Los investigadores descubrieron dos explotaciones que fueron liberadas pocos días una después de la otra, y que aprovechaban las vulnerabilidades críticas de Internet Explorer 7(IE7) and Adobe Acrobat y Adobe Reader.

Vulnerabilidades de Microsoft y Adobe para robar datos 

Los investigadores descubrieron dos explotaciones que fueron liberadas pocos días una después de la otra, y que aprovechaban las vulnerabilidades críticas de Internet Explorer 7(IE7) and Adobe Acrobat y Adobe Reader.  

Ataque al Ampliamente Utilizado Navegador Internet IE7

El ataque a IE7, que se da después del surgimiento de explotaciones de día cero en diciembre de 2008, comienza con un archivo .DOC malicioso identificado por Trend Micro como XML_DLOADR.A. Pretende contener los resultados de una encuesta patrocinado por una compañía editora de periódicos local de Asia, que es particularmente interesante para los receptores de este ataque dirigido. Este archivo es enviado como spam pero tiene una distribución muy limitada. Cuando este archivo es abierto por los usuarios descuidados, un objeto ActiveX se conecta a un URL especificado en el código del malware. Esta debilidad de IE7 se origina de la forma en que IE7 reacciona cuando accede a objetos que se han eliminado o removido previamente. Un criminal utilizó esta debilidad al diseñar una página que puede engañar al navegador para que descargue un backdoor (BKDR_AGENT.XZMS). 

El backdoor abre una ventana oculta del navegador que se conecta a un sitio y se queda en espera de comandos. Incluso captura imágenes de lo que esté sucediendo en la pantalla de la PC y envía estos archivos al ciber criminal.  

Ataque al Ampliamente Utilizado PDF Adobe Reader

La explotación de PDF afecta a Adobe Acrobat 9 y Adobe Reader 9 y todas las versiones previas. Un archivo .PDF especialmente creado (TROJ_PIDIEF.IN) provoca que estos programas fallen para que pueda descargar en secreto código malicioso a la computadora. El código malicioso depositado varía. Algunas de nuestras detecciones incluyen a un backdoor (BKDR_NETCL.A) y a un código de explotación (EXPL_EXECOD.A). El backdoor se conecta a un servidor que espera en silencio comandos de un atacante remoto, mientras el código de explotación está a la caza y apunta a otras vulnerabilidades del software para permitir que los criminales envíen comandos remotos a una computadora infectada. Los criminales pueden preparar diferentes cargas y tener diferentes objetivos dependiendo del código malicioso descargado.  

Adobe aún debe liberar un parche para ésta y otras vulnerabilidades anunciadas en las recientes semanas. Estadísticamente, podría ser difícil medir el éxito de dichas explotaciones de día cero, pero una comparación entre estos dos incidentes demuestra que explotar las vulnerabilidades sigue siendo un método lucrativo para provocar una infección de código malicioso.  

Ataque a Tipos Comunes de Documentos de Microsoft Office: No se Ve el Final

El año pasado, hubo un enorme crecimiento en archivos adjuntos maliciosos en correos no deseados de julio a octubre. No es una coincidencia que el frenesí por los Juegos Olímpicos de Verano de 2008 alcanzara su nivel máximo durante estos meses, junto con la amplia cobertura de los medios del levantamiento tibetano que se originó de los juegos que se realizaron en China. Un gran porcentaje de estos archivos adjuntos con temas relacionados con las Olimpiadas y el Tíbet fueran documentos especialmente creados que explotan vulnerabilidades para preparar el camino a otros objetivos criminales. TROJ_MDROPPER.ZT, TROJ_MDROPPER.ZY, y TROJ_PPDROP.M son algunos troyanos que han sido integrados en archivos de Word, Excel y PowerPoint, respectivamente.  

Esencialmente, los parches son una defensa crítica contra estos ataques. Después de todo, el software es desarrollado con huecos y vacíos no intencionales pero inevitables en su diseño e implementación. Al no ser verificados, éstos se traducen en usuarios susceptibles a ataques de los ciber criminales. 

Es posible que tu navegador no permita visualizar esta imagen.

Figura 1. Cadena de infección de la explotración de IE7. 

Se liberó el parche para la vulnerabilidad de IE7 desde el 16 de febrero, pero los analistas siguen viendo casos de infección por las mismas explotaciones que aprovecharon esta vulnerabilidad. Adobe, por otro lado, ha programado la liberación de un parche en marzo. Sin embargo, el hecho es que aún cuando los parches están listos, la responsabilidad sde instalarlos sigue siendo del usuario. E incluso cuando el usuario parcha la aplicación tan pronto está disponible una actualización, normalmente hay un periodo de exposición suficientemente largo entre el momento en que se revela la vulnerabilidad y el momento en que el parche está disponible.  

Riesgos y Exposición para los Usuarios

A pesar de la creciente competencia de Firefox y Chrome, Internet Explorer sigue siendo ampliamente utilizado. Así que apuntar a IE tiene sentido, especialmente cuando los ciber criminales piensan en la cantidad de posibles víctimas. Adobe Reader mientras tanto tiene más de 300 millones de usuarios en todo el mundo, y Adobe Acrobat tiene alrededor de 900 millones.  

Vale la pena resaltar que las explotaciones son las más utilizadas como el punto de entrada para los ciber criminales. Tan pronto como las vulnerabilidades son explotadas con éxito, pueden instalarse y ejecutarse muchas variaciones y cargas de código malicioso en los sistemas infectados. Los usuarios infectados podrían ser víctimas del robo de datos y de identidad. Podrían perder el control de sus PCs y los ciber criminales podrían utilizar estas máquinas para sus propios fines, como el envío de spam, scams y ataques DDOS. Asimismo, las PCs podrían estar vulnerables a mayores infecciones y abuso.  

Soluciones y Recomendaciones de Trend Micro

La Trend Micro Smart Protection Network ofrece seguridad que es más inteligente que los métodos convencionales. Bloquea las amenazas más recientes antes de que lleguen a usted. Fortalecida por las soluciones y servicios de Trend Micro, Smart Protection Network combina tecnologías en la nube únicas y una arquitectura de clientes ligera para proteger su información cuando se conecta de forma inmediata y automática.  

La Smart Protection Network brinda una capa de defensa contra estos ataques a través de la tecnología Web Reputation, que identifica los sitios web conocidos o peligrosos y bloquea el acceso de los usuarios de acuerdo con las clasificaciones de reputación de los dominios. En este ejemplo, Web Reputation bloquearía los sitios web maliciosos utilizados por el atacante para identificar la computadora así como evitar que cualquier información robada sea tomada por el atacante. Mientras tanto, la tecnología Email Reputation bloquea los mensajes de spam iniciales y la tecnología File Reputation valora la integridad de todos los archivos descargados en las computadoras. Al nivel del escritorio, la tecnología antivirus identifica y elimina los códigos de explotación HTML_DLOADER.AS y TROJ_PIDIEF.IN, binarios relacionados como XML_DLOADR.A, BKDR_NETCL.A, y EXPL_EXECOD.A, y otras amenazas peligrosas.  

Para los administradores de sistemas, la seguridad al nivel del cliente de OfficeScan debería ser complementada con nuevas capas de protección para ofrecer protección de puntos finales más oportuna y más robusta con productos como Intrusion Defense Firewall (IDF). El motor de inspección de paquetes profundos de alto desempeño de IDF monitorea el tráfico entrante y saliente para detectar desviaciones de los protocolos de red, contenido sospechoso que identifica un ataque, o violaciones a las políticas de seguridad. Intrusion Defense Firewalls evita que las vulnerabilidades sean explotadas antes de que los parches se desplieguen en los sistemas de misión crítica, móviles y difíciles de parchar. El parcheo virtual de IDF puede bloquear los ataques en cuestión de horas después de que un parche haya sido liberado por Microsoft o Adobe, asegurando que los sistemas estén protegidos mientras el equipo de IT prueba y programa la implementación del parche del proveedor a todos los sistemas, dándole al equipo de IT la capacidad de desplegar parches en sus propios plazos. Como una mejor práctica, Trend Micro recomienda que los usuarios parchen Internet Explorer con la actualización disponible de Microsoft y monitoreen las actualizaciones de Adobe.

Regresar al principio

SEGURIDAD EN LA MIRA

Las 10 Amenazas de 2008 

  1. Compromisos Masivos

    Los ataques masivos dirigidos a grupos de usuarios específicos y sitios web populares fueron más comunes en 2008. Una gama diversa de sitios web – entretenimiento, política, compras en línea, redes sociales – se utilizó para propagar código malicioso. Los compromisos alcanzaron su máximo nivel en mayo cuando se inyectó a los sitios de todo el mundo código malicioso que infectó a usuarios de Internet desprevenidos.  

  1. Botnets

    Los botnets jugaron una parte importante en la propagación de amenazas Web en 2008. Gigantes como Storm, Kraken, Mega-D/Odzok, MayDay, y ASProx— provocaron estragos el año pasado, siguen en el radar de los investigadores de botnets. El cierre de McColo, un servicio de hospedaje de ciber crimen, en noviembre, disuadió temporalmente a los bot masters de buscar medios alternativos para proliferar.  
     
     

  1. Antivirus falso

    Software “antivirus falso” convence a los usuarios de que están infectados con código malicioso al fingir síntomas de infección que los hace descargar programas antivirus falsos para limpiar la supuesta infección. Estas amenazas utilizaron una variedad de canales de entrada e infección en 2008 – desde spam hasta envenenamiento masivo de la optimización de motores de búsqueda (SEO) – comprometiendo múltiples sitios web en el proceso.  

  1. Cambiadores de DNS

    El código malicioso que cambia DNS, identificado por Trend Micro como TROJ_AGENT.NDT y BKDR_AGENT.CAHZ, envenenó a otros servidores de la subred local al instalar un servidor malicioso Dynamic Host Configuration Protocol (DHCP) en la red. Este código malicioso monitorea el tráfico e intercepta paquetes de solicitud de otras computadoras de la red. Contestan a las solicitudes interceptadas con paquetes que contienen indicadores hacia servidores DNS maliciosos provocando que los receptores sean redirigidos a sitios maliciosos con su consentimiento.  

  1. Explotaciones Automáticas

    WORM_DOWNAD.A, un gusano .DLL que explota la vulnerabilidad MS08-067, mostró rutinas que llevaron a los analistas de seguridad a postular su papel en el desarrollo de un nuevo botnet. La automatización ocurre como una configuración del sistema operativo Windows e incluye el inicio automático que ocurre cuando Autorun.inf. se retira inicialmente. La propia vulnerabilidad del sistema también genera un evento automático, el cual permite que el gusano se propague vía memoria o la red. Se descubrió que la amenaza ya ha infectado más de 500,000 servidores únicos, distribuidos en diferentes países.  

  1. Explotación de Día Cero de Internet Explorer

    Los criminales se abalanzaron rápidamente hacia una explotación de día cero de Internet Explorer (IE) para realizar ataques masivos de inyección SQUL en casi 6,000 sitios web. Los investigadores advirtieron que era sólo cuestión de tiempo antes de que la explotación disponible públicamente se utilizara para un ataque más amplio. Microsoft confirmó la presencia de la vulnerabilidad en todos sus navegadores, incluyendo aquellos actualmente soportados (IE5.01, IE6 y IE7, y IE8 Beta 2). La vulnerabilidad del navegador – una falla en la función de vinculación de daos de IE – se incluyó principalmente en varias amenazas masivas de ciber criminales en 2008, incluyendo la operación de robo de identidad dirigida a los jugadores chinos.  

  1. Rootkits

    El rootkit MBR (Master Boot Record) provocó estragos a principios de 2008. El rootkit busca particiones booteables de un sistema afectado y crea un nuevo MBR malicioso que carga el componente de rootkit, identificado como RTKT_AGENT.CAV, que se guarda entonces en un sector arbitrario dentro de la partición booteable. 

  1. Ransomware

    Detectada en noviembre, una nueva versión del ramsomware GPcode, que Trend Micro identifica como TROJ_RANDSOM.A, busca y encripta archivos encontrados en cualquier unidad de sistema que pueda leerse y escribirse, dejándola inaccesibles sin la llave de encripción. Se le informa a las víctimas que debe adquirirse una herramienta de desencripción para abrir los archivos. Esto se logra colocando un archivo de texto en cada carpeta que contenga un archivo encriptado.  

  1. Código malicioso autoejecutable

    Las unidades removibles y físicas son la cuarta fuente más alta de infección a escala global (ver Figura 1). De las infecciones totales en Asia y Australia, 15 por ciento se originan de código malicioso contenido en unidades removibles. La mayoría de los países asiáticos incluyen código malicioso autoejecutable como su principal elemento de infección y el principal código malicioso que infecta a PCs en Europa, Medio Oriente y África (EMEA) también incluye código malicioso autoejecutable. El código malicioso autoejecutable tiene tanto éxito en propagarse que se ha infiltrado en redes de la NASA y el Departamento de Defensa de Estados Unidos.  

  1. Unidades USB Infectadas

    Noticias de código malicioso pre-integrado en unidades USB refuerzan la creciente amenaza que estos dispositivos representan. El producto más reciente que contiene gusanos fueron las unidades USB Proliant de Hewlett-Packar, que se utilizan para instalar unidades de disco flexible opcionales en servidores. El código malicioso tiene nombres de archivos que podrían confundirse con archivos de sistema legítimos (como WinUpdter y ctfmon) y pueden transmitirse a un sistema una vez que las unidades se conectan. En noviembre, el Ejército de Estados Unidos suspendió el uso de dispositivos USB y medios removibles después de que un gusano comenzó a propagarse por su red.1 

1John Leyden, "Ejército de Estados Unidos Prohíbe Dispositivos USB por Contener Gusano", The Register, Noviembre de 20, 2008, http://www.theregister.co.uk/2008/11/20/us_army_usb_ban/