All posts tagged 0-day

Microsoft anuncia 0-day en IE8: No existe parche oficial

La vulnerabilidad permite ejecutar código arbitrario remoto en el contexto del usuario que ejecute IE 8, y se puede explotar en cualquier sistema operativo que lo tenga instalado. Ha sido utilizada para un reciente ataque contra el departamento de trabajo norteamericano.

Microsoft ha publicado un aviso de seguridad donde advierte a sus usuarios de la existencia de una vulnerabilidad 0-day en la versión 8 de Internet Explorer. El fallo puede ser explotado en cualquier versión del sistema operativo Windows que tenga instalado el navegador, desde XP hasta 2008 en todas sus versiones y arquitecturas. El fallo ha sido descubierto mientras estaba siendo aprovechado por atacantes.

Tiene un impacto de ejecución de código arbitrario de manera remota. Se le ha asignado el identificador CVE-2013-1347.

No existe parche oficial y no existe otra mitigación que la de evitar el uso del navegador hasta que sea solucionada. Teniendo en cuenta que la próxima publicación de parches será el día 14 de mayo y la gravedad de la vulnerabilidad, Microsoft no rechaza publicar parches fuera de ciclo.

Esta vulnerabilidad ha sido descubierta a raíz de un reciente ataque a una web pública del departamento de trabajo norteamericano. Se comprometió una base de datos sobre substancias toxicas y niveles de toxicidad de ciertas instalaciones nucleares del departamento de energía. Los trabajadores del departamento de trabajo la usan habitualmente para sus labores. Alguien pudo acceder al servidor y subió código que aprovecha esta vulnerabilidad y recopila información de los equipos de aquellos que accedían al sitio. Por tanto, se comprometió una web oficial para poder atacar a otros usuarios de un departamento diferente.

En un principio, todos los investigadores pensaron que se trataba de una vulnerabilidad en el navegador parcheada a principios de año. Poco después se confirmo que, incluso en sistemas parcheados, era posible la ejecución de código.

Durante el ataque, se descargaba una versión modificada de la herramienta de control remoto (RAT) Poison Ivy, poco detectada por antivirus y además con sus cabeceras PE modificadas para pasar desapercibido.

El exploit ya está disponible en Metasploit, por lo que cualquiera puede estudiarlo y aprovecharlo para cualquier fin. Se espera que los exploits kits lo incluyan pronto en sus repositorios y, por tanto, sus ataques sean aún más eficaces.

Fuente: Hispasec
Autor: David García
Publicación realizada con autorización de la fuente.

Image courtesy of jscreatinzs / FreeDigitalPhotos.net

La seguridad en Java sigue siendo un desastre

La seguridad en Java sigue siendo un desastre. Además de los últimos 0-day y actualizaciones (al menos parece que sacan rápido nuevas correcciones), se ha encontrado un applet firmado con un certificado robado. Este applet no aprovecha una vulnerabilidad, sino que el hecho de estar firmado le permite comprometer el equipo. Además, en este caso concreto, la configuración de Java por defecto demasiado relajada, ayuda al atacante.

Malware Domain List anunció en Twitter que había encontrado un Jar que descargaba archivos maliciosos, incluso en la última versión conocida.

La primera impresión, por supuesto, fue la de encontrarse ante un nuevo 0-day. Teniendo en cuenta los últimos acontecimientos y que el año pasado la mitad de las infecciones vinieron por Java, era lo más lógico.

Por cierto, el último episodio (encontrado el día 28 siendo explotado y arreglado muy recientemente) se diferenciaba sustancialmente de los fallos anteriores. Este aprovechaba una vulnerabilidad en la propia máquina virtual, no un problema de escapada de la “sandbox”, como se ha venido haciendo últimamente. Pero no, este Jar no aprovechaba ningún fallo.

Había sido descargado de un sitio comprometido que, por supuesto, habían convertido en un punto de infección con un Exploit Kit. Lo “interesante” de este Jar es que no aprovecha nada extraño, solo que está firmado.

Como ya mencionados en la serie dedicada a Java hace unas semanas, los applets firmados son como ejecutables en los que confía el sistema totalmente.

Han firmado el applet con un certificado robado de una empresa que existe. Aunque a la víctima le aparece un mensaje, no es extraño que Leer nota completa…

Primero Twitter, ahora Facebook

No pasaron siquiera dos semanas para que los usuarios afectados por el incidente a los servidores de Twitter tuvieran que reflexionar acerca de la seguridad de los sistemas de información de los proveedores de redes sociales y por ende, acerca de la información que a través de ellas comparten, y de nuevo hoy tienen que reflexionar en lo mismo:

¿qué tan segura es la red social que utilizo?

Esta pausa obligada que invita a la reflexión surge porque hoy Facebook avisa a todos sus usuarios que han sido víctimas de un problema de seguridad derivado (desde mi perspectiva de una incorrecta práctica de seguridad informática al interior de Facebook) de visitar a uno de sus proveedores de apps en donde las laptops del equipo de Facebook fueron contaminadas con un virus.

Como consecuencia del contagio se generó la vulnerabilidad de tener un ataque de 0-day misma que, como indica Facebook, fue corregida a tiempo y por ende la afectación no llegó a más.

¿Cómo se traduce? en que a diferencia de Twitter, la versión de Facebook indica que Leer nota completa…