• Buscar

• Síguenos en Twitter

• Categorías

  • actualizaciones (24)
  • adware (3)
  • Anuncios (13)
  • Botnets (12)
  • Clickjacking (2)
  • Curiosidades (21)
  • Defacement (2)
  • Educación (50)
  • Estadísticas (3)
  • Eventos (11)
  • exploit (31)
  • General (18)
  • Hacking (23)
  • Herramientas (12)
  • Heurística (5)
  • Hoax (2)
  • Informes (6)
  • Ingenieria social (49)
  • Malware (147)
  • Phishing (31)
  • Piratería (4)
  • Productos (27)
  • redes sociales (26)
  • rogue (13)
  • Scam (1)
  • scareware (2)
  • seguridad (19)
  • Spam (63)
  • telefonía (2)
  • Tutoriales (18)
  • Vulnerabilidades (113)

• Archivos

  • Julio 2010 (36)
  • Junio 2010 (43)
  • Mayo 2010 (27)
  • Abril 2010 (26)
  • Marzo 2010 (14)
  • Febrero 2010 (16)
  • Enero 2010 (14)
  • Diciembre 2009 (7)
  • Noviembre 2009 (5)
  • Octubre 2009 (3)
  • Septiembre 2009 (3)
  • Agosto 2009 (8)
  • Julio 2009 (6)
  • Junio 2009 (2)
  • Mayo 2009 (4)
  • Abril 2009 (6)
  • Marzo 2009 (6)
  • Febrero 2009 (3)
  • Enero 2009 (3)
  • Diciembre 2008 (5)
  • Noviembre 2008 (5)
  • Octubre 2008 (10)
  • Septiembre 2008 (9)
  • Agosto 2008 (7)
  • Julio 2008 (8)
  • Junio 2008 (10)
  • Mayo 2008 (13)
  • Abril 2008 (12)
  • Marzo 2008 (7)
  • Febrero 2008 (5)
  • Enero 2008 (2)
  • Diciembre 2007 (7)
  • Noviembre 2007 (6)
  • Octubre 2007 (7)
  • Septiembre 2007 (9)
  • Agosto 2007 (3)
RSS Artículos | RSS Comentarios

Vulnerabilidad LNK es aprovechada por más familias de malware

En anteriores entradas hablando de la vulnerabilidad CVE-2010-2568, los investigadores de ESET ya comentaban como el malware tradicional no tardaría en aprovechar este nuevo vector de infección para propagarse. Pierre-Marc Bureau avisó la semana pasada de dos nuevas familias de malware que ya estaban aprovechándose de esta vulnerabilidad y estos últimos días hemos visto como otras familias se han adaptado para aprovecharla.

Nuestro compañero Jorge Mieres de ESET Latinomérica nos explica como uno de los packs de crimeware, conocido como Zombie Explotation Pack, ya ha incluido esta vulnerabilidad como vector de ataque del malware usado para infectar sistemas e incluirlos en las redes botnets creadas con este kit.

Asimismo, el código malicioso polimórfico de nombre Sality, conocido por modificar su código frecuentemente para evitar su detección, también se aprovecha de esta vulnerabilidad, usando páginas webs especialmente modificadas para esparcirse. Esta variante crea una serie de accesos directos .lnk y utiliza nombres típicos de carpetas del sistema o sugerentes.

Los investigadores de F-Secure también han descubierto como una nueva variante de Zeus (una de las botnets mas populares) también ha empezado a adaptar su código para incluir esta grave vulnerabilidad. Actualmente, se está usando un falso correo electrónico que dice venir del departamento de seguridad de Microsoft para infectar a los usuarios. Aunque esta variante es relativamente nueva, el exploit usado es conocido por muchas casas antivirus y permite su fácil detección. Asimismo, el hecho de que el usuario tenga que abrir el archivo adjunto e incluir un archivo de forma manual en una ubicación concreta del sistema hace que pierda efectividad.

Como hemos comentado en posts anteriores en los que tratábamos este tema, estamos en las primeras etapas de un vector de ataque que puede seguir usándose durante mucho tiempo, como lo fueron y siguen siendo las infecciones que usan la característica Autorun. Aunque Microsoft lance pronto un parche para solucionarlo, es más que probable que muchos usuarios no lo instalen hasta dentro de bastante tiempo y veamos cómo esta vulnerabilidad es aprovechada durante muchos meses, tal y como sucedió con Conficker.

