Software

Actualizaciones de Microsoft, noviembre de 2013: desintegrando la vulnerabilidad de día cero

El martes de parches de Microsoft de este mes nos ha traído un grupo de tres vulnerabilidades críticas y cinco boletines clasificados como “importantes”. Los parches MS13-088 de este mes solucionan ocho vulnerabilidades críticas y dos importantes en Internet Explorer. En total, Microsoft aborda 19 problemas de seguridad en Internet Explorer, Office y Windows.

La estrella del espectáculo es MS13-090, que parcha CVE-2013-3918, una vulnerabilidad de ActiveX que se está atacando mediante Internet Explorer. El 8 de este mes, los chicos de FireEye revelaron que se la estaba utilizando en una operación de Herramienta Avanzada de Empaquetado (APT) que llamaron “DeputyDog”. Como parte de esta operación, el grupo mostraba otro sitio web cuidadosamente escogido y redirigía a sus visitantes a su ataque de día cero. Llamarlo “un ataque de regadera más” no llega a describir la magnitud de su organización y la preparación que implica escoger el sitio web idóneo para comprometer y después quemar la vulnerabilidad de día cero durante el ataque. La identidad de la propiedad web comprometida en este caso no se ha hecho pública. Los tiempos de distribución de esta vulnerabilidad de día cero también podrían revelar la madurez de este grupo. Por otro lado, no sé si he olvidado algo, pero en alrededor de una década que llevo revisando técnicas de codificación de shells, no creo que haya visto que se utilice “CreateRemoteThread” para distribuir la carga explosiva en un exploit importante.

Asimismo, MS013-088 soluciona otras ocho vulnerabilidades en Internet Explorer. Las organizaciones deben parcharlas sin pensarlo dos veces, ya que los problemas de corrupción de memoria son una invitación al desarrollo de exploits. Algunos de los ocho CVEs incluyen problemas con “publicación de información”, lo que hace que los desarrolladores de exploits puedan avanzar más en el espacio de los procesos, y son problemas graves.

Me sorprende que Microsoft parche códigos en su conversor de WordPerfect “wpft532.cnv” para el problema de desbordamiento de pila CVE-2013-1324. Esta vulnerabilidad permite los ataques spearphish en todas las versiones de su sistema operativo, pero en las plataformas de 64 bits puede que el componente no esté presente. No esperaba escribir sobre desbordamientos de pila en su código a finales del 2013, pero vale, son cuestiones complicadas.

Puedes encontrar más sobre los parches de este mes en el sitio de Microsoft

Follow me on Twitter

Actualizaciones de Microsoft, noviembre de 2013: desintegrando la vulnerabilidad de día cero

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Dark Tequila Añejo

Dark Tequila es una compleja campaña maliciosa que tiene por objetivo a los usuarios ubicados en México, con el propósito principal de robar información financiera, así como credenciales de acceso a sitios populares que van desde versionado de código fuente a cuentas de almacenamiento de archivos en línea y de registro de dominios web.

De Shamoon a StoneDrill

A partir de noviembre de 2016, Kaspersky Lab observó una nueva ola de ataques de wipers dirigidos a múltiples objetivos en el Medio Oriente. El programa malicioso utilizado en los nuevos ataques era una variante del conocido Shamoon, un gusano que tenía como objetivo a Saudi Aramco y Rasgas en 2012.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada