MySQL.com fue comprometido y estuvo sirviendo malware
Ayer por la tarde saltaba la noticia de que la web del conocido y extendido software de bases de datos había sufrido un ataque y estaba sirviendo malware a todos aquellos usuarios que la visitaban.
Sabiendo que la web mysql.com recibe alrededor de 400.000 visitas diarias, resulta un objetivo muy suculento para un atacante que quiera propagar malware entre un gran número de usuarios. Así pues, ayer nos podíamos encontrar con el siguiente código Javascript oculto en esta web:
Dicho y hecho: durante unas horas, todos aquellos que visitaron mysql.com fueron redirigidos de forma transparente por un script hacia un sitio web preparado para lanzar una serie de ataques sobre los usuarios en busca de vulnerabilidades, utilizando para ello una herramienta automatizada conocida como BlackHole exploit pack.
Esta herramienta intenta aprovechar posibles vulnerabilidades en el navegador del usuario y sus complementos, así como también en diversos programas de Adobe, Java, etc. En resumidas cuentas, lo que se intentaba era encontrar un agujero por el que colar código malicioso, aprovechando alguna vulnerabilidad presente en las aplicaciones que usara todo aquel que accediese a mysql.com.
Un ataque a una empresa de esta magnitud da mucho que pensar y, según el investigador Brian Krebs, es posible que todo se comenzara a fraguar el pasado 21 de septiembre. Ese día, este investigador encontró un mensaje en un foro de hackers rusos en el que se vendía un acceso a mysql.com con permisos de administrador (root) por solo 3000 dólares.
La hipótesis de que esa venta finalmente se produjera y el acceso haya sido aprovechado para inyectar código malicioso en mysql.com es bastante realista, y nos da una idea del mercado actual de tráfico de vulnerabilidades.
Por su parte, Armorize, la empresa de seguridad que descubrió este ataque, ha publicado un interesante vídeo en el que se observa cómo se producía la infección de un usuario que accediera al sitio con un navegador vulnerable mientras se estaba propagando malware.
Este tipo de ataques a grandes empresas viene siendo demasiado habitual desde hace unos meses, ya sea en la forma de filtraciones de datos privados, defacements (alterar el contenido de una web) o sirviendo malware a los usuarios que las visiten. Desde el laboratorio de ESET en Ontinet.com seguimos recomendando mantener nuestro sistema y aplicaciones actualizados (especialmente nuestro navegador web) para evitar vernos afectados por ataques similares en el futuro.
Josep Albors
Grave vulnerabilidad en Apache
En las últimas horas se ha producido cierto revuelo por la publicación de una herramienta conocida como “Apache Killer”, capaz de generar una denegación de servicio por medio del agotamiento de los recursos físicos del sistema atacado, en aquellos servidores web Apache que tengan la configuración por defecto, independientemente de su versión.
Esta herramienta fue publicada sin previo aviso en la lista de correo de Full Disclosure y, según los desarrolladores de Apache, se está usando activamente. Recordemos que el software de servidor web Apache es el más usado, con más de la mitad de instalaciones a nivel mundial.
Al aprovechar este exploit, una vulnerabilidad presente en un módulo instalado por defecto, el número de servidores que puede verse afectado es especialmente grande, más aun cuando todavía no se ha lanzado un parche que solucione el problema. No obstante, se han publicado una serie de pasos para mitigar el alcance de esta vulnerabilidad mientras se prepara un parche que debería estar disponible en las próximas horas.
Tal y como apuntan desde Hispasec, no es la primera vez que se usa un exploit similar para causar un fallo en este tipo de servidores. Ya en enero de 2007, otro investigador consiguió explotar el mismo vector de ataque, pero, en esta ocasión, para agotar el ancho de banda de un servidor vulnerable.
