La semana pasada surgió una nueva vulnerabilidad en los sistemas operativos desarrollados por Microsoft, denominada MS12-020 de acuerdo al sistema implementado para identificar las vulnerabilidades por la afamada empresa de software. Esta vulnerabilidad afecta al protocolo RDP (Remote Desktop Protocol), es decir, a cualquier sistema operativo que posea el servicio de administración remoto activado.

Categories: Alertas, Vulnerabilidades
2 Comments »

A la hora de gestionar una empresa que cuenta con diversos recursos informáticos, es indispensable mantener sus sistemas operativos actualizados para adoptar el mayor nivel de seguridad posible. De esta manera se reduce en una gran medida la exposición que poseen estas empresas a la gran cantidad de amenazas.

¿Para qué sirven las actualizaciones?

Antes que nada, permiten corregir errores de programación en diferentes aplicaciones, o incluso en el mismo sistema operativo. Además, brindan soporte a nuevas tecnologías, corrigen vulnerabilidades, y permiten mantener la estabilidad en los mismos.

Actualizaciones en sistemas Microsoft:

Hoy en día muchas compañías utilizan sistemas operativos Microsoft como su plataforma principal. Se crean actualizaciones y parches para estos sistemas de manera regular por lo que resulta muy importante gestionarlos de forma correcta. Un punto a destacar, es que existen diferentes tipos de actualizaciones:

• Actualizaciones importantes: Son aquellas que influyen directamente en el desempeño del sistema y en su seguridad.
• Actualizaciones recomendadas: Son aquellas que suponen una mejora sobre el sistema operativo, aunque no influye directamente sobre el desempeño o la seguridad del mismo.
• Actualizaciones opcionales: Son aquellas que no suponen ninguna mejora sobre el sistema, como pueden ser programas anexos.

¿Qué son las actualizaciones centralizadas?

Ver m�s… »

Categories: Corporativo, Herramientas
2 Comments »

Hace algunos días compartimos con ustedes información acerca de ciclo de vida una vulnerabilidad, de qué manera prevenirse ante este tipo de situaciones y cómo dar una respuesta eficiente. Sin embargo, hoy vamos a hablar acerca de la otra cara de la moneda: qué pasa cuando no se aplican los parches y de qué manera dos vulnerabilidades conocidas podrían afectar la seguridad de la empresa. En particular vamos a analizar cómo la combinación de una vulnerabilidad utilizada por Stuxnet (MS10-046) y otra implementada por Conficker (MS08-068) podría permitir el acceso remoto por parte de un atacante.

La primera de las vulnerabilidades, refiere a la explotación de los accesos directos de Windows (archivos con extensión LNK) y su fecha de publicación es del 2010. Sus efectos permiten que a través de un archivo LNK se pueda cargar y ejecutar una librería maliciosa (de manera local o remota) utilizando la ruta del ícono del acceso directo. Por otro lado, la segunda vulnerara, con más de tres años de antigüedad y ampliamente utilizada por Conficker para propagarse a través de una red infectada permite mediante una falla de seguridad en la autenticación del protocolo SMB.

Combinando ambas vulnerabilidades un atacante podría obtener el acceso a un sistema remoto sin la necesidad de obtener las claves del usuario. Un acceso directo, alojado en las carpetas compartidas forzarían a la ejecución del exploit de Stuxnet para obtener una sesión válida en la máquina de la víctima. Este ataque podría ser utilizado tanto de manera interna en la red como de manera remota, pero para el segundo caso la complejidad aumenta un poco más. El resultado de este ataque le permite al atacante obtener las credenciales de la persona que cae en el engaño y carga el acceso directo, el mayor impacto se logra cuando un usuario con permisos de administrador de la red accede a la carpeta compartida y se ejecutan los exploit.

Hay ciertas puntos que deben ser tenidos en cuenta acerca de este enfoque, el primero de ellos remarca la importancia de mantener el sistema actualizado con todos los parches de seguridad instalados. Años después de la publicación del parche que mitiga la vulnerabilidad utilizada por Conficker, todavía continúa entre los códigos maliciosos con mayor índice de detección. Además, confirma que no se deben utilizar usuarios con permisos de administrador, y que tales privilegios no  es una buena práctica. Para conocer más acerca de las buenas prácticas para la seguridad empresarial les recomendamos leer los 10 mandamientos de la seguridad de la información en la empresa.

Pablo Ramos
Especialista en Awareness & Research

Categories: Corporativo, Vulnerabilidades
1 Comment »

Esta entrada corresponde a la segunda y última parte del análisis que previamente habíamos comenzado. En la primera parte vimos como obtener la imagen TIFF (Tagged Image File Format) que dispara la vulnerabilidad, en este post analizaremos un poco el bug y veremos como se ejecuta el código remoto.

Para entender el post, serán necesarios diferentes conocimientos sobre exploit writing y arquitectura de computadoras.

Examinando la vulnerabilidad

El agujero de seguridad se encuentra en la siguiente zona:

Esta porción de código corresponde al módulo AcroForm.api de Adobe Reader. Aquí se esta copiando la cantidad de bytes definidos en el registro EDI a una variable local, esta variable reside en la pila del programa, al no haber ningún chequeo de tamaño tiene la posibilidad de escribir zonas contiguas de memoria en la pila del programa.

Esta es una técnica de explotación que tiene mas de 20 años de antigüedad, conocida mundialmente como buffer overflow. El valor de EDI  contiene el campo “Numero de valores” de las etiquetas de la imagen TIFF. Estas etiquetas tienen la siguiente estructura:

Veamos en el depurador para entender un poco más:

En primer lugar, se encuentra la etiqueta 0×150 correspondiente a DotRange marcado en amarillo, luego el numero de valores está marcado en verde y es el dato que manipula el registro EDI. Para ver esto, se modifica el valor y se verifica el registro EDI al momento de la llamada a memcpy vulnerable:

Ver m�s… »

Categories: Análisis de malware, Malware
2 Comments »

En el ultimo tiempo hemos recibido en el Laboratorio de Análisis e Investigación de ESET Latinoamérica diversas muestras de malware que simulan ser archivos legítimos de diversos formatos como PDF,DOC odocumentos HTML. Estos no son los únicos documentos afectados pero si los mas comunes, por tratarse de documentos altamente usados y estandarizados. La forma que ejecutan códigos maliciosos pueden ser muy variadas, pero por lo general hacen uso de algún exploit para lograr corromper la memoria, y así forzar la ejecución de código malintencionado.

En las siguientes lineas analizaremos una muestra que es detectada por ESET NOD32 Antivirus como PDF/CVE-2010-0188. La vulnerabilidad anteriormente mencionada es relativamente antigua, concretamente data de febrero de 2010.

La única razón por la que esta muestra se sigue difundiendo es porque está dirigida a usuarios de Adobe Reader, sin duda alguna el lector de archivos PDF más difundido. Es relativamente común encontrarse con versiones viejas de este lector, pero las versiones que nos competen en el día de hoy, están comprendidas entre la versión 8.0 a la versión 9.3. Estas versiones poseen un bug que dispara la ejecución de código arbitrario al tener incrustada una imagen TIFF especialmente manipulada.

En esta primera etapa, trataremos de desglosar los diferentes fases que contempla el reto de análisis para comprender el accionar del código malicioso y, en un futuro post, detallaremos cómo se explota la vulnerabilidad. Entonces, ¿cómo se realiza el análisis?

Primer acercamiento

Para comenzar, analizamos el archivo PDF con cualquier editor de texto. En este caso utilicé WordPad, para ver la estructura que tiene el archivo:

Los archivos PDF puede contener cualquier flujo de bytes representados con diferentes encoders, estos se encuentran entre los tags “stream” y “endstream“. Lo primero que llama la atención de este exploit en particular, es que no contiene código Javascript. En la imagen se observa en naranja que posee un archivo embebido que está codificado con FlateDecode. Algunos de otros codificadores que pueden utilizarse son:

• ASCIIHexDecode
• ASCII85Decode
• LZWDecode
• RunLengthDecode
• CCITTFaxDecode
• JBIG2Decode
• DCTDecode
• JPXDecode
• Crypt

Ver m�s… »

Categories: Análisis de malware, Malware
3 Comments »