Trend Micro informa de que QuickTime Player (en su versión 7.6.6) permite a los archivos de películas activar automáticamente la descarga de archivos y los cibercriminales están aprovechando esto para descargar malware desde sitios Web maliciosos.

El ingeniero de investigación de amenazas de Trend Micro, Benson Sy, encontró dos archivos .MOV (001 Dvdrip Salt.mov y salt dvdrpi [btjunkie][xtrancex].mov) que utilizan la película Salt, protagonizada por Angelina Jolie y estrenada recientemente en Estados Unidos. Estos archivos resultan sospechosos porque tienen un tamaño relativamente pequeño en comparación con el habitual de las películas.

Cuando el usuario carga el archivo de la película a QuickTime, el reproductor no muestra ninguna escena del film, sino que lleva al usuario a descargar malware fingiendo ser un codec de actualización u otra instalación del reproductor. Trend Micro está investigando todavía si el malware está explotando una vulnerabilidad o utilizando una funcionalidad conocida para descargar otro malware.

La respuesta de Apple
Trend Micro se ha contactado con Apple, quien ha señalado que los dos archivos .MOV no utilizan un programa malicioso (exploit), sino que “se apoyan en ingeniería social para engañar al usuario y que se descargue el malware disfrazado de un codec de la película. Esto no tiene relación con la vulnerabilidad comunicada por Secunia”.

Fuente: Trend Micro y DiarioTi

Posted by Leandro Ferrari on August 5, 2010 at 9:31 am under Profesional.
Comment on this post.

Según la OWASP los ataques XSS son una de las vulnerabilidades más comunes, las cuales han sido ampliamente utilizadas para llevar a cabo diversos tipos de ataques, pero ¿Realmente se les da la importancia que deberían?.

Los ataques XSS (Cross Site Scripting) tratan de aprovechar vulnerabilidades generadas por una incorrecta validación de datos de entrada en una aplicación web. Básicamente se trata de engañar al usuario para que pulse una URL especialmente manipulada que al abrirse, ejecutará generalmente código Javascript que será interpretado en el navegador del usuario. El código que inyecta el atacante llamará a diversos objetos DOM ( Document Object Model) para ejecutar acciones en el equipo de la víctima; además, para dar un aspecto más amigable a la URL y para evitar ciertos filtros, ésta suele ser transformada mediante acortadores URL o codificada en hexadecimal. Ejemplo:

<script>document.write('<img src="http://inteco.com/img.jpg" />')</script>

%3Cscript%3Edocument.write%28%27%3Cimg%20src
%3D%22http%3A%2F%2Finteco.com%2Fimg.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E

Generalmente estos ataques están catalogados como “no persistentes” al ejecutarse en el contexto del navegador sin modificar la página web original. Por otro lado, los conocidos como “persistentes” son más peligrosos ya que el código Javascript es directamente insertado en una base de datos de tal forma que todos los usuarios que visualicen registros de dicha BBDD se verán afectados. Existe gran cantidad de referencias sobre XSS (se abre en nueva ventana) para entender el funcionamiento, tipos (se abre en nueva ventana) y medidas preventivas (se abre en nueva ventana) recomendables para evitar este tipo de problemas.

Hasta ahora, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de cookies, redireccionamientos de URL, defacements, carga de iframes con código malicioso, etc. pero poco a poco van surgiendo técnicas más sofisticadas que van un paso más allá y que hacen valorar en mayor medida la importancia de este tipo de ataques. «Shell of the Future» o «BeFF» son un claro ejemplo de ello.

La idea de «Shell of the Future» es semejante a la empleada por muchos payloads para conseguir una shell remota a través de la cual ejecutar comandos, pero con la diferencia de utilizar el navegador del atacante para navegar con las sesiones HTTP y HTTPS de la víctima por medio de JavaScript.

Para llevar a cabo el ataque es necesario configurar un servidor proxy y un servidor Web. En el servidor web se irán registrando las sesiones de aquellos usuarios que hayan ejecutado la URL maliciosa (o directamente el código Javascript en su navegador) y el atacante podrá interactuar con cualquiera de ellas. Todas las peticiones web que haga el atacante serán modificadas por el proxy, convirtiéndolas en mensajes JSON (se abre en nueva ventana) (JavaScript Object Notation) y enviadas al servidor web, el cual almacenará dichas peticiones en una base de datos a la espera de que la víctima sondee su contenido. La víctima, por medio del JavaScript malicioso sondeará el contenido del servidor web periódicamente en busca de nuevas peticiones y cuando detecte alguna nueva la reenviará al servidor legítimo el cual responderá al usuario y este a su vez al servidor web de nuevo, almacenándola en su base de datos hasta que el servidor proxy la recoja.

Todo esto se llevará a cabo de forma transparente al usuario y permitirá al atacante navegar con las sesiones de la víctima. Por último, el servidor proxy tras encontrar nuevas respuestas en la base de datos del servidor las traerá al navegador del atacante.

El siguiente gráfico muestra un resumen del proceso:

Shell of the future

Imagen extraída de blog.andlabs.org

La última versión de este “exploit” (fichero javascript) es mucho más sofisticado ya que evita que las sesiones se corten una vez que el usuario pulse un enlace. Para ello usa el evento onMouseMove situando un enlace oculto debajo del puntero del ratón de tal forma que cualquier enlace que pulse el usuario activará este enlace oculto y abrirá en una nueva pestaña la página deseada por la víctima mientras la sesión anterior continua activa en otra pestaña.

Esta técnica junto con otras realmente complejas como BeFF, las cuales pueden llegar a comprometer un equipo totalmente, son un claro ejemplo de la importancia de mantener un sitio web protegido frente a inyecciones XSS, y del impacto que éste puede llegar a producir. Buenas prácticas de programación y estar al día de los últimos ataques y vulnerabilidades es la mejor receta para prevenir este tipo de ataques.

Para ello, INTECO-CERT cuenta con un servicio de suscripción de vulnerabilidades a través del que es posible conocer los últimos fallos que afectan a determinados productos a través de notificaciones en el correo electrónico. Adicionalmente se pueden realizar búsquedas en el repositorio, con más de 42000 registros, que INTECO-CERT mantiene mediante el “Buscador de vulnerabilidades”.

Fuente: Inteco

Posted by Leandro Ferrari on August 1, 2010 at 9:01 pm under Profesional.
Comment on this post.

Los especialistas de G Data han desarrollado un parche (G Data LNK Checker) que bloquea la ejecución automática del archivo malicioso y muestra los iconos de acceso directo con su forma habitual (el parche de Microsoft resolvía el problema pero los accesos directos eran reemplazados por iconos blancos sin representación gráfica).

“Esta última brecha de seguridad multiplica las posibilidades que tienen los cibercriminales a la hora de infectar un PC. Para conseguirlo, sólo necesitan asegurarse de que un archivo “.Lnk” se muestra en el PC pero no es necesario que éste se encuentre alojado en el propio ordenador (puede estar colgado en Internet, en una memoria USB o en cualquier red corporativa), lo que dispara las alternativas de los creadores de malware”, explica Ralf Benzmüeller, responsable de G Data SecurityLabs. “Incluso el software más habitual, como pueden ser los procesadores de texto o los clientes de correo electrónico ofrecen la posibilidad de mostrar accesos directos. El potencial de abuso es enorme y desafortunadamente esperamos que los ciberdelincuentes aprovechen este agujero de seguridad de forma masiva en breve”.

Cada ordenador con Windows dispone de varios accesos directos en el escritorio. Esto permite llegar a los principales programas de la forma más rápida posible, una función muy útil pero que no deja de estar en el punto de mira de los desarrolladores de malware, como sucede ahora cuando Microsoft ha reconocido un ataque de día cero contra su sistema operativo Windows. En este caso, el usuario sólo necesita hacer clic en un icono de acceso directo habilitado en su escritorio o en cualquier otra ubicación para permitir la descarga de malware.

Los especialistas de G Data han desarrollado este parche después de un detallado análisis del fallo de seguridad de Windows. El programa funciona con independencia de la suite de seguridad instalada en el PC y la completa con una protección adicional contra la ejecución automática de código malicioso mencionado. Después de la instalación, “G Data LNK Checker” supervisará la creación de iconos de acceso directo y alertará sobre aquellos que puedan descargar código malicioso.

Los iconos de escritorio cuyos mecanismos de funcionamiento sean los habituales y no estén infectados se mostrarán como de costumbre. Los detectados como maliciosos se identificarán con un símbolo de prohibido.

Fuente:  G Data. y DiarioTi

Posted by Leandro Ferrari on July 29, 2010 at 9:25 am under Profesional.
Comment on this post.

