¿Aún con Java 6 instalado?. ¡Actualiza si no quieres tener problemas de seguridad!

Categorias: exploit,Java,Vulnerabilidades | | Sin comentarios » |

Java lleva tiempo siendo uno de los mayores quebraderos de cabeza a la hora de mantener un sistema protegido. El hecho de que se encuentre instalado en miles de millones de dispositivos, que sea multiplataforma y, sobretodo, el desconocimiento de muchos usuarios de la necesidad de mantener una versión actualizada que no sea vulnerable, hace que sus agujeros de seguridad sean constantemente aprovechados por los ciberdelincuentes.

Actualmente, la última versión de este software, según anuncian en su propia web, es la Versión 7 Update 25, aunque si analizáramos las versiones más utilizadas a día de hoy estamos seguros que esta no sería, ni de lejos, la más instalada. Si ya es difícil conseguir que muchos usuarios mantengan sus sistemas operativos al día, no digamos ya mantener actualizadas aplicaciones de terceros que la mayoría desconocen que tienen en su sistema.

java

El problema viene cuando una versión como la 6 de Java, instalada aún en millones de ordenadores, deja de ser soportada por el fabricante, que deja de lanzar actualizaciones de seguridad para ella. Si a esto le sumamos la aparición de un exploit que se aprovecha de una vulnerabilidad de esta versión que no tiene perspectivas de ser solucionada, tenemos un caldo de cultivo excelente para que los ciberdelincuentes hagan su agosto y propaguen nuevas amenazas utilizando Kits de exploits como Neutrino.

El exploit que afecta a esta versión obsoleta de Java fue presentado como prueba de concepto la semana pasada y ya empezaron a verse ataques aprovechándolo a principios de esta. Al tratarse de una versión que ya no está soportada por Oracle, la empresa no tiene previsto lanzar ningún parche de seguridad para resolver esta situación, dejando a la mayoría de los millones de usuarios que aún la tienen instalada totalmente desprotegidos.

Si hay alguien interesado en conocer la vulnerabilidad y cómo esta puede ser aprovechada de forma maliciosa, los chicos de Hispasec han preparado un interesante análisis en su blog, el cual recomendamos leer encarecidamente.

Para la mayoría de usuarios, este problema se soluciona de forma sencilla actualizando a la versión más reciente de Java y, si es posible, desactivando el complemento de Java del navegador si su uso no es estrictamente necesario. El problema real se encuentra en aquellos usuarios, principalmente empresas, que siguen utilizando la versión 6 de Java para poder seguir trabajando sin problemas, bien porque aún no han podido migrar a la versión 7 o por otros motivos. En estos casos la situación se agrava ya que, únicamente pulsando sobre un enlace malicioso se podría comprometer la seguridad del sistema.

Como siempre que hablamos de versiones obsoletas de software siendo usadas como vector de ataque, es necesario, especialmente en empresas, planificar la migración a versiones más actuales y seguras con la suficiente antelación, para evitar casos como el que acabamos de comentar. Más delicado y costoso es la migración completa de un sistema operativo, algo que muchos usuarios y empresas deberían empezar a tener en cuenta sobre todo sabiendo que Windows XP termina su ciclo de vida el año que viene.

Josep Albors



Ingeniero de Google anuncia el descubrimiento de una grave vulnerabilidad en Windows

Categorias: exploit,Vulnerabilidades | | Sin comentarios » |

Tavis Ormandy, investigador de Google conocido por haber descubierto y publicado algunas de las vulnerabilidades de Windows más recientes, ha anunciado haber encontrado una nueva vulnerabilidad 0-day en las versiones actuales de Windows. Tavis expuso este grave fallo en la lista de correo Full Disclosure, donde afirmó que podría ser usada para escalar privilegios, provocar un cuelgue del sistema o ejecutar código arbitrario.

Este investigador se encontraría ahora mismo trabajando en un exploit funcional que se aprovechase de esta vulnerabilidad, para lo cual ha solicitado ayuda a los miembros de la lista de correo mencionada anteriormente. Tavis, que siempre ha sido bastante crítico con los fallos presentes en sistemas de Microsoft, ha declarado que este fallo no es tan grave como otros descubiertos con anterioridad, ya que no puede explotarse de forma remota.

logo_windows_roto

Por su parte, Microsoft ha reconocido esta vulnerabilidad y han afirmado encontrarse trabajando en una solución. Es importante que Microsoft haya reconocido este fallo y esté preparando una solución, porque el investigador de Google que la ha descubierto es un firme defensor de la política full disclosure, lo que implica publicar la vulnerabilidad y el exploit tan pronto como estos sean descubiertos.

Esto no tiene por qué ser estrictamente malo para las empresas afectadas y en ocasiones es la única manera de forzar que se solucione un fallo conocido desde hace meses. No obstante, al tratarse de un fallo en un sistema operativo tan extendido como Windows, este descubrimiento podría poner en mano de los ciberdelincuentes una nueva herramienta, aunque el alcance de esta se vea limitada por necesitar acceso físico a la máquina que se desea comprometer.

