Hace algunos días compartimos con ustedes información acerca de ciclo de vida una vulnerabilidad, de qué manera prevenirse ante este tipo de situaciones y cómo dar una respuesta eficiente. Sin embargo, hoy vamos a hablar acerca de la otra cara de la moneda: qué pasa cuando no se aplican los parches y de qué manera dos vulnerabilidades conocidas podrían afectar la seguridad de la empresa. En particular vamos a analizar cómo la combinación de una vulnerabilidad utilizada por Stuxnet (MS10-046) y otra implementada por Conficker (MS08-068) podría permitir el acceso remoto por parte de un atacante.

La primera de las vulnerabilidades, refiere a la explotación de los accesos directos de Windows (archivos con extensión LNK) y su fecha de publicación es del 2010. Sus efectos permiten que a través de un archivo LNK se pueda cargar y ejecutar una librería maliciosa (de manera local o remota) utilizando la ruta del ícono del acceso directo. Por otro lado, la segunda vulnerara, con más de tres años de antigüedad y ampliamente utilizada por Conficker para propagarse a través de una red infectada permite mediante una falla de seguridad en la autenticación del protocolo SMB.

Combinando ambas vulnerabilidades un atacante podría obtener el acceso a un sistema remoto sin la necesidad de obtener las claves del usuario. Un acceso directo, alojado en las carpetas compartidas forzarían a la ejecución del exploit de Stuxnet para obtener una sesión válida en la máquina de la víctima. Este ataque podría ser utilizado tanto de manera interna en la red como de manera remota, pero para el segundo caso la complejidad aumenta un poco más. El resultado de este ataque le permite al atacante obtener las credenciales de la persona que cae en el engaño y carga el acceso directo, el mayor impacto se logra cuando un usuario con permisos de administrador de la red accede a la carpeta compartida y se ejecutan los exploit.

Hay ciertas puntos que deben ser tenidos en cuenta acerca de este enfoque, el primero de ellos remarca la importancia de mantener el sistema actualizado con todos los parches de seguridad instalados. Años después de la publicación del parche que mitiga la vulnerabilidad utilizada por Conficker, todavía continúa entre los códigos maliciosos con mayor índice de detección. Además, confirma que no se deben utilizar usuarios con permisos de administrador, y que tales privilegios no  es una buena práctica. Para conocer más acerca de las buenas prácticas para la seguridad empresarial les recomendamos leer los 10 mandamientos de la seguridad de la información en la empresa.

Pablo Ramos
Especialista en Awareness & Research

Categories: Corporativo, Vulnerabilidades
1 Comment »

Durante los últimos días, se ha detectado un gran aumento en el tráfico que a través del puerto 3389, y en este post vamos a ver el porqué. Un nuevo gusano se ha estado propagando a través del protocolo de Escritorio Remoto de Windows (RDP), explotando aquellas contraseñas débiles que algunos usuarios o administradores pueden utilizar. El protocolo RDP fue desarrollado por Microsoft y permite las conexiones a escritorios remotos.

Además de la metodología implementada por este gusano para propagarse, entre sus funciones, reporta a un Centro de Control (C&C), desde donde recibe órdenes, para realizar la instalación de otros códigos maliciosos y efectuar ataques de denegación de servicio. Como se podrán imaginar, el nivel de peligrosidad de este tipo de amenaza es alta, ya que se puede propagar a través de la red de una organización que utilice este protocolo activo en sus equipos.

Aunque con algunas diferencias, existen algunas similitudes en el método de propagación del famoso gusano Conficker, a través de carpetas compartidas: ambos contienen una base de datos con contraseñas que utilizan para propagarse a través de la red, y lograr así infectar la mayor cantidad de equipos.

Un equipo que se encuentre infectado con este código malicioso, presentará una serie de modificaciones en el sistema como así también la creación de distintos archivos en el mismo:

Ver m�s… »

Categories: Alertas, Malware
1 Comment »

El siguiente post es una traducción (con algunas adaptaciones idiomáticas) del texto realizado por Aryeh Goretsky publicado en el blog de ESET en inglés donde podrán ver la opinión del especialista de ESET a nivel mundial, acerca de los 1000 días de la aparición del gusano Conficker

Han pasado 1,000 días desde la primer aparición del gusano Conficker el 21 de noviembre del 2008.  En los primeros dos meses, luego de su primera aparición, recibimos algunos reportes a través de nuestro sistema de alerta ThreatSense.NET. Para enero del 2009, la cantidad de reportes se habían multiplicado, para luego convertirse en una crisis, a medida que este “super gusano” llego a niveles de infección increíbles. Desde ese entonces, Conficker, ha empezado a aparecer como una de las 10 amenazas con mayor nivel de detección en nuestro Global Threat Report, normalmente en alguna de las dos primeras posiciones.

