mayor vector de entrada de amenazas en los sistemas operativos.

Todos aquellos usuarios que tengan instalados alguno de los programas afectados por estas vulnerabilidades deben extremar sus precauciones a la hora de navegar por webs sospechosas y al abrir archivos adjuntos. Al no existir todavía un parche puede resultar interesante para muchos usuarios usar aplicaciones alternativas hasta que se solucione este problema o incluso actualizar a la versión mas reciente de Adobe Reader X, inmune a esta vulnerabilidad.

Desde el laboratorio de ESET en Ontinet.com venimos observando como este tipo de incidencias se repiten con cierta periodicidad en productos de Adobe y Java. Sabiendo que la cantidad de usuarios que usan estas aplicaciones es muy elevada, resulta preocupante ver la gravedad de estos agujeros de seguridad. Esperamos que las medidas de seguridad y solución de vulnerabilidades que empresas como Adobe han empezado a adoptar ayuden a mitigar incidencias futuras.

Josep Albors

Microsoft avisó de un agujero de seguridad en todas las versiones de Windows que aun reciben soporte (e intuimos que otras, como Windows XP SP1 y 2, también se incluyen), que permitiría a un atacante ejecutar scripts maliciosos cuando un usuario visitase una web modificada para aprovechar esta vulnerabilidad. Sabiendo que esta vulnerabilidad ya está siendo aprovechada, Microsoft ha publicado una solución temporal (conocida como Fix it) para que los usuarios puedan protegerse mientras se prepara el parche de seguridad correspondiente. Es de agradecer esta política de soluciones temporales que Microsoft viene aplicando desde hace tiempo puesto que evita dejar desprotegidos muchos sistemas mientras se aplica la solución definitiva.

Con respecto a Adobe, esta compañía ha lanzado un aviso de seguridad que afecta a sus productos Adobe Flash Player, Adobe Reader y Acrobat en sus versiones más recientes. La vulnerabilidad descubierta podría hacer que el sistema fallase y un atacante tomase el control del mismo. Ya se han visto casos en los que un archivo malicisoso de Flash (.swf) ha sido introducido en un archivo de Microsoft Excel (.xls), enviándose este a través de adjuntos de mensajes de correo electrónico. No se dispone por el momento de solución a esta vulnerabilidad, aunque el modo protegido de Adobe Reader X debería de proteger contra este tipo de exploits. Adobe ya ha anunciado que lanzará un parche para Flash Player y Acrobat la semana que viene pero que los usuarios de Adobe Reader X deberán esperar hasta el próximo ciclo de actualizaciones, previsto para el 14 de Junio.

Que se descubran vulnerabilidades en productos con una base de usuarios muy grande no debería sorprendernos a estas alturas. A diario aparece información sobre fallos de seguridad en todo tipo de software y parte de estas vulnerabilidades son publicadas en webs especializadas. Otras veces, como en este caso, son los propios fabricantes quienes hacen públicos los fallos de seguridad de sus productos y proporcionan soluciones, parches o fechas avisando de cuando se van a solucionar estos errores.

Pero aún quedan las vulnerabilidades que no se publican, las que se usan para traficar con ellas en el mercado negro o preparar ataques elaborados contra objetivos concretos. Estas vulnerabilidades pueden permanecer escondidas, incluso durante años, hasta que salen a la luz, si es que lo hacen. Durante ese lapso de tiempo en el que la vulnerabilidad está siendo aprovechada, los atacantes pueden haber conseguido todo tipo de oscuros propósitos de los que no nos daremos cuenta (si es que lo hacemos) hasta tiempo después.

Sin querer entrar a fondo en el debate sobre si los investigadores que descubren vulnerabilidades deberían ser recompensados por los fabricantes o no, desde el laboratorio de ESET en Ontinet.com creemos que, iniciativas como la de Zero Day, que paga a los investigadores por descubrir agujeros de seguridad y da un plazo de seis meses a los fabricantes para que las solucione, deberían ser tomadas en cuenta. De esta forma, se conseguiría que las aplicaciones y sistemas que usamos a diario fueran un software más seguro y se evitaría que algunos investigadores se viesen tentados a vender sus descubrimientos al mejor postor, siendo las mafias de ciberdelincuentes los más interesados en adquirirlos.

Josep Albors

Como era de suponer, Google también ha retirado de su tienda las aplicaciones infectadas aunque resulta difícil asegurar que no quede ninguna. La política de apertura que se mantiene en el Android Market hace posible que cualquier desarrollador pueda realizar aplicaciones para esta plataforma y publicarlas para que los usuarios se las descarguen, sin pasar prácticamente por ningún control de calidad y seguridad. A lo único que se ven obligados los desarrolladores es a publicar los permisos que requieren sus aplicaciones, para que los usuarios puedan decidir si desean dárselos a las aplicaciones que instalan en sus dispositivos.