Políticas de revelación de vulnerabilidades aparte, lo cierto es que el trabajo de investigadores como Tavis es necesaria, en gran parte porque ellos se encuentran de parte de los usuarios y no de los ciberdelincuentes, que no dudan en aprovechar este tipo de vulnerabilidades en su propio beneficio.

Josep Albors



Ataques dirigidos en Asia utilizan ejecutables firmados para conseguir su objetivo

Categorias: certificados,Cyberwar,Espionaje,exploit,PDF | | 2 Comentarios » |

Nuestro compañero Jean-Ian Boutin, investigador en los laboratorios de ESET, ha publicado un interesante artículo sobre una nueva amenaza dirigida a infectar ordenadores en Pakistán, aunque también se incluyen otros países, entre ellos España. A continuación ofrecemos una traducción y adaptación del texto original.

En los últimos meses hemos analizado una campaña de ataques dirigidos que intentó robar información confidencial de diferentes organizaciones de todo el mundo, pero especialmente en Pakistán. Durante el transcurso de nuestras investigaciones descubrimos varias pistas que indicaban que esta amenaza tenía su origen en India y ha estado activa durante dos años por lo menos. Nuestra investigación empezó con un certificado de firma de código y un exploit, ampliándose el alcance de la investigación desde entonces.

Certificado de firma de código

Para realizar parte de esta campaña de ataques se utilizó un certificado de firma de código para poder firmar archivos ejecutables y mejorar su potencial para propagarse. Este certificado fue otorgado a finales de 2011 a una empresa India llamada Technical and Comercial Consulting Pvt. Ltd., con sede en Nueva Delhi.

cert1

Cuando empezamos nuestra investigación comprobamos que el certificado había sido retirado para aquellos archivos firmados después del 31 de marzo de 2012. Contactamos con VeriSign con pruebas de que este certificado había sido usado de forma maliciosa desde que fue generado y este se retiró de forma rápida e incondicional. En total, encontramos más de 70 ejecutables maliciosos que habían sido firmados usando este certificado. Debido a que cada muestra firmada viene con una marca de tiempo autorizada, nos es posible dibujar una línea temporal que representa cuándo fueron producidos estos archivos.

timeline

Imagen 1: línea temporal de las fechas de firmado. Las líneas negras representan la fecha de firma de una muestra.

A partir de la información recopilada descubrimos que los atacantes se encontraban firmando códigos maliciosos de forma activa desde marzo hasta junio de 2012. Así pues, hay un hueco en la línea temporal desde principios de julio hasta principios de agosto de 2012. Posteriormente vimos un pico en el uso de certificados (aunque este ya había sido retirado) en agosto y septiembre de 2012. Hay varias posibles explicaciones acerca de por qué hay un hueco durante el verano de 2012, pero es probable que sea debido a que tanto los atacantes como sus objetivos estuviesen de vacaciones.

A pesar de que la investigación comenzó con este certificado de firma de código, luego descubrimos varias muestras similares sin firmar que fueron usados en esta campaña. Algunos de ellos fueron recopilados en fechas tan lejanas como comienzos de 2011.

Documentos señuelo y descargadores de malware

El primer vector de infección que vimos usaba la famosa vulnerabilidad CVE-2012-0158. Esta vulnerabilidad puede ser explotada aprovechando un documento de Microsoft Office especialmente modificado y permite la ejecución de código arbitrario. En el caso que analizamos se ejecutaba un shellcode en dos fases cuando el usuario abría un documento RTF. Primero el shellcode envía información sobre el sistema al dominio feds.comule.com y luego descarga un binario malicioso desde digitalapp.org.

El otro vector de infección que encontramos usaba ficheros PE camuflados como documentos de Microsoft Word o PDF, siendo distribuidos mayoritariamente por email. Cuando el usuario ejecuta el archivo el programa malicioso descarga y ejecuta archivos maliciosos adicionales (hablaremos de esos ejecutables más adelante). Para evitar cualquier sospecha por parte de la víctima se muestra al usuario un señuelo en forma de documento Word. Hemos identificado varios documentos diferentes con diferentes temáticas.

Una de esas temáticas eran las fuerzas armadas de la India. No contamos con información interna que nos pueda decir que organizaciones o individuos eran los objetivos de estos ficheros. No obstante, basándonos en nuestras métricas de detección, asumimos que tanto algunas personas como instituciones de Pakistán fueron considerados como objetivos.

El texto en el primer documento parece ser un la unión de información de varias fuentes. El falso documento PDF fue entregado mediante un archivo autoextraíble llamado “pakistandefencetoindiantopmiltrysecreat.exe”:

pakter1

pakter2

Este otro documento PDF fue entregado mediante un ejecutable llamado “pakterrisiomforindian.exe”:

pakterrisiomforindian

En este caso, el texto proviene del blog de Defensa Asiática, un blog que agrega noticias sobre ejércitos de Asia. Nuestros datos telemétricos muestran que este fichero fue observado por primera vez en agosto de 2011 en un sistema de Pakistán.

