Durante el año pasado ya habíamos estado hablando acerca de Ramnit y sus características de infección. Se trataba de una amenaza que pasaba a ser una de las más importantes en Latinoamérica. Unos pocos meses después, Ramnit vuelve a sorprendernos. Anteriormente fue utilizado para robar credenciales bancarias, entre otros servicios. La semana pasada, Seculert, una consultora de seguridad israelí, identificó una nueva variante de Ramnit que ataca a usuarios de Facebook robando más de 45000 credenciales, en donde la mayoría de los afectados aparentan ser usuarios franceses e ingleses mientras que solo el 4% son de otros países.

Funcionarios de Facebook fueron contactados luego del problema y afirman estar trabajando para solucionarlo. De hecho, informan que gran parte de las credenciales comprometidas eran inválidas. Además, informan que muchos usuarios actuaron rápidamente y cambiaron sus contraseñas frente a esta amenaza.

Una vez que el atacante accede a las credenciales de la víctima, puede no solo obtener mucha información sensible sino que además le permite conocer el entorno de esa persona, pudiendo acceder a información personal de sus familiares y amigos. Otro problema que se encuentra asociado a este es la reutilización de contraseñas en más de un servicio. Muchos usuarios utilizan el mismo nombre de usuario y contraseña en diferentes sitios, lo que llevaría a que el atacante pueda acceder a más información sensible.

Ver más… »

Categories: Alertas, Malware
2 Comments »

Esta entrada corresponde a la segunda y última parte del análisis que previamente habíamos comenzado. En la primera parte vimos como obtener la imagen TIFF (Tagged Image File Format) que dispara la vulnerabilidad, en este post analizaremos un poco el bug y veremos como se ejecuta el código remoto.

Para entender el post, serán necesarios diferentes conocimientos sobre exploit writing y arquitectura de computadoras.

Examinando la vulnerabilidad

El agujero de seguridad se encuentra en la siguiente zona:

Esta porción de código corresponde al módulo AcroForm.api de Adobe Reader. Aquí se esta copiando la cantidad de bytes definidos en el registro EDI a una variable local, esta variable reside en la pila del programa, al no haber ningún chequeo de tamaño tiene la posibilidad de escribir zonas contiguas de memoria en la pila del programa.

Esta es una técnica de explotación que tiene mas de 20 años de antigüedad, conocida mundialmente como buffer overflow. El valor de EDI  contiene el campo “Numero de valores” de las etiquetas de la imagen TIFF. Estas etiquetas tienen la siguiente estructura:

Veamos en el depurador para entender un poco más:

En primer lugar, se encuentra la etiqueta 0×150 correspondiente a DotRange marcado en amarillo, luego el numero de valores está marcado en verde y es el dato que manipula el registro EDI. Para ver esto, se modifica el valor y se verifica el registro EDI al momento de la llamada a memcpy vulnerable:

Ver más… »

Categories: Análisis de malware, Malware
2 Comments »