Se ha descubierto que una nueva vulnerabilidad del tipo 0-day (identificada por MITRE como CVE-2010-0806) está circulando in-the-wild en Internet. Microsoft ha confirmado la vulnerabilidad 981374 y ha dicho que se encuentra trabajando en la solución.

La vulnerabilidad hace uso de “use-after-free” (puntero de referencia inválida) en la librería iepeers.dll y afecta a las versiones 6 y 7 de Internet Explorer, permitiendo la ejecución de código remoto. Las versiones 5 y 8 no son vulnerables a esta amenaza.

Este exploit fue encontrado inicialmente circulando por Internet en páginas tales como www.pokeradaystar[ELIMINADO].com (un sitio de juegos en línea ya dado de baja) pero se espera que se propague masiva y muy rápidamente debido al tipo de ataque y navegador vulnerable.

Un ataque a un navegador, con la cantidad de usuarios que posee Internet Explorer 6 y 7, es una amenaza muy peligrosa y más teniendo en cuenta que este exploit en particular ya esta disponible en sitios públicos y preparado para ser utilizado con herramientas del tipo point-and-click preparadas para ser utilizadas en su mayoría por usuarios novatos.

Este ataque hace uso de las funciones de navegador y por eso le permite al atacante utilizar técnicas de Drive-by-Download y Download-and-Execute (descargar y ejecutar) desde una web creada con fines maliciosos para descargar malware.

Hasta que la vulnerabilidad se encuentre solucionada, recomendamos utilizar un navegador alternativo o actualizar a la última versión disponible de Internet Explorer. En entornos corporativos también recomendamos estar al tanto de las actualizaciones de Microsoft para aplicar el parche inmediatamente luego de su aparición.

Sin perjuicio de lo antes dicho, los clientes de ESET se encuentran protegidos ya que el motor ThreatSense de todos nuestros productos detectan en forma proactiva los exploits utilizados como JS/Exploit.CVE-2010-0806.A y los payloads (carga dañina) como el troyano Win32/Wisp.A.

Actualización 16/03/2010: Microsoft ha lanzado una solución temporal para deshabilitar los valores por defecto de la librería afectada.

Juan Sacco
Analista de Malware

Categories: Alertas, Malware, Vulnerabilidades
1 Comment »

Una encuesta realizada recientemente en Estados Unidos, y publicada en el blog de ESET en Inglés ofrece interesantes datos sobre el uso de dispositivos móviles y las principales amenazas de seguridad.

En primer lugar, algunos datos sobre el estudio: el mismo fue realizado a poco más de 1.000 personas que respondieron sobre sus teléfonos móviles. Respecto a las principales plataformas utilizadas, un 35% de los encuestados utiliza iPhone y un 32% utiliza Blackberry. Vale destacar que el porcentaje de los encuestados es muy distante al que presentáramos anteriormente en la encuesta en Latinoamérica sobre uso de antivirus en dispositivos móviles, donde predominaba Windows Mobile como plataforma (con el 40%). Esta muestra cómo las condiciones económicas en la región, tiene un impacto en las plataformas utilizadas, y por ende en la seguridad.

Seguridad en iPhone

Comencemos con algunos números sobre el popular dispositivo móvil de Apple. Un 55% de los encuestados manifestó no bloquear su dispositivo, y dada la alta tasa de robo y pérdida de estos dispositivos; y la alta tasa de aplicaciones con información sensible (como correo, redes sociales) que se acceden con el iPhone, esto tiene un claro impacto en el robo de indentidad o ataques relacionados a la privacidad o la fuga de información sensible.

Sólo uno de cada cuatro usuarios de iPhone manifestaron utilizar MobileMe, la plataforma para realización de backups. Si a esto se le resta que no todos los usuarios indicaron utilizarla con la frecuencia necesaria, son pocos aquellos que tiene resguardo de la información sensible que reside en los dispositivos.

Malware en dispositivos móviles

Comenzando por el iPhone, un 41% de los encuestados reportó estar preocupados por el malware en dicha plataforma, aunque sólo uno de cada cuatro manifestó  contar con protección al respecto, aunque se confunde en estos casos la protección contra ataques de phishing u otra índole (Apple no ha aprobado el uso de antivirus en estos dispositivos).

En las consideraciones globales, lo mismo ocurre respecto al malware. Sólo un 25% de los usuarios posee soluciones de seguridad antivirus en su dispositivo móvil, a pesar de que al 39% lo preocupan los códigos maliciosos. Uno de cada diez usuarios no cuenta con protección sobre un tema que le preocupa.

Este último valor es superior al arrojado por la encuesta en Latinoamérica, dónde el 28,93% de los encuestados indicaron estar preocupados por infecciones de malware en sus dispositivos. Claramente esta es una tendencia en crecimiento conforme este tipo de incidentes van ocurriendo con mayor frecuencia.

Otras consideraciones

Algunos otros datos interesantes arrojados por la encuesta:

• Un 70% de usuarios de smart phones no cifran sus contraseñas en los dispositivos.
• Un 43% de los usuarios instalan aplicaciones que no han sido creadas por el fabricante o proveedor del servicio, lo cual implica un riesgo de seguridad al que se exponen casi la mitad de los usuarios.
• Un 24% de los usuarios hacen compras con sus dispositivos y un 31% acceden a la banca en línea desde sus teléfonos.

En resumen, como bien indica Randy Abrams en el post en inglés, “está claro que aún quedan lecciones por aprender” en la materia. Claramente con el pasar de los meses el tema de la seguridad en dispositivos móviles se volverá de mayor importancia ya que, como mencionaba anteriormente, los ataques van apareciendo con mayor frecuencia. Si eres un usuario precavido, mejor instalar una solución de seguridad para tu dispositivo antes de que sea víctima de un ataque.

Sebastián Bortnik
Analista de Malware

Categories: Estadísticas, Vulnerabilidades
2 Comments »

En más de una oportunidad hemos explicado la importancia de implementar las actualizaciones de seguridad, tanto las del sistema operativo como las de las aplicaciones instaladas en este, ya sea en ambientes hogareños o corporativos. En el segundo caso el tema es crítico debido a la envergadura de las posibles perdidas económicas que una empresa puede llegar a afrontar como consecuencia de incidentes de seguridad generados por malware.

En función de esto, la explotación de vulnerabilidades es en la actualidad es un patrón común dentro de la comunidad delictiva del crimeware, sobre todo, a través de archivos del tipo PDF, diseñados para aprovecharse de las debilidades en los lectores de estos archivos.

Es así que actualmente los delincuentes se están aprovechando de la explotación de la vulnerabilidad 0-day mencionada en la base de datos CVE-2009-4324 y que permite a los atacantes acceder a un sistema de forma remota si la aplicación Adobe Reader posee la vulnerabilidad mencionada (actualmente sin solución por parte del fabricante).

Un archivo PDF manipulado puede contener embebido un script malicioso junto a un archivo binario ejecutable y cuando el usuario abre dicho archivo para leerlo, se explota la vulnerabilidad mencionada infectando el sistema a través del archivo binario.

El problema es más complejo cuando estos ataques logran romper los esquemas de seguridad implementados a nivel corporativo, y de hecho, son los blancos más buscados debido a lo habitual que es en estos ambientes compartir información a través de este tipo de archivos.

Teniendo en cuenta que muchas organizaciones utilizan Adobe Reader, y que el parche para esta vulnerabilidad en particular será ofrecido al público recién el 12 de enero, el riesgo es elevado, sobre todo cuando la organización no posee como recurso prioritario una política de seguridad de la información que a su vez contemple un plan de actualización de las aplicaciones.

Una buena medida de contingencia que pueden considerar las compañías que utilicen Adobe Reader es deshabilitar el uso de Javascript, utilizar JavaScript Blacklist Framework y seguir el instructivo preparado por Adobe.

La buena noticia es que tanto el exploit como el binario son detectados como PDF/Exploit.CVE-2009-4324.NAA y Win32/Small.NGU respectivamente por todos los productos de ESET ya sean estos orientados al uso hogareño como al uso corporativo.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Malware, Vulnerabilidades
3 Comments »

En la industria del crimeware existe un nutrido grupo de alternativas delictivas donde una de las más demandadas son las aplicaciones web diseñadas para el control de botnets. Por ejemplo, algunas de las cuales ya hemos hecho mención son AdPack, ElFiesta y ZeuS, entre otras.

