News

Actualización de la entrada Martes de parches de este mes: MS12-020/CVE-2012-0002

Los twitters de la esfera infosec anoche, y la blogosfera, esta mañana, estaban frenéticos sobre la fuga pública de un DoS PoC dirigido contra la vulnerabilidad CVE-2012-0002, el RDP pre auth remoto. Ya hicimos incapié en esta vulnerabilidad en nuestra anterior entrada del blog: “Martes de parches, marzo 2012 – Vulnerabilidad RCE use-after-free de pre-autentificación en ring0”. Antes que nada, aplica el parche. Pero si no puedes, usa la herramienta de mitigación que ofrece Microsoft: vale la pena tomarse la molestia en solicitar la autentificación de red, tomando en cuenta el riesgo bastante elevado de RCE en las próximas dos semanas. Puedes ver la lista de enlaces relacionados al costado de esta página, en la que hemos incluido uno para MS12-020.

Ha aparecido alguna información interesante sobre esta vulnerabilidad, incluyendo el hecho de que el virus apareció en mayo de 2011 y “ZDI/TippingPoint lo reportó a Microsoft en agosto de 2011”. El investigador Luigi Ariemma sostiene que no es el autor de la publicación de este trabajo (él suele publicar sus trabajos completos). Tras una cuidadosa investigación del mal codificado “rdpclient.exe” publicado online en foros chinos, encontró que se trataba de una copia barata del código único que él había proporcionado a ZDI y, a su vez a Microsoft, al informar sobre el virus de forma reservada. Esto es malo. Y algunos investigadores con conexiones con el exploit de código abierto Metasploit, como Joshua Drake, ya están ajustando el código, desarrollando y compartiendo un mejorado PoC. Como ha señalado Microsoft, la confianza en el desarrollo de un exploit público confiable en 30 días es muy alta.

A pesar de ello, las consecuencias de una fuga en el altamente cotizado programa MAPP podrían obstaculizar los sólidos e importantes esfuerzos que se han hecho en seguridad durante años de una considerable inversión, integridad, y maduración de procesos operativos y de desarrollo. Las opiniones e ideas sobre la fuga están disponibles en: Zero Day. Al mismo tiempo, creo que este incidente puede acabar en un simple defecto en la reputación del programa MAPP, pero es importante que se lo identifique y maneje adecuadamente. Con la expansión del programa, un incidente de esta naturaleza es algo para lo que sin duda se debería estar preparado.

ACTUALIZACIÓN: Al comenzar la tarde, Microsoft ha reconocido en el blog MSRC que el PoC que se filtró en foros chinos “parece coincidir con la información sobre la vulnerabilidad compartida con los socios de MAPP”, señala que todavía no circula públicamente ningún exploit RCE, aconseja parchar o mitigar con Fix-It, y anuncia que está iniciando una investigación sobre la filtración.

Actualización de la entrada Martes de parches de este mes: MS12-020/CVE-2012-0002

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada