Informes sobre malware

Las amenazas informáticas modernas, tercer trimestre de 2006 “La calma que precede a la tormenta”

El primer semestre de 2006 se caracterizó por la complejidad de los problemas tecnológicos que tuvieron que resolver las compañías antivirus, por la gran cantidad de nuevas “pruebas de concepto” y por el creciente interés que los hackers demostraron por Microsoft Office. En general, todo parecía una agitada confrontación de ideas generadas por ambos bandos de la “guerra de los virus”. Los métodos proactivos, la criptografía, las tecnologías rootkit y las vulnerabilidades fueron los temas candentes en los dos primeros trimestres de este año. Pero después del pico de actividad, siempre viene un tiempo de tranquilidad, cuando los enemigos tratan de analizar los resultados de la lucha y de sacar sus conclusiones sobre el éxito o el fracaso de sus ideas. El tercer semestre de 2006 se convirtió en un periodo de reflexión, que coincidió con las vacaciones de verano..

En el tercer semestre no hubo ninguna epidemia considerable, aunque en agosto se la esperó con ciertas reticencias, sobre todo por respeto a la tradición: en los recientes tres años, fue en agosto cuando tuvieron lugar impresionantes epidemias provocadas por virus. Recordemos el 2003, la vulnerabilidad MS03-026 y el gusano Lovesan. Agosto de 2004 nos trajo a los gusanos Zafi y Bagle, y en 2005 el gusano Bozori (Zotob), que usaba la vulnerabilidad MS05-039, hizo colapsar las redes de CNN, ABC, New York Times y muchas otras organizaciones de EEUU.

Tampoco se registraron nuevos “virus de concepto”, lo que también está relacionado con el hecho de que los autores de virus necesitaron un buen tiempo para tomar conciencia de las posibilidades que demostraron los virus PoC (Proof of Concept, pruebas de concepto) en el primer semestre.
En su conjunto, el paisaje estuvo tranquilo y sereno: era una rutinaria guerra de posiciones por el dominio de Internet, y tuve que hacer un gran esfuerzo para encontrar entre todos los sucesos de estos tres meses algo que valga la pena mencionar.

Vulnerabilidades

El primer semestre de 2006 se caracterizó por la complejidad de los problemas tecnológicos que tuvieron que resolver las compañías antivirus, por la gran cantidad de nuevas “pruebas de concepto” y por el creciente interés que los hackers demostraron por Microsoft Office. En general, todo parecía una agitada confrontación de ideas generadas por ambos bandos de la “guerra de los virus”. Los métodos proactivos, la criptografía, las tecnologías rootkit y las vulnerabilidades fueron los temas candentes en los dos primeros trimestres de este año. Pero después del pico de actividad, siempre viene un tiempo de tranquilidad, cuando los enemigos tratan de analizar los resultados de la lucha y de sacar sus conclusiones sobre el éxito o el fracaso de sus ideas. El tercer semestre de 2006 se convirtió en un periodo de reflexión, que coincidió con las vacaciones de verano.

En el tercer semestre no hubo ninguna epidemia considerable, aunque en agosto se la esperó con ciertas reticencias, sobre todo por respeto a la tradición: en los recientes tres años, fue en agosto cuando tuvieron lugar impresionantes epidemias provocadas por virus. Recordemos el 2003, la vulnerabilidad MS03-026 y el gusano Lovesan. Agosto de 2004 nos trajo a los gusanos Zafi y Bagle, y en 2005 el gusano Bozori (Zotob), que usaba la vulnerabilidad MS05-039, hizo colapsar las redes de CNN, ABC, New York Times y muchas otras organizaciones de EEUU.

Tampoco se registraron nuevos “virus de concepto”, lo que también está relacionado con el hecho de que los autores de virus necesitaron un buen tiempo para tomar conciencia de las posibilidades que demostraron los virus PoC (Proof of Concept, pruebas de concepto) en el primer semestre.
En su conjunto, el paisaje estuvo tranquilo y sereno: era una rutinaria guerra de posiciones por el dominio de Internet, y tuve que hacer un gran esfuerzo para encontrar entre todos los sucesos de estos tres meses algo que valga la pena mencionar.

Vulnerabilidades de Microsoft Office

En el informe del segundo trimestre de 2006 ya habíamos prestado atención a este problema, que se convirtió de súbito en uno de los problemas clave en el campo de la seguridad informática. A partir de marzo, casi no nos alcanzaba el tiempo para registrar la aparición de las vulnerabilidades en los diferentes productos que conforman Microsoft Office. Los “hackers de sombrero negro” pusieron en la mira a Word, Excel y Power Point. En los tres meses la cantidad de tales “brechas” fue de casi diez, y todas ellas se hacían públicas antes de que Microsoft publicara los parches correspondientes.