Payloads

Encontramos varios tipos diferentes de payloads instalados por los descargadores de malware, todos ellos orientados a robar datos desde un ordenador infectado y enviarlos a los servidores de los atacantes. La siguiente tabla agrupa los ejecutables en diferentes familias y detalla sus características generales.

 

Categoría

Descripción

Descargador Descarga los ejecutables desde centros de mando y control y los ejecuta.
Extractor de documentos

 

Busca y roba documentos (csv, pdf, doc, docx, xlsx, etc) encontrados en la papelera de reciclaje y en la carpeta “Mis Documentos”.
Recopilador de información del sistema

 

Envía información sobre el sistema infectado al centro de mando y control usando peticiones GET. Utiliza WMI para reunir información sobre el sistema infectado como: antivirus instalado en la máquina, versión del SO, presencia de archivos a robar, etc.
Keylogger Registra las pulsaciones del teclado y envía el registro al servidor del atacante utilizando peticiones POST.
Captura de pantalla Realiza una captura de pantalla del escritorio y lo envía al centro de mando y control.
Terminal de conexión remota

 

Intenta conectarse de forma continua a una dirección IP establecida y permite que el atacante abra una consola de comandos de forma remota.
Herramientas públicas

 

Encontramos dos herramientas públicas (WebPassView y MailPassView) de  NirSoft firmadas con el certificado malicioso. Estas herramientas legítimas pueden ser usadas para recuperar contraseñas usadas en clientes de correo o almacenadas en los navegadores.
Autoreplicación usando medios extraíbles

 

Monitoriza cúando se introduce un medio extraíble en el sistema y copia en ellos diferentes ficheros con malware. Intenta engañar al usuario para que ejecute uno de los ficheros copiados renombrándolo con el nombre de una carpeta existente y ocultando esta última.

La información robada de un ordenador infectado se sube a un servidor del atacante sin cifrar. La decisión de no utilizar cifrado es desconcertante, considerando que añadir un cifrado básico es algo realmente sencillo y proporciona una ofuscación adicional a la operación. La imagen a continuación muestra un registro típico del keylogger:

keylogger_log

Los logs son muy detallados y muestran la ventana activa, los caracteres que se han pulsado y las teclas especiales entre corchetes. Dado que estos registros se envían sin cifrado alguno es fácil detectar la presencia de un ordenador infectado en la red examinando el tráfico de red HTTP.

En términos de persistencia, muchos de los ejecutables que hemos analizado añaden una entrada en el menú de Inicio de Windows con un nombre engañoso. La captura que mostramos a continuación muestra un ejemplo de esto:

startup_menu

A pesar de que esta técnica permite a los diferentes componentes de esta amenaza ser iniciados tras cada reinicio del sistema, no puede ser considerada como de ofuscación. Debido a que los ataques dirigidos suelen permanecer ocultos durante tanto tiempo como sea posible, nos sorprendimos al ver la técnica utilizada en este caso.

Infraestructura del centro de mando y control

Muchos de los ejecutables analizados contienen una URL desde la cual se descargan componentes adicionales o a la que se envían los archivos robados desde un sistema infectado. En ocasiones, la URL el centro de mando y control aparece sin cifrar en el ejecutable. Otras veces, se encuentra codificado de forma trivial utilizando una sencilla rotación de un carácter (ROT-1), tal y como se observa a continuación:

“gjmftbttpdjbuf/ofu” encrypted to “filesassociate.net”

Hemos descubierto más de 20 dominios relacionados con esta campaña. A pesar de que algunos aún mostraban un registro de DNS activos, la mayoría de ellos no resolvían una dirección IP. Usando datos históricos de estos dominios fuimos capaces de descubrir dónde se alojaban estos sitios. Resulta que casi un tercio de estos dominios se encontraban alojados por OVH. Este servicio de hosting web tiene fama de alojar algunos sitios con malware y spam. En un reciente informe de HOSTExploit fue colocado en la posición número 5 de 50 por la concentración de actividad maliciosa servida desde un Sistema Autónomo.

La mayoría de los nombres de dominio son muy parecidos a los de sitios web reales o a nombres de empresas. Esta es una táctica común que intenta ocultar la verdadera finalidad del centro de mando y control. Dos ejemplos serían  “wearwellgarments.eu” y “secuina.com”. Los ejemplos anteriores son muy parecidos a la web real conocida como  “wearwellgarments.com” y a la conocida empresa de seguridad Secunia.

 

Orígenes de los ficheros maliciosos

Analizar esta campaña nos permitió identificar unos cuantos indicadores clave que apuntaban al origen geográfico de estos archivos maliciosos. Creemos que todos ellos provienen de India. Para empezar, el certificado de firma de código fue generado por una empresa India. Adicionalmente, todas las fechas de las firmas de los ejecutables son entre las 5:36 y las 13:45 UTC, lo que concuerda con los turnos de trabajo de 8 horas que se encuentran entre las 10:06 y las 19:15 en la hora estándar local de la India. Esto puede parecer algo tarde pero, considerando que la firma del ejecutables es el último paso en su desarrollo, es muy probable que los autores de este malware estuviesen viviendo en esta zona horaria.

También encontramos varias cadenas en los binarios que están relacionadas con la cultura hindú. En varios scripts se utiliza una variable llamada ramukaka:

ramukaka1

Ramu Kaka es el típico sirviente doméstico al estilo de Bollywood. Considerando que esta variable es responsable de conseguir la permanencia en el sistema, esta definición está bastante acorde.

El argumento más revelador lo encontramos en nuestros datos telemétricos. Encontramos que muchas de las variantes de malware ligadas a esta campaña aparecieron en la misma ubicación a lo largo de un periodo de tiempo muy corto. Cada variante solo contaba con diferencias mínimas de otras anteriores, sugiriendo fuertemente un intento por parte del creador de malware para evadir la detección por parte de nuestros productos. Estos ficheros aparecieron en la misma región de India.

Estadísticas de la infección

Nuestros datos telemétricos muestran que Pakistán se encuentra fuertemente afectado por esta campaña. El siguiente gráfico muestra la distribución de las detecciones que hemos observado para todos los archivos maliciosos que hemos relacionado con esta campaña en los últimos dos años.

detection_distribution

Gracias a la captura de información realizada desde tres nombres de dominio utilizados por esta campaña también fuimos capaces de recopilar estadísticas de la localización geográfica de los hosts infectados.

sinkhole_distribution

Tal y como se puede observar, la distribución regional presentada en los anteriores gráficos es muy diferente. Ucrania y Kazajistán reúnen tres cuartas partes de las direcciones IP observadas durante la operación de captura de información. Esta diferencia puede explicarse por la posibilidad de que los dominios únicos son solo para suboperaciones específicas de esta campaña. Si este fuera el caso, la información recopilada que estamos viendo sería solo una visión muy parcial de toda la campaña.

Conclusión

Este artículo ha examinado la evidencia de una campaña de ataques dirigidos de largo alcance y con diferentes objetivos en todo el mundo. Nuestro análisis indica que toda la campaña se originó en India. A pesar de que hemos visto infecciones en todo el mundo, parece que el objetivo principal es Pakistán. Los ataques dirigidos son demasiado comunes estos días pero este es ciertamente destacable por su fallo a la hora de utilizar herramientas avanzadas para realizar sus ataques. La ofuscación de las cadenas de texto usando una rotación de caracteres simple (un simple cifrado de cambio de letra), la no utilización de cifrado en la comunicación de red, la permanencia en el sistema conseguida mediante el menú de Inicio y el uso de herramientas existentes de acceso público para recopilar información de los sistemas infectados demuestran que los atacantes no realizaron muchos esfuerzos para ocultar su rastro. Por otro lado, probablemente no necesitaron utilizar técnicas de ofuscación porque los métodos sencillos siguen funcionando.

Josep Albors

Hashes SHA1

CVE-2012-0158 RTF Document:                  3b1d9d65159bea24ab1060e5603f9e3c2d38d08d

pakterrisiomforindian.exe:                   d859f1cf99049f89258c1faa59dcd97f587e45ac

pakistandefencetoindiantopmiltrysecreat.exe: 1db89237ef786c7f22a8d4cd7eccda8f6286a6de

Downloader:                                  08ce405f0a0277de355454862b164ffd94a7ea36

Document uploader:                           DB22E7DEA0C1CAF203072693485DE4E4FD2CB56A

System information gathering:                0D610F3F51750EADCF426E10E6DE5313605400FA

Keylogger:                                   AE7B9CFB10CD65B98C59DC012D6726B66BE92897

Screenshot:                                  A0DD0B8FD0C98E917BFDC96182088CAB5505CCD2

Connect-back shell:                          09D4ECA67B1D071E57C5951D97FE9DD9C62F1580

Self-replication through removable drives:   20A29D1F89C07BAFBB4C61CE208531D68125C8E

Nombres de las amenazas

A continuación mostramos los nombres según ESET de las amenazas relacionadas con este caso:

Win32/Agent.NLD worm

Win32/Spy.Agent.NZD trojan

Win32/Spy.Agent.OBF trojan

Win32/Spy.Agent.OBV trojan

Win32/Spy.KeyLogger.NZL trojan

Win32/Spy.KeyLogger.NZN trojan

Win32/Spy.VB.NOF trojan

Win32/Spy.VB.NRP trojan

Win32/TrojanDownloader.Agent.RNT trojan

Win32/TrojanDownloader.Agent.RNV trojan

Win32/TrojanDownloader.Agent.RNW trojan

Win32/VB.NTC trojan

Win32/VB.NVM trojan

Win32/VB.NWB trojan

Win32/VB.QPK trojan

Win32/VB.QTV trojan

Win32/VB.QTY trojan

Win32/Spy.Agent.NVL trojan

Win32/Spy.Agent.OAZ trojan



Nueva vulnerabilidad grave en Internet Explorer 8

Categorias: Espionaje,exploit,Vulnerabilidades | | Sin comentarios » |

En un caso similar al que ya vimos a finales del año pasado y principios de este, Microsoft ha confirmado la existencia de un nuevo agujero de seguridad en su navegador Internet Explorer 8. Esta vulnerabilidad ha estado utilizándose en los últimos días para propagar malware desde webs legítimas, pertenecientes a grandes empresas con intereses en la industria aeroespacial, defensa y seguridad, pasando por organizaciones no gubernamentales e incluso llegando a organismos oficiales del Gobierno de los Estados Unidos.

Las sospechas de la existencia de esta vulnerabilidad aparecieron cuando se descubrió, el pasado 1 de mayo, que la web del Departamento de Trabajo de los Estados Unidos estaba distribuyendo malware a todos los visitantes de uno de sus subdominios. Si hacemos un poco de memoria recordaremos que ocurrió un caso muy similar a principios de año y que afectó a la web del Council of Foreign Relations.

eset_nod32_ie8_vuln

En un principio se llegó a pensar que se trataba de la misma vulnerabilidad vista en meses anteriores, pero, tras varios análisis, se descubrió que se trataba de un nuevo agujero de seguridad en Internet Explorer 8 instalado en Windows XP, Vista, 7 y 8. Las muestras analizadas en este ataque se encontrarían distribuyendo la herramienta maliciosa Poison Ivy, malware usado por ciberdelincuentes para, entre otras funcionalidades, robar información confidencial de redes corporativas y gubernamentales.

El problema ahora no es tanto el ataque inicial en el que se vieron comprometidas algunas webs importantes, sino la publicación de la vulnerabilidad usada y su consecuente exploit. Una vez desvelada la técnica usada para realizar este ataque, se ha tardado poco tiempo en incorporar esta nuevo agujero de seguridad a herramientas como Metasploit, de forma que queda automáticamente a disposición del público en general.

De momento, Microsoft no se ha pronunciado acerca de si lanzará un parche de seguridad que solucione esta vulnerabilidad, ya sea el próximo martes (dentro de su ciclo de actualizaciones mensuales) o como actualización fuera de ciclo. Mientras tanto, los usuarios que aún se encuentren utilizando Internet Explorer 8 pueden optar por actualizar a una versión más reciente (IE9 e IE10 no se ven afectados) o descargar la herramienta Enhaced Mitigation Experience Toolkit de Microsoft para minimizar los daños.

Son ya dos los casos similares en lo que llevamos de año que tienen como protagonistas a webs legítimas de cierta importancia y al navegador Internet Explorer. Esto nos debería bastar para concienciarnos de la importancia de mantener nuestro sistema y aplicaciones actualizadas y dejar de confiar ciegamente en páginas con una elevada reputación, puesto que podemos encontrar malware en cualquiera de ellas.

Josep Albors



Vulnerabilidad permite acceder a sistemas Windows al estilo Hollywood

Categorias: exploit,Hacking,Vulnerabilidades | | 1 Comentario » |

Hace una semana Microsoft lanzó sus parches de seguridad mensuales entre los que se incluía uno calificado como “Importante”. Este parche solucionaba una vulnerabilidad en sistemas Windows que requería acceso físico a la máquina pero que permitía saltarse los controles de seguridad del sistema con solo utilizar un pendrive USB.

Si somos seguidores del cine de Hollywood o las series americanas veremos que eso ya se lleva haciendo desde hace años en estas producciones, donde espías, super-hackers y forenses de todo tipo solucionan casos con tan solo insertar un pendrive en el sistema y apretando muchas teclas lo más fuerte posible. Como muestra, un botón:

La realidad, no obstante, es bien diferente y el acceso a un sistema para obtener información del mismo es, normalmente, un trabajo que requiere su tiempo y la utilización de muchas herramientas.

Es por eso que esta vulnerabilidad llamó la atención cuando Microsoft lanzo el parche que la solucionaba, porque permitiría a un atacante realizar (aunque no con tanta parafernalia) un ataque a un sistema usando una memoria USB cargada con el exploit y saltarse, de ese modo, los controles de seguridad. De hecho, esta vulnerabilidad permitía acceder al sistema aun si el sistema de autoarranque de este tipo de dispositivos se encontrase desactivado y la pantalla bloqueada.

Esta vulnerabilidad aprovecha un fallo a la hora de enumerar los dispositivos conectados por lo que no se requiere interacción alguna por parte del usuario, permitiendo a un atacante con acceso a la máquina obtener una elevación de privilegios aun con el sistema bloqueado. A pesar de ya haber sido solucionada, Microsoft advierte de que esta vulnerabilidad podría abrir nuevos vectores de ataque sin tener que acceder físicamente al sistema.

Mientras tanto, si no queremos sufrir un ataque al estilo Hollywood, será mejor que actualizamos nuestro sistema Windows con los últimos parches de seguridad. Solo así evitaremos que un aprendiz de Jason Bourne acceda a nuestro sistema y robe la información que allí almacenamos.

Josep Albors



Java, IE 10, Chrome y Firefox caen en el primer día de la PWN2OWN

Categorias: exploit,Hacking,Vulnerabilidades | | Sin comentarios » |

Durante estos días se está celebrando la PWN2OWN 2013, un evento en el que se buscan vulnerabilidades  principalmente en navegadores, con la peculiaridad de que existen premios en metálico para aquellos que descubran primero un fallo de seguridad.

Este evento adquiere mucha atención por parte de los empresas puesto son informados inmediatamente de las vulnerabilidades que allí se descubren. Obviamente, ninguna empresa quiere serla primera en caer ni ser la que más fallos de seguridad tenga, por lo que en los días previos a esta competición es bastante común que aparezcan nuevas versiones del software que va a ser analizado.

Durante el primer día de la edición de este año se han descubierto vulnerabilidades en los navegadores Internet Explorer 10, Chrome y Firefox, todos ellos funcionando en Windows. Sorprendentemente, uno de los primeros en caer en anteriores ocasiones, Safari bajo Mac OS/X, ha aguantado los intentos de los investigadores de descubrir posibles vulnerabilidades, aunque aun queda tiempo para que también se vea comprometido.

Hay que tener en cuenta que, en esta competición, se ha de conseguir un ataque con éxito, entendiendo por esto que no debe haber interacción del usuario. De esta forma, las vulnerabilidades descubiertas podrían descargar y ejecutar malware con tan solo visitar un enlace malicioso. Se pueden ver los resultados actualizados en la siguiente web.

Java, uno de los protagonistas indiscutibles recientemente en temas de seguridad informática, ha visto su seguridad comprometida no una sino tre veces en esta competición. Esto, unido a las recientes y constantes vulnerabilidades descubiertas demuestra que el software de Oracle no está pasando por su mejor momento precisamente.

La realización de este tipo de competiciones es importante viendo el panorama actual de comercialización con vulnerabilidades. El dinero que ganan los investigadores y la información sobre los agujeros de seguridad descubiertos que obtienen los fabricantes es beneficioso para ambos lados. En el lado opuesto, el comercio de este tipo de vulnerabilidades en el mercado negro solo beneficia a aquellos investigadores que quieran un beneficio neto rápido, poniendo en riesgo la seguridad de muchos usuarios.

Dejando aparte las típicas discusiones sobre la publicación de una vulnerabilidad de forma “responsable” o “pública”, lo importante aquí es destacar que hay personas dedicadas a investigar posibles fallos de seguridad en las aplicaciones que usamos a diario. Lo mínimo que podemos hacer (premios monetarios aparte) es reconocerles este mérito a estos investigadores y hackers, puesto que ellos ayudan a hacer de Internet y nuestros sistemas algo más seguro.

Josep Albors



Quedándonos sin espacio en disco al visitar una web

Categorias: exploit,Vulnerabilidades | | 1 Comentario » |

Con la llegada de HTML5 y sus nuevas funcionalidades, no son pocos los desarrolladores que están aprovechando la potencia de este lenguaje para realizar webs más dinámicas y contenido más elaborado y atractivo. No obstante, esta potencia también puede usarse con otras intenciones, tal y como ha demostrado recientemente el investigador Feross Aboukhadijeh.

Este investigador ha demostrado con una prueba de concepto cómo se puede hacer que  nuestro disco duro se llene por completo al visitar una web especialmente preparada con alguno de los navegadores más usados actualmente. Podemos ver una demostración de esta prueba de concepto en acción en el siguiente vídeo:

Como vemos, la velocidad a la que se llena el disco es relativamente rápida, llenando alrededor de 1 gigabyte  en poco más de 20 segundos. Esto se consigue saltándose ciertas limitaciones que incorpora la tecnología Web Storage, incluida en HTML5, y que está presente en todos los navegadores modernos.

Como apuntan desde Hispasec, esta tecnología permite almacenar datos en el navegador para que puedan ser manipulados utilizando JavaScript. A diferencia de las cookies, Web Storage permite almacenar, teóricamente, hasta 10 megas, frente a los 4 kilobytes que permiten las cookies y a las que el servidor no tiene acceso a menos que se envíen a través de Javascript.

Tal y como está diseñado Web Storage, este permite almacenar cierta cantidad de información por cada dominio, siendo Internet Explorer el que mayor capacidad de almacenamiento permite (10 megas). El investigador que ha desarrollado esta prueba de concepto ha utilizado un truco que consiste en usar muchos subdominios y almacenar información por cada uno de ellos. De esta forma, aun sin sobrepasar la cuota de espacio permitido por cada subdominio, estos se van acumulando en el disco pudiendo llegar a llenarlo y saturar el sistema.

Dependiendo del navegador que utilicemos obtendremos un resultado u otro. Firefox, por ejemplo, es inmune a un “ataque” de este tipo. Opera preguntará al usuario una vez que se sobrepase el límite de información asignado. Por su parte, Chrome, Safari e Internet Explorer permiten que se llene completamente el disco.

