Tal como anunciábamos el último viernes, Microsoft ha cumplido con lo que indicó hace unos días y ya está a disposición de los usuarios la actualización de seguridad MS10-046, que corrige la vulnerabilidad CVE-2010-2568, que se relacionaba a la forma en que Windows Shell manejaba los archivos LNK (accesos directos) en los sistemas operativos afectados (prácticamente todas las versiones de Windows), y que fue especialmente aprovechada por el código malicioso Stuxnet, y posteriormente por otras familias de malware, incluido el virus Sality.

El parche fue publicado fuera de ciclo, ya que la gravedad de la vulnerabilidad no justificaba esperar hasta el próximo 10 de agosto cuando serán publicados todas las actualizaciones del mes y, por lo tanto, la misma fue obviamente catalogada como crítica. La misma está disponible a través de Windows Update, por lo que los usuarios que tengan configurado de forma automática sólo deberán esperar su instalación. En los casos que no existan procedimientos automáticos, especialmente en entornos corporativos, es recomendable hacer las pruebas pertinentes e instalar a la brevedad; ya que existen amenazas propagándose en este momento que explotan dicha vulnerabilidad.

Para aquellos que hubieran ejecutado el fix liberado por Microsoft que mitigaba el problema en cuestión, ya está disponible un nuevo archivo (Microsoft Fix it 50487) para volver atrás los cambios implementados en su momento por el workaround.

Si quieren obtener más información sobre los incidentes causados a partir de esta vulnerabilidad, puede ver el compilado de preguntas y respuestas sobre Stuxnet que publicamos en los primeros días de propagación de la amenaza.

Sebastián Bortnik
Analista de Seguridad

Categories: Malware
1 Comment »

Este mes se caracterizo, como en otras oportunidades, por las altas tasas de propagación/infección de diferentes familias de códigos maliciosos a través de múltiples vectores de ataques entre los que prevalece el correo electrónico.

Sin embargo, prácticamente todas las novedades se vieron un tanto ofuscadas por la aparición de una vulnerabilidad critica que explota los sistemas operativos de Microsoft y que aún no posee solución oficial. En consecuencia, a continuación mencionamos las novedades más relevantes.

• A mediados de mes dimos la alerta sobre la existencia de una vulnerabilidad 0-Day (CVE-2010-2568), que aprovecha el modo en que Windows procesa los archivos de accesos directos (.lnk), empleada para la propagación de nuevos códigos maliciosos catalogados por ESET NOD32 y ESET Smart Security como Win32/Stuxnet.A y LNK/Autostart.A.
  En el caso de Win32/Stuxnet.A (detectadas cuatro variantes hasta el momento), se trata de un malware complejo cuyas primeras variantes fueron diseñadas para atacar determinados programas de SIEMENS para el sistema SCADA y su foco de propagación se centró fundamentalmente en Estados Unidos e Irán.
  Unos días después aparecen nuevas familias de malware explotando la vulnerabilidad, que proactivamente los productos de ESET detectan como Win32/TrojanDownloader.Chymine.A, un troyano que descarga otro malware cuyo principal objetivo es robar información sensible de las computadoras infectadas; y Win32/Autorun.VB.RP propagándose a través de dispositivos USB. Luego, nuestro Laboratorio de Análisis e Investigación detectó que el exploits ha sido incorporado en un crimeware llamado Zombie Explotation Kit, y por último, la propagación de una variante del virus Sality y del troyano ZeuS también aprovechando la vulnerabilidad.
  Por el momento no existe solución oficial, por lo que recomendamos tomar medidas preventivas a través de buenas prácticas para minimizar la probabilidad de ser víctimas de estas amenazas.
• El “caso Bruno“, llamado así por el arquero Bruno Fernandes del equipo de fútbol Flamengo; tomo mucha repercusión en Brasil también a mediados de mes. Esta situación motivó a los delincuentes informáticos a tomarlo como estrategia de engaño para la propagación de malware, empleando como vector de ataque el correo electrónico.
  Este tipo de casos son habituales cada vez que se produce algo que acapara la atención de los medios de información, sucediendo un escenario muy similar con Larissa Riquelme pero donde las estrategias de ataque fue el BlackHat SEO.
  Sin embargo, al hablar de engaños, no es común pensar que esos ataques estarán dirigidos a la comunidad de seguridad, pero nadie está exento de las actividades fraudulentas. Así lo demostró el ataque de malware a través de plugin de seguridad para Firefox.
• Si bien la mitad de los usuarios reciben malware por correo electrónico, no es el único medio tecnológico empleado por los delincuentes, el teléfono también. Así lo anunció el equipo de ESET en Inglaterra, para alertar sobre la propagación de rogue y scam a través del teléfono. Aunque las noticias sobre incidentes de seguridad que involucren directamente la fusión entre malware y hardware no son habituales, no se encuentran al margen.

La noticia sobre la propagación de rogue empleando como canal de promoción el teléfono no es casual. Esto deja en evidencia la complejidad con la que operan los grupos de delincuentes a través de Internet donde los objetivos no se centran solamente en realizar ataques de DDoS a través de crimeware sino que también alimentar un negocio fraudulento en el cual, sin lugar a dudas el rogue y los fakeAV constituyen piezas de malware altamente explotables.

Como es habitual también, mes a mes ponemos a disposición de nuestros lectores recursos que cuentan con mayor nivel de información en torno a todos los incidentes y novedades mencionados por su grado de repercusión, que pueden encontrar en el Ranking de propagación de amenazas de junio y en el informe de amenazas.

Jorge Mieres
Analista de Seguridad

Categories: Reportes mensuales
No Comments »