Más aún, los escritores de virus se adaptaron al calendario de publicación de actualizaciones de Microsoft (cada segundo martes de cada mes) y empezaron a sacar a la luz sus “creaciones” unos días después después de la publicación del parche de turno. Esto condujo a que la nueva vulnerabilidad pudiera ser usada casi el mes entero por los hackers. Durante todo este tiempo los usuarios se quedaban sin el amparo de la compañía fabricante del software.

Pero esto no es lo más triste de esta historia. Nosotros, al igual que las otras compañías antivirus, condujimos nuestro propio análisis de las vulnerabilidades de Office y nos resultó evidente que todas ellas se basan en un solo problema del formato de los documentos OLE. No era suficiente limitarse a publicar parches para cada vulnerabilidad. Microsoft debería haber reconsiderado toda su tecnología de procesamiento de la estructura de los objetos OLE. Los parches publicados cada mes recordaban los remiendos que se hacen a las redes de pesca: la cantidad total de puntos débiles de los objetos OLE son más de cien.

Nada cambió en el tercer semestre. Los delincuentes, entre los cuales los chinos fueron los más activos, continuaban dando sorpresas a Microsoft con nuevos programas troyanos, y Microsoft seguía siendo fiel a su calendario de actualizaciones.

Julio (3 vulnerabilidades):

  • Microsoft Security Bulletin MS06-037
  • Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (917285)
  • Microsoft Security Bulletin MS06-038
  • Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (917284)
  • Microsoft Security Bulletin MS06-039
  • Vulnerabilities in Microsoft Office Filters Could Allow Remote Code Execution (915384)

Agosto (2 vulnerabilidades):

  • Microsoft Security Bulletin MS06-047
  • Vulnerability in Microsoft Visual Basic for Applications Could Allow Remote Code
  • Execution (921645)
  • Microsoft Security Bulletin MS06-048
  • Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922968)

Septiembre (1 vulnerabilidad):

  • Microsoft Security Bulletin MS06-054
  • Vulnerability in Microsoft Publisher Could Allow Remote Code Execution (910729)

La situación se tornaba jocosa a momentos. En Kaspersky Lab hasta empezamos a hacer apuestas sobre “dentro de cuántos días después de la publicación del parche” aparecería una nueva vulnerabilidad en Office. Nadie preguntaba si apareciería, sino cuándo. Y de verdad era cuestión de días. Hay que entender en su plena medida que detrás de cada vulnerabilidad suele haber decenas de programas troyanos, que se detectaron en el tráfico postal o en los ordenadores de los usuarios. Tengo que expresar mis más calidas palabras a nuestros colegas de las otras compañías antivirus, en primer lugar a Trend Micro, que sin proponérselo descubrían las vulnerabilidades y troyanos para luego notificarle a Microsoft sobre cada problema. Como ya hemos mencionado, los autores de virus chinos eran los más activos en usar estas vulnerabilidades. Las puertas traseras chinas Hupigon, PcClient, HackArmy estaban dirigidos a los usuarios de Europa, Asia y EEUU. Quizá, esta guerra de las compañías antivirus contra los hackers fuese la principal causa de los ataque DDoS masivos, que en estos meses afectaron a los sitios de ciertos proveedores, precisamente causadas por las redes zombi de estos troyanos.

¿Casualidad o ataque planeado?

En este lugar me permito un pensamiento sedicioso. Quizá no las estémos viendo no con un pico de actividad común y corriente de la atención de los hackers hacia un producto de software. Es posible que sea un ataque bien planeado y escrupulosamente ejecutado contra Microsoft. Pero…¿por quién y para qué?

Detrás de todos los ataques no se ve a un solo grupo de hackers, así que es difícil creer que sea una simple casualidad que durante medio año (!!!) hayan aparecido nuevas vulnerabilidades gracias al esfuerzo de diferentes hackers inmediatamente después de que las antiguas han sido corregidas. No seamos ingenuos: no es posible que hackers aislados, en diferentes países del mundo, se hayan inspirado por la idea de publicar las vulnerabilidades tomando como referencia el gráfico de actualizaciones de Microsoft. Si cualquiera de estos hackers se apodera de un exploit, no esperará varias semanas para usarlo. En el mundo de la delincuencia cibernética tiene vigencia la misma ley de los negocios: el tiempo es oro. Los exploits y el dinero es un tema que ya habíamos analizado en el caso de la vulnerabilidad de los archivos WMF (vea el informe del cuarto semestre de 2005).

Es sabido que MS Office ocupa el segundo lugar entre los principales productos de Microsoft y le representa casi la mitad de sus ganancias. Office es la norma de facto en ofimática y su posición en el mercado es la de un monopolista. Esta situación es irritante para la competencia, que sin mayor éxito trata de difundir sus productos ofimáticos hace ya muchos años.

Microsoft tiene muchos enemigos y la búsqueda de vulnerabilidades en los productos de la competencia es más una cuestión ética que jurídica. La gran cantidad de vulnerabilidades y los ataques virales relacionados pueden conducir a la desacreditación de MS Office entre los usuarios. Además, la aparición de nuevas vulnerabilidades pocos días después de la publicación del parche parece un intento de desacreditar a Microsoft como especialista en el campo de la seguridad informática en general, y de su sistema de publicación de actualizaciones según calendario, en particular.

La situación continúa siendo muy compleja. La cantidad de vulnerabilidades encontradas en Office (a juzgar por el boletín de seguridad de Microsoft) empezó a reducirse a finales del trimestre, esto no significa que se haya solucionado el problema. Por el contrario, corresponde esperar que los métodos y tipos de ataques a Microsoft Office se hagan cada vez más refinados. Sobre todo si consideramos que Microsoft ya ha empezado las pruebas beta públicas de Office 2007, lo que significa que los hackers tienen un nuevo blanco de ataques.

Escribo este informe en octubre, cuando ya tenemos la posibilidad de averiguar cuántas vulnerabilidades de Office fueron corregidas por las actualizaciones de este mes. Pienso que podemos incluirlas en este informe, ya que todas ellas fueron descubiertas en septiembre de 2006.

Octubre:

  • Microsoft Security Bulletin MS06-058
  • Vulnerabilities in Microsoft PowerPoint Could Allow Remote Code Execution (924163)
  • Microsoft Security Bulletin MS06-059
  • Vulnerabilities in Microsoft Excel Could Allow Remote Code Execution (924164)
  • Microsoft Security Bulletin MS06-060
  • Vulnerabilities in Microsoft Word Could Allow Remote Code Execution (924554)
  • Microsoft Security Bulletin MS06-062
  • Vulnerabilities in Microsoft Office Could Allow Remote Code Execution (922581)

Dejo esta lista sin comentarios.

Noticias del mundo de los dispositivos móviles

El problema de los virus para dispositivos móviles ha sido y sigue siendo uno de los más interesantes tanto para Kaspersky Lab, como para mi persona. Los lectores asiduos a nuestros artículos han tenido a su disposición varios materiales sobre este tema. Me refiero a la sección sobre los virus móviles en nuestro informe semestral y a la “Introducción a la virología móvil”, publicada en dos partes. En estos materiales se hizo un profundo análisis de los tipos y clases de estos programas maliciosos. Quedó fuera del analisis sólo una parte de lo sucedido en el tercer semestre de 2006. De esto hablaremos más abajo.

Se descubrieron tres virus móviles que se destacan de la gran masa de troyanos semejantes a skuller.

Comwar v3.0: posibilidad de contagiar archivos

En agosto, cayó en las manos de las compañías antivirus un espécimen más del gusano MMS más difundido: ComWar.
El análisis detallado mostró que el gusano contiene los siguientes renglones:

  • CommWarrior Outcast: The Dark Masters of Symbian.
  • The Dark Side has more power!
  • CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
  • CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

La diferencia consistía no solo en el nombre de la versión (3.0), sino en la novedad tecnológia usada por el autor ruso de ComWar. En esta versión, por primera vez usó la posibilidad de contagiar archivos. El gusano busca en el teléfono otros archivos sis y escribe su código en ellos. De esta manera, obtiene una forma más de propagación, además de los tradicionales MMS y Bluetooth.

De hecho, en ComWar usó casi todos los métodos de propagación y difusión de virus móviles. Todos, menos uno. Y fue otro gusano, Mobler.A, el que mostró el método que faltaba.

Mobler.a: ¿los ordenadores de nuevo bajo ataque?

Este gusano fue el primer programa malicioso multiplataforma capaz de funcionar en los sistemas operativos Symbian y Windows. Y el método de propagación consiste en la capacidad de copiarse a sí mismo desde el ordenador al teléfono y viceversa.

Al ejecutarse en el ordenador personal, crea en el disco E:, que es donde se suele montar los dispositivos móviles, un archivo sis. Este archivo contiene varios archivos vacios, con los que se reemplazan varias de aplicaciones del sistema operativo del teléfono. El archivo también contiene el componente Win32 del gusano, que se copia a la tarjeta de memoria extraible del teléfono y se complementa con un archivo autorun.inf. Si se conecta un teléfono infectado de esta manera al ordenador y se trata de usar la tarjeta extraible o la memoria del teléfono, el gusano se iniciará, contagiando al ordenador.

Por el momento esto es solo una propuesta conceptual de un autor desconocido, pero en teoría, semejante método de difusión de virus móviles puede convertirse en uno de los más usados. Incluso es posible que este método ejerza mucha más influencia en la virología móvil, que la posibilidad de propagarse vía MMS, ya que se puede poner en peligro no sólo el teléfono, sino también el ordenador, que contiene datos codiciadísimos por los delincuentes. Sería mejor considerar a Mobler.a como un vector más de ataque a los ordenadores que como un nuevo método de penetrar a los teléfonos móviles.

Acallno: espía de mensajes de texto

El mundo de los virus móviles, a grandes rasgos, se encuentra en estado de estancamiento. Prácticamente todas las tecnologías, tipos y clases de programas maliciosos para los teléfonos inteligentes Symbian ya se han realizado. Sólo dos aspectos evitan la difusión masiva de estos virus: la pequeña (por el momento) cantidad de teléfonos inteligentes y la ausencia de beneficios económicos que pudieran resultar de su infección. Actualmente, las posibilidades de robo de la información contenida en el teléfono son limitadas: libreta de direcciones, información sobre las llamadas y los mensajes de texto enviados y recibidos. La recolección de información sobre los mensajes de texto es la especialidad de un curioso representante del mundo móvil: Acallno.

Es un programa de cierta compañía, que está destinado a espiar al usuario de determinado teléfon. Indicado como troyano en nuestra calificación, a pesar de que se vende de forma legal, envía una copia de todos los mensajes de texto recibidos y enviados por el teléfono a un número especial. Acallno se adapta a cada teléfono según su código IMEI y no basta copiar sus archivos para que funcione. Sin embargo, camufla su presencia en el sistema, lo que junto con la función de espionaje, nos hace que lo tomemos como programa malicioso.

Wesber: robo de dinero de las cuentas móviles

Los mensajes de texto (SMS) son otra de las funciones que les interesan a los delincuentes. El contenido del SMS se puede robar, pero también se puede usar sus funciones para robar dinero de la cuenta del abonado. Y esta posibilidad ha sido realizada por un troyano más para J2ME, Wesber. Detectado a principios de septiembre por los especialistas de nuestra compañía, Wewber es el segundo troyano del que tenemos noticias que puede funcionar no sólo en los smartphones, sino en casi todos los teléfonos móviles modernos, gracias a que está escrito en Java (J2ME).

Al igual que su predecesor, el troyano RedBrowser, Wesber.a se dedica a enviar mensajes de texto a un número de pago. Cada uno de los mensajes que envía le cuesta 2.99 dólares al usuario. Hasta hace poco, el procedimiento de inscripción de los números de pago (premium) de los operadores de telefonía móvil rusos era muy sencilla, y si estos troyanos hubiesen ocasionado infecciones masivas, habría sido muy difícil encontrar a los delincuentes.

Con esto podríamos concluir nuestro relato sobre los virus móviles del tercer semestre de 2006, pero hay un tema más. Aunque no está relacionada de forma directa con los teléfonos móviles, sin duda es parte del problema de la seguridad de los dispositivos y redes inalámbricos.

Los gusanos para WiFi son casi una realidad

En agosto Intel anunció sobre una seria vulnerabilidad en los procesadores Intel Centrino, para ser más precisos, en la parte del funcionamiento de las redes inalámbricas Wi-Fi. Está claro que los detalles de la vulnerabilidad no se hicieron públicos, sin embargo se sabe que se trata de “Ejecutar un código arbitrario con privilegios de núcleo en el sistema”. De inmediato se publicó una actualización para corregir el error en los portátiles afectados. Pero en esta historia nos parece interesante que lo que se consideraba una simple discusión teórica, casi se convirtió en realidad. Me refiero a los gusanos Wi-Fi.

Los escenarios de funcionamiento de tales gusanos pueden ser varios, y es mejor no mencionarlos para no tentar a los autores de virus. Pero en este caso todo es bastante evidente. Con este error presente en Intel Centrino, existe determinada probabilidad de que aparezca un gusano capaz de copiarse entre ordenadores en el radio de acción de su tarjeta WiFi. El principio de funcionamiento es muy sencillo: basta recordar los gusanos de red clásicos Lovesan, Sasser o Slammer. El gusano detecta al ordenador vulnerable y le envía un exploit especial. Como resultado, el ordenador atacado le da al gusano la posibilidad de transmitirse y ejecutar de nuevo el ciclo de infección y propagación. La única dificultad es la búsqueda de la víctima, ya que no se la hace por medio de la dirección IP y hacerlo por la dirección MAC es una tarea muy compleja. Por otra parte, el gusano puede atacar a sus “vecino” de punto de acceso precisamente vía dirección IP. Y no hay que olvidar que muchos ordenadores portátiles vienen con el régimen de búsqueda de puntos Wi-Fi activado.
Hacemos énfasis en que éste es sólo uno de los escenarios de funcionamiento de los gusanos Wi-Fi. La presencia de vulnerabilidades en los adaptadores inalámbricos todavía es rara… ¿pero quíen sabe como será en el futuro? Hace poco muchos no creían que los virus para teléfonos móviles fuera posible.

Los virus en los sistemas de mensajería instantánea

Durante este último año, uno de los problemas más notables de la seguridad informática fueron los programas maliciosos que se propagan mediante los clientes de mensajería instantánea tales como ICQ, MSN, AOL. El principio de 2005 fue marcado por la aparición de muchos primitivos gusanos para sistemas de mensajería instantánea que demostraron que el envío de enlaces a los programas maliciosos ubicados en sitios infectados es tan efectivo como el envío de virus por correo. A pesar de que todos estos sistemas de mensajería tienen la posibilidad de enviar archivos, los autores de gusanos evitan (o no saben usar) este método de penetrar en el sistema.
Desde entoncies, el principal tipo de ataque es el envío de enlaces a sitios web especiales, dónde se encuentra el programa malicioso. Lo más probable es que el usuario abra un enlace enviado por un amigo (muchos troyanos se envían a todas las direcciones de la libreta). En ese momento, el programa malicioso (usando diferentes vulnerabilidades de Internet Explorer o decargándose y ejecutandose de forma directa) penetra en el sistema.

Poco a poco se fueron perfilando dos tendencias principales de desarrollo y realización de este método. Yo los dividiría según sus características territoriales. En EEUU y los países de Europa los principales ataques de gusanos “mensajeros” se dirigen a los usuarios de MSN y AOL, en cambio en Rusia los ataques afectan sólo a los usuarios de ICQ (y similares, como Miranda, Trillian, etc). La causa es que en Rusia MSN y AOL están muy poco difundidos y no son populares. Del mismo modo, en China el principal sistema de mensajes instantáneos es el programa QQ.

Pero además de las diferencias en los programas clientes atacados, esta la especialización según los tipos de programas maliciosos que se propagan de esta manera. En el mundo occidental la principal amenaza son los gusanos IM: son muy conocidas las familias Kelvir, Bropia y Licat. La mayoría de los gusanos IM, además de reproducirse, son capaces de instalar otros programas maliciosos en el sistema. Por ejemplo Bropia, que es el campeón por su cantidad de variantes, instala en el ordenador infectado Backdoor.Win32.Rbo, haciéndolo parte de una red de “equipos zombi”, también conocidas como “botnets”. Existe cierta cantidad de gusanos que atacan al mensajero chino de Internet QQ.

Lo contrario pasa con ICQ y Rusia. Hay muy pocos gusanos que se reproducen por ICQ. Los usuarios de rusos de Internet son importunados por muchos programas troyanos, en primer lugar el tristemente conocido troyano-espía LdPinch. Algunos variantes de este troyano tienen una función muy interesante. Al penetrar en el ordenador y habíendo robado los datos requeridos por el autor del troyano, empieza a enviar a las direcciones de la libreta del sistema de mensajería un enlace a su sitio web. En el tercer trimestre de 2006 en Internet hubieron varias epidemias de este tipo, cuando en el transcurso de un día cientos y miles de usuarios de ICQ recibían de sus conocidos enlaces a ciertos archivos que pretendían ser “divertidas figuras” y “fotografías de verano”. Por supuesto, estos conocidos en realidad habían sido infectados por troyanos y el envío lo realizaban ellos.

Es de lamentar que ICQ todavía no ha hecho ningún intento de crear un filtro que ayude a eliminar estos enlaces de los mensajes, bloqueando su envio a los usuarios, como lo ha hecho MSN. Microsoft se vio obligado a dar este paso, bloquear cualquier tipo de enlaces que lleven a archivos ejecutables, después de las grandes epidemias de gusanos para sistemas de mensajería en el año pasado. Este filtro no es una panacea, ya que además de enlaces a archivos ejecutables, los delincuentes pueden enviar enlaces a sitios web que contienen diferentes exploits y los navegadores que no están actualizados pueden infectarse de todos modos. Incluso el algoritmo de funcionamiento del filtros de MSN está muy lejos de ser perfecto, como lo muestra un incidente ocurrido en septiembre y analizado por nuestros expertos.

A finales de septiembre se registró un incremento más en la actividad de los gusanos IM en el segmento occidental de Internet. El suceso más interesante fue IM-Worm.Win32.Licat.c. El gusano se enviaba por enlaces MSN del siguiente tipo:

Todos ellos llevaban a diferentes troyanos-descargadores que a su vez instalaban en el sistema otros programas de publicidad (Adware.Win32.Softomate) y otros programas troyanos relacionados con el adware. Por supuesto, al mismo tiempo se instalaba Licat.c en los ordenadores infectados, lo que condujo a un círculo vicioso.

El filtro de MSN, en nuestra opinión, debería haber bloqueado estos mensajes, pero el gusano se propagaba de forma activa. El análisis hecho por nuestro analista Roel Schouwenberg mostró que el filtro MSN no bloquea los enlaces cuya extension es diferente a “.pif”. En otras palabras, dependía del registro y no reaccionaba ante las letras mayúsculas. Los autores del gusano usaron esta vulnerabilidad y el filtro dejaba pasar los enlaces con la extensión “.PIF”. Nosotros informamos a Microsoft sobre el problema, que fue pronto solucionado.

Todos estos ejemplos demuestran que en el presente no existe una defensa segura contra estos métodos de propagación de virus, y el principal problema es el factor humano. La confianza hacia los enlaces que nos envían nuestros conocidos es muy grande y la situación es semejante a la de los gusanos postales, cuando los usuarios, sin pensarlo dos veces, ejecutaban cualquier archivo que les llegara por correo. Ahora ellos, con los mismos resultados, abren los enlaces enviados mediante los sistemas de mensajería instantánea.

El consejo que dimos hace un año y medio sigue teniendo vigencia. Nosotros recomendamos a los administradores de sistemas y especialistas en la esfera de seguridad informática prestar máxima atención al peligro que representan los clientes IM en el presente, e incluir en las politicas de seguridad corporativa reglas que impidan el uso de tales programas. Además, tomando en cuenta la forma en que estos gusanos penetran al ordenador (mediante un enlace que se abre en un navegador vulnerable), es necesario analizar todo el tráfico HTTP entrante.

Más sobre las vulnerabilidades

Entre julio y septiembre de 2006, los usuarios se vieron amenazados no sólo por las múltiples vulnerabilidades en Microsoft Office, sino también por otras grietas de seguridad en otros productos de Microsoft. La primera de estas fue descrita en el boletín Microsoft Security Bulletin MS06-040, y fue evocativa de aquella referida en el respectivo boletín MS03-026, una vulnerabilidad datada en agosto 2003, pues ambas tienen mucho en común, pues eran del tipo más peligroso de fallas, una grieta que posibilitaba que un atacante ejecutara códigos arbitrarios a través de un ataque a la red. En agosto de 2003, MS03-026 causó la terrible epidemia Lovesan que engendró cientos de gusanos similares. En agosto de 2006 pudo haber ocurrido otro desastre de similares proporciones, ya que salió a la luz pública un ardid para vulnerar la falla, de modo que cualquier elaborador de virus pudo haberla utilizado para crear sus propios gusanos destructores. .

Por supuesto que estos engendradores de virus estaban al tanto de la situación, y apenas unos pocos días después de que Microsoft sacara un parche, lanzaron en Internet varios programas vulneradores de la falla MS06-040 . El primero de estos fue conocido como Backdoor.Win32.Vanbot (aka Mocbot). Por fortuna, dicho programa sólo era capaz de atacar a equipos operando con plataformas Windows 2000 y Windows XP SP1. Los usuarios que instalaron SP 2 para XP estuvieron a salvo. La segunda razón para que no llegara a estallara una pandemia fue que el programa malicioso no era un gusano en sí, capaz de autoreplicarse, sino que era un programa tipo puerta trasera controlado a través de IRC. La puerta trasera sólo podía expandirse cuando recibiera instrucciones de su autor, lo cual limitó el alcance de su penetración. Resulta obvio que el autor intentó usar el programa para crear un ordenador zombie y usarlo después.