Les presentamos la primera publicación en el sitio puntonoticias.com ,


Autor: Ing. Leandro Ferrari (Talsoft)

Hoy en día la Seguridad Informática tiene un gran auge en los sistemas informáticos de Internet, ya que muchas empresas dependen sus negocios en forma on-line y pequeñas vulnerabilidades del sistema pueden acarrear pérdidas en las ganancias de las empresas de hoy en día. Por ejemplo, un nuevo estudio de Symantec encontró que el 42% de las empresas considera la seguridad de sus organizaciones como un riesgo, el 75% de ha tenido experiencias de ataques cibernéticos en los últimos 12 meses y que estos ataques costaron a las empresas un promedio de U$S2 millones por año.

Por estos y otros ataques cibernéticos, las empresas utilizan cada vez más los testeos de seguridad informática denominada “Penetration test”. Es un servicio que engloba un conjunto de metodologías y técnicas para realizar un diagnóstico integral de las debilidades de los sistemas informáticos de la organización. Consiste en un modelo que reproduce intentos de acceso a cualquier entorno informático de un intruso potencial desde los diferentes puntos de entrada que existan, tanto internos como remotos. Detectando las debilidades de la organización antes de que se produzcan los ingresos indebidos de intrusos.

Existen dos tipos de testeos de seguridad:

  • Externo: Permite evaluar el estado de la seguridad de una organización desde Internet como si lo hiciera un intruso real.
  • Interno: Permite evaluar el estado de la seguridad dentro de la organización.

Luego de evaluar la seguridad de la organización, se elabora un informe gerencial y técnico enunciando los resultados obtenidos como así también las recomendaciones en cada caso.

Es por eso que la seguridad informática se hace imprescindible para el negocio y permanencia de toda empresa que tengan interactividad en Internet. Los servicios de seguridad son hoy en día una herramienta invaluable para los organismos que dependen ampliamente para sus operaciones de la infraestructura de Internet. La utilidad de estas pruebas esta dada por diversos componentes, entre los que se encuentran la confianza en el proveedor del servicio, la capacidad del proveedor en la realización del mismo, la capacidad para implementar los cambios sugeridos y la capacidad para reconocer los riesgos del cliente.

Costo del Servicio Básico para empresas:

Incluye:

  • Análisis de código malicioso.
  • Análisis básico de autenticación.
  • Análisis básico de autorización.
  • Análisis básico de Cross Site Scripting.
  • Análisis básico de Sql Injection.
  • Generación básico de Informe Gerencial.

Nota:

  • Análisis de primer nivel de links del sitio
  • Problemas que no estén en este alcance se tomaran fuera del presupuesto

Total: $ 799.- Pesos c/IVA


Sitio de Servicios: http://www.talsoft.com.ar
Mail de Consultas: consultas@talsoft.com.ar

Posted by Leandro Ferrari on July 22, 2010 at 8:33 am under Profesional.
Comment on this post.

Una serie de vulnerabilidades permitirían esconder malware en formatos de archivos .zip, .7zip, .rar, .cab y .gzip que los productos antivirus no detectarían.

Investigadores de seguridad han descubierto fallos en formatos de archivo comunes, incluidos los .zip, que se pueden utilizar para pasar malware a los ordenadores evitando la detección de los antivirus. Ocho fueron las vulnerabilidades encontradas en el formato .zip, soportado por Microsoft Office, además de otras siete en los formatos de archivo .7zip, .rar, .cab y .gzip. Al menos es lo que confirmó Mario Vuksan, presidente de ReversingLabs durante la conferencia Black Hat que esta semana se celebra en Barcelona.

Las vulnerabilidades podrían utilizarse por parte de los atacantes para esconder malware que podría superar al software antivirus a través de un adjunto de correo electrónico para comprometer un ordenador. Según Mario Vuksan, los archivos pasan a través de Gmail o Hotmail porque son formatos de confianza y los “antivirus no pueden ver el malware escondido, que se adhiere al sistema una vez que el archivo es abierto”.

Vuksan también afirma haber informado a los vendedores de seguridad respecto a los agujeros para que actualicen sus productos y no sean vulnerables a los ataques. Por otra parte, junto con sus colegas en la investigación, presentaron una herramienta llamada NyxEngine que las compañías pueden utilizar para explorar los archivos de la red en busca de atributos sospechosos que pudieran indicar si hay malware escondido.

Fuente: ITEspresso y Segu-Info

Posted by Leandro Ferrari on July 21, 2010 at 9:27 am under Profesional.
Comment on this post.

« Previous Entries
Next Entries »