Así las cosas, el descubrimiento de vulnerabilidades o fallos en el diseño de aplicaciones como Twitter o Facebook tiene un gran valor, puesto que la gran cantidad de usuarios que usan estas aplicaciones las hacen ideales para propagar malware y obtener un buen número de víctimas. Una de estas vulnerabilidades fue descubierta y notificada el pasado 29 de Julio pero aun no se ha implementado una solución que la corrija, pudiéndose realizar ataques que se aprovechen de la misma, tal y como ha demostrado el investigador Mike Bailey generando una prueba de concepto.

Según ha demostrado Bailey, un usuario con sesión iniciada en Twitter puede ser forzado a publicar un mensaje malicioso cuando se visita una web preparada especialmente para aprovechar esta vulnerabilidad. En esta prueba de concepto se aprovecha la vulnerabilidad para secuestrar la cookie de inicio de sesión de la víctima y esta se usa para publicar un tweet en beneficio propio, pero también se podrían realizar otras acciones maliciosas. Es importante destacar que, aunque en la prueba de concepto preparada por Bailey es necesario pulsar un botón, en realidad no se requiere pulsar sobre ningún enlace ya que el ataque se puede realizar de forma transparente para el usuario.

Un ejemplo de aprovechamiento de esta vulnerabilidad por parte de los creadores de malware sería la aparición de un gusano que se propagase de forma masiva entre los usuarios de Twitter, donde todos los usuarios infectados publicasen un tweet con un enlace a una web maliciosa preparada para aprovecharse de esta vulnerabilidad. De esta forma, el número de usuarios afectados crecería exponencialmente y se podrían propagar todo tipo de códigos maliciosos desde esa web modificada.

Desde el laboratorio de ESET en Ontinet.com recomendamos ser cautos a la hora de pulsar sobre enlaces desconocidos proporcionados a través de Twitter o cualquier otro canal. Especialmente peligrosos son los enlaces acortados porque nunca sabemos a donde nos llevan hasta que ya estamos en la web destino. Por eso, es aconsejable utilizar servicios de alargamiento de url para conocer, al menos, el dominio donde se ubica la web a visitar. De esta forma, y tras analizar detenidamente la dirección web a visitar, podremos descartar aquellas que nos resulten sospechosas.

Josep Albors

Los pasos a seguir se limitan a los siguientes:

• Acceder al enlace proporcionado por el Servicio Técnico de Microsoft la semana pasada y descargar el archivo correspondiente al sistema operativo que deseemos parchear. Una vez descargado lo ejecutamos y reiniciamos el equipo

• A continuación, accedemos al nuevo enlace indicado por Microsoft, donde se proporciona información detallada acerca de esta vulnerabilidad y también se puede descargar el nuevo FixIt. Podemos descargar el archivo pulsando sobre la imagen que mostramos a continuación:

Desde el laboratorio de ESET en Ontinet.com y viendo que la lista de aplicaciones vulnerables crece cada día, recomendamos instalar esta solución temporal, más aun sabiendo que, al no tratarse de ninguna vulnerabilidad 0-day y recaer parte de la culpa en varios desarrolladores de software, es posible que Microsoft no lance ningún parche en su ciclo habitual de actualizaciones.

Josep Albors

En esta ocasión, Santamarta nos informa del descubrimiento de una nueva vulnerabilidad en Quicktime que puede ser usada para saltarse las protecciones ASLR y DEP incorporadas en las versiones actuales de Windows, existiendo la posibilidad de que un atacante consiguiese controlar el sistema de forma remota. Aparentemente, este fallo está provocado por un parámetro que se ha mantenido por error en el código desde versiones anteriores de Quicktime.

Como el propio Ruben Santamarta nos indica en su aviso de seguridad, no hay que exagerar el impacto de esta vulnerabilidad ya que el descubrimiento de esta puerta trasera no significa que ya exista código que se aproveche de la misma, aunque es posible que veamos algún código malicioso que intente aprovecharla en un futuro. De momento, HD Moore ya ha empezado a desarrollar un módulo de Metasploit específico.

La incorporación de ASLR y DEP en las últimas versiones de Windows hace que los creadores de códigos maliciosos busquen vulnerabilidades en aplicaciones antes que en el propio sistema. De esta forma, y teniendo en cuenta que la mayoría de usuarios ejecuta sus aplicaciones con permisos de administrador, se consigue ejecutar código malicioso saltándose, como en esta ocasión, las medidas de seguridad incorporadas por Microsoft en sus productos.

Desde el laboratorio de ESET en Ontinet.com aconsejamos estar atentos ante el lanzamiento de una nueva versión de Quicktime que solucione este fallo. Mantener una política de actualizaciones del sistema y de las aplicaciones usadas  también puede ahorrarnos más de un problema.

Josep Albors

Han sido bastantes las compañías (incluyendo a la propia Microsoft) que han visto sus nombres publicados en varias listas de aplicaciones vulnerables y algunas ya han empezado a tomar cartas en el asunto. La aplicación uTorrent ha sido una de las primeras en lanzar una nueva versión que solucionaba este fallo, según han anunciado sus desarrolladores, y es de esperar que no sea la última.

Asimismo, también se ha descubierto que algunas distribuciones GNU/Linux podrían sufrir un fallo parecido al del secuestro de librerías en Windows. Según el investigador Tim Brown, este fallo es muy probable que se encuentre en sistemas del tipo “closed-source” que hayan sido compilados usando librerías de terceros, aunque es difícil que esta vulnerabilidad pueda ser aprovechada de forma remota. A pesar de que el aprovechamiento de este fallo depende de que paquetes se tengan instalados (lo que limita mucho el alcance de la vulnerabilidad), Brown recomienda a los desarrolladores de las diferentes distribuciones solucionarlo cuanto antes.

Desde el laboratorio de ESET en Ontinet.com, aconsejamos a los usuarios que sigan manteniendo una política de actualización del sistema y de las aplicaciones usadas para solucionar este tipo de agujeros de seguridad. El uso de un antivirus actualizado también resulta fundamental para detectar amenazas que quieran aprovecharse de esta y otras vulnerabilidades. Si bien aún no hemos visto ningún aprovechamiento masivo de este fallo en la carga de librerías dinámicas, siempre es recomendable prevenir antes que curar.

Josep Albors

Desde el punto de vista de un usuario medio, el aprovechamiento de esta vulnerabilidad tendría un resultado similar al de muchas otras. El usuario ejecuta un archivo o pulsa sobre un enlace buscando descargar algún fichero y, como resultado, su sistema queda infectado. Pero, ¿qué pasos se han seguido para lograr infectar nuestro sistema. El siguiente gráfico lo resume de forma sencilla:

Por poner un ejemplo, de los muchos que se podrían usar aprovechándose de este vector de ataque, supongamos que recibimos uno de los típicos correos con una presentación de PowerPoint adjunta. Si la abrimos y esta presentación ha sido modificada para cargar una librería DLL desde una ubicación remota controlada por un atacante, esta se cargará en nuestro sistema, permitiendo la ejecución de código malicioso en el mismo. También podemos ver ejemplos donde, en lugar de un archivo adjunto, encontremos un enlace a una ubicación externa y que nos invite a descargar un archivo de cualquier tipo (música, video, documentos, etc.). Si el archivo está modificado para utilizar una librería .dll modificada por el atacante, esta se cargará sin nuestro conocimiento, comprometiendo la seguridad de nuestro sistema.

Con respecto a los consejos que se pueden dar para aquellos usuarios preocupados por su seguridad, el uso de un antivirus que sea capaz de detectar las amenazas que se aprovechen de este vector de ataque es fundamental, tanto como lo es nuestro sentido común para evitar ejecutar archivos sospechosos que provienen de fuentes no confiables.

Al ser un fallo compartido tanto por Microsoft como por los desarrolladores de software, la solución a esta vulnerabilidad aun no está del todo clara. Antes que lanzar un parche problemático que bloquee u ocasione problemas en el funcionamiento de muchas aplicaciones conocidas, Microsoft aconseja a los desarrolladores, seguir un manual de buenas prácticas que evite este tipo de incidentes.

Desde el laboratorio de ESET en Ontinet.com aun no hemos observado casos masivos de malware que se aprovechen de esta vulnerabilidad aunque, como siempre, es solo cuestión de tiempo. Desde luego, tenemos muy claro que esta, y muchas otras vulnerabilidades aun desconocidas para el gran público y la mayoría de investigadores, están siendo aprovechadas desde hace meses a menor escala, pero eso es algo inherente al estado del malware en la actualidad y al negocio generado alrededor de él. Es por eso que nunca nos cansaremos de recordar la importancia mantener nuestros sistemas de seguridad (antivirus, cortafuegos, actualizaciones de sistema y aplicaciones) siempre activos para mitigar los posibles ataques que podamos sufrir.

Josep Albors

Esta vulnerabilidad se aprovecha de fallos en la carga de librerías dinámicas por parte de varias aplicaciones para Windows. Inicialmente se pensó que estas aplicaciones podrían rondar las 40, pero análisis más recientes afirman que el número de aplicaciones afectadas es más elevado, aunque aún no se han proporcionado muchos detalles sobre cuales son las aplicaciones con este problema. Aprovechándose de este fallo, un atacante podría hacer que se ejecutase código malicioso en el sistema y poner en jaque la seguridad del mismo.

