Como bien anunciaba mi compañero Jorge Mieres en el post sobre Operación Aurora, luego de la realización de un ataque dirigido a grandes organizaciones (por lo cual fue popularizado el incidente), el mismo ahora "ocurre en forma masiva desde distintos sitios a través de Drive-by-Download". Para más detalles sobre el ataque pueden leer la nota de prensa publicada al finalizar la semana por ESET Latinoamérica.
Desde el blog de ESET en inglés, Pierre-Marc Bureau comparte algunos datos sobre la mencionada masificación de esta amenaza:
Hasta el momento, hemos detectado más de 650 versiones del código del exploit, todos detectados por ESET NOD32 como Trojan.JS/Exploit.CVE-2010-0249. También hemos identificado más de 220 puntos de distribución únicos del exploit, en su mayoría localizados en Asia. Los países donde hemos visto la mayoría de los ataques son China, Corea y Taiwan.
En un análisis del proceso de infección y el código del ataque, se concluye que un usuario que acceda a un sitio web malicioso con un exploit para esta vulnerabilidad, y que no haya actualizado (instalado el parche) su navegador Internet Explorer, o no posea una solución antivirus con la base de firmas actualizada, terminará infectado con 8 archivos maliciosos distintos.
Como bien indica Bureau, "la evolución del uso del exploit sigue el curso natural de lo que hemos venido observando en los últimos meses". Vulnerabilidades de este tipo son aprovechadas en una primera etapa para realizar unos pocos ataques dirigidos (como lo anunciáramos en el informe de tendencias para el 2010). Cuando los detalles del exploit se vuelven públicos, "los desarrolladores de malware lo integran en su código y lo usan para infectar tantos usuarios como sea posible".
Esta evolución puede observarse para otros códigos maliciosos que explotan vulnerabilidades, como el caso de Conficker. Especialmente la segunda etapa es la más importante para aprender de este tipo de incidentes: los ataques se vuelven masivos luego de la publicación de los detalles.
Aunque los índices de infección no reflejen lo mismo, esta característica debería ser aprovechada por los profesionales responsables de la seguridad en las redes corporativas. Al masificarse los ataques luego de la publicación de las mismas, aquellos que deban gestionar la seguridad en las redes deben estar atentos a cuáles son las vulnerabilidades que se van publicando, y mantener lineamientos proactivos en protección de los sistemas: contar con soluciones antivirus con capacidades de detección proactiva y base de firmas actualizada, y mantener una política de actualización de software para no tener aplicaciones o sistemas operativos vulnerables.
Son muy pocos (prácticamente nulos) los casos en donde se explota masivamente una vulnerabilidad que no sea pública, y esto debe ser aprovechado por las organizaciones para mantener sus redes libres de malware.
Sebastián Bortnik
Analista de Seguridad
