• Buscar

• Productos ESET

• Síguenos en Twitter

• Categorías

  • actualizaciones (68)
  • adware (5)
  • Android (20)
  • Anuncios (40)
  • Apple (30)
  • backdoor (7)
  • BlackHat SEO (5)
  • Botnets (57)
  • Cálico Electrónico (48)
  • certificados (4)
  • Clickjacking (9)
  • Curiosidades (54)
  • Cyberwar (21)
  • datos (33)
  • DDoS (17)
  • Defacement (18)
  • Educación (115)
  • email (11)
  • entrevista (7)
  • Espionaje (42)
  • Estadísticas (20)
  • Estudio (17)
  • Eventos (28)
  • exploit (100)
  • Facebook (56)
  • Filtraciones (74)
  • General (150)
  • Hacking (96)
  • hacktivismo (47)
  • Herramientas (26)
  • Heurística (6)
  • Hoax (4)
  • Humor (29)
  • Infografías (7)
  • Informes (28)
  • Ingenieria social (122)
  • Java (21)
  • Juegos (19)
  • Linux (1)
  • Mac (23)
  • Malware (289)
  • Mensajería (1)
  • PDF (2)
  • Phishing (73)
  • Piratería (7)
  • Privacidad (72)
  • Productos (41)
  • ransomware (9)
  • redes sociales (108)
  • rogue (26)
  • rootkit (2)
  • Scada (7)
  • Scam (26)
  • scareware (3)
  • seguridad (123)
  • sorteos (4)
  • Spam (146)
  • spyware (6)
  • telefonía (55)
  • timos (9)
  • Troyanos (34)
  • Tutoriales (23)
  • Twitter (9)
  • Unix (5)
  • Vulnerabilidades (284)

• Archivos

  • mayo 2013 (16)
  • abril 2013 (31)
  • marzo 2013 (28)
  • febrero 2013 (41)
  • enero 2013 (38)
  • diciembre 2012 (36)
  • noviembre 2012 (32)
  • octubre 2012 (43)
  • septiembre 2012 (43)
  • agosto 2012 (30)
  • julio 2012 (33)
  • junio 2012 (29)
  • mayo 2012 (22)
  • abril 2012 (12)
  • marzo 2012 (22)
  • febrero 2012 (21)
  • enero 2012 (26)
  • diciembre 2011 (17)
  • noviembre 2011 (19)
  • octubre 2011 (20)
  • septiembre 2011 (23)
  • agosto 2011 (24)
  • julio 2011 (18)
  • junio 2011 (16)
  • mayo 2011 (18)
  • abril 2011 (11)
  • marzo 2011 (18)
  • febrero 2011 (17)
  • enero 2011 (19)
  • diciembre 2010 (20)
  • noviembre 2010 (22)
  • octubre 2010 (27)
  • septiembre 2010 (30)
  • agosto 2010 (24)
  • julio 2010 (36)
  • junio 2010 (43)
  • mayo 2010 (27)
  • abril 2010 (26)
  • marzo 2010 (14)
  • febrero 2010 (16)
  • enero 2010 (14)
  • diciembre 2009 (7)
  • noviembre 2009 (5)
  • octubre 2009 (3)
  • septiembre 2009 (3)
  • agosto 2009 (8)
  • julio 2009 (6)
  • junio 2009 (2)
  • mayo 2009 (4)
  • abril 2009 (6)
  • marzo 2009 (6)
  • febrero 2009 (3)
  • enero 2009 (3)
  • diciembre 2008 (5)
  • noviembre 2008 (5)
  • octubre 2008 (10)
  • septiembre 2008 (9)
  • agosto 2008 (7)
  • julio 2008 (8)
  • junio 2008 (10)
  • mayo 2008 (13)
  • abril 2008 (12)
  • marzo 2008 (7)
  • febrero 2008 (5)
  • enero 2008 (2)
  • diciembre 2007 (7)
  • noviembre 2007 (6)
  • octubre 2007 (7)
  • septiembre 2007 (9)
  • agosto 2007 (3)
RSS Artículos | RSS Comentarios

Vulnerabilidad en el procesador Exynos permite el acceso total a varios smartphones

El pasado fin de semana se hizo pública una vulnerabilidad en los foros de XDA Developers que afectaba al procesador Exynos, el cerebro de dispositivos tan populares como el Galaxy SII, Galaxy SIII, Galaxy Note II y Galaxy Note 10.1 de la marca Samsung o el Meizu Mx, aunque también cabe la posibilidad de que otros dispositivos que usen este procesador (modelos 4210 y 4412) y el kernel de Samsung se vean afectados.