Las aplicaciones maliciosas o troyanizadas encontradas la semana pasada se aprovechaban de una vulnerabilidad presente en los sistemas Android anteriores a la versión 2.2 que permitía obtener permisos de root (administrador) en los dispositivos infectados y generar una puerta trasera que puede ser usada para instalar mas malware. Google se ha puesto en contacto con los usuarios afectados mediante correo electrónico para que descarguen e instalen la herramienta Android Market Security Tool.

Viendo los últimos incidentes que está sufriendo el sistema Android cabría preguntarnos si la política seguida por Google para distribuir aplicaciones es la más adecuada. La publicación de aplicaciones por parte de cualquier desarrollador y sin pasar un filtro previo puede resultar peligrosa, tal y como estamos observando, pero también supone la esencia de la plataforma, permitiendo a pequeños estudios o personas publicar sus aplicaciones en una plataforma accesible a millones de usuarios, sin que oscuros intereses comerciales lo impidan. Apple, por ejemplo, sigue un camino distinto y, en su App Store solo publica aquellas aplicaciones que han sido revisadas, siendo el caso de infecciones maliciosas muy inferiores en esta plataforma, aunque también han existido.

El creciente auge de este tipo de sistemas, ya sea usado en smartphones, tablets, gps o cualquier tipo de dispositivo, los hacen un objetivo muy interesante para los ciberdelincuentes. Es hora de que los usuarios se den cuenta de la importancia que tiene aplicar políticas de seguridad similares las que ya se aplican en equipos de sobremesa y portátiles. Independientemente de que se instale alguna solución de seguridad adaptada a estos dispositivos es esencial que no nos relajemos a la hora de usar estos dispositivos y sigamos aplicando el sentido común para evitar caer en las trampas que, cada vez más, aparecen en estas plataformas.

Josep Albors

El gusano Stuxnet fue un claro ejemplo de una pieza de malware específicamente diseñada para atacar estos sistemas y, los efectos que esta sofisticada amenaza han tenido en países como Iran, han demostrado que la seguridad de los sistemas Scada debe empezar a tomarse en serio. Pero, como ocurre en el mercado de software comercial para usuarios y empresas, existen varias soluciones de software que permiten gestionar sistemas de infraestructuras y muchos están enfocados a un mercado en concreto.

Recientemente, el investigador Dillon Beresford ha publicado en su blog el descubrimiento de una vulnerabilidad en el software de gestión de sistemas Scada KingView. Este software está desarrollado por Wellintech, una desarrolladora de hardware con sede en Pekín.

Según comenta Beresford, el primer contacto avisando de una vulnerabilidad descubierta se produjo el pasado 28 de Septiembre. Esta vulnerabilidad es de las consideradas como graves, ya que permite a un atacante aprovecharse de la misma para ejecutar código arbitrario. Al no recibir respuesta decidió contactar con el Centro de Alerta Temprana de Estados Unidos, que le contestaron al cabo de un tiempo indicando que se iban a poner en contacto con el fabricante. No obstante, a fecha de hoy la vulnerabilidad sigue estando presente en la versión que el fabricante pone a disposición de sus usuarios en su página web por lo que Beresford, cansado de esperar una solución, ha decidido publicar el código del exploit que se aprovecha de la vulnerabilidad descubierta. Esto significa que cualquiera con conocimientos suficientes puede usar este código para lanzar ataques contra infraestructuras que usen este sistema de gestión, estando el código a disposición de cualquier interesado en analizarlo también disponible en la Exploit Database.

Teniendo como precedente al gusano Stuxnet, la publicación de este código puede hacer mucho daño si no se toman las medidas oportunas. Lo más sensato hubiese sido que el fabricante del software afectado no ignorase los comunicados del investigador y hubiese solucionado la vulnerabilidad, pero muchas veces, intereses económicos o la simple desidia de según qué desarrolladores hacen que las vulnerabilidades se queden por solucionar durante mucho tiempo. Según este investigador, su decisión de tomar esta medida ha sido pensada como una manera de presionar al fabricante para que se apremie en solucionar este agujero de seguridad.

Por desgracia, desde el laboratorio de ESET en Ontinet.com, pensamos que veremos más de un ataque a este sistema de control antes de que se solucione la vulnerabilidad. La solución de vulnerabilidades en programas es algo que nos atañe a todos los fabricantes de software y no se pueden ignorar agujeros de seguridad de este tipo, mas aun cuando estos han sido debidamente notificados con la suficiente antelación.

Josep Albors