El mayor problema para Apache es que la publicación de la herramienta se ha hecho llevando la filosofía “Full disclosure” (publicación, sin previo aviso, de vulnerabilidades y herramientas para aprovecharlas) a sus máximas consecuencias, hecho que, si bien ha permitido que se tomen cartas en el asunto casi de forma inmediata, está causando bastantes quebraderos de cabeza a todo aquel que gestione un sistema Apache vulnerable.
Desde el laboratorio de ESET en Ontinet.com recomendamos aplicar cuanto antes las medidas de mitigación proporcionadas por la fundación Apache y aplicar el parche tan pronto como esté disponible.
Josep Albors
Investigadores consiguen sortear la seguridad de Google Chrome
El navegador de Google es un referente en materia de seguridad, sobre todo debido a la sandbox que incorpora. Esta tecnología mantenía el navegador a salvo de varios agujeros de seguridad, de tal forma, que incluso en los prestigiosos eventos Pwn2Own (destinados a comprometer la seguridad de los navegadores más conocidos) Chrome conseguía salir airoso. No obstante, todo llega a su fin y el navegador de la poderosa Google también ha visto su seguridad comprometida por investigadores de la compañía Vupen.
Estos investigadores han conseguido sortear todas las medidas de seguridad del navegador (la citada sandbox) y del propio sistema operativo Windows 7 (ASLR y DEP) para desarrollar un exploit que ejecuta código sin autorización. En el vídeo que mostramos a continuación se muestra como, tan solo visitando una web específicamente preparada se ejecuta la calculadora de Windows sin la interacción del usuario:
Está prueba de concepto demuestra que un atacante con malas intenciones podría preparar una serie de webs maliciosas con este exploit y que, en lugar de la inofensiva calculadora de Windows, ejecutase malware. No obstante, Vupen es una reputada firma de seguridad y, tal y como ellos mismos anuncian, no la harán pública y solo la compartirán con sus clientes gubernamentales (y suponemos que también con Google para que la soluciones lo antes posible).
Pruebas de concepto como esta demuestran que, tarde o temprano, se descubre un agujero de seguridad en cualquier aplicación o sistema operativo. Todo depende de lo bien desarrollado que se encuentre el código fuente y de las precauciones en materia de seguridad que se toman. No debemos olvidar que, muchas veces, las prisas por sacar un producto nuevo, actualización o incluso un parche hacen que no se revisen o implementen todas las medidas de seguridad aconsejadas.
Desde el laboratorio de ESET en Ontinet.com no vemos motivos de alarma para que los usuarios de Chrome dejen de usar este navegador, puesto que la vulnerabilidad no se ha hecho pública, pero sí que aconsejamos extremar las precuaciones a la hora de navegar por Internet o seguir enlaces que encontramos en emails, Twitter o Facebook.
Josep Albors
Suma y sigue. Nueva vulnerabilidad en productos Adobe
Cuando ya empezábamos a echar de menos nuestra ración periódica de vulnerabilidades en productos Adobe, a principios de esta semana, esta compañía volvía la primera plana de la actualidad en seguridad informática por la detección de agujeros de seguridad en Adobe Flash Player, Adobe Reader y Acrobat X. Concretamente, los productos afectados son Adobe Flash Player 10.x (para Windows, GNU/Linux, Mac OS, Solaris y Android) y Adobe Reader 10.x y Acrobat X 9.x para Windows y Mac OS.
Adobe ha lanzado el respectivo aviso de seguridad, informando de las vulnerabilidades en sus productos e indicando que se está trabajando en actualizaciones de los mismos que solucionarían estos problemas. Esto deja a los usuarios de las versiones comprometidas a la merced de los exploits que se aprovechan de estas vulnerabilidades si no los detectan y detienen a tiempo. La situación se agrava cuando, desde hace días se vienen registrando ataques que se aprovechan de esta nueva vulnerabilidad, en forma de correos con documentos de Word adjuntos que incluyen un objeto Flash (.swf) malicioso.