Desde el laboratorio de ESET en Ontinet.com seguimos recomendando la descarga e instalación de un antivirus con capacidad de detección de amenazas que aprovechen esta vulnerabilidad como medida de protección básica.

Josep Albors

Descubierta una vulnerabilidad crítica en Quicktime

Krystian Kloskowski, a través de Secunia.com, nos informa de una vulnerabilidad crítica que afecta al software de Apple para la reproducción de vídeo y música llamado Quicktime. Esta vulnerabilidad se ha detectado en la versión 7.6.6 para Windows, aunque no se descarta que en otras versiones también pueda ocurrir.

La vulnerabilidad es debida a un error de límites en un componente llamado QuickTimeStreaming.qtx. Este error se produce en la construcción de una cadena, mientras se escribe un archivo en el registro. Esto podría ser aprovechado para provocar un desbordamiento de Búfer o incluso ejecutar código arbitrario a través de una página web expresamente modificada para ello.

Desde el departamento técnico de ESET en Ontinet.com, aconsejamos a los usuarios no abrir archivos multimedia de páginas no fiables, o mientras Apple implemente una actualización que arregle dicha vulnerabilidad, utilizar otras aplicaciones de reproducción de archivos multimedia.

David Sánchez

Descubierta vulnerabilidad en aplicación para acceder a CitiBank a través de móvil

Hemos conocido a través de SecurityTracker una vulnerabilidad en la aplicación para móvil llamada Citi Mobile. Esta aplicación sirve para que los usuarios de Citibank, primer banco nacional en los Estados Unidos, realicen operaciones bancarias por medio de distintos dispositivos móviles.

Dicha vulnerabilidad permite a un usuario local del dispositivo obtener datos sensibles de la cuenta. Esto es debido a que la aplicación Citi Mobile almacena información crítica, como números de cuenta, pagos de facturas y códigos de acceso de seguridad, en un archivo oculto dentro del dispositivo, con lo que cualquier usuario local podría acceder a esta información.

Además se ha descubierto que si el dispositivo realiza copias de seguridad a través del iTunes, un usuario local en el sistema donde se ha realizado la copia en el iTunes también podría acceder a dicha información.

Desde el departamento técnico de ESET en Ontient.com, aconsejamos a los usuarios de esta aplicación actualizar a la versión 2.0.3 que ya repara esta vulnerabilidad. Los usuarios de iTunes pueden acceder directamente a esta nueva versión desde el siguiente enlace: http://itunes.apple.com/us/app/citi-mobile-sm/id301724680?mt=8.

David Sánchez

Resumen de vulnerabilidades en navegadores

Esta semana pasada ha sido especialmente interesante en lo que respecta a la seguridad en navegadores web. Tanto Firefox como Safari se han visto envueltos en problemas de seguridad que exponían a los usuarios a riesgos potenciales.

A mediados de la semana pasada, Mozilla lanzó una nueva versión de su navegador Firefox (3.6.7) que incluía 14 actualizaciones de seguridad, muchas de ellas catalogadas como críticas. Apenas dos días después, Mozilla se vio obligada a lanzar una nueva versión (3.6.8) para corregir un problema de estabilidad que hacía que el navegador se colgase al visitar ciertas webs que hacían uso de algunos complementos que pueden instalarse en el navegador. Además de corregir este fallo, se aprovechó para corregir otros errores que se arrastraban desde versiones anteriores. Mozilla recomienda descargar la última versión de Firefox desde los enlaces preparados a tal efecto.

Asimismo, ha sido descubierta una vulnerabilidad en el navegador Safari que permitiría obtener datos confidenciales de un usuario usando la función de autocompletar en una web especialmente diseñada. Esta información se podría obtener desde la libreta de direcciones de los sistemas Mac OS y que se encuentra vinculada al navegador. El investigador Jeremiah Grossman ha realizado un excelente análisis de esta vulnerabilidad en su blog donde explica (con vídeo incluido) como una página web modificada para aprovechar este fallo de seguridad puede obtener datos sensibles del usuario.

Al parecer, este investigador ya informó de este fallo a Apple en junio pero, a falta de una respuesta satisfactoria, decidió hacer pública toda la información de la que disponía para que se tomara consciencia de la gravedad del problema. Tras la publicación de esta información, Apple ha confirmado que están al tanto del problema y ya se encuentran trabajando en una solución.

