Jaime Robles

Ayer hablaba de que Microsoft había decidido publicar el parche para corregir la vulnerabilidad de Internet Explorer que estaba generando todo el ruido mediático de la operación Aurora.

Pues bien, ayer tarde hizo público el parche que corrige la vulnerabilidad en Internet Explorer.
La información está en este boletín fuera de ciclo.

Ahora toca probar el parche (cuando lo publiquen) y actualizar… a ver si este parche, liberado rápidamente y bajo presión no nos trae ninguna sorpresa.

Está claro, la presión mediática funciona.

Actualización: Desde anoche ya tenemos los parches:

• MS10-001
• MS10-002

Seguridad Aurora Operation, Redmon, Seguridad, Virus

Nada mejor que un poco de mala publicidad para reaccionar.

Según la BBC, Microsoft ha decidido corregir el error que está generando todos gran parte de los problemas de la Operación Aurora de la que ya he publicado algún apunte.

Una de cal y otra de arena.

Ayer mismo se publicó un full disclosure, con un exploit de ejemplo, que permite elevar privilegios y afecta a prácticamente todos los sistemas Windows de Microsoft.

El anuncio en particular explica en detalle el error y dice que se informó a Microsoft en junio del pasado año pero que, como no han publicado ningún parche al respecto, han decidido meterles un poco de prisa para que corrijan un error grave.

Supongo que Microsoft, ya que publicará los parches para corregir los problemas de la Operación Aurora, aprovechará para corregir este problema a la vez… que avisados estaban.

A los atacantes: si quieres conseguir privilegios de administrador en una máquina con windows, lee el disclosure.

A los administradores de sistemas: En el propio anuncio hay unos consejos para mitigar los daños… ahora toca evaluar si puedes o no implantar esas medidas en tus sistemas.

Ahora y como otras veces, toca esperar a que se publique el parche.

Actualización:

Otros blogs españoles también hablan del problema:

• Auditoría de Seguridad para empresas.
• Pentester.es.
• Una al día de Hispasec.

Seguridad Aurora Operation, Incidente, Seguridad, exploit

Hablaba el viernes de la Operation Aurora y de cómo Google y otras empresas habían sido atacadas aunque no todas lo reconocían públicamente y hoy (aunque la noticia es del mismo viernes) me entero de que el exploit ya circula libremente por Internet.

Es posible reproducir el ataque con Metasploit tal y como explican en esta página así que… estemos preparados para la tormenta.

Es previsible que en breve distintos grupos de crackers van a empezar a utilizar este exploit para generar sus propios ataques, contra sus propios objetivos así que en breve supongo que tendremos un nuevo virus.

Microsoft recomienda actualizar a IE8, a mi se me ocurre actualizar a Firefox pero mientras tanto, los usuarios de Windows deberán esperar al parche y tener mucho cuidado con lo que ejecutan o las webs que visitan.

Actualización: (19/01/2010) No solo a mi se me ocurre recomendar actualizar a Firefox. Los gobiernos de Francia y Alemania también recomiendan no utilizar IE6 y migrar a Firefox.
Además se ha hecho pública una dirección IP (140.136.148.42) desde la que se controlaban las máquinas afectadas por uno de los ataques que utilizan la vulnerabilidad de Adobe Reader.

Redmon, Seguridad Aurora Operation, Incidente, Seguridad, Virus, exploit

Estos primeros días de enero están siendo movidos en el mundo de la seguridad de la información.

Algunos de los grandes han reconocido que están siendo víctimas de ataques dirigidos aprovechando una vulnerabilidad Zero-Day de IExplorer que Microsoft reconoció ayer a través de su blog.

Lo bueno, que se está publicando información a través de diferentes medios y websites como Google, que habla de ataques desde China o McAffe, que habla de la operación Aurora o bien algunos otros, como twitter de George Kurtz o el twitter de ITSec.

Por ahí se lee que el problema viene de la última vulnerabilidad descubierta en Adobe Reader y Adobe lo niega y trata de limpiar su imagen tras los múltiples problemas que ha causado estos días.

Las informaciones que hay disponibles por la red hablan de ataques especialmente dirigidos contra empresas y organismos en concreto, no muchos, pero en varios sectores incluidos el de la defensa. De momento pocos reconocen que han sido objetivo de estos ataques, otros probablemente no vayan a anunciar que el ataque les ha afectado a ellos… pocos reconocerán que les han robado información como ha hecho Google.

¿Estará el gobierno Chino detrás de estos ataques o serún las mafias? ¿Espionaje industrial u otra cosa? ¿Hasta qué punto se pueden empezar a tomar medidas drásticas como cortar TODO el tráfico con China salvo el tráfico deseado? ¿Se puede desconectar al país? ¿Pueden las empresas permitirse el lujo de desconectar al gigante?

Existen muchas páginas con bloques de IP de China, Korea, configuraciones para IPtables para cortar el tráfico asiático,scripts para bloquear tráfico de determinados países como China o Afganistán.

Son días para estar atentos a los logs, escuchar a los usuarios por si comentan cosas raras, vigilar los informes de los helpdesk en busca de incrementos de problemas por visrus, leer las noticias de seguridad y preparar planes de actualizacián de parches de seguridad para actualizar rápidamente cuando los fabricantes (especialmente Microsoft) publique las soluciones a los problemas de sus productos.

Operation Aurora

Redmon, Seguridad Aurora Operation, Incidente, Seguridad, Virus, exploit