Esta situación no es nueva, puesto que ya se produjo un caso muy similar el pasado mes de marzo, con una vulnerabilidad muy parecida, pero usando archivos de Excel en lugar de Word para propagarse. Asimismo debemos destacar las múltiples plataformas que se pueden ver afectadas por esta vulnerabilidad, demostrando de nuevo que, no solo Windows es objeto de amenazas y que las aplicaciones de terceros suponen, ahora mismo, el mayor vector de entrada de amenazas en los sistemas operativos.
Todos aquellos usuarios que tengan instalados alguno de los programas afectados por estas vulnerabilidades deben extremar sus precauciones a la hora de navegar por webs sospechosas y al abrir archivos adjuntos. Al no existir todavía un parche puede resultar interesante para muchos usuarios usar aplicaciones alternativas hasta que se solucione este problema o incluso actualizar a la versión mas reciente de Adobe Reader X, inmune a esta vulnerabilidad.
Desde el laboratorio de ESET en Ontinet.com venimos observando como este tipo de incidencias se repiten con cierta periodicidad en productos de Adobe y Java. Sabiendo que la cantidad de usuarios que usan estas aplicaciones es muy elevada, resulta preocupante ver la gravedad de estos agujeros de seguridad. Esperamos que las medidas de seguridad y solución de vulnerabilidades que empresas como Adobe han empezado a adoptar ayuden a mitigar incidencias futuras.
Josep Albors
Nuevas vulnerabilidades en productos de Adobe y Microsoft
De nuevo nos encontramos ante unos avisos de seguridad lanzados por dos de las empresas con más peso en la industria de la informática. Tanto Adobe como Microsoft han alertado sobre el descubrimiento de vulnerabilidades que podrían aprovecharse para ejecutar código no autorizado y tomar el control de un sistema.
Microsoft avisó de un agujero de seguridad en todas las versiones de Windows que aun reciben soporte (e intuimos que otras, como Windows XP SP1 y 2, también se incluyen), que permitiría a un atacante ejecutar scripts maliciosos cuando un usuario visitase una web modificada para aprovechar esta vulnerabilidad. Sabiendo que esta vulnerabilidad ya está siendo aprovechada, Microsoft ha publicado una solución temporal (conocida como Fix it) para que los usuarios puedan protegerse mientras se prepara el parche de seguridad correspondiente. Es de agradecer esta política de soluciones temporales que Microsoft viene aplicando desde hace tiempo puesto que evita dejar desprotegidos muchos sistemas mientras se aplica la solución definitiva.
Aplicaciones maliciosas en el Android Market
Hace unos días comentábamos en este blog una serie de consejos para mantener nuestro dispositivo Android seguro, a raíz de ir observando como en el Android Market aparecían, cada vez con más frecuencia, aplicaciones maliciosas y troyanizadas. Ahora salen a la luz nuevos datos que indican que Google se vio obligado a activar la función de desinstalación remota de aplicaciones al haberse detectado una cantidad elevada de aplicaciones maliciosas (más de 50 según los últimos informes) distribuyéndose por el Android Market. Se calcula que el número de dispositivos infectados puede rondar los 250.000 terminales, cantidad nada despreciable y que ha forzado a Google a tomar esta decisión.
Como era de suponer, Google también ha retirado de su tienda las aplicaciones infectadas aunque resulta difícil asegurar que no quede ninguna. La política de apertura que se mantiene en el Android Market hace posible que cualquier desarrollador pueda realizar aplicaciones para esta plataforma y publicarlas para que los usuarios se las descarguen, sin pasar prácticamente por ningún control de calidad y seguridad. A lo único que se ven obligados los desarrolladores es a publicar los permisos que requieren sus aplicaciones, para que los usuarios puedan decidir si desean dárselos a las aplicaciones que instalan en sus dispositivos.
Ataques a sistemas Scada. ¿Es China el próximo objetivo?