Cabe recordar que esto es una prueba de concepto y que, salvo los casos de ransomware, el malware actual intenta pasar desapercibido por el usuario. Es por ello que es difícil, pero no imposible, que veamos casos de malware con esta funcionalidad en un número relevante. No obstante, este error en el manejo de Web Storage por parte de algunos navegadores debe ser tomado en cuenta y solucionado cuanto antes para evitar problemas mayores.

Josep Albors



Oracle soluciona nueva vulnerabilidad en Java

Categorias: exploit,Java,Troyanos | | Sin comentarios » |

Estamos llegando a una situación con respecto a la seguridad de Java en la que rara es la semana en la que no hablamos de una nueva vulnerabilidad  descubierta en este software. Si no hace ni una semana hablábamos de otro agujero de seguridad en la última versión de Java, durante el fin de semana han aparecido noticias comentando una nueva vulnerabilidad.

El descubrimiento ha sido atribuido a las firmas de seguridad CyberESI y FireEye, quienes han publicado un interesante análisis en su blog. Según estas empresas, la nueva vulnerabilidad ha sido diseñada para atacar aquellos navegadores con la, hasta ayer, última versión del plugin de Java instalada (v7 update 15) y aprovecharla para descargar e instalar un troyano (McRat) que permite a un atacante acceder a la máquina infectada.

Cabe destacar que esta vulnerabilidad es diferente a la usada en los recientes ataques a importantes empresas como Apple, Facebook, Twitter o Microsoft. Además, aunque el troyano que actualmente se descarga tan solo dispone de una versión para Windows, no hay que descartar la posibilidad de que los ciberdelincuentes lo cambien por un malware multiplataforma.

Oracle lanza parche de emergencia para Java

Algunos investigadores destacan también que el trollano McRat que se descarga hace unas llamadas a un centro de control malicioso que es el mismo usado en el ataque a la empresa de seguridad Bit9. Es muy extraño que diferentes grupos de ciberdelincuentes utilicen la misma infraestructura y tipo de malware, por lo que todo apunta a que el mismo grupo que atacó a Bit9 está detrás de estos nuevos ataques.

En respuesta a esta vulnerabilidad, Oracle acaba de publicar un parche de emergencia que ya se puede descargar desde su página web. Originalmente, no había prevista ninguna actualización de seguridad hasta el próximo 16 de abril, pero la gravedad de esta vulnerabilidad ha hecho que, por tercera vez durante este mes, Oracle se vea obligada a actualizar el software de Java.

Como en anteriores ocasiones, la solución más efectiva pasa por desinstalar Java, aunque sea solo la versión que se instala como complemento en el navegador. En caso de no poder prescindir de usar Java podemos usar dos navegadores, uno con el complemento activado para acceder a aquellos sitios webs de confianza en los que es obligatorio para su correcto funcionamiento, mientras que en el otro lo tendremos desactivado para cuando naveguemos por todo tipo de webs, evitando así que se aproveche esta vulnerabilidad al acceder a una web infectada.

Josep Albors



Nuevas vulnerabilidades en Java y Adobe Flash

Menos mal que febrero es el mes con menos días del calendario; de lo contrario, no sabríamos cuántas veces podríamos llegar a informar acerca de agujeros de seguridad en Java y Adobe en un mismo mes. Decimos esto porque, de nuevo, se han descubierto agujeros de seguridad en ambos software, algo que a estas alturas ya no debería sorprender a nadie.

Java ha protagonizado recientemente varios titulares con noticias relacionadas con la seguridad informática por haber sido usado como puerta de entrada  en los recientes ataques sufridos por Microsoft, Facebook, Apple, Twitter y varios prestigiosos periódicos.

eset_nod32_adobe_java_agujeros

A pesar de las varias actualizaciones que se han venido produciendo durante las últimas semanas, la última versión de este software (Java 7u15) y anteriores siguen presentando serias vulnerabilidades, tal y como informan desde la compañía de seguridad polaca Security Explorations.

De momento no se ha observado una utilización masiva de esta nueva vulnerabilidad, especialmente en kits de exploits, pero no podemos descartar que se esté utilizando en ataques dirigidos como los que ya han acontecido durante las últimas semanas.

La solución vuelve a estar, de nuevo, en manos de Oracle. Mientras, los usuarios que tengan instalado Java en sus sistemas siguen exponiéndose a ser infectados, muy probablemente al visitar una web legítima comprometida desde su navegador.

Puede parecer un consejo repetitivo, pero si no necesitamos utilizar Java, especialmente en el navegador, es mejor desactivarlo al menos hasta que se lance la actualización pertinente. Más complicado lo tienen aquellos que necesitan este software para poder trabajar.

Por su parte, Adobe ha vuelto a publicar un boletín de seguridad (y ya van tres este mes) que recomienda a los usuarios actualizar Adobe Flash para evitar nuevos agujeros de seguridad. Al parecer, estas vulnerabilidades sí que estarían siendo aprovechadas por ciberdelincuentes para realizar “ataques dirigidos”, según Adobe.

