Archivo

Entradas Etiquetadas ‘exploit’

¿Un ataque usando Adobe como excusa?

Miércoles, 16 de junio de 2010
Sin comentarios

(English version below)

Este mensaje es solo un aviso rápido:
Hoy un mensaje se ha saltado los filtros antispam y ha llegado al buzón.
Hablaba de actualizaciones para Adobe Reader…

Un vistazo al whois del dominio me ha despertado la curiosidad y en 5 minutos he encontrado unos cuantos dominios más relacionados con este posible ataque.

La fecha entre paréntesis indica la fecha de registro de los dominios, por lo que es fácil deducir que se han creado con el objetivo del ataque:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24)
QUIT-THIS-adobe-pdf-solutions.org (26-May-2010)
QUIT-THIS-adobe-acrobat-reader.com (2010.05.31)
QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010)
QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (dominio registrado por otra persona, a lo mejor no está relacionada)
QUIT-THIS-adobe-reader-2010.com (2010.05.29)
QUIT-THIS-adobe-reader-2010.org (03-Jun-2010)
QUIT-THIS-acrobat-reader-update.com (2010.06.15)
QUIT-THIS-download-adobe-pdf.com (2010.05.17)
QUIT-THIS-pdf-adobe-2010.com (2010.03.14)
QUIT-THIS-pdf-adobe-2010.net (2010.03.14)
QUIT-THIS-pdfreaderupdate.com (2010.05.11)
QUIT-THIS-pdfsoftware2010.org (09-Mar-2010)
QUIT-THIS-pdfsoftware2010.com (2010.03.09)
QUIT-THIS-pdfsoftware2010.net (2010.03.09)
QUIT-THIS-pdfsoftwareupdate.com (2010.03.12)
QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

De momento no tengo datos de qué pasa cuando te conectas a esas páginas… pero probablemente nada bueno.
Supongo que explotará alguna vulnerabilidad de IExplorer para instalar algún troyano.

De momento el consejo: no te conectes a esas páginas. Sencillo ¿no?

And now the English version for the English readers:

Today an email has jumped over the antispam filters and has arrived to the mailbox.
It was an email about Adobe Reader updates…

A quick look to the domain’s whois has awakened my curiosity and in 5 minutes I have found some more domains, maybe related to this possible attack.

The dates between brackets is the domain registration date. It is easy to infer than were created with the attack in mind:

QUIT-THIS-adobe-pdf-solutions.com (2010.05.24)
QUIT-THIS-adobe-pdf-solutions.org (26-May-2010)
QUIT-THIS-adobe-acrobat-reader.com (2010.05.31)
QUIT-THIS-adobe-acrobat-reader.org (03-Jun-2010)
QUIT-THIS-adobe-acrobat-reader.de (23.06.20090) (another guy registered this domain. Maybe it is not related.)
QUIT-THIS-adobe-reader-2010.com (2010.05.29)
QUIT-THIS-adobe-reader-2010.org (03-Jun-2010)
QUIT-THIS-acrobat-reader-update.com (2010.06.15)
QUIT-THIS-download-adobe-pdf.com (2010.05.17)
QUIT-THIS-pdf-adobe-2010.com (2010.03.14)
QUIT-THIS-pdf-adobe-2010.net (2010.03.14)
QUIT-THIS-pdfreaderupdate.com (2010.05.11)
QUIT-THIS-pdfsoftware2010.org (09-Mar-2010)
QUIT-THIS-pdfsoftware2010.com (2010.03.09)
QUIT-THIS-pdfsoftware2010.net (2010.03.09)
QUIT-THIS-pdfsoftwareupdate.com (2010.03.12)
QUIT-THIS-pdfsoftwareupdate.net (2010.03.12)

At this moment I have no data about what will happen if you connect to those pages… but probably nothing good.
I suppose that those page will exploit some IExplorer vulnerability to install a Trojan

The suggestion: Do not connect to those pages. Easy, isn’t it?