Recién terminado el 2010, los ataques a sistemas Scada (usados en la gestión de infraestructuras críticas, entre otras aplicaciones) han sido sin duda la noticia más importante en materia de seguridad informática. Desde que empezamos a hablar el verano pasado de las vulnerabilidades que se habían encontrado y estaban siendo explotadas, las noticias sobre este tipo de ataques Scada no han dejado de sucederse y muchos investigadores han advertido de la peligrosidad que representa que estos sistemas presenten tales fallos.
El gusano Stuxnet fue un claro ejemplo de una pieza de malware específicamente diseñada para atacar estos sistemas y, los efectos que esta sofisticada amenaza han tenido en países como Iran, han demostrado que la seguridad de los sistemas Scada debe empezar a tomarse en serio. Pero, como ocurre en el mercado de software comercial para usuarios y empresas, existen varias soluciones de software que permiten gestionar sistemas de infraestructuras y muchos están enfocados a un mercado en concreto.
Recientemente, el investigador Dillon Beresford ha publicado en su blog el descubrimiento de una vulnerabilidad en el software de gestión de sistemas Scada KingView. Este software está desarrollado por Wellintech, una desarrolladora de hardware con sede en Pekín.
Según comenta Beresford, el primer contacto avisando de una vulnerabilidad descubierta se produjo el pasado 28 de Septiembre. Esta vulnerabilidad es de las consideradas como graves, ya que permite a un atacante aprovecharse de la misma para ejecutar código arbitrario. Al no recibir respuesta decidió contactar con el Centro de Alerta Temprana de Estados Unidos, que le contestaron al cabo de un tiempo indicando que se iban a poner en contacto con el fabricante. No obstante, a fecha de hoy la vulnerabilidad sigue estando presente en la versión que el fabricante pone a disposición de sus usuarios en su página web por lo que Beresford, cansado de esperar una solución, ha decidido publicar el código del exploit que se aprovecha de la vulnerabilidad descubierta. Esto significa que cualquiera con conocimientos suficientes puede usar este código para lanzar ataques contra infraestructuras que usen este sistema de gestión, estando el código a disposición de cualquier interesado en analizarlo también disponible en la Exploit Database.
Teniendo como precedente al gusano Stuxnet, la publicación de este código puede hacer mucho daño si no se toman las medidas oportunas. Lo más sensato hubiese sido que el fabricante del software afectado no ignorase los comunicados del investigador y hubiese solucionado la vulnerabilidad, pero muchas veces, intereses económicos o la simple desidia de según qué desarrolladores hacen que las vulnerabilidades se queden por solucionar durante mucho tiempo. Según este investigador, su decisión de tomar esta medida ha sido pensada como una manera de presionar al fabricante para que se apremie en solucionar este agujero de seguridad.
Por desgracia, desde el laboratorio de ESET en Ontinet.com, pensamos que veremos más de un ataque a este sistema de control antes de que se solucione la vulnerabilidad. La solución de vulnerabilidades en programas es algo que nos atañe a todos los fabricantes de software y no se pueden ignorar agujeros de seguridad de este tipo, mas aun cuando estos han sido debidamente notificados con la suficiente antelación.
Josep Albors
Amenaza se aprovecha de vulnerabilidad en Word para propagar malware
Cuando parecía que los códigos maliciosos que se aprovechaban de vulnerabilidades en aplicaciones de Office habían caído casi en el olvido, Microsoft acaba de lanzar un aviso indicando que están observándose muestras de malware que intentan aprovecharse de una vulnerabilidad en Word solucionada el pasado mes de Noviembre.
Estos ataques usan un archivo RTF (Formato de Texto Enriquecido) malicioso para ocasionar un desbordamiento de pila en las versiones de Word para Windows. Tras aprovecharse de este fallo, se descarga y ejecuta un archivo malicioso en el sistema. Este exploit para la vulnerabilidad en Word es especialmente preocupante, ya que el archivo RTF malicioso puede ejecutarse con tan solo mostrarse en la vista preliminar del cliente de correo Outlook, iniciándose así la descarga y ejecución del malware.