Que los navegadores de Internet sean noticia cada vez de forma más asidua demuestra que el vector de ataque principal se encuentra en Internet. Al ser los navegadores una herramienta necesaria para poder usar la red de redes, es normal que los creadores de malware centren sus miradas en ellos para poder aprovechar cualquier fallo que encuentren y puedan infectar al mayor número de usuarios posible, independientemente del navegador que usen. Desde el laboratorio de ESET en Ontinet.com, recomendamos mantenerse informado acerca de cualquier actualización de seguridad de nuestro navegador para así instalarla tan pronto como sea posible.

Josep Albors

Más información acerca de la vulnerabilidad CVE-2010-2568

Según pasan los días vamos conociendo nuevos detalles sobre la grave vulnerabilidad CVE-2010-2568 que afecta a los sistemas Windows y que permite la ejecución de código a través de archivos .LNK (accesos directos) maliciosos. Pierre-Marc Bureau, uno de los investigadores más destacables de ESET, informa acerca del descubrimiento de dos nuevas familias de malware que explotan esta vulnerabilidad.

Por una parte tenemos a una nueva familia de malware identificada como Win32/Trojan.Downloader.Chymine.A. Este malware instala un keylogger (registro de las pulsaciones en un teclado) detectado como un troyano de nombre Win32/Spy.Agent.NSO. Según los estudios realizados por los investigadores de ESET, el servidor usado para albergar y servir estos componentes se encuentra ubicado en los Estados Unidos pero la IP está asignada a un usuario de China.

La otra amenaza detectada que utiliza esta grave vulnerabilidad es una vieja conocida como Win32/Autorun.VB.RP, que ha sido actualizada para incluir el exploit como nuevo vector de propagación. Al parecer, esta actualización de la amenaza ya existente, descarga e instala componentes adicionales en máquinas ya infectadas.

Estos casos responden a la evolución típica del malware, que evoluciona para aprovechar las vulnerabilidades que vayan apareciendo para, de esta forma, aumentar sus vectores de ataque. Sabiendo que aun no existe parche que solucione esta vulnerabilidad y basándonos en experiencias pasadas, es más que probable que en las próximas semanas e incluso meses veamos más casos de malware “tradicional” que es modificado para aprovechar al máximo este agujero de seguridad.

Tras analizar estas dos nuevas familias de malware, los investigadores de ESET han comprobado que se trata de ejemplares menos sofisticados que el malware Win32/Stuxnet detectado originalmente. Cabe destacar que, mientras Win32/Trojan.Downloader.Chymine.A no genera archivos .LNK maliciosos ni se propaga de forma automática, la nueva versión de Win32/Autorun.VB.RP sí que genera archivos .LNK que explotan la vulnerabilidad existente para facilitar su propagación.

Así las cosas y viendo que estamos tan solo en el principio de lo que parece ser un nuevo vector de ataque que va a ser usado masivamente de forma inminente, desde el laboratorio de ESET en Ontinet.com recomendamos seguir atentos a las noticias publicadas por Microsoft acerca de esta vulnerabilidad para, de esta forma, instalar el parche de seguridad tan pronto como este se encuentre disponible. Asimismo la aplicación de medidas paliativas como el Fix it publicado recientemente y la instalación de un antivirus capaz de detectar las amenazas que se aprovechan de esta vulnerabilidad son medidas básicas de protección para tener nuestros sistemas protegidos.

Josep Albors

Las conexiones WI-FI WPA2 pueden no ser seguras

WPA2, basada en el nuevo estándar 802.11, era el protocolo de seguridad más sólido que se podía usar hasta ahora. Se utiliza para proteger las redes inalámbricas (Wi-Fi). Fue creado en su día para corregir las vulnerabilidades detectadas en la versión anterior, llamada WPA .

Según las investigaciones realizadas por Airtightnetworks, han descubierto una vulnerabilidad en este sistema de protección, a la que han llamado “Hole 196”, por la cual deja expuesta la seguridad de la red Wi-Fi a personas con propósitos maliciosos conectadas ya a la propia red.

El atacante, estando ya conectado a la red, puede enviar falsos paquetes cifrados, engañando al resto de usuarios para que redirijan sus paquetes al propio atacante. Con ello el atacante puede rastrear y descifrar los datos de otros usuarios autorizados, así como escanear sus dispositivos Wi-Fi en busca de vulnerabilidades, instalar malware o incluso para comprometer los dispositivos Wi-Fi.

