viernes, 31 de diciembre de 2010

Resumen de seguridad de 2010

Termina el año y en Hispasec echan la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2010 en cuestión de seguridad informática. Se destacará muy brevemente lo que se ha considerado como las noticias más importantes de cada mes publicadas en su boletín diario.

Enero 2010:

* Salta a los medios más generalistas la noticia de que un atacante entra en la recién inaugurada web de la Presidencia española de la Unión Europea (www.eu2010.es) e incrusta en ella una imagen del conocido humorista británico Rowan Atkinson en su papel de Mr. Bean. La noticia causa un gran revuelo, agravado tras conocer el dato de que el proyecto había costado más de 11 millones de euros. Pero realmente el sitio no ha sido vulnerado, sino que tiene un problema de cross site scripting. La URL había circulado por Twitter y mensajería a través de una petición especialmente manipulada, alguien pulsó sobre el enlace del XSS y la noticia ya estaba creada.

* 2010 resulta también una cifra incómoda para ciertos sistemas informáticos, que no han gestionado adecuadamente estas cuatro cifras, y han dejado de funcionar o lo han hecho de forma equívoca desde que comenzó el año.

* Hispasec publica, ante el éxito de la primera versión, VirusTotalUploader 2.0. Entre las mejoras más destacadas: permite calcular el hash antes del envío, permite ser ejecutado independientemente del menú contextual, permite la introducción de URLs directamente (y el usuario puede elegir si el fichero a analizar es efectivamente descargado en el disco duro, en qué directorio, o incluso que en ningún momento se aloje en el sistema). Otra mejora es que permite seleccionar y subir cinco ficheros de hasta 20 MBs cada uno y elegir directamente los binarios de los procesos.

* Google reconoce en su blog oficial haber sido objeto de un ataque "altamente sofisticado" de origen chino sobre sus infraestructuras. En la investigación descubren que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar. McAfee analiza varias muestras del malware involucrado en los ataques. Descubren en los ejemplares una vulnerabilidad no conocida hasta el momento en Internet Explorer. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado. A todo el asunto se le conoce como "Operación Aurora", y sería objeto de serias tiranteces entre China y Google cuando la compañía americana le acusa de ser el origen de los ataques y amenaza con dejar de operar en el país asiático por no aguantar más la censura a la que se veía sometido.

Febrero 2010:

* La fundación Mozilla informa (otra vez, tras los incidentes de 2008) que dos complementos "experimentales" para el navegador Firefox contienen troyanos para Windows. En concreto, la versión 4.0 de Sothink Web Video Downloader y todas las versiones de Master Filer. Estaban infectados con LdPinch.gen y Bifrose respectivamente.

* La Guardia Civil detiene a tres personas como presuntos responsables de una red que tenía bajo su control más de 13 millones de ordenadores "zombies". Se le denomina red "Mariposa". Panda y los servicios de inteligencia de los EE.UU, participan en la desmantelación de una de las redes zombi más grandes vistas hasta el momento.

* Se hace público que Microsoft conocía el fallo utilizado en la Operación Aurora desde hacía al menos cinco meses. Lo arregla a los pocos días.

Marzo 2010:

* Panda da a conocer que Vodafone, el paquete con el que distribuye el HTC Magic con Android, viene troyanizado con el cliente para incorporar el equipo a la botnet Mariposa.

* Los problemas de seguridad en Adobe comienzan a ser insostenibles. Anuncian un giro en su política de seguridad para intentar enmendarla. Entre las medidas, pretenden colaborar con Microsoft para que las actualizaciones de Adobe se distribuyan a través de los productos y servicios de administración centralizada de Microsoft, como System Center Configuration Manager (SCCM) o System Center Essentials (SCE).

* Mozilla publica la versión 3.6.2 del navegador Firefox que soluciona (entre otros) un fallo de seguridad que estaba siendo aprovechado por atacantes y del que se rumoreaba desde hacía un mes. Por su parte el gobierno alemán recomendó no usar el navegador hasta que el fallo fuese corregido.