En los años subsiguientes aparecieron otros programas para explotar la falla MS06-040, que en realidad eran variantes del predecesor zombie por puerta trasera. Muchos de los antiguos programas maliciosos, tales como Rbot y SdBot sólo tenían nuevas vulnerabilidades añadidas; entonces empezamos a ver programas mutantes equipados con docenas de las más peligrosas vulnerabilidades de Windows, desde MS03-026 hasta la reciente MS06-040. No queda duda que estos programas tendrían más oportunidades que sus competidores de penetrar en ordenadores víctimas. Por fortuna, la naturaleza misma de la vulnerabilidad y la composición de los ardides no se diferenciaron mucho de aquellos que ya eran conocidos (muy similares a MS04-011 y MS05-039), lo que posibilitó que muchos programas antivirus y cortafuegos bloquearan los ataques virales sin necesidad de recurrir a parches. Se había evitado la epidemia y agosto de 2006 no se convirtió en otrotes negro en el calendario “virus versus antivirus”.

Todo esto pudo haber cambiado el mes siguiente, cuando el 19 de septiembre comenzaron a circular noticias en Internet sobre la última vulnerabilidad en Internet Explorer. Una falla en el procesamiento de documentos VML (Vector Makeup Language) posibilitaría a un malicioso usuario remoto crear una rutina que ejecutara códigos arbitrarios en un equipo cautivo cuando el usuario visitara un sitio infectado.

Ese mismo día, Sunbelt Software anunció haber detectado un ardid para explotar la vulnerabilidad de algunos sitios pornográficos rusos creados por ciberpiratas o hackers. Este hecho llevó a pensar a muchos que ciberpiratas rusos habrían estado implicados en la creación y distribución del ardid, tal como había ocurrido en el caso de la vulnerabilidad en el procesamiento de archivos WMF en diciembre de 2005. Sin embargo, nuestra investigación no reveló ninguna conexión entre los rusos y el incidente VML.

La compañía danesa Secunia calificó la vulnerabilidad como “crítica en extremo”. Este es el máximo nivel posible de amenazas, y la falla recibió tal calificación ya que podía ser vulnerada en cualquier versión de Windows al usar Internet Explorer.

La vulnerabilidad es causada por un error de límites en la biblioteca Microsoft Vector Graphics Rendering (VML) (vgx.dll) cuando se procesa cierto contenido en documentos Vector Markup Language (VML). La falla puede ser vulnerada para causar un rebasamiento de la pila de memoria intermedia, por ejemplo, engañando a un usuario para que abra un documento VML dañino conteniendo un método “fill” demasiado largo dentro de una pestaña “rect” en el navegador Internet Explorer. Esto permite la ejecución de un código arbitrario en el equipo atacado.

Los subsiguientes días trajeron consigo una avalancha de sitios de ciberpiratas conteniendo rutinas para vulnerar la falla VML. Muchos elaboradores de virus trataron de aprovecharse de la situación para introducir sus troyanos en los ordenadores víctima. La situación se complicó más aún por el hecho de que la falla VML también era una vulnerabilidad del día cero, para la cual Microsoft no sacó ningún parche. Y según el calendario del parche, éste no sería lanzado sino después de tres semanas, es decir, recién el 10 de octubre. Esta fue la segunda vez que se dio una situación semejante, con una falla que fue muy explotada por los elaboradores de virus y por infecciones masivas, sin solución posible. El primer caso data de diciembre de 2005, con la falla WMF. En esta oportunidad, tal como ocurrió en aquel entonces, algunos profesionales de seguridad independientes lanzaron sus propios parches no oficiales para reparar la grieta profanada. De esta manera, los usuarios contaron al menos con algún nivel de protección previo al lanzamiento del parche oficial por parte de Microsoft.

