:: NORMAN :: Antivirus | Firewall

Inicio

Noticias

Productos & servicios

Virus & seguridad

Soporte

Descargar

Distribución

Comprar

Elige su país

Elige su producto

Virus & seguridad » Información de Seguridad » 2006 » La Visión General de Eventos de Seguridad 2006 (I)

La Visión General de Eventos de Seguridad 2006 (I)

Agregar a mis favoritos de Norman

Información de Seguridad Semana 14, 2006

Enero 2006

1 Enero: MS06-001, vulnerabilidad Windows Meta File (WMF)

El año comenzó abruptamente con una vulnerabilidad encontrada en el Motor de Renderización de Gráficos (GRE) de Windows. Conduciendo especialmente un Windows Meta File (.wmf), un atacante puede ejecutar código en el sistema y tomar control total del sistema. Dado que este motor se encuentra en todas las versiones de Windows y se usa para mostrar contenido gráfico, todas las máquinas Windows estaban abiertas a esta vulnerabilidad. El día que la información se hizo conocida, se encontró el primer malware que explotaba la vulnerabilidad, convirtiendo esto en un exploit ‘día cero’.

Norman incluyó tecnología en su SandBox para detectar este y futuros exploits de esta vulnerabilidad. Durante varios días, se encontraron otras piezas de malware que intentaban explotar esta vulnerabilidad, pero todas fueron detenidas por la Norman SandBox.

5 Enero: El ‘Ataque’ Sober

El ataque Sober que algunos expertos predijeron que ocurriría el 5 de Enero no ocurrió. Primero de todo debido a algún descuido en su análisis: la comparación en la última variante de Sober es “Día de Comparación > 5 Enero", lo que sería al menos el 6 de Enero. Nada ocurrió el 6 de Enero tampoco, o cualquier de los días después. El así llamado aniversario del 87º cumpleaños de la fiesta Nazi convierte eso más en un evento tipo promocional de la compañía que publicó ese “hecho" que un evento real. ¿Por qué el autor celebraría el aniversario de la fiesta Nazi y celebraría eso cada día después del 5 de Enero?

10 Enero: MS06-002, vulnerabilidad Fuentes Incrustadas

Mientras navegan por Internet, la gente suele acceder a páginas web a las que ellos no pretendía. Esto sucede frecuentemente debido a errores al escribir la URL donde alguien más registró ese dominio. Con MS06-002, esto se vuelve más peligroso ya que la vulnerabilidad se encontró en el modo en que Windows maneja las fuentes Web incrustadas. Visitando un sitio web o abriendo un e-mail especialmente construidos, el atacante podría poder ejecutar código y tomar control total del sistema.

10 Enero: MS06-003, vulnerabilidad TNEF

Los usuarios estarían en peligro cuando abrieran un mensaje el cual contiene un adjunto Mime en Transport Neutral Encapsulation Format (TNEF) especialmente dirigido o cuando un mensaje como éste es procesado por el Almacén de Información de un Servidor Exchange. El atacante que envía este mensaje especial podría obtener control total sobre los sistemas afectados.

17 Enero: W32/Small.KI no es poca cosa

Ha pasado tiempo desde que un virus era distribuido ampliamente con una seria carga destructiva, pero el W32/Small.KI estaba allí. Este virus es tan místico como innombrable: casi todos los fabricantes antivirus usan un nombre diferente para él: Nyxem, MyWife y KillAV son solo unos cuantos. Parece que tiene tantos nombres como daño potencial: cada día 3 del mes, por primera vez el 3 de Febrero del 2006, corromperá datos residentes en documentos Word, Hojas de cálculo Excel, Bases de datos Access, presentaciones PowerPoint, archivos Adobe PDF, comprimidos Zip y Rar, etc. A este virus se le asignó un identificador CME, CME-24

Febrero 2006

3 Febrero: W32/Small.KI, nada ocurrió

A pesar del hecho de que este virus es ampliamente propagado y debería soltar su carga destructiva cada 3º de mes (3 Febrero la primera vez) difícilmente encontramos algún reporte (si lo hubo) sobre gente que perdiera sus datos. Con un contador web externo contando el número de infecciones (o actualmente el número de conexiones a una página web específica) alcanzando mucho más de 15.000.000, esto significa que la mayoría de usuarios han tomado sus precauciones teniendo sus programas antivirus actualizados.

14 Febrero: MS06-004: vulnerabilidad WMF

Otra vulnerabilidad en el manejador de imágenes WMF fue detectado que podría permitir ejecución de código remota con imágenes especialmente dirigidas que pueden cargarse navegando por sitios web o abriendo un e-mail que contengan esta imagen especial. Esta vulnerabilidad, aunque también en el manejador WMF es diferente de aquellas anteriores como la MS05-053 y la MS06-001.