* Microsoft publica el boletín de seguridad MS10-018 de carácter crítico, en el que se solucionan hasta diez vulnerabilidades diferentes en Internet Explorer. La urgencia se debe a la última vulnerabilidad recientemente anunciada y que está siendo utilizada de forma activa.

Abril 2010:

* En abril, a través de un post en el blog oficial del equipo de infraestructuras de Apache, se publican los detalles acerca de un ataque dirigido sobre los servidores de la fundación. Los atacantes emplean una vulnerabilidad desconocida hasta el momento en JIRA (un software de gestión de errores e incidencias en proyectos) que permite efectuar ataques de cross site scripting.

* A las 14:00 horas GMT del 21 de abril, McAfee libera un nuevo fichero DAT de actualización, el 5958 que contiene una firma que le indica al antivirus de McAfee que ponga en cuarentena al proceso svchost.exe de los sistemas operativos Windows XP SP3, al confundirlo con el virus W32/Wecorl.a. Esta acción provoca que cuando se reinicie el equipo éste entre en un bucle de reinicios consecutivos y vuelva a la máquina inoperable

* Didier Stevens publica una técnica para ejecutar código en Adobe Reader con solo abrir un archivo PDF especialmente manipulado sin utilizar una vulnerabilidad en la implementación del programa..., sino en la especificación PDF.

Mayo 2010:

* Se da a conocer un problema en Facebook que permite a cualquier usuario visualizar el chat de sus amigos en tiempo real. El fallo, fácilmente reproducible por cualquier usuario con unas pocas pulsaciones de ratón, permitía visualizar las conversaciones que cualquiera de sus amigos estuviera manteniendo en ese momento. Todo ello sin necesidad de ningún conocimiento técnico ni escribir ninguna línea de código.

* Aza Raskin desvela un nuevo método de modificación de páginas en pestañas del navegador que puede ser utilizado para realizar ataques de phishing un poco más sofisticados. Está basado en una técnica con JavaScript que permite modificar el aspecto de una página cuando no tiene el "foco" de la pestaña del navegador. Aunque ingenioso, no es realmente usado en ataques. Se le bautiza como Tabnabbing.

* Financial Times publica una noticia en la que se afirma que según "varios empleados", en Google, están empezando a abandonar Windows en sus escritorios por cuestiones de seguridad, motivadas probablemente por el ataque que sufrió la compañía en enero. La decisión (y el titular) es cuando menos discutible, porque en definitiva, el ataque en el que se basó la operación "Aurora" fue un problema de políticas de seguridad de Google, no de un sistema operativo u otro.

Junio 2010:

* El día 9 de junio, Tavis Ormandy (que trabaja para Google) hace públicos todos los detalles de un fallo en el "Centro de soporte y ayuda de Windows" que permite la ejecución de código con solo visitar una web con cualquier navegador. Ofrece una prueba de concepto en una conocida lista de seguridad. Alega que ha avisado a Microsoft cinco días antes, que no se han puesto de acuerdo sobre los plazos y que considera que el problema es serio como para alertar a todos. Microsoft se ve obligada a publicar una alerta reconociendo el fallo, pero lógicamente, todavía sin parche. Poco después, para echar leña al fuego, Graham Cluley de Sophos, publica en su blog una entrada titulada "Tavis Ormandy, ¿estás contento? Páginas explotan el 0 day en Microsoft". Sophos descubre que la industria del malware ya está aprovechando la información de Tavis para realizar ataques de forma masiva. Y empeoraría con el tiempo. Se reabre el debate sobre la "divulgación responsable", que algunos ven como un término avieso creado por las grandes marcas para hacer pensar que cualquier otra vía de divulgación es necesariamente irresponsable.