Se realizará una presentación Webinar el día 4 de Agosto a las 11am, hora del Pacífico, para proporcionar más detalles acerca de esta vulnerabilidad. Para registrarse pueden hacer clic en el siguiente enlace: https://admin.acrobat.com/_a1013426351/e86663687/event/registration.html

Desde el departamento técnico de ESET en Ontient.com seguiremos informando de cualquier novedad al respecto. También recomendamos a los usuarios que sean cautos este verano al conectarse a redes WiFi públicas o desprotegidas.

David Sánchez

Publicado Fix it para la grave vulnerabilidad de Windows

Siguiendo con las noticias relacionadas con la grave vulnerabilidad existente en sistemas Windows que permite la ejecución de malware sin interacción del usuario, Microsoft ha lanzado un Fix it (o solución temporal) mientras preparan un parche que la solucione. Esta solución temporal deshabilita la funcionalidad de los archivos .lnk y .pif (en cuyo manejo erróneo radica la vulnerabilidad) en un ordenador funcionando bajo Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 o Windows Server R2.

Microsoft ha puesto a disposición de todo aquel que desee aplicar este Fix it las instrucciones para aplicarlo en el siguiente enlace:

• Microsoft Fix it para vulnerabilidad en el manejo de archivos .lnk y .pif

Cabe recordar que la aplicación de esta solución temporal repercutirá en la experiencia de usuario al manejar sistemas Windows puesto que deshabilita funciones a las que estamos acostumbrados, como la representación de los iconos de las aplicaciones, pero siempre es preferible esta incomodidad al riesgo de que nuestro sistema quede infectado.

Asimismo, los chicos de Security by Default han publicado un artículo (basado en las instrucciones proporcionadas por el investigador Didier Stevens) donde explican como mitigar esta vulnerabilidad aplicando directivas de restricción de software. Todo aquel que desee conocer cómo aplicar esta solución puede pasarse por su siempre interesante blog.

Mientras vemos como se publican métodos para evitar los efectos de esta grave vulnerabilidad, los investigadores y empresas de seguridad informática seguimos alerta observando cualquier novedad acerca de posibles ataques que se aproveche de la misma. Junto a los consejos y soluciones proporcionadas en este blog, desde el laboratorio de ESET en Ontinet.com recomendamos descargar e instalar un antivirus que sea capaz de detectar y bloquear los códigos maliciosos que ya están aprovechándose de esta situación, así como también detectar variantes futuras.

Josep Albors

Actualizando información sobre LNK/Autostart.A

Según van pasando los días y los investigadores analizan el malware que se aprovecha de la nueva vulnerabilidad 0-day de Microsoft (es decir, aquella vulnerabilidad que está siendo aprovechada pero para la que no existe parche de seguridad), va apareciendo nueva información al respecto. Investigadores de ESET han detectado un nuevo malware íntimamente relacionado con el malware LNK/Autostart.A que tanto está dando que hablar en los últimos días.

El fichero que alberga esta nueva muestra detectada responde al nombre de jmideb.sys. La fecha de creación del mismo es mucho más reciente (14 de julio) que el código malicioso anterior  y sus funciones son similares a las que ya tenía presentes el malware descubierto la semana pasada (robo de información y ocultación en el sistema infectado usando técnicas de rootkit). No obstante, el certificado que usa esta nueva muestra es diferente a la detectada anteriormente. Si la semana pasada comentábamos que se había usado el certificado de la empresa Realtek Semiconductor Corp., en esta ocasión se detectó que usaba el certificado de la empresa JMicron Technology Corp. para firmar el archivo malicioso. Da la casualidad de que ambas empresas se encuentran ubicadas en el Hsinchu Science Park de Taiwan.

La proximidad de las empresas cuyos certificados fueron usados de forma ilícita para firmar los archivos infectados y el hecho de que se apuntaran a sistemas SCADA de gestión de infraestructuras críticas (concretamente, un modelo de la empresa Siemens) hace pensar en una operación muy bien planificada y profesional. Otro hecho que hace pensar en algún tipo de operación de espionaje es que la mayoría de muestras detectadas lo han sido, mayoritariamente en dos países, Estados Unidos (58%) e Irán (30%). La tensión política entre ambos países es evidente debido a la polémica sobre el supuesto uso de tecnología nuclear para la fabricación de armas de destrucción masiva por parte de las autoridades iraníes.

Más allá del problema de seguridad que supone acceder a uno de estos sistemas de gestión de infraestructuras críticas, lo verdaderamente preocupante para la mayoría de usuarios es que el exploit que se aprovecha de esta vulnerabilidad ya es público, por lo que los creadores de malware tan solo tienen que modificarlo para empezar a propagarlo de forma masiva. Recordemos que no hace falta ejecutar ningún archivo para infectar nuestro sistema y que solo visitando una unidad USB o carpeta compartida con un explorador de archivos con la capacidad de mostrar los iconos de acceso directo (.lnk) podemos infectarnos.

Puesto que los códigos maliciosos que se aprovechan de esta vulnerabilidad son detectados de forma genérica por las soluciones de seguridad de ESET, desde el laboratorio de ESET en Ontinet.com, recomendamos la descarga e instalación de un antivirus que pueda detectar y bloquear estas amenazas hasta que Microsoft lance el correspondiente parche de seguridad.

Josep Albors

La última actualización de iTunes corrige una grave vulnerabilidad

Apple ha publicado una nueva actualización de iTunes, la versión 9.2.1, la cual, además de corregir varios bugs, corrige una importante vulnerabilidad de seguridad, por la cual, según indican en threatpost.com, se podría permitir la ejecución de código malicioso.

Lo comentado de dicha vulnerabilidad desde Apple:

Es un desbordamiento del búfer en el manejo de direcciones “itpc”. Un acceso malicioso mediante “Itpc” podría bloquear la aplicación o ejecutar código arbitrario.

En la página de soporte de Apple no dan más información debido a que desean proteger a sus usuarios del posible uso de dicha vulnerabilidad por los creadores de malware. Desde el departamento técnico de ESET en Ontient.com, aconsejamos a los usuarios de iTunes descargar e instalar dicha actualización para así corregir esta vulnerabilidad. Pueden descargar la versión 9.2.1 desde el siguiente enlace: http://www.apple.com/itunes/download, o pueden actualizar la versión de iTunes ya instalada utilizando la aplicación Apple Software Update.

David Sánchez

Microsoft informa sobre la nueva vulnerabilidad

Si el pasado día 15 nos hacíamos eco del descubrimiento de una nueva vulnerabilidad que, en un principio, se propagaba usando dispositivos USB y se aprovechaba de un fallo en el manejo de cierto tipo de ficheros por parte de algunos exploradores de archivos, en el día de hoy Microsoft ha publicado un aviso de seguridad que arroja mas información al respecto.

Según se informa por parte de Microsoft, esta vulnerabilidad afecta a todas las versiones de Windows existentes y aun no existe parche para la misma. También se informa de que, además de propagarse mediante medios extraíbles, puede hacerlo usando la compartición de archivos de Windows y WebDav. Asimismo, se proporcionan unas instrucciones para poder mitigar este ataque y no estar indefensos ante él. Podemos encontrar el boletín de seguridad de Micrososft en el siguiente enlace:

• Microsoft Security Advisory (2286198)

Desde ESET ya se ha informado de casos de malware que están aprovechando esta nueva vulnerabilidad para infectar a los usuarios. No obstante, las soluciones de seguridad de ESET ya detectan estas nuevas amenazas con la nomenclatura de LNK/Autostart.A. Como ya avisamos en nuestro post anterior hablando de esta nueva amenaza, las muestras detectadas hasta ahora tienen capacidad de rootkit por lo que pueden ser difíciles de eliminar si no se cuenta con una solución de seguridad con capacidad para eliminar este tipo de infiltraciones.

A pesar de que todos los análisis realizados tras el descubrimiento de esta nueva amenaza apuntaba a que el objetivo de la misma eran los sistemas SCADA de gestión de infraestructuras, una vez analizado el alcance de la misma es más que probable que en poco tiempo sea usado para atacar de forma masiva cualquier sistema Windows vulnerable. Especialmente preocupante son los casos de Windows XP SP2 y Windows 2000, que se encuentran fuera de su ciclo de vida y no recibirán más actualizaciones de seguridad, dejando a sus usuarios desprotegidos ante esta y futuras amenazas.

Desde el laboratorio de ESET en Ontinet.com recomendamos instalar la actualización de seguridad tan pronto como esta se encuentre disponible y, mientras no lo esté, debemos asegurarnos de contar con un antivirus capaz de frenar esta amenaza y aplicar las instrucciones proporcionadas por Microsoft para mitigar este ataque.

Josep Albors

Artículos Anteriores »