En este caso, se trata de una versión bastante antigua de una de  estas aplicaciones, pero que por lo visto aún se encuentra siendo utilizada por los delincuentes informáticos. Se trata de Neon Exploit System.

Ahora, ¿qué pueden hacer los botmaster con este tipo de crimeware? Veamos. Por ejemplo, entre otras cosas, pueden mantener un monitoreo continuo y a través de módulos en torno a diferentes aspectos estadísticos de los navegadores, los sistemas operativos, países con equipos infectados, etc. A continuación vemos una captura que muestra los módulos con información de los navegadores y sistemas operativos respectivamente.

¿Para qué le sirve esta información al botmaster? Para saber el nivel de usabilidad de los diferentes navegadores y sistemas operativos, y en consecuencia, saber concretamente qué tipo de exploits tendrán potenciales niveles de efectividad.

En este caso, en base a la estadística se desprende que los navegadores más vulnerados fueron las versiones 6 y 7 de Internet Explorer que se ejecutan, en su mayoría, en sistemas operativos XP y Vista. Sin embargo, un importante detalle lo constituye el ítem “Unknown” (desconocido), que se refiere a plataformas no Windows y con un interesante promedio.

Como podemos apreciar en la captura, también posee un módulo llamado “Exploits“. Desde este se monitorean las vulnerabilidades más aprovechadas para infectar los equipos y reclutarlos como zombis. A continuación vemos una captura de este módulo.

En esta instancia, lo llamativo de estas estadísticas es que la mayor cantidad de infecciones se han producido explotando una vulnerabilidad solucionada por Microsoft en el año 2006 (MS06-014), lo cual deja en evidencia la poca importancia que se le da a las actualizaciones de seguridad y lo necesaria que son para, junto a la implementación de una solución antivirus proactiva como ESET NOD32, mantener el equipo libre de amenazas.

Jorge Mieres
Analista de Seguridad

Categories: Alertas, Vulnerabilidades
No Comments »

Luego del “experimento” realizado manualmente por un joven francés la semana pasada, creando una especie de ransomware para iPhone, ha aparecido el primer gusano para la plataforma, que aprovecha para su propagación la misma vulnerabilidad mencionada anteriormente.

Así fue pues que en un foro apareció nuevamente un usuario reportando un cambio en el fondo de pantalla de su dispositivo móvil. Finalmente, se descubrió que se trataba de un gusano, que se propaga por los servicios SSH de dispositivo iPhone con la contraseña por defecto. En los dispositivos afectados, puede observarse la siguiente imagen de fondo de pantalla (durante una llamada):

El autor del gusano ha sido identificado y el mismo ha confirmado, incluso publicando el código fuente en la web, que el gusano es “inofensivo” (debería decir que no incluye instrucciones nocivas) y sólo modifica el fondo de pantalla del dispositivo, por una imagen del cantante Rick Astley, que es almacenada en la ruta \var\mobile\Library\LockBackgroung.jpg.

Es la primera vez que se detecta un gusano para esta plataforma, demostrando que ante la existencia de vulnerabilidades, ningún sistema operativo está exento de este tipo de amenazas.

Cabe destacar que la vulnerabilidad explotada en ambos casos consiste en la existencia de un usuario y contraseña por defecto en el dispositivo, en un servicio en escucha (SSH). Esta vulnerabilidad, afecta a todos los dispositivos iPhone que hayan incurrido en un proceso de Jailbreaking. Estos dispositivos han sido alterados de su configuración de fábrica para poder instalar software de terceros. Esto demuestra una vez más, que las aplicaciones para alterar software propietario tienen sus riesgos, y es importante que los usuarios sean consciente de ello, evitando la alteración de software de este tipo.

Además, queda demostrada una vez más la importancia de la educación de los usuarios, siendo indispensable mantener los servicios siempre protegidos por contraseñas fuertes, y nunca dejar aquellas claves por defecto. El creador del código malicioso, un joven australiano de 21 años, declaró a un sitio de su país luego del incidente: “El virus explota la pereza de las personas para cambiar sus contraseñas“. Un resumen de los más explícito sobre la vulnerabilidad.

A los usuarios afectados, recomendamos seguir las instrucciones para asegurar sus dispositivos.

Sebastián

Categories: Educación, Malware, Vulnerabilidades
4 Comments »