Microsoft ya avisó en el momento de lanzar el parche que soluciona esta vulnerabilidad que era muy probable que esta fuese aprovechada en breve, como al final ha sucedido, por lo que, desde el laboratorio de ESET en Ontinet.com, recomendamos descargar los parches de seguridad publicados que se correspondan con nuestra versión de Word. Estos parches también están disponibles para las versiones que funcionan bajo plataformas Mac, aunque estas no se ven afectadas.
Como vemos, es importante aplicar los parches de seguridad tan pronto como estos se encuentren disponibles. Ya hay suficiente malware explotando vulnerabilidades aun por corregir como para tener aun más expuesto nuestro sistema por no haber actualizado a tiempo. Un muy buen ejemplo de este fallo a la hora de actualizar es el código malicioso Conficker que, más de dos años después de su aparición sigue infectando en un alto porcentaje a muchos sistemas sin actualizar.
Josep Albors
Disponible exploit para la última vulnerabilidad de Internet Explorer
Como en anteriores ocasiones, poco después de la publicación de una grave vulnerabilidad suelen aparecer exploits que se aprovechan de la misma. Así ha pasado de nuevo con la reciente vulnerabilidad descubierta en Internet Explorer que permite la ejecución de código no autorizada y, en sistemas Windows más modernos, saltándose además las protecciones DEP y ASLR.
Aunque Microsoft ya ha lanzado su aviso de seguridad explicando la vulnerabilidad y ya se encuentra trabajando en una solución, la publicación de un exploit hace que no tardemos en ver nuevas muestras de malware que se aprovechen de esta vulnerabilidad.
Para mitigar posibles ataques Microsoft publica una serie de consejos entre los que destacamos el uso de la herramienta Enhaced Mitigation Experience Toolkit. Esta herramienta permite la activación obligatoria de las protecciones DEP y ASLR en aquellas aplicaciones que no la usan y que son aprovechadas para explotar la vulnerabilidad.
Desde el laboratorio de ESET en Ontinet.com consideramos muy útiles los consejos que nos proporciona Microsoft y la aplicación EMET como medidas de protección hasta que se lance un parche de seguridad que solucione la vulnerabilidad. Asimismo la detección de los códigos maliciosos que intenten aprovecharse de esta vulnerabilidad es vital por lo que recomendamos contar con un software de seguridad capaz de detectar estas nuevas amenazas.
Josep Albors
Vulnerabilidad 0-day en WordPress
WordPress, uno de los servicios de blogs más conocidos y el que usamos desde el laboratorio de Ontinet.com para publicar nuestras noticias, se ha visto afectado por una vulnerabilidad 0-day que permitiría a un usuario malintencionado realizar consultas sobre la base de datos de un usuario registrado. Este tipo de ataques se podrían usar para obtener, por ejemplo, el usuario y contraseña de un administrador del blog y, a partir de ahí realizar todo tipo de acciones maliciosas.
WordPress ha reaccionado a la publicación de esta vulnerabilidad lanzando actualizaciones tanto para las versiones actuales (3.0.2) como a las versiones beta (3.1) del popular CMS. Es altamente recomendable realizar las actualizaciones pertinentes para evitar comprometer la seguridad de nuestro blog puesto que, de no hacerlo, cualquier atacante podría introducir enlaces maliciosos o servir malware desde el mismo.
Desde el laboratorio de ESET en Ontinet.com consideramos preocupante la tendencia que se está popularizando últimamente de infectar webs legitimas y blogs de usuarios. Sabemos que muchos usuarios aun piensan que nada les ocurrirá a sus sistemas si evitan navegar por sitios considerados tradicionalmente como peligrosos (warez y cracks, descarga no autorizada de contenido multimedia, sitios para adultos, etc.), mientras bajan la guardia cuando navegan por webs de confianza. Es por ello que debemos a aprender a estar alerta siempre. Solo de esta forma evitaremos caer en las trampas preparadas por los ciberdelincuentes en cualquier sitio web.
Josep Albors
« Artículos Posteriores — Artículos Anteriores »