Hemos escrito una gran cantidad de posts acerca de Conficker, desarrollado herramientas libres para eliminarlo, escrito white papers e incluso realizado presentaciones acerca de él, de la misma manera que lo han hecho nuestros colegas de la industria antivirus. Microsoft liberó una guía explicando cómo actualizar y proteger las computadores, y el Conficker Working Group trabaja para proveer a los ISP (Internet Service Provider, en español, Proveedor de Servicio de Internet) con una lista de 50,000 dominios pseudo aleatorios que algunas variantes de Conficker utilizan para buscar actualizaciones. El gusano recibió una gran atención de los medios en Abril del 2009, cuando un surgió un cambio en su mecanismo de actualización.

En lo que respecta al gusano Conficker en si mismo, pareciera que fue abandonado por la organización criminal que lo operaba a mediados del 2009, y en junio de este año, el FBI en conjunto con el Departamento de Jusiticia anunciaron el arresto de algunos individuos quienes podrían haber sido sus creadores.

Entonces, tres años más tarde, el gusano Conficker, ejecutándose sin un Centro de Control (C&C), explotando una vulnerabilidad de más de tres años de antigüedad, y con todas las tecnologías antivirus existentes, ¿por qué continua entre los 10 códigos maliciosos más detectados? La respuesta a esa pregunta es complicada, ya que no se encuentra en el reino del ciberespacio de unos y ceros, pero muy por encima en los círculos donde las preguntas de hacer lo correcto y dar paso a las preocupaciones de los presupuestos, las políticas y la conveniencia. Para ilustrar esto, me gustaría compartir con ustedes una historia acerca de un amigo mío al que llamaremos John (no es su nombre real).

Ver m�s… »

Categories: Malware
No Comments »

A la hora de analizar malware, los analistas e investigadores nos encontramos con todo tipo de muestras. Como mencionamos anteriormente en este blog, muchas veces nos encontramos con binarios empaquetados cuya finalidad es dificultar su estudio. En esta oportunidad analizaremos una muestra que no solo esta empaquetada, sino que tiene otras características adicionales orientadas a dificultar su análisis y detección.

El binario estudiado en este caso, esta empaquetado con el popular empaquetador UPX, cosa que podemos ver fácilmente con el detector de packers ProtectionID:

Si queremos verificar esto, podemos mirar el Entry Point (EP) con un debugger:

Ver m�s… »

Categories: Análisis de malware, Curiosidades
8 Comments »

Finalizamos con esta entrega esta triada de post donde compartí con ustedes las principales tendencias en (in)seguridad para el 2011, las cuales recuerden que pueden ver completas en el informe “Tendencias 2011: las botnet y el malware dinámico“. Luego de haber mencionado las tres tendencias más importantes para el 2011 (redes botnet, malware multi-plataforma y BlackHat SEO Social), vale destacar que otras “tendencias” lo serán también, no por lo novedoso o explosivo de sus estrategias o metodologías, sino simplemente por ser la continuidad de algunas técnicas o metodologías que ya han sido tendencia en años anteriores.

Aquí están, estás son, las tendencias de siempre:

• Vulnerabilidades de software: los gusanos que aprovechan vulnerabilidades de software seguirán siendo, sin lugar a duda, uno de los vectores de infección más importantes, ya que permiten la ejecución de código sin la intervención del usuario, y por lo tanto la infección puede pasar desapercibida para la víctima hasta que no aparezcan síntomas en el sistema. En este contexto, las vulnerabilidades del tipo 0-day (sin parche de seguridad disponible) representan una oportunidad para los atacantes, y que seguirá siendo aprovechada a medida que estas aparezcan. En casos ocurridos durante 2010, como el del gusano Stuxnet, ESET Latinoamérica detalló la cronología del ataque, indicando sus analistas que se concretaron “16 días desde la publicación de la vulnerabilidad hasta la existencia de un parche definitivo por parte del fabricante, ventana de tiempo durante la cual varios códigos maliciosos aprovecharon, causando numerosos problemas a entornos informáticos y atentando contra la seguridad de la información”. Solo aquellos usuarios que utilizaron software antivirus con capacidades proactivas de detección, como ESET NOD32, estuvieron protegidos durante esa “ventana de tiempo” en que la vulnerabilidad estuvo a disposición de los atacantes para propagar sus amenazas.Sin embargo, no solo las vulnerabilidades 0-day son aprovechadas por los atacantes, sino también cualquier tipo de estas es una oportunidad para los desarrolladores de malware. Por ejemplo, el gusano Conficker está en actividad desde octubre del 2008, y más de dos años después sigue en actividad, ocupando los rankings realizados por ESET Latinoamérica en cuanto a los códigos maliciosos más detectados mes a mes:

  

Ver m�s… »

Categories: Informes
No Comments »