Tal y como comentan nuestros compañeros del Inteco, para aprovechar este fallo de seguridad, el usuario ha de ejecutar un fichero vulnerable desde una ubicación controlada por el atacante. Esta ubicación puede variar y ser un recurso compartido en nuestra red, WebDAV o cualquier dispositivo de almacenamiento USB. Cuando la aplicación asociada a la gestión de ese archivo lo abre, es cuando se carga una librería DLL que puede haber sido modificada para cargar código no autorizado en nuestro sistema. Esto sucede porque, al intentar cargar la librería sin haber especificado la ruta completa, Windows la intenta encontrar en una serie de directorios predefinidos. Si se sustituye la librería original por otra maliciosa, la aplicación la cargará sin revisarla previamente.

Desde Offensive Security han publicado un vídeo donde se observa un ejemplo de un ataque utilizando esta vulnerabilidad:

KB: We can’t fix this one – Microsoft DLL Hijacking Exploit from Offensive Security on Vimeo.

Microsoft ha informado detalladamente de esta vulnerabilidad y ya ha puesto a disposición de los usuarios una solución que limita el alcance de este fallo, en esta ocasión la culpa debe repartirse también entre los desarrolladores de software, puesto que, si se definiese con claridad la ubicación desde la que se cargan las librerías, no hubiese podido explotarse este fallo.

Hasta que se publique el parche de seguridad (en caso de que aparezca) que solucione esta vulnerabilidad, Microsoft ha publicado una serie de medidas que pueden tomarse para mitigar los posibles ataques que puedan ocurrir, como por ejemplo:

• Deshabilitar el cliente WebDAV

• Bloquear los puertos 139 y 445 en el cortafuegos.

• Desactivar todo el tráfico saliente SMB en el perímetro

• Desactivar el servidor “Cliente Web” en todas las estaciones de trabajo mediante una política de grupo.

Aunque estas medidas no solucionan el problema en todos los escenarios, si que ayudan a mitigar en gran medida los posibles ataques.

Desde el laboratorio de ESET en Ontinet.com y con el recuerdo de la vulnerabilidad .lnk aun fresco, recomendamos a los usuarios permanecer informados acerca de un posible lanzamiento del parche de seguridad que la solucione para aplicarlo lo antes posible. Contar con un antivirus y un cortafuegos capaz de detener a todas aquellas amenazas que intenten aprovecharse de esta vulnerabilidad también es fundamental. Asimismo, la información que puede obtenerse en la propia web de Microsoft, el servicio de avisos de seguridad del Inteco o este blog puede resultar de gran ayuda para evitar males mayores.

Josep Albors

La integración de un ordenador de a bordo que se encargue de gestionar diversas funciones del automóvil es algo frecuente desde hace ya unos años. Es el encargado de analizar la información enviada por los múltiples sensores del vehículo, de gestionar la información enviada a nuestro GPS, controlar el reproductor de música y vídeo y la climatización, por poner solo unos ejemplos. Así pues, si disponemos de un ordenador, también dispondremos de un sistema operativo que lo controle, y aquí es donde los aspectos que afectan a la seguridad informática de ese sistema toman importancia.

Ya a principios de año, investigadores de la universidad de Washington y USCD consiguieron acceder al sistema de control (CAN) instalado en todos los coches de fabricación reciente en los Estados Unidos. Este sistema está diseñado para que los diferentes sistemas del vehículo se comuniquen entre sí, haciendo que los problemas que aparezcan sean más fáciles de diagnosticar. Este grupo de investigadores consiguieron acceder a este sistema de control mediante el puerto de conexión que se encuentra incorporado en los vehículos, pudiendo capturar y analizar la información que se transmitía. Una vez accedido al sistema, el coche quedaba a su control, pudiendo lanzar órdenes para que sonase el claxon, hacer que los frenos dejasen de funcionar o incluso apagar el motor y bloquear las puertas. Afortunadamente, para hacer todas estas operaciones se requería un amplio conocimiento del funcionamiento de este tipo de sistemas y de acceso físico al puerto de conexión, por lo que se reducían bastante las posibilidades de que empezásemos a ver ataques de este tipo en nuestras calles.

No obstante, recientemente, otro grupo de investigadores de las universidades de Carolina del Sur y Rutgers consiguió acceder al sistema de alerta del automóvil usando los sensores inalámbricos presentes en las ruedas que incorporan todos los vehículos de los Estados Unidos desde 2008. Una vez accedieron al sistema usando esta técnica, no tuvieron ningún impedimento para enviar órdenes, como indicar una falsa pérdida de presión en una de las ruedas. Este tipo de ataques a distancia ya representa una amenaza más peligrosa, sobre todo si tenemos en cuenta que, según los investigadores que realizaron el experimento, el equipo necesario para realizar este tipo de ataques cuesta alrededor de 1500 dólares.