Para bien de todos, Microsoft pronto se dio cuenta de la gravedad de la situación y lanzó un parche fuera de fecha en un tiempo en extremo corto, el 26 de septiembre, apenas una semana después de haberse identificado la falla. El parche fue lanzado como parte del boletín Microsoft Security Bulletin MS06-055 y redujo de manera muy significativa el número de infecciones. Sin embargo, esta vulnerabilidad aún está siendo explotada por los ciberpiratas junto a una serie de otras fallas muy conocidas de Internet Explorer, y urgimos a todos los usuarios a considerar la actualización de sus sistemas como un asunto de máxima prioridad.

Conclusión

La primera etapa tuvo lugar durante los años 90, en la cual la simple detección por signaturas resultaba suficiente para combatir virus simples. En esa etapa, los códigos dañinos no tenían un refinamiento técnico y no recurrían a métodos complejos de infección.

El inicio del nuevo milenio trajo a la luz los gusanos de correo electrónico y de Internet. Estos programas maliciosos explotaban las vulnerabilidades y el factor humano para diseminarse. La habilidad de los gusanos para infectar tantos ordenadores en tan poco tiempo engendró la delincuencia cibernética, y las tecnologías usadas por los virus alcanzaron elevados grados de complejidad, tal como sucedió con los programas maliciosos. Correo no deseado, programas dañinos para dispositivos móviles, vulnerabilidades en navegadores y equipos de redes, ya no sólo se expanden vía correo electrónico, sino también a través de Internet y de los servicios de mensajería instantánea. El tiempo de reacción se convirtió en factor vital, y las compañías antivirus empezaron a utilizar emulaciones de códigos, tecnologías de paquetes raíz y otras técnicas para proteger los datos confidenciales de los usuarios.

La devastadora tendencia presenciada durante el año 2006 revela que la fuente de verdaderas nuevas ideas parece haberse acabado, lo cual se ha reflejado en nuestros informes. Los elaboradores de virus trabajan sin cesar para defender sus engendros contra las nuevas tecnologías de protección, creando códigos PoC para nuevas plataformas, sumergiéndose en aguas más y más profundas en busca de vulnerabilidades. Sin embargo, esto no se refleja de manera significativa en la realidad: No quiero decir con esto que no estemos percibiendo amenazas que causarían dañados valuados en miles de millones de dólares, como antes lo hicieran Klezm Mydoom, Lovesan y Passer.

Lo que estamos viendo en este momento es una mezcla de interés ocasional y una alta pero intermitente tecnología (por ejemplo, los virus que usan técnicas de cifrado). Sin embargo, en general, los estándares parecen haber disminuido. Las amenazas ya no son a nivel mundial, y ya no son tan efectivas como solían serlo. En realidad, no hay nada nuevo bajo el cielo. No hay más que el incesante flujo de troyanos, virus y gusanos, con la única diferencia que las cifras se han incrementado de manera significativa.

Pero, claro está, algunos pueden no estar de acuerdo con esta opinión. Sin embargo, creo que los actuales elaboradores de virus y ciberdelincuentes se han alienado con la moderna industria antivirus. Hoy estamos experimentando una especie de choques. Por una parte, las compañías antivirus se encuentran trabajando al límite de sus capacidades en cuanto a velocidad, y en gran medida ya han alcanzado ciertos límites técnicos en lo referente a las tecnologías utilizadas. Por otra parte, los elaboradores de virus encuentran aceptable los actuales tiempos de reacción de las compañías antivirus –que pueden ser de unas horas o incluso minutos- y se han acomodado a lo que pueden alcanzar dentro de las ventanas de oportunidades abiertas.

Si la situación resulta ser tal como la he pintado, entonces algo tendrá que cambiar en un futuro no lejano. O bien las compañías antivirus pasan al ataque, a través de esfuerzos concertados para aplastar el levantamiento de los virus, o bien los elaboradores de virus tendrán que sacar algo de verdad nuevo, subiendo los estándares para la industria antivirus en su conjunto.

Las amenazas informáticas modernas, tercer trimestre de 2006 “La calma que precede a la tormenta”

Su dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

 

Informes

BlindEagle vuela alto en LATAM

Kaspersky proporciona información sobre la actividad y los TTPs del APT BlindEagle. Grupo que apunta a organizaciones e individuos en Colombia, Ecuador, Chile, Panamá y otros países de América Latina.

MosaicRegressor: acechando en las sombras de UEFI

Encontramos una imagen de firmware de la UEFI infectada con un implante malicioso, es el objeto de esta investigación. Hasta donde sabemos, este es el segundo caso conocido en que se ha detectado un firmware malicioso de la UEFI usado por un actor de amenazas.

Suscríbete a nuestros correos electrónicos semanales

Las investigaciones más recientes en tu bandeja de entrada