Seguridad , , ,

Una de cal y otra de arena con Microsoft

Miércoles, 20 de enero de 2010
Sin comentarios

Nada mejor que un poco de mala publicidad para reaccionar.

Según la BBC, Microsoft ha decidido corregir el error que está generando todos gran parte de los problemas de la Operación Aurora de la que ya he publicado algún apunte.

Una de cal y otra de arena.

Ayer mismo se publicó un full disclosure, con un exploit de ejemplo, que permite elevar privilegios y afecta a prácticamente todos los sistemas Windows de Microsoft.

El anuncio en particular explica en detalle el error y dice que se informó a Microsoft en junio del pasado año pero que, como no han publicado ningún parche al respecto, han decidido meterles un poco de prisa para que corrijan un error grave.

Supongo que Microsoft, ya que publicará los parches para corregir los problemas de la Operación Aurora, aprovechará para corregir este problema a la vez… que avisados estaban.

A los atacantes: si quieres conseguir privilegios de administrador en una máquina con windows, lee el disclosure.

A los administradores de sistemas: En el propio anuncio hay unos consejos para mitigar los daños… ahora toca evaluar si puedes o no implantar esas medidas en tus sistemas.

Ahora y como otras veces, toca esperar a que se publique el parche.

Actualización:

Otros blogs españoles también hablan del problema:

Seguridad , , ,

Operation Aurora: Exploit disponible

Lunes, 18 de enero de 2010
Sin comentarios

Hablaba el viernes de la Operation Aurora y de cómo Google y otras empresas habían sido atacadas aunque no todas lo reconocían públicamente y hoy (aunque la noticia es del mismo viernes) me entero de que el exploit ya circula libremente por Internet.

Es posible reproducir el ataque con Metasploit tal y como explican en esta página así que… estemos preparados para la tormenta.

Es previsible que en breve distintos grupos de crackers van a empezar a utilizar este exploit para generar sus propios ataques, contra sus propios objetivos así que en breve supongo que tendremos un nuevo virus.

Microsoft recomienda actualizar a IE8, a mi se me ocurre actualizar a Firefox :-) pero mientras tanto, los usuarios de Windows deberán esperar al parche y tener mucho cuidado con lo que ejecutan o las webs que visitan.

Actualización: (19/01/2010) No solo a mi se me ocurre recomendar actualizar a Firefox. Los gobiernos de Francia y Alemania también recomiendan no utilizar IE6 y migrar a Firefox.
Además se ha hecho pública una dirección IP (140.136.148.42) desde la que se controlaban las máquinas afectadas por uno de los ataques que utilizan la vulnerabilidad de Adobe Reader.

Redmon, Seguridad , , , ,

Operación Aurora: Ataques dirigidos contra distintas empresas desde China

Viernes, 15 de enero de 2010
Sin comentarios

Estos primeros días de enero están siendo movidos en el mundo de la seguridad de la información.

Algunos de los grandes han reconocido que están siendo víctimas de ataques dirigidos aprovechando una vulnerabilidad Zero-Day de IExplorer que Microsoft reconoció ayer a través de su blog.

Lo bueno, que se está publicando información a través de diferentes medios y websites como Google, que habla de ataques desde China o McAffe, que habla de la operación Aurora o bien algunos otros, como twitter de George Kurtz o el twitter de ITSec.

Por ahí se lee que el problema viene de la última vulnerabilidad descubierta en Adobe Reader y Adobe lo niega y trata de limpiar su imagen tras los múltiples problemas que ha causado estos días.

Las informaciones que hay disponibles por la red hablan de ataques especialmente dirigidos contra empresas y organismos en concreto, no muchos, pero en varios sectores incluidos el de la defensa. De momento pocos reconocen que han sido objetivo de estos ataques, otros probablemente no vayan a anunciar que el ataque les ha afectado a ellos… pocos reconocerán que les han robado información como ha hecho Google.