Debemos recordar que tanto Java como Adobe Flash son software multiplataforma y que son utilizados por millones de dispositivos con diferentes sistemas operativos. Si bien es cierto que los sistemas con Linux se han mantenido bastante al margen de los últimos ataques, no podemos decir lo mismo de Windows y Mac, por no hablar también de posibles ataques que usen estas vulnerabilidades pero estén diseñados para dispositivos móviles.

Los usuarios nos encontramos, como en muchas ocasiones anteriores, en medio de una encrucijada. Por una parte muchos no podemos prescindir de usar este software vulnerable, algunas de las alternativas ofrecidas tampoco están exentas de problemas y las soluciones de seguridad no siempre son capaces de detectar las amenazas que se propagan utilizando estos agujeros de seguridad.

¿Qué hacer entonces? Lo primero es analizar cómo se aprovechan las amenazas de estos agujeros de seguridad. En el caso de Java, el malware se descarga desde una web que puede ser perfectamente legítima. Conociendo esta puerta de entrada, podemos desactivar Java únicamente en el navegador y activarlo solamente cuando vayamos a necesitarlo (visitando las webs de algunas entidades bancarias o de la administración pública, p.ej.). Siempre cabe la posibilidad de que estas webs lleguen a infectarse, pero por lo menos reduciremos nuestra exposición al riesgo.

Con respecto a Adobe, el problema es similar, aunque también podemos llegar a configurar el navegador para que no cargue por defecto el complemento de Adobe Flash y seamos nosotros quienes solicitemos utilizarlo cuando lo veamos necesario, al ver vídeos online, por ejemplo.

De cualquier forma, tanto Adobe como Oracle deben empezar a asumir la responsabilidad que tienen con los millones de usuarios que utilizan sus productos. Es necesario invertir más recursos en hacer mucho más seguras estas aplicaciones, ya que, de seguir usándose como puerta de entrada del malware hacia nuestros sistemas, el mercado puede migrar hacia alternativas más seguras y hacerles perder su posición de liderazgo.

Josep Albors



Microsoft también cae víctima de un ciberataque

Categorias: exploit,Java,Malware,Vulnerabilidades | | 2 Comentarios » |

El viernes a última hora Microsoft anunció que algunos de sus equipos se habían visto comprometidos al igual que anteriormente sucedió con Facebook y Apple. Según esta empresa, el ataque presenta muchas similitudes con estos casos anteriores, entre los que incluiríamos también los sufridos por Twitter y varios prestigiosos periódicos estadounidenses.

eset_nod32_ms_alerta

Según el anuncio de Microsoft, se encontró un pequeño número de ordenadores afectados, entre los que se encuentran algunos incluidos dentro de la división de negocios para Mac. No obstante, la empresa anunció que no se habían visto comprometidos datos de los usuarios, aunque la investigación continua adelante.

Este tipo de ataques han sido la tónica general en las últimas semanas, afectando a grandes empresas como las ya mencionadas pero también a otras que aún no han reconocido esta intrusión, y entre las que posiblemente encontremos algunas relacionadas con sectores críticos como el energético o la defensa.

Aunque algunos medios generalistas (y alguno de los afectados también) hable de ataques muy sofisticados provenientes de China, la realidad es que la técnica usada para comprometer tantos ordenadores en tantas empresas importantes no es especialmente avanzada.

La utilización de vulnerabilidades en Java para propagar amenazas es algo que venimos observando desde hace años. El problema no es tanto el aprovechamiento de estas vulnerabilidades, sino la política de gestión y actualización de estos agujeros de seguridad que la mayoría de empresas aún aplican y que resultan inefectivas.

Entendemos que para los usuarios de una empresa no es fácil desprenderse de una tecnología como Java que es usada de forma muy importante. No obstante, solo con que se deshabilitase Java en el navegador ya se hubieran mitigado la mayoría de estos incidentes.

La industria de la seguridad también tiene parte de responsabilidad en este aspecto, puesto que las medidas de seguridad que se han venido recomendando desde hace años son insuficientes para detener este tipo de amenazas, más si el usuario hace caso omiso a las actualizaciones del sistema y de productos de terceros como los de Java o Adobe.

Es por ello que se hace necesario aplicar una estrategia de concienciación y educación por parte de todas las partes implicadas. Se ha de conocer el sistema operativo que se usa, con sus puntos fuertes y débiles, y reconocer todos los vectores de ataque que se pueden usar para atacar nuestros sistemas, haciendo hincapié en la formación del eslabón más débil, que suele ser el usuario.

Una vez hecho esto, podremos empezar a preparar una estrategia de defensa eficaz, siempre teniendo en cuenta que la seguridad absoluta no existe, pero podemos mitigar la mayoría de ataques o recuperarnos de uno rápidamente si hemos preparado y aplicado un plan de contingencia eficaz.

Josep Albors



« Artículos PosterioresArtículos Anteriores »

Atención: nuestra página utiliza cookies Al utilizar nuestro sitio web, consiente nuestra política de uso.

Aceptar y ocultar este mensaje