14 Febrero: MS06-005, vulnerabilidad Windows Media Player

Windows Media Player tiene la habilidad de recuperar mapas de bits. Las más frecuentes son las carátulas de álbumes en reproducción. Si estas carátulas son especialmente dirigidas, la ejecución remota de código malicioso es una posibilidad. La probabilidad de estar expuesto a esta vulnerabilidad es baja ya que necesita alguna interacción para explotar esta vulnerabilidad. También, como la mayoría de carátulas están sitios de buena fe de la industria de la música, estos sitios necesitan ser pirateados y una carátula tiene que reemplazarse por una maliciosa.

14 Febrero: MS06-006, vulnerabilidad en Plug-in Windows Media Player

Para continuar con el Windows Media Player, otra vulnerabilidad más en él es en la sección Plug-In para navegadores que no sean Microsoft Internet Explorer. Esto es debido a la forma en que el Plug-In de Windows Media Player Plug-In maneja elementos <EMBED>. Los elementos EMBED son etiquetas y normalmente son la forma más común de añadir sonido a páginas de Internet. Un elemento <EMBED> especialmente hecho malicioso en un sitio web puede causar que código remoto sea ejecutado por navegadores no de Microsoft cuando se visita este sitio web.

14 Febrero: MS06-007, Permitir Denegación de Servicio en vulnerabilidad Ping

Paquetes Ping (IGMP) especialmente dirigidos pueden hacer que los sistemas afectados dejen de responder, haciendo esta vulnerabilidad un ataque real de denegación de servicio. Cuando no estén adecuadamente parcheadas y protegidas, las redes enteras podrían dejar de responder.

16 Febrero: Primer malware para Mac OSX: OSX/Leap.A

Durante décadas los usuarios Windows han sido burla de los usuarios Macintosh OSX de que su sistema operativo es más seguro y su entorno más amigable. Finalmente el malware poco distribuido fue descubierto que apuntaba al OSX. Era más una prueba de concepto que el malware, identificado como OSX/Leap.A, se ejecutaría en el sistema de los destinatarios, pero no puede propagarse más. Aún así, el primer malware exitoso de alguna manera para OSX había sido hecho. Es muy posible que seguirán más, y eventualmente, una pieza de malware de propagación exitosa para OSX verá la luz algún día.

17 Febrero: Segundo malware para Mac OSX: OSX/Ingtana.A

Y, de hecho, sólo tomó un día antes de que se encontrara el siguiente malware para OSX, un gusano llamado OSX/Ingtana.A. Éste se propagaba con éxito sobre Bluetooth, pero considerando que el gusano usa una versión de una librería Bluetooth demo de tiempo limitado, de nuevo debe verse como una prueba de concepto. Si el gusano se hubiera compilado con una versión no limitada, habrá impuesto más peligro. Apple tiene actualizaciones disponibles que parchearán los sistemas para proteger a los usuarios contra CVE ID: 2005-1333, la vulnerabilidad Bluetooth File y Object Exchange Directory Traversal que este gusano explota.

Marzo 2006

6 Marzo: Virus Prueba de Concepto encontrado para InfoPath

Se ha descubierto un nuevo virus prueba de concepto que infecta otra aplicación más de la suite Microsoft Office. La aplicación objetivo esta vez es InfoPath y el virus del caso se llama W32/Icabdi.A. El virus es bastante ‘interesante’ ya que depende de la presencia de aplicaciones externas así como permisos de escritura y ejecución desde una ubicación específica en el disco duro del usuario. Dado que este virus prueba de concepto no lleva ninguna carga destructiva y depende de la presencia de una aplicación externa, el riesgo de este virus es tan bajo que los usuarios no deberían preocuparse. Por supuesto, como con cualquier virus prueba de concepto, podríamos ver una avalancha de virus que ahora usen la misma técnica.

10 Marzo: Troyano usa Pornografía Infantil para ocultarse

Un triste día el que Norman ha identificado un nuevo Troyano. Ahora que es algo que es común para una compañía de seguridad, pero este Troyano instala y muestra una película con pornografía infantil. El Troyano con el vídeo clip se distribuye por Internet a través de varios canales, redes de compartición de archivos (Kazaa entre otros) y probablemente también a través de e-mail. El Troyano, que fue nombrado W32/Agent.ULL, avisa del contenido explícito de la película, pero usa el vídeo como cebo para hacer que los usuarios pulsen en él.

La función primaria no es mostrar la película sino instalar varios programas maliciosos que se descargan automáticamente cuando se reproduce la película. La película está para distraer al usuario de la otra actividad que se está realizando. Los programas maliciosos que se están instalando y descargando es una gran familia de archivos adware y spyware dañinos, complementados por una campaña de publicidad para sitios web pornográficos.

Una semana más tarde, Norman recibió un segundo Troyano que usa la misma película. Esperamos que esto no se convierta en una tendencia. Sin embargo muestra que los fabricantes de ad/spyware están haciendo lo posible para distribuir sus “maldades".