Según el investigador que hizo público este descubrimiento, el grave agujero de seguridad permite acceder a la memoria física del dispositivo, lo que equivale a poder acceder a cualquier cosa que se esté almacenando en la RAM, incluyendo el directorio virtual para la memoria que usa el kernel del sistema. En la práctica esto se traduce en un control total del dispositivo.

Para demostrar el alcance de esta vulnerabilidad, otro usuario del mismo foro ha creado una aplicación que consigue “rootear” el dispositivo y además ofrece la posibilidad de desactivar el exploit. Aunque esta aplicación esté realizada con buenas intenciones, desaconsejamos su uso a menos que estemos dispuestos a gestionar nuestro dispositivo como root y arriesgarnos a perder la garantía de nuestro Smartphone.

Si bien el descubrimiento de esta vulnerabilidad tiene su parte positiva, puesto que permite a la comunidad de usuarios obtener un control total de sus dispositivos Android, también abre las puertas a que los creadores de malware la utilicen en su beneficio. Aunque aún no hemos observado muestras de malware que la utilicen para infectar a los dispositivos vulnerables, es de suponer que no tardarán en aparecer códigos maliciosos que sí lo hagan. Es por ello que desde ESET detectamos este exploit con la nomenclatura Android/Exploit.Lotoor.

Ahora mismo la mayoría de usuarios de los dispositivos afectados solo pueden esperar a que Samsung mueva ficha para solucionar este agujero de seguridad, lo cual esperamos que se produzca en breve. Mientras tanto, la otra opción pasa por rootear nosotros mismos el dispositivo y bloquear la ejecución del exploit, aunque, como hemos dicho antes, esta opción solo es recomendable para aquellos usuarios que sepan lo que hacen y estén dispuestos a configurar la seguridad de sus sistemas ellos mismos.

Josep Albors

Webs alojadas en GoDaddy infectan a los usuarios con ransomware

Una de las tendencias más usadas por los ciberdelincuentes durante este 2012 para infectar a los usuarios es el uso de webs legítimas que han visto comprometida su seguridad. De esta forma se aseguran que los usuarios bajan la guardia al acceder a estas webs, que van desde simples blogs personales a páginas de empresas (alguna de ellas muy conocida).

Recientemente hemos conocido la noticia de que una importante cantidad de usuarios se habrían visto afectados por ransomware al visitar páginas web alojadas en Go Daddy (empresa que ya se vio supuestamente afectada por un ataque de denegación de servicio hace un par de meses). Al parecer, los atacantes habrían conseguido atacar los DNS de estos sitios web, de forma que pudieron redirigir a los usuarios a enlaces maliciosos aunque escribieran correctamente la dirección del sitio legítimo.

Recomendamos la lectura de la información proporcionada por nuestros compañeros del blog Segu-Info, donde se explica con más detalle el mecanismo de este ataque. Muy probablemente, esta técnica ha sido usada por los ciberdelincuentes para evitar los filtros de seguridad instalados en muchos ordenadores domésticos y empresas y hacer creer a los usuarios que estaban accediendo a un sitio seguro.

Una vez un usuario ha sido redirigido a una web maliciosa, se intentan ejecutar una serie de exploits para aprovechar posibles vulnerabilidades en el sistema o aplicaciones usadas por el usuario. Se ha detectado la utilización de un kit de exploits de nombre Cool EK, de configuración similar al conocido BlackHole.

Las vulnerabilidades que se intentan aprovechar en estos sitios maliciosos son de diferente tipo pero todas tienen la finalidad de instalar un ransomware para que la víctima termine pagando una cantidad para desbloquear el secuestro de su ordenador. Las instrucciones para el pago del rescate se adaptan según la ubicación geográfica del usuario.

Cómo en otras ocasiones donde hemos analizado casos de webs legítimas comprometidas para propagar malware, lo más probable es que los atacantes hayan conseguido el control de estas webs debido al uso de contraseñas débiles por parte de los propietarios de las mismas. También es posible que estas contraseñas hayan sido robadas pero este hecho aun no se sabe a ciencia cierta.

Mientras se aclara todo este hecho, lo recomendable sería revisar los dominios que tengamos alojados en este servicio, en busca de cualquier cosa fuera de lo normal, y cambiar nuestras credenciales de acceso para evitar posibles intrusiones no autorizadas.

Actualización: Go Daddy ya ha tomado cartas en el asunto inutilizando las credenciales de los usuarios afectados y eliminando el contenido malicioso alojado en las webs vulneradas. Según la empresa, sospechan que este incidente se produjo debido a que varios usuarios se vieron afectados por casos de phishing en sus ordenadores personales y niegan cualquier posible vulnerabilidad en los sistemas de gestión DNS o de las cuentas de acceso.

Josep Albors

 

Nueva vulnerabilidad crítica en Adobe Reader

No es extraño encontrarnos periódicamente con noticias que hablan de vulnerabilidades en productos de Adobe. De hecho, los productos de esta empresa son, junto con Java, uno de los vectores de ataque más usados por los ciberdelincuentes para conseguir infectar un importante número de ordenadores.

En esta ocasión, el producto que sufre una grave vulnerabilidad es Adobe Reader en sus versiones X y XI. Estas versiones tienen la peculiaridad de contar con una sandbox, un entorno controlado que, en el caso de que se intente aprovechar una vulnerabilidad, hace que el ataque no logre afectar al sistema operativo.

No obstante, la vulnerabilidad descubierta por la empresa rusa Group-IB permitiría saltarse esta medida de seguridad y permitiría que se ejecutase código arbitrario al abrir un documento PDF diseñado para aprovechar esta vulnerabilidad, que aumenta su efecto si tenemos en cuenta que los navegadores suelen estar configurados para abrir por defecto los documentos PDF con Adobe Reader. De esta forma, solo sería necesario dirigir al usuario a un enlace con un PDF preparado especialmente para infectarlo. Podemos ver una demostración del aprovechamiento de esta vulnerabilidad en el siguiente vídeo:

Al tratarse de una vulnerabilidad poco conocida aún, su precio en el mercado negro podría oscilar entre los 30.000 y 50.000 dólares, por lo que solo un pequeño grupo de personas debería tener acceso a ella. No obstante, parece que esta vulnerabilidad ya ha sido incluida en algunas variantes modificadas del conocido kit de exploits Black Hole, un conjunto de herramientas diseñadas para incluirse en sitios web comprometidos y con fallos de seguridad para hacer que los usuarios que los visiten se descarguen malware.

Cuando se consiga deducir cómo funciona esta vulnerabilidad y sea añadida a estos kits de herramientas maliciosas, sin tener que pagar lo que se pide ahora por ella, podría suponer una seria amenaza para la mayoría de usuarios que usen las versiones vulnerables de Adobe Reader. Es por ello que aconsejamos usar lectores de PDF alternativos que, si bien no son inmunes a problemas de seguridad, sí que son menos atacados. Asimismo, también es recomendable desactivar el complemento para abrir Adobe Reader desde el  navegador, desactivar la opción de que se ejecute Javascript en documentos PDF y, ante todo, desconfiar de archivos que no hayamos solicitado evitando abrirlos o pulsar un enlace que nos dirija a ellos en la medida de lo posible.

Josep Albors

 

Intensa actividad hacktivista de Anonymous en la convocatoria #OpJubilee, #OpVendetta y #Nov5

Si hace unos días te contábamos en este mismo blog la convocatoria del grupo hacktivista Anonymous, bautizada como #OpJubilee y prevista precisamente para hoy, dado que se celebra la festividad de la noche de Guy Fawkes, personaje histórico en el que se basa la máscara característica que usa este grupo y que fue popularizada en el cómic y posterior adaptación cinematográfica “V de Vendetta”, hoy te tenemos que contar bastantes novedades acerca de esta iniciativa.

En principio, la operación #OpJubilee, también llamada #OpVendetta y #Nov5, tiene muchos frentes abiertos en cuanto a la lucha activa: están lanzando consignas a favor de cancelar la deuda externa de los países más pobres, detener la guerra, redistribuir el suelo y eliminar la pobreza. Recordemos que también están intentando protestar contra las respuestas desproporcionadas de la policía al enfrentarse a manifestantes en diferentes países, incluyendo España.

Pues bien, la actividad en torno a esta iniciativa no se está haciendo esperar, y ya son varios los grupos que están reportando diferentes acciones y actividades que se están llevando a cabo en diversos países.

Así, el grupo de Anonymous Stun ha publicado el código fuente del kernel de VMware ESX Server, uno de los buques insignia de la compañía VMware, plataforma de virtualización a nivel de centro de datos. En su tweet titulado “WILD LEAKY LEAK. FULL VMware ESX Server Kernel LEAKED” se proporciona un torrent  de aproximadamente 1.89MB llamado “VMware ESX Kerner LEAKED”, con el contenido del kernel de la aplicación. Según cuentan, aunque la filtración sea de la versión de VMKernel de entre 1998 y 2004, dicen que dichas secciones no cambian mucho en los programas, ya que las posteriores versiones se basan en núcleos previos a los cuales simplemente se les extiende la funcionalidad básica.

Por otro lado, el grupo HTP (Hack the Planet) afirma haber conseguido hackear la red social Imageshack así como a una importante compañía de seguridad, teniendo acceso  a miles de datos de sus usuarios que habrían publicado en diferentes sitios. Lo que es más preocupante, es que también afirman haber lanzado un exploit 0-day que tendría como objetivo ZPanel.

Además, y a través de la cuenta oficial de Twitter del colectivo, @AnonymousIRC, están publicando diferentes confirmaciones de accesos a sitios, instituciones y personalidades que están dando como resultado la filtración de diferentes fragmentos de información a modo de ejemplo y como prueba de su efectividad. Entre ellos, han filtrado la información de 60 tarjetas de crédito que dicen pertenecer a miembros del Gobierno norteamericano. Y eso solo a modo de ejemplo, ya que afirman tener en su poder mucha más información:

En este mismo comunicado, también establecen como objetivo a Strategic Forecasting, Inc., más conocida por el acrónimo StratFor, la empresa privada estadounidense especializada en servicios de inteligencia y espionaje. Asimismo, también han filtrado más de cinco mil direcciones de email del sistema de prisiones colombiano. 

Y para todos aquellos que quieran seguir en directo la convocatoria de la marcha pacífica que recorrerá las calles de Londres hasta llegar al parlamento británico, han habilitado un sistema de streaming que permite seguir la manifestación en vivo:

Estaremos muy atentos a todas las novedades que se sucedan para manteros puntualmente informados.

Yolanda Ruiz Hervás

Esto no es un juego: aprovechando vulnerabilidades en Steam

Steam, la popular plataforma de distribución digital de videojuegos y contenido multimedia (y la culpable de que muchos de los integrantes del laboratorio nos dejemos en ella nuestros ahorros y nuestras horas libres :p) cuenta con más de 50 millones de usuarios en todo el mundo. Esta cifra es muy interesante para los ciberdelincuentes y en este mismo blog ya hemos comentado varios casos de phishing que se aprovechaban de su fama.

En esta ocasión, no obstante, vamos a comentar una serie de graves vulnerabilidades descubiertas por los investigadores Luigi Auriemma y Donato Ferrante de la empresa ReVuln, quienes han publicado un más que interesante informe donde explican cómo un atacante podría aprovecharse de la forma en que el cliente de Steam maneja las peticiones a buscadores.

Sin entrar en excesivos detalles técnicos por nuestra parte, en ese informe se detalla cómo aprovecharse del protocolo URL steam://, usado para conectarse a los servidores de los diferentes juegos, realizar copias de seguridad, ejecutar juegos o cargar noticias u otro tipo de contenido ofrecido por Valve, la empresa propietaria de esta plataforma. Aprovechándose de las vulnerabilidades descritas por estos investigadores, un atacante podría lanzar comandos usando direcciones steam:// y ejecutar código malicioso en el sistema del usuario.

En el siguiente gráfico obtenido del informe se explica de una forma visual y fácil de comprender cómo se pueden interceptar las peticiones de direcciones web realizadas a través de Steam y cargar código malicioso:

Una buena parte del problema se debe a que muchos navegadores no piden permiso al usuario antes de interactuar con el cliente de Steam y aquellos que lo hacen no avisan de posibles problemas de seguridad. De esta forma, y siempre según el informe, se podría engañar a un usuario para que pulse en una dirección del tipo steam:// o redirigirlo a un enlace malicioso desde donde descargar malware.

Además de esta vulnerabilidad, los investigadores advierten de otras que no se encuentran en el cliente de Steam, sino en varios juegos que usan motores Source o Unreal. Entre ellos se encuentran algunos de los más populares (y a las que más horas de vicio dedicamos), como pueden ser el inmortal Counter Strike, Half Life 2, Team Fortress 2 o Left 4 Dead.

Una vez hechas públicas estas vulnerabilidades es cuestión de tiempo que empiecen a ser aprovechadas por gente con pocos escrúpulos. Ahora mismo y hasta que el equipo de Valve publique un parche (lo cual esperamos que sea en un periodo de tiempo inferior al que queda para que lancen Half Life 3) la única solución para protegerse de estos posibles ataques pasa por deshabilitar el controlador de direcciones steam:// o usando un navegador que no permita la ejecución directa del protocolo de navegación de Steam.

Por nuestra parte no vamos a dejar de seguir dedicando el poco tiempo libre que nos deja el análisis de nuevas amenazas a conseguir headshots en DE_dust, acabar con la amenaza zombi junto a nuestros compañeros supervivientes, ir saltando de portal en portal en busca de la tarta prometida o terminar con la amenaza de otra dimensión a base de golpes de palanca. Eso sí, iremos con más cuidado a la hora de pulsar en enlaces dentro de Steam.

Josep Albors

Aprovechan un exploit para “matar” instantáneamente a personajes en World of Warcraft

Esta es el tipo de noticias que más atención despierta a los que somos jugones. Podemos pasarnos semanas hablando de vulnerabilidades en sistemas operativos, navegadores o dispositivos móviles, pero cuando nos tocan lo más sagrado saltamos como liebres, y si se trata de algo tan importante para algunos como el World of Warcraft, más aún.

Por lo visto alguien se está aprovechando de un fallo en el sistema de juego para hacer “travesuras” mientras juega. La llegada de la nueva expansión “Mists of Pandaria” hace un par de semanas ha hecho que muchos nuevos jugadores y veteranos que tenían su cuenta abandonada desde hace meses vuelvan a conectarse para revisar las novedades que Blizzard ha incluido en esta nueva expansión.

Pero parece que alguien ha estado rebuscando en el código del juego para diseñar un hack que permite obtener ciertas ventajas con respecto a los otros usuarios. Así pues, desde hace unos días se viene informando de sucesos extraños en localizaciones del mundo del WoW como Stormwind, Ogrimmar o Draenor, entre otros. Estas extrañas situaciones se estarían produciendo en servidores americanos y europeos, aunque no sería de extrañar que en otros servidores también hubiese sucedido.

Al parecer, el suceso que más revuelo ha estado causado han sido las muertes instantáneas de miles de personajes en kilómetros virtuales a la redonda de una de estas localizaciones. Estos incidentes se producían normalmente en lugares con gran concentración de jugadores y afectaba incluso a los PNJ (personajes no jugadores). En el vídeo que mostramos a continuación se ve cómo un usuario accede a un menú con varios comandos que no pertenece a la interfaz del juego.

Si nos fijamos bien en el vídeo, la herramienta que se aprovecha de estas vulnerabilidades tiene por nombre WoWPlus. Con solo una rápida búsqueda descubrimos que se trata de una herramienta que empezó a difundirse hace apenas tres meses y que permite a aquellos usuarios más tramposos obtener una ventaja sobre los demás. Como muestra, aquí tenemos una captura de la interfaz que añade a la propia del juego con las opciones adicionales:

En uno de los enlaces desde donde se promociona la herramienta vemos que hay una tabla de precios que varían dependiendo del número de sesiones a las que queremos aplicar el hack y el periodo de tiempo contratado. Todo un negocio montado a partir de trampas o cheats en el juego online más jugado actualmente y que ve cómo, cada cierto tiempo, sus jugadores son objeto de todo tipo de ataques.

La verdad es que este tipo de cheats, trucos o pokes (como los llamábamos en nuestra infancia) no es algo nuevo. Hace 30 años no éramos pocos los que copiábamos cientos de líneas de código en nuestros microordenadores de 8 bits como el Spectrum, MSX o Commodore para obtener ventajas adicionales con las que vencer a la máquina. La diferencia ahora radica en que nuestros adversarios son humanos y este tipo de tramposos no son nada bien vistos por la comunidad de jugadores (y si no, que se lo pregunten a los que usan aimbot en el Counter Strike).

Por suerte, esta vez no se ha visto comprometida la seguridad de las cuentas ni de los bienes virtuales de los jugadores y Blizzard se ha dado prisa en solucionar el problema anunciando a través de los foros y de comunicados oficiales que el fallo ya ha sido resuelto mediante un parche de emergencia y que ya no deberían volver a producirse este tipo de sucesos.

Por nuestra parte, desde el laboratorio de ESET en Ontinet.com, nos alegramos de que se combata la lacra de los tramposos en los juegos online con eficiencia. De esta forma, cuando terminamos de analizar malware podemos quedar con nuestros compañeros para hacer raids por Pandaria y acabar vía headshots con unos cuantos n00bs en de_dust :p

Josep Albors

Múltiples vulnerabilidades críticas en dispositivos móviles

Hay un dicho popular español que dice: “¿No querías caldo? ¡Pues toma dos tazas!”. En el laboratorio de ESET España, donde somos muy fans del cocido (o puchero, como lo llamamos por aquí), lo usamos a menudo para referirnos a la acumulación de noticias de seguridad de un tema en concreto. Esta semana ha sido muy prolífica en cuanto a este tipo de noticias pero, sobre todo, en lo referente a la seguridad en dispositivos móviles con sistemas Android e iOS.

Por una parte tenemos una vulnerabilidad grave que afecta al navegador de iOS 5 en iPhones 4S y anteriores (que también afectaría a iPads/iPod Touch) y que, según desvelaron los investigadores Joost Pol y Daan Keuper en la competición Mobile Pwn2Own celebrada recientemente dentro de la EuSecWest Conference de Ámsterdam, permitiría la ejecución de código.

Esta pareja, que realizó toda su investigación en apenas tres semanas y durante su tiempo libre, consiguió evitar todas las restricciones de código firmado que Apple impone eludiendo, a su vez, la seguridad del navegador Safari, por lo que pudieron preparar una web maliciosa para aprovechar este exploit. Una vez ejecutado el exploit, un atacante podría conseguir los datos privados del móvil, incluyendo su agenda, historial de navegación, fotografías o vídeos, entre otros.

Esta vulnerabilidad se dio a conocer casi coincidiendo con la puesta a la venta del iPhone 5 (el teléfono que, según algunos cachondos con mala baba, solo sirve para ver al Real Madrid en la clasificación de la liga de fútbol española sin tener que desplazar la pantalla hacia abajo) con su correspondiente versión 6 de iOS, versión que corrige 197 vulnerabilidades. A pesar de estos parches incluidos en esta nueva versión, esta pareja de investigadores han especulado que la vulnerabilidad presentada podría llegar a funcionar también en iOS 6, entre otras cosas porque la versión para desarrolladores también es vulnerable.

En la misma conferencia de seguridad también se hicieron públicas dos vulnerabilidades que permitían la ejecución de código y escalar privilegios en un dispositivo que usase el sistema Android, usando para las demostraciones un Samsung Galaxy S3 con Android 4.0.4, del que obtuvieron un control completo.

Para conseguir cargar un fichero malicioso necesario para la ejecución de código, el equipo de investigadores de MRW Labs usó la tecnología NFC (tecnología de comunicación en proximidad). No obstante, también sería posible alojar este fichero en una web y enviar un enlace en un mensaje SMS, adjunto en un correo electrónico, etc.

A pesar de la gravedad de esta vulnerabilidad lo mejor estaba aún por llegar, y es que en Ekoparty, la conferencia de seguridad más importante de América Latina y que cuenta con el apoyo y patrocinio de nuestros compañeros de ESET Latinoamérica, el investigador Ravi Borgaonkar mostró un método para inutilizar teléfonos móviles de algunos fabricantes que usen Android. En la demostración que podemos observar en el vídeo que ofrecemos a continuación, Ravi mostró a todos los asistentes cómo conseguía resetear un Samsung Galaxy S3 con tan solo visitar una web especialmente modificada y, a la vez, bloquear la tarjeta SIM, dejando el móvil inservible.

Esto permitiría a un atacante preparar una web maliciosa y enviar el enlace mediante correo electrónico, SMS o vincularlo a un código QR, haciendo que los posibles afectados se cuenten por millones. Lo mejor de todo es que para inutilizar el móvil se usó una llamada a un código especial que no es para nada secreto. Es más, cualquiera que investigue un poco y busque códigos utilizados para acceder a funciones especiales no tardará mucho en encontrarlo.

De momento se han publicado varios enlaces desde donde comprobar si nuestro móvil es vulnerable. En este mismo se puede revisar si nuestro teléfono es vulnerable. Si aparece el teclado para marcar y un número significa que no estamos afectados. No obstante, si aparece el teclado numérico e inmediatamente muestra en pantalla una ventana con nuestro IMEI significará que nuestro teléfono es vulnerable.

De momento solo Samsung ha anunciado la publicación de un parche que solucione esta vulnerabilidad en el modelo Galaxy S3, aunque otros modelos de la empresa como el Galaxy S2, Galaxy Ace y Galaxy Advance también han se ven afectados por esta grave vulnerabilidad. Teléfonos de otros fábricantes como HTC o Motorola son también vulnerables.

Nuestros compañeros de Security By Default han elaborado un completo resumen con información detallada acerca de esta vulnerabilidad, englobado dentro del resumen que han hecho de esta edición de la Ekoparty.

Como hemos podido observar, tenemos vulnerabilidades de todo tipo, para todos los gustos y que afectan a los sistemas operativos móviles más usados del momento. Los próximos meses prometen ser interesantes para los investigadores de seguridad que se dediquen a buscarles las cosquillas a los dispositivos móviles. Tan solo esperamos que estas noticias no se produzcan tan seguidas como en esta ocasión o tendremos que pensar en llevarnos hamacas para dormir en nuestro laboratorio

Josep Albors

@JosepAlbors

Nuevas informaciones y solución temporal para la vulnerabilidad en Internet Explorer

Hace un par de días nos hacíamos eco en este blog de una grave vulnerabilidad en el navegador Internet Explorer en sus versiones 7,8 y 9. Esta vulnerabilidad permitiría la ejecución remota de código si se visitaba una web preparada para aprovecharla, por lo que exponía a millones de usuarios a los ataques perpetrados por los ciberdelincuentes.

Varios investigadores se hicieron eco de que ya existían enlaces desde los que se descargaban ficheros maliciosos que se aprovechaban de la vulnerabilidad. Las primeras muestras detectadas descargaban e instalaban una versión de la herramienta de control remoto Poison Ivy, pero no tardaron en aparecer otros casos con diferentes tipos de malware. En el laboratorio de ESET en Ontinet.com tuvimos acceso a algunos de los archivos que conformaban un ataque de este tipo.

Gracias a la información proporcionada por investigadores como Jaime Blasco (@jaimeblascob), miembro del equipo de investigación de la empresa AlienVault, averiguamos la funcionalidad de cada uno de estos ficheros.

• El fichero exploit.html genera el vector inicial del ataque al aprovecharse de la vulnerabilidad y carga el fichero flash Moh2010.swf.
• El fichero Moh2010.swf es un archivo flash cifrado usando DoSWF. El uso de esta herramienta ha sido observado en otras investigaciones como la de algunos ataques que se aprovechaban de vulnerabilidades en Adobe Flash Player. Este archivo es el encargado de facilitar la ejecución de código, lo que aprovecha para lanzar el archivo Protect.html.
• El fichero Protect.html revisa si el sistema está ejecutando Internet Explorer 7 u 8 bajo Windows XP. Si se cumplen estas condiciones, se activa la vulnerabilidad y se ejecuta el código malicioso.
• El código malicioso está en el fichero 111.exe y, en este caso, corresponde a una variante de la RAT Poison Ivy que las soluciones de seguridad de ESET detectan como el troyano Win32/Poison.NKX. Hay otro fichero de nombre 111.exe_out que se corresponde con un ejecutable incorrectamente descifrado del fichero 111.exe, probablemente como resultado de alguna modificación realizada por los ciberdelincuentes.

Jaime también nos avisa de la conexión que ha observado entre esta vulnerabilidad y un grupo de ciberdelincuentes asiáticos. Este grupo ha modificado el fichero flash Moh2010.swf para incorporar su propio código malicioso y realizar ataques dirigidos al sector industrial y de defensa. El código del exploit se empezó a propagar usando un dominio que nos sorprendió por lo familiar del nombre: www.nod32XX.com (se han omitido los dos últimos caracteres por seguridad). Cabe aclarar que este dominio no pertenece ni tiene relación alguna con ESET y que, muy probablemente, fuera creado por los delincuentes para aprovecharse de la buena fama que tiene nuestro producto estrella. El dominio estaba alojado en una empresa de telecomunicaciones surcoreana, tal y como se puede observar al realizar una búsqueda por WHOIS:

Actualmente este dominio ya no se encuentra distribuyendo malware, pero hay otros dominios usados por el mismo grupo que podrían estar aprovechando el exploit. Jaime nos informa de que han identificado algunos de los objetivos y la lista es preocupante:

• US Aircraft and weapons delivery systems company
• US Defence decoy countermeasures company
• US Aerospace and defence technology company
• US Supplier for repairs of tactical fighters
• Laboratory for energetic systems and materials
• UK Defence contractor

¿Y mientras tanto qué hace Microsoft? Las buenas noticias son que ha anunciado para mañana 21 de septiembre una actualización de emergencia que solucionaría el fallo. Mientras tanto, ha lanzado una solución temporal conocida como “Fix it” que permite que los usuarios se protejan de esta grave vulnerabilidad con un par de clics.

Así las cosas, nuestra recomendación pasa por aplicar urgentemente la herramienta temporal “Fix it” a todos nuestros sistemas Windows e instalar el parche de seguridad tan pronto como salga mañana. Esperamos que la rápida respuesta de Microsoft ayude a mitigar todos los ataques que actualmente se están aprovechando de esta vulnerabilidad para comprometer la seguridad de los usuarios.

Josep Albors

@JosepAlbors

Vulnerabilidad crítica en Internet Explorer sin solución disponible

Tras unas semanas en las que el software de Java ha sido el protagonista absoluto en lo que respecta a vulnerabilidades, estos últimos días hemos visto cómo Internet Explorer le robaba el estrellato con el descubrimiento de una grave vulnerabilidad para este navegador. Según se ha podido comprobar, esta vulnerabilidad afecta a las versiones 7, 8 y 9 de Internet Explorer en cualquier versión del sistema operativo Windows donde estén instalados, y ya existe al menos un exploit que se aprovecha de ella y que se están propagando por la Red.

Uno de los primeros investigadores que dio la voz de alarma fue Eric Roman, el cual también opina que esta nueva vulnerabilidad podría compartir autores con los de las graves vulnerabilidades de Java de hace un par de semanas. Según afirma este investigador, desde el descubrimiento de las vulnerabilidades en Java se encargó de revisar alguno de los servidores infectados usados por los ciberdelincuentes para almacenar los exploits. Fue el pasado 14 de septiembre cuando descubrió un nuevo directorio que alojaba 4 archivos y que se corresponden con los usados para aprovecharse de esta nueva vulnerabilidad.

Esta vulnerabilidad permite la ejecución remota de código al visitar una página web preparada para aprovechar el fallo de seguridad y descargar malware en un sistema Windows completamente actualizado. El investigador Eric Roman preparó un vídeo donde se puede ver cómo se utiliza este agujero de seguridad para descargar los archivos de la herramienta de acceso remoto conocida como Poison Ivy:

Nuestros compañeros de Hispasec han elaborado un sencillo diagrama de flujo del ataque donde se observa los pasos que se realizan:

Al tratarse de una vulnerabilidad 0-day aón no existe un parche que le ponga remedio. Tampoco sabemos si Microsoft se saltará su ciclo habitual de publicación de parches de seguridad, cuya próxima actualización está prevista para el martes 9 de octubre. De momento, la única manera de mitigar el aprovechamiento de esta grave vulnerabilidad es usando otros navegadores o configurando correctamente lo que Microsoft denomina como “Kit de herramientas de experiencia de mitigación mejorada”.

La situación se agrava al conocer que, al igual que sucedió con las recientes vulnerabilidades de Java, el conocido framework Metasploit ya ha añadido un módulo para aprovechar este fallo de seguridad. Debido a la elevada cuota de mercado que aún mantiene Internet Explorer, las numerosas versiones afectadas y que el exploit puede aprovecharse para propagar todo tipo de malware, las víctimas potenciales podrían contabilizarse por millones.

Desde el laboratorio de ESET en Ontinet.com recomendamos evitar usar Internet Explorer si es posible y, en caso de ser necesario, evitar navegar por webs que no sean las habituales o pulsar sobre enlaces sospechosos recibidos mediante correo electrónico, mensajería instantánea o por redes sociales.

Josep Albors

@JosepAlbors

 

Se descubre nueva vulnerabilidad en Java tras publicarse el parche de la anterior

En las oficinas de Oracle no ganan para disgustos últimamente. La semana pasada fueron los protagonistas indiscutibles en las noticias de seguridad informática, aunque parecía que la cosa se iba a calmar tras la publicación de un parche el pasado jueves que, supuestamente, solucionaba las vulnerabilidades que presentaba su software Java en su versión más reciente hasta la fecha.

Pero pocas horas después de publicarse la nueva versión de Java 7 Update 7, investigadores de la empresa de seguridad polaca Security Explorations anunciaron el descubrimiento de una nueva vulnerabilidad presente en la recién lanzada actualización que podría ser usada para ejecutar código arbitrario en el sistema.

Según estos investigadores, el descubrimiento de esta nueva vulnerabilidad fue posible debido a que el parche tan solo eliminó el vector de ataque de las vulnerabilidades anteriores, no por la eliminación de las propias vulnerabilidades que estaban siendo aprovechadas por los exploits que surgieron al poco tiempo de hacerse públicas.

Por suerte para todos nosotros, esta empresa ya ha contactado con Oracle y le han informado de este nuevo fallo de seguridad de forma privada, por lo que, a diferencia de la anterior, no se han hecho públicos los detalles que permitirían aprovecharla de forma masiva.

A pesar del descubrimiento de este nuevo agujero de seguridad, sigue siendo altamente recomendable actualizar nuestra versión de Java a la última versión, tanto si contamos con la versión 7 como si seguimos usando la versión 6. Aun así, si queremos añadir más seguridad ante estas vulnerabilidades, la mejor opción sigue siendo deshabilitar Java de nuestros navegadores y asegurarnos de eliminar versiones antiguas de este software.

Las vulnerabilidades en Java hace tiempo que vienen siendo uno de los vectores de infección más usados por los ciberdelincuentes y esto debería preocuparnos, puesto que existen miles de millones de dispositivos, desde ordenadores de escritorio hasta móviles,  que lo emplean. Además, su posibilidad de ejecutarse en diferentes sistemas operativos lo hace aún más atractivo para ser atacado.

Si a esto le unimos que Oracle no responde como debería a estos fallos de seguridad, nos encontramos ante una situación de alto riesgo. Por poner solo un ejemplo, Oracle fue informada de las vulnerabilidades descubiertas la semana pasada, englobadas dentro de un informe que contenía un total de 19 vulnerabilidades, a principios del mes de abril.

Visto lo visto, lo mejor será ir pensando en usar Java solo para lo estrictamente necesario y tenerlo deshabilitado la mayoría del tiempo. Solo así podremos estar seguros de no ser objetivos de los exploits que, constantemente, buscan aprovecharse de los fallos de seguridad en este software para infectar nuestro sistema.

Josep Albors

@JosepAlbors

« Artículos Posteriores — Artículos Anteriores »