Tras leer los resultados de estas investigaciones, uno puede pensar que los ataques informáticos a nuestros automóviles pueden empezar a ser un serio problema. No obstante, ese escenario aun es bastante improbable en un futuro cercano. Para lo que deben servir estas investigaciones es para que los fabricantes de automóviles empiecen a considerar importante reforzar la seguridad de los sistemas de control que incorporan. Si se hace bien, los usuarios no tendrán que preocuparse de instalar un antivirus también en su vehículo.

Josep Albors

Las nuevas versiones de estos productos son Adobe Flash 10.1.82.76 y Adobe Air 2.0.3, siendo recomendable la actualización a las mismas lo antes posible, puesto que las vulnerabilidades que se solucionan pueden ocasionar la ejecución de código no autorizado en nuestro sistema.

Como ha ocurrido en anteriores ocasiones, estas vulnerabilidades son multiplataforma, pudiendo ser explotadas en entornos Windows, GNU/Linux y Mac OS. Estos agujeros de seguridad multiplataforma han empezado a ser bastante comunes últimamente y representan un vector de ataque muy interesante para los creadores de malware, puesto que aprovechando una sola vulnerabilidad en una aplicación de terceros pueden afectar a varios sistemas a la vez.

Desde el laboratorio de ESET en Ontinet.com recomendamos actualizar a la última versión tanto de Adobe Flash Player como de Adobe Air. Asimismo podemos usar un servicio gratuito como el ofrecido por Secunia Online Software Inspector para revisar que disponemos de las últimas versiones de las aplicaciones que usamos y, en caso contrario, descargarlas e instalarlas.

Josep Albors

La actualización de seguridad publicada por Apple ha sido preparada y lanzada en un tiempo récord desde que se hizo pública, lo cual siempre es de agradecer. No obstante, debido a que muchos usuarios de estos dispositivos aun quieren seguir usando las funciones adicionales que les ofrece el Jailbreak, es muy probable que se queden muchos dispositivos por actualizar, al menos hasta que se consiga hacer el Jailbreak a esta nueva versión.

Para aplicar la actualización del sistema, tan solo deberemos conectar nuestro dispositivo a iTunes y se nos avisará de que ya se encuentra disponible una nueva versión. No obstante, para poder aplicar este parche, es necesario actualizar a la última versión del iOS, siendo esta la 4.0.2 en iPhone e iPod Touch y 3.2.2 en el iPad. Así pues, nos encontramos ahora mismo en una situación similar a la de los sistemas operativos de escritorio, donde encontramos usuarios reticientes a actualizar sus sistemas por diversos motivos (incompatibilidad con programas antiguos, falta de presupuesto, licencias ilegales, etc), siendo estos usuarios los más vulnerables ante las nuevas amenazas.

Cabe recordar que, a pesar de que la gran mayoría de códigos maliciosos existentes hoy en día afectan a sistemas Windows, cada vez es mayor la cantidad de amenazas detectadas en otros sistemas y plataformas como los dispositivos móviles. Esta situación se agrava debido a que la mayoría de usuarios se sienten inmunes cuando están usando este tipo de dispositivos o sistemas operativos como GNU/Linux o Mac OS. La falsa sensación de seguridad puede alimentar malas prácticas que nos hagan pagar muy cara esta confianza.

Desde el laboratorio de ESET en Ontinet.com recomendamos a los usuarios de aquellos dispositivos de Apple afectados por estas vulnerabilidades que apliquen la correspondiente actualización de seguridad para mantenerse protegidos.

Josep Albors

Recordemos que se trataba realmente de dos vulnerabilidades. La primera de ellas usaba una fuente corrupta introducida en un archivo PDF para ejecutar código, mientras que la segunda usa una vulnerabilidad en el kernel para saltarse las medidas de protección que Apple incorpora en estos dispositivos, permitiéndole escalar privilegios hasta obtener permisos de root (administrador). En este escenario, cualquiera de los dispositivos vulnerables (iPhone, iPad e iPod Touch con o sin Jailbreak) estaba expuesto a amenazas con tan solo visitar un enlace específicamente preparado o abrir un archivo PDF modificado que haya recibido por email o a través de SMS.

Pero no solo estos dispositivos se vieron afectados. El lector de archivos PDF Foxit Reader también vio como, al intentar manejar estos PDF modificados, se producía un error que puede ser aprovechado para inyectar y ejecutar código arbitrario en un sistema. Una nueva versión del programa ha sido lanzada, según anuncian los desarrolladores, y los usuarios que lo deseen ya pueden descargarla.

Cabe destacar que, en esta ocasión, los productos de Adobe no se han visto afectados, lo que supone un respiro en el largo historial de vulnerabilidades de esta empresa. Desde el laboratorio de ESET en Ontinet.com recomendamos aplicar el parche tan pronto como se encuentre disponible y actualizar a la última versión de Foxit Reader si somos usuarios de esta aplicación.

Josep Albors