* Un grupo de investigadores anónimos (y con mucho humor) forman el Microsoft-Spurned Researcher Collective, (un juego con el oficial Microsoft's Security Response Center) que se supone se trata de una formación que intenta encontrar vulnerabilidades en Windows y divulgar todos los detalles sin avisar a Microsoft, con el único fin de vengarse por el trato dado a Tavis. Google y Microsoft se acusan mutuamente. En un intento de calmar ánimos, Microsoft decide cambiar el término "responsible disclosure" por "coordinated disclosure" y la industria lo acepta como nuevo estándar.

* Se descubre que UnrealIRCd, un popular servidor de código abierto de IRC, está troyanizado y disponible desde la página oficial al menos desde noviembre de 2009. Los atacantes reemplazan el código fuente de la versión para sistemas Unix/Linux, y la modificación pasa inadvertida durante unos 8 meses. A raíz del incidente, comienzan a firmar su código.

* Microsoft vuelve a poner la excusa de la "incompatibilidad" para dejar sin un parche de seguridad a un producto al que todavía da "soporte extendido". En este caso se trata de Office XP. La suite ofimática aparecida en 2001, se queda sin el parche MS10-036, que corrige una vulnerabilidad que permite la ejecución de código. La razón oficial: incompatibilidad.

Julio 2010:

* VirusBlokAda descubre en junio un nuevo troyano. Pasadas unas semanas, alertan sobre algo realmente inusual en este troyano: su forma de propagarse a través de memorias USB prescindiendo del tradicional archivo autorun.inf. El troyano usa en cierta manera, una vulnerabilidad en archivos .LNK que permite la ejecución de código aunque el AutoPlay y AutoRun se encuentren desactivados. A efectos prácticos, implica que se ha descubierto una nueva forma totalmente nueva de ejecutar código en Windows cuando se inserta un dispositivo extraíble, independientemente de que se hayan tomado todas las medidas oportunas conocidas hasta el momento para impedirlo. Comienza a indagarse sobre un malware que dará mucho que hablar: Stuxnet.

* Se descubre que Stuxnet está dirigido específicamente contra sistemas SCADA WinCC de Siemens, que se ejecutan en Windows. Dentro de su código contiene la contraseña por defecto para la base de datos central del producto. Para colmo, el troyano utiliza para su funcionalidad de rootkit unos drivers firmados digitalmente por la famosa empresa china Realtek. Luego se descubriría que el troyano no solo podía aprovechar esta vulnerabilidad, sino además otras para las que tampoco existía parche. Hasta la fecha, el malware más profesional jamás creado.

* El día 20 de julio Mozilla anuncia la nueva versión 3.6.7 y 3.5.11 de su navegador, que corrige 15 vulnerabilidades en 14 boletines de seguridad diferentes. Tres días más tarde ya estaba disponible la versión 3.6.8 para solucionar una vulnerabilidad introducida al corregir las anteriores.

Agosto 2010:

* Zero Day Initiative de TippingPoint impone una nueva regla destinada a presionar a los fabricantes de software para que solucionen lo antes posible sus errores: si pasados seis meses desde que se les avisa de un fallo de seguridad de forma privada, no lo han corregido, lo harán público.

* HD Moore destapa un problema de seguridad en decenas de aplicaciones de terceros cuando son ejecutadas sobre Windows. Aunque la raíz del problema es, en realidad, una programación insegura de las aplicaciones, dada la magnitud del problema Microsoft publica un aviso de seguridad con instrucciones para mitigar el fallo. El problema está en múltiples aplicaciones de terceros (y propias) para Windows a la hora de cargar librerías dinámicas (archivos DLL). Si las aplicaciones no especifican las rutas completas de las librerías que necesitan, Windows podría llegar, en su búsqueda, a "encontrar" primero las librerías de los atacantes y ejecutarlas. Al principio Moore identifica unas cuarenta aplicaciones, pero poco a poco el número comienza a crecer. Comienza la locura del DLL Hijacking.

* MS.AndroidOS.FakePlayer.a se convierte en el primer troyano mediático para Android.

* Intel compra McAfee y se desatan ríos de tinta, dando lugar a todo tipo de análisis sobre cómo evolucionarán los chips de la compañía ahora que tienen tecnología antivirus "propia".