¿Estará el gobierno Chino detrás de estos ataques o serún las mafias? ¿Espionaje industrial u otra cosa? ¿Hasta qué punto se pueden empezar a tomar medidas drásticas como cortar TODO el tráfico con China salvo el tráfico deseado? ¿Se puede desconectar al país? ¿Pueden las empresas permitirse el lujo de desconectar al gigante?

Existen muchas páginas con bloques de IP de China, Korea, configuraciones para IPtables para cortar el tráfico asiático,scripts para bloquear tráfico de determinados países como China o Afganistán.

Son días para estar atentos a los logs, escuchar a los usuarios por si comentan cosas raras, vigilar los informes de los helpdesk en busca de incrementos de problemas por visrus, leer las noticias de seguridad y preparar planes de actualizacián de parches de seguridad para actualizar rápidamente cuando los fabricantes (especialmente Microsoft) publique las soluciones a los problemas de sus productos.

Operation Aurora

Redmon, Seguridad , , , ,

¿Vuelve el ping de la muerte?

Jueves, 10 de septiembre de 2009
Sin comentarios

El lunes se publicó una vulnerabilidad seria de Windows. Lo hizo Laurent Gaffié desde su blog al más puro estilo full disclosure, con exploit y todo, ahí es nada.

No se si habrá avisado o no a Microsoft antes de este disclosure pero quiero pensar que los ingenieros de Microsoft están ahora asustados, tratando de solucionar el problema cuanto antes y que en unos días publicarán un parche fuera de ciclo.

A mi, este problema me recuerda mucho al Ping de la Muerte de hace unos años. El PoD fue una vulnerabilidad que permitía que, mediante un paquete ping MUY largo, las máquinas se bloquearan y hubiera que reiniciarlas.

En aquellos días, mucho script kiddie del que pululaba por Internet se dedicaba a barrer la red en busca de máquinas vulnerables para tirarlas…

Recuerdo que yo tenía una máquina con Debian con el firewall de, no recuerdo exactamente si ipchains o iptables pero supongo que ipchains, por la fecha y un script que monitorizaba los logs continuamente en busca de evidencias de un ataque de “ping de la muerte”… cuando detectaba que una máquina me estaba atacando, le devolvía el ataque…

Era gracioso ver como las máquinas atacantes eran vulnerables a su propia medicina! :-)

Esta vulnerabilidad es algo distinta, no se trata de ICMP sino esta vez se trata del SMB así que requiere que se tenga el SMB activo.

En el blog de 48bits tienen un artículo muy interesante que explica con un poco más de detalle y en español este nuevo problema.

Por suerte es un problema del SMB y utiliza los puertos 445/TCP y 139/TCP los típicos puertos Microsoft que ya están deberían estar bloqueados en la mayoría de los firewalls de Internet así que la exposición de las máquinas vulnerables en Internet debería ser bajo.

Según la gente de 48bits no se trata únicamente de un ataque de denegación de servicio sino de ejecución remota de código.

El problema es mayor si se confirma la ejecución remota de código (que parece que si) porque, aunque los puertos estén bloqueados en muchos firewalls, si cuando algún programador de virus haga uso de esta vulnerabilidad… , el virus entrará en las redes corporativas como suelen entrar todos los virus: correo electrónico, tráfico web, discos USB… y una vez ha traspasada la protección perimetral, estando en la intranet corporativa, estará libre para campar a sus anchas, infectando todas las máquinas internas.

El tema anterior da para un apunte entero que si algún día tengo tiempo escribiré pero de momento las preguntas…

  • ¿Segmentáis las intranets con firewalls o con ACL en los routers?
  • ¿Cómo se deben proteger las intranets de sus propias máquinas?
  • ¿Cómo decidis cómo segmentar vuestras intranets?
  • ¿Tenéis toda la red sin segmentar?

Tendremos que estar a día y actualizar cuando salga el parche.

Seguridad ,