14 Marzo: MS06-012, Ejecución Remota desde MS Office

En sistemas afectados, si el usuario se registra con permisos de administrador, un atacante podría obtener permisos de acceso total al sistema y controlarlo y permitiría al atacante ejecutar cualquier código que quiera. Esta vulnerabilidad ha sido calificada como crítica por Microsoft ya que la vulnerabilidad existe en cualquier versión de Office, incluyendo aquellas para Macintosh.

15 Marzo: Prueba de Concepto para un virus RFID

Investigadores de la Universidad de Ámsterdam en Holanda han conseguido con éxito infectar un chip RFID (Radio Frequency Identification Device) con un virus. Hasta ahora, el concepto general era que la capacidad de memoria de los chips RFID era demasiado limitada para infectarlo. Esto ahora ha sido demostrado como incorrecto por los investigadores. Los chips RFID pueden usarse de muchas formas como incrustados en pasaportes, etiquetas de equipaje de las líneas aéreas, dispositivos electrónicos. También pueden colocarse justo bajo la piel de mascotas, etc. Aunque hay varios prerrequisitos antes de que un virus sea posible (entre estos los equipos de escritura de RFID), la publicación del código puede acelerar la aparición del primer virus.

21 Marzo: Software DRM fuerza un severo reinicio

Una compañía que es conocida por crear software DRM para la industria de los juegos es la compañía StarForce. Se descubrió que su implementación instalaría de hecho un controlador en el más alto nivel del sistema (ring0). En ese nivel, el controlador siempre estaría cargado y en ejecución, independientemente de si usted está jugando un juego que esté protegido por el software DRM de StarForce. Un controlador en este nivel tiene un control completo del sistema. Hasta ahora este software DRM detecta comportamientos sospechosos que puedan copiar el software protegido, el software DRM hará que se reinicie su sistema. Se ha reportado que están haciéndolo de la forma más destructible: no un apagado normal de forma que cualquier trabajo no salvado se guarde, sino un severo reinicio donde todos los datos no almacenados se pierden.

22 Marzo: Gusano va hacia el Rootkit

El autor, los autores, de los gusanos Bagle han introducido una nueva capa a sus últimas criaturas. Empezando con el W32/Bagle.MD, han introducido tecnología Rootkit. Esto hace al gusano menos detectable y más difícil de eliminar cuando está presente en memoria. La aplicación de tecnología Rootkit por gusanos o virus puede ser lucrativa para los autores de malware ya que mucha gente se infecta propagando malware todo el tiempo.

23 Marzo: Nueva vulnerabilidad en Internet Explorer (CVE2006-1359)

La forma en que Internet Explorer maneja la llamada createTextRange() en un objeto de casilla de marcado puede ser potencialmente peligrosa. Sitios web especialmente dirigidos pueden hacer que Internet Explorer se caiga de tal forma que se pueda ejecutar código arbitrario. Se ha encontrado código activo de Prueba de Concepto en al menos 37 sitios. Microsoft ya ha publicado un parche. Otros navegadores no están afectados. Una alternativa para usuarios de Internet Explorer es desactivar Contenido Activo y Secuencias de comandos de aplicaciones Java.
En http://support.microsoft.com/kb/q154036 puede encontrar una descripción de cómo hacer esto para las diferentes versiones de Internet Explorer.

Norman ha incluido detección genérica en sus productos como JS/Exploit!CVE-2006-1359 y hasta el momento de esta publicación se ha detenido con éxito todo el material descargado de sitios maliciosos debido a este exploit.

ALARMAS DE VIRUS

Medium risk
15	Aug	08	AntiVirus 2008
24	Oct	07	Pidief.A
24	Jan	07	Tibs
25	Sep	06	Stration
18	Jan	06	Small.KI
12	Sep	05	Bagle.CS
17	Aug	05	Zotob.B
08	Jun	05	Mytob
17	Feb	05	MyDoom.AQ
26	Jul	04	MyDoom.L
25	Mar	04	Netsky.P
Low risk
05	Mar	07	Viking.GT
27	Jan	06	Feebs
16	Jan	05	MyDoom.AH
22	Apr	04	SDBot
30	Mar	04	Netsky.Q

Latest virus definition file published

>>	2009-01-07

Información de Seguridad

>>	Summing up 2008 and predictions for 2009
>>	Navidades: una época de diversión, pero también de precaución

Consejos de Seguridad

>>	Unscheduled update for Microsoft Internet Explorer
>>	Seis actualizaciones críticas para sistemas Microsoft en diciembre de 2008

Norman es una de las empresas principales del mundo en el ambito de seguridad de los datos. La empresa juega un papel importante en la industria informatica, con los productos para antivirus (Virus Control), cortafuego personal y antispam.