* VirusTotal se renueva con interesantes novedades: nuevo servicio de escaneo de URLs, comunidad VirusTotal, API pública, nuevas estadísticas, nuevo sistema de búsqueda y extensión para Firefox.

Septiembre 2010:

* El 21 de septiembre se crea una especie de virus JavaScript para Twitter que siembra el caos. Se propaga con solo pasar el ratón por encima de un twitt. La vulnerabilidad estaba ya corregida, pero fue reabierta con el cambio de imagen del portal en agosto.

* Destaca un nuevo fallo de seguridad en Adobe Reader porque elude las protecciones de los últimos Windows, y además el exploit está firmado digitalmente.

* SAP anuncia que se apunta al carro de las actualizaciones de seguridad programadas. A partir de ahora, las publicará el segundo martes de cada mes. Como Microsoft, Oracle, Adobe y Cisco.

* ZoneAlarm (de Cisco) utiliza técnicas desafortunadas para incentivar la compra de su software. Una escalofriante ventana emergente sugiere que el equipo está troyanizado con un malware peligrosísimo, alerta a todos los usuarios de este firewall personal. Pero además CheckPoint (responsable del producto) resucita en su página (ya eliminada) todos los tópicos de una publicidad engañosa, irresponsable y sobre todo, anticuada: vuelven 10 años atrás en el marketing antivirus.

Octubre 2010:

* Un estudio realizado de forma independiente por Hispasec con 20.263 webs maliciosas revela que Firefox, en comparación con Chrome, Internet Explorer y Opera, es el navegador que bloquea de forma más efectiva los intentos de fraude.

* Se detecta un repunte de ataques contra Java SE Runtime Environment, que aprovechan vulnerabilidades de este software e instalan malware, ensombreciendo por aplastante mayoría a los ataques contra el Adobe Reader que últimamente parecía el preferido por los atacantes.

* Microsoft añade la firma de Zbot a su MSRT (Malicious Software Removal Tool). Los resultados publicados confirman que Zbot (Zeus) sigue siendo la familia que más afecta a los Windows, encontrándose en 1 de cada 5 sistemas limpiados, según Microsoft.

* Se descubre un 0-day en Firefox por el equipo de Trend Micro. La compañía informa que el sitio web oficial de los Premios Nobel había sido comprometido y que los atacantes habrían insertado un script PHP malicioso, denominado "JS_NINDYA.A", con objeto de propagar malware.

Noviembre 2010:

* Hispasec desarrolla una herramienta destinada a intentar mitigar con
un solo click los riesgos más importantes que puede conllevar utilizar
un sistema operativo Windows en un portátil: LapSec

* Team Cymru informa de que, aunque todavía en uso, las botnets orquestadas por IRC (que resultaba el método "tradicional") suponen solo una décima parte de las botnets controladas por web mientras que estas doblan su número cada 18 meses. Zeus y SpyEye han tenido mucho que ver en esto.

* Se descubre un fallo de seguridad en el sistema operativo para teléfonos Android 2.2 que puede permitir a un atacante obtener cualquier fichero del usuario almacenado en el teléfono si la víctima visita una web especialmente manipulada.

Diciembre 2010:

* El 28 de noviembre el servidor principal de distribución de ficheros del proyecto ProFTPD se ve comprometido y la versión 1.3.3c reemplazada por otra con una puerta trasera. El atacante emplea para acceder al servidor una vulnerabilidad no corregida en el propio demonio FTP.

* Se publica en la lista de OpenBSD un mail en el que Theo de Raadt, líder del proyecto, comunica que el código del sistema operativo ha podido ser troyanizado por sus desarrolladores a petición del gobierno de Estados Unidos entre los años 2000 y 2001. La noticia causa un gran revuelo y Theo solicita ayuda para auditar el código.

* Microsoft cierra con sus boletines de diciembre todos los fallos aprovechados por Stuxnet.

Fuente: Hispasec

No hay comentarios: