|
|
|
Hace una semana aproximadamente, una noticia sacudió los medios de comunicación.
El motivo de la Noticia: Un supuesto ataque dirigido por parte del gobierno chino hacia Google, Adobe, Juniper y otras 29 empresas con sucursales en China.
El objetivo principal del ataque: supuestamente por parte del gobierno chino era obtener información confidencial de activistas de los Derechos Humanos en China.
Vector de ataque: Explotación de vulnerabilidad desconocida en Internet Explorer del Lado de Cliente ( Client-Side Exploitation).
Vunerabilidad explotada: Referencia a puntero inválido en Internet Explorer 6, 7 y 8 que permite ejecución remota arbitraria de código.
Nombre asignado al ataque: Aurora IE Exploit
Se llegó a identificar equipos y cuentas de usuarios que laboraban en estas empresas con información confidencial comprometida. Pero según Google no fueron más de 2 ó 3 cuentas comprometidas.
El equipo de Metasploit en tiempo récord ya ha logrado reproducir las condiciones de ataque y el correspondiente código de explotación - que según describe McAffee - es el mismo que se identificó en la investigación.
Y gracias a los amigos de http://praetorianprefect.com que han hecho un video que muestra cómo inicialmente los crackers consiguieron acceso a las redes corporativas de Google y los demás afectados.
En el video se muestra a Metasploit configurar una sessión a la escucha, y configurar un servidor web que hospeda el código malicioso, espera la visita inocente del usuario hacia el sitio web, lanza el ataque que explota la vulnerabilidad de Internet Explorer y abre una conexión hacia la computadora del atacante. Una vez obtenida la sesión, el atacante ya tiene el control de la máquina, puede listar procesos, terminarlos (en el video de ejemplo se cierra el proceso del Notepad.exe). Se usa Internet Explorer versión 6, ya que Microsoft referencia que éste fue usado en los ataques sobre estas compañías. Tampoco se descarta la explotación exitosa de esta vulnerabilidad sobre las versiones posteriores como lo son Internet Explorer 8 y 9.
Este ataque puede haber llegado por medio de correos electrónicos incitando al usuario a visitar ciertos sitios web que alojaban el código malicioso en javascript, y éste apuntaba a un puntero inválido e inyecta la shellcode que contiene el código arbitrario a ser ejecutado.
Lección repetida: La seguridad en el lado del cliente necesariamente requiere la ecuación: (Conocimiento+Entrenamiento)+Sentido común.
Así que: No hagas click! en cualquier cosa.
Saludos,
Felipe
Referencias:
http://praetorianprefect.com/archives/2010/01/the-aurora-ie-exploit-in-action/comment-page-1/
http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js
January 18th, 2010 at 3:24 am
asi es no hagas clic en cualquier cosa porque estas comprometiendo
tu computadora y gracias por la info.
felipe se agradece,
saludos,
January 18th, 2010 at 2:53 pm
hola felipe hace unos dias te escribi pidiendote ayuda por un problema
con mi computadora en uno de tus post dejaste un correo para enviarte informacion del problema
pero ia no funciona ese correo te agradeceria mucho si me ayudaras con el
problema q tengo alguna direccion a donde enviarte los
datos para q los revises por favor felipe
January 18th, 2010 at 3:09 pm
@TOM:
Reenvíame el mensaje por favor a admin@mygeekside.com.
Saludos,
Felipe
January 19th, 2010 at 5:51 pm
hola felipe gracias por responder tan pronto y por tu ayuda de antemano
January 20th, 2010 at 3:18 pm
Hi Felipe, Muy buen articulo!!!!.
Sigue asi
January 22nd, 2010 at 7:40 am
hey hey, gracias po r los datos pero me llego un troyano en la pagina que
pusiste ahi como referencia de los amigos, crei que a tu verificabas
las paginas antes de ponerlas.
teng onod 32 y lo detecto al darle click. gracias y
espero que sigas posteando pero con un poco de mas cuidado
January 22nd, 2010 at 9:11 pm
@FERNANDO: gracias por tu comentario, te comento que el sitio web al que hago referencia y al cual tu
antivirus bloqueó, contiene como texto el código de explotación del sitio en forma de shellcode.
Tu antivirus ha “leido” el código mostrado en el sitio web y
no supo diferenciar entre texto y código ejecutable,
así que emitió un falso positivo.
En el peor de los casos, algunos antivirus evitan que se
puedan visitar sitios que contengan shellcodes o exploits
de ejemplos, considero una medida adecuada pero
creo que deberían mejorarla, para diferenciar entre dato
y código ejecutable.
No te preocupes, siempre tengo cuidado al momento de
postear y te aseguro que cuido también a los visitantes
de este sitio, pruebo los enlaces y me aseguro que estén
limpios antes de hacerles referencias.
Muchas gracias y saludos :D,
Felipe
February 21st, 2010 at 3:33 pm
hola felipe me di cuenta de tu pagina web de parte de un amigo y tengo un problema mi computador tenia el virus sality.NAO lo removi exitosamente con tus consejos en uno de tus post pero despues de la remocion del virus el nero 7 premiun comenzo a dar problemas y se ha borrado la carpeta de archivos de este programa y no puedo desintalarlo y la reinstalacion no funciona que puedo hacer? de antemano gracias por tu respuesta
April 12th, 2010 at 3:18 am
eres un dios he seguido paso a paso todos tus consejos y recomendaciones para eliminar virus y prevenir el infectarse de los mismos..y casi he leido todos tus post son perfectos y he aprendido mucho mil gracias por tu generosida y por conpartir con todos tu conocimiento att.juan de san salvador…..