Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

martes, 10 de abril de 2007

ANALISIS DE LA VULNERABILIDAD EN LOS FICHEROS ANI DE MS
Hispasec publica un documento técnico que analiza la vulnerabilidad en ficheros ANI. El error en la carga de punteros animados ha provocado una oleada de malware que aprovecha la vulnerabilidad, y Microsoft se ha visto obligada a publicar un parche fuera de su ciclo habitual de los segundos martes de cada mes.

En Hispasec, hemos analizado en un documento técnico (white paper) las causas de la vulnerabilidad de punteros animados y cómo la aprovecha el malware para conseguir la ejecución de código. Además, en el documento que hemos creado, se puede observar el número de muestras víricas recibidas en VirusTotal que intentan aprovechar la vulnerabilidad. En 14 días, se han recibido más de mil muestras únicas (según hash MD5). Esto implica una media de tres nuevas muestras (o variantes) creadas cada hora durante las últimas dos semanas. Esta cifra solo incluye lo recibido en VirusTotal, sin duda el número real que circula en Internet es mucho mayor.

Además, hemos preparado una prueba de concepto que aprovecha la vulnerabilidad y permite la descarga y ejecución de código con sólo visitar una página web. El archivo de prueba que hemos preparado se descarga en el "documents and settings" del usuario, con nombres aleatorios compuestos por una sola letra (con el formato X.exe).

El programa descargado es una aplicación inofensiva alojada en nuestros servidores, que simula que la pantalla se derrite. Cuando se cierra esta aplicación, el proceso explorer.exe puede ser reiniciado, sin causar perjuicio alguno en el sistema. Después de realizar la prueba, si se es vulnerable, se recomienda borrar el archivo descargado (situado habitualmente en c:\documents and settings\usuario).
Algunos antivirus detectarán la página que aprovecha la vulnerabilidad como troyano, y el programa como "joke", o broma, pero insistimos en lo inocuo de la prueba de concepto y el programa.

Si se es vulnerable y el programa llega a ejecutarse, se recomienda encarecidamente actualizar el sistema con el boletín MS07-017 desde Windows Update o directamente desde la URL
http://www.microsoft.com/technet/security/Bulletin/MS07-017.mspx

Con esta prueba de concepto, se pretende demostrar lo grave de la vulnerabilidad. En lugar de una aplicación inofensiva, que insistimos algunos antivirus pueden detectar como "joke" (broma), un atacante podría utilizar una página web, o un mensaje con formato HTML, para distribuir virus, gusanos o troyanos que infectarían de forma automática y transparente al usuario.

Teniendo en cuenta los datos recibidos en VirusTotal, la vulnerabilidad a día de hoy sigue siendo aprovechada por una gran cantidad de malware que circula por la red y no todos los antivirus son capaces de detectar todas las muestras creadas. La solución más práctica pasa por actualizar el sistema con los últimos parches.

Los enlaces directos a la descarga de los documentos (en castellano e inglés) son:
http://www.hispasec.com/laboratorio/vulnerabilidad_ani.pdf

La prueba de concepto está alojada en: (ATENCIÓN: Si se visita con Microsoft Windows e Internet Explorer sin el parche MS07-017, descargará y ejecutará una aplicación que simula que la pantalla se derrite. Es posible que después de esto el proceso explorer.exe se reinicie):

Para aquellos lectores que ya hayan actualizado su sistema y no sean vulnerables, pueden visualizar un vídeo en el que se muestra el efecto del exploit en:

Ver más

CONDUCTAS ERRONEAS QUE FRECUENTEMENTE CREAN BRECHAS DE SEGURIDAD
Los agujeros o bugs en la tecnoligia explican una gran cantidad de ataques exitosos (realizados por hackers intencionados o por usuarios no intencionados), pero los mismos usuarios colaboran, tambien. Esta es una lista creada por SANS Institute de las cosas tontas que la gente hace y que facilita a los atacantes tener exito.
Los peores cinco errores de seguridad que cometen los usuarios.
  1. Fallar en la instalacion del antivirus, teniendolo incorrectamente configurado, mantener sus actualizaciones de firmas actualizadas y escanear todos los archivos.
  2. Abrir adjuntos de correos no solicitados sin previa verificacion del origen o del contenido, o ejecutar juegos, protectores de pantallas u otras aplicaciones provenientes de fuentes no confiables.
    - las fuentes no confiables incluyen conocidos que pueden estar cometiendo estos mismos errores
    - las fuentes no confiables incluyen desarrolladores de softwae "freware" que podrian estar incluyendo dentro de sus creaciones, codigo malicioso o spyware.
    - Los adjuntos de correo no solicitado, pueden provenir de usuarios conocidos cuyos equipos esten comprometidos por un hacker o un virus.
    - La ejecucion directa de un archivo desde el cliente de correo podria saltear la proteccion antivirus que se esta ejecutando en tiempo real.
    - Presentaciones, video y hasta fotos, pueden estar infectadas por virus.
  3. Fallar u omitir actualizaciones de seguridad del Sistema Operativo, las herramientas de oficina y/o los navegadores y clientes de correo.
  4. No realizar o probar backups.
  5. Quedarse conectado a mas de una red como Wireless o Red telefonica mientras esta conectado a la red corporativa.

Los perores siete errores (respecto a seguridad de la informacion) que cometen la alta gerencia.

  1. Asignar personas sin entrenamiento para mantener la seguirdad y no proveerles el tiempo o los recursos para formarse y hacer correctamente su trabajo.
  2. Fallar en la comprension de la relacion entre su negocio y la seguridad de la informacion. Entender el problema de la seguridad fisica, pero no ver las consecuencias de una deficiente seguiridad de la informacion.
  3. Fallar en el tratamiento de los aspectos operativos de la seguridad: Realizar algunas correcciones y luego no permitir el correspondiente seguimiento y el resto de las tareas necesarias para mantener el problema corregido.
  4. Descanzar primaria o exclusivamenete en la proteccion de perimetro.
  5. Fallar en la estimacion del valor o costo de la informacion o la reputacion de la organización.
  6. Unicamente autorizar soluciones reactivas, de corto plazo de forma que los problemas vuelven a ocurrir una y otra vez.
  7. Pretender que si el problema es ignorado o desestimado, desaparecera.

Los peores 10 errores de seguridad que cometen la gente de IT.

  1. Conectar los sitemas a Internet antes de Hacerles el Hardening correspondiente.
  2. Conectar los sistemas de testing a Internet con las credenciales de autenticacion que traen configuradas de fabrica.
  3. Fallar en la actualizacion de los sistemas cuando son informados de huecos en la seguirdad del mismo.
  4. Usar protocolos de comunicación sin encripcion para la administracion de sistemas, Routers, Firewall o PKY.
  5. Otorgar passwords a usuarios a traves de las lineas telefonicas o cambiar el password de un usario a partir de una llamada telefonica aun cuando no es posible auntenticar la solicitud.
  6. Fallar en la realizacion o pruebas de Backups
  7. Ejecutar servicios innecesarios en los sistemas, especialmente, ftpd, telnetd, finger, rpc, mail, rservices
  8. Implementar o configurar defectuosamente los Firewalls, en particular omitir aquellas reglas que permiten detener trafico entrante o saliente malicioso o peligroso.
  9. Fallar en la implementacion o actualizacion de software de deteccion de virus u otroas amenazas.
  10. Fallar en la educacion de los usuarios en cuanto a que deben mirar o como deben reaccionar frente a un posible problema de seguridad.

Traducción de Santiago Cavanna, Miembro de ISSA - ISSA Argentina - CISSP(ISC2) + GIAC_GSEC(SANS). Especialista en seguridad de la informacion. Consultor en seguridad Informatica.

http://santiagocavanna.blogspot.com/

Fuente: http://www.sans.org/resources/mistakes.php

Ver más

DETECTANDO REDES BOT (BOTNETS) P2P
Desde la Universidad de Amsterdam, nace un excelente reporte sobre posibles formas de detectar ataques realizados por Botnets, usando la forma de Peer-to-Peer (P2P).

El reporte está basado en una investigación realizada, en donde ponen a pruebas Nugache, Sinit, Phatbot y Spamthru, cuatro conocidos del Malware, en máquinas corriendo Windows XP SP2.

Luego de varias pruebas, y tras analizar los datos enviados por medio de las redes creadas, se llega a la conclusión de que la detección es relativamente sencilla (ahora) ya que las PCs secuestradas por la Botnet hacen uso de los mismos puertos (es decir, para que las mismas puedan ser contactadas, estas deben tener un puerto en escucha), múltiples intentos fallidos de conexión (básicamente por los Cortafuegos, NATs, y máquinas que ya están desinfectadas), entre otros factores.

Por otro lado, proponen medidas para contrarrestar el efecto de las redes de Bots que existe hoy en día, pero no pueden prometer nada a futuro. Las medidas básicamente consisten en escanear los puertos que normalmente usa el malware, para ver que información puntualmente contiene; como también analizar las conexiones que realizan en duración y frecuencia.

Pero, finalmente declaran que hoy en día puede ser fácil, pero que a futuro con la posibilidad de encriptar información, y darle un escudo propio al código de dicho malware, los investigadores de seguridad tendrán una ardua tarea para remediar la situación.

Relacionados:
Dos familias de gusanos son las que lideran los BotNets
8 años de prisión a responsables de BotNets

Ver más