sábado, 30 de diciembre de 2006

Resumen de seguridad de 2006 (II)

Termina el año y desde Hispasec echamos la vista atrás para recordar y
analizar con perspectiva lo que ha sido el segundo cuatrimestre de 2006
en cuestión de seguridad informática. Estas son las que consideramos las
noticias más importantes de cada mes publicadas en nuestro boletín diario.

Mayo 2006:

* El servicio de análisis online de archivos VirusTotal añade el motor
antivirus proporcionado por Microsoft, además de presentar considerables
mejoras de rendimiento y presentación de resultados al usuario.

* Steve Wiseman descubre casi por casualidad, una importante
vulnerabilidad en VNC (un software de administración remota muy usado
en distintos sistemas operativos que permite interactuar con el
escritorio). El fallo permitía eludir de forma trivial la autenticación
y acceder al equipo sin necesidad de conocer la contraseña. Muchas
máquinas gestionadas con este programa de forma remota son "secuestradas".

Junio 2006:

* Comienza la retahíla de 0days para productos Microsoft Office que
aparecen días después de las actualizaciones mensuales de la compañía.
Esta "política" de revelación de vulnerabilidades y descubrimiento de
fallos de forma estratégica en la suite de Microsoft se prologaría
durante todo el año.

* Se conoce que HP ha hospedado en su página web, durante un tiempo
indefinido, uno de sus controladores de impresora infectado por FunLove,
un virus de hace casi seis años.

* Tras una controversia mediática y un debate importante producido en
el sector, Microsoft opta finalmente por poner a disposición de los
usuarios una nueva versión de WGA (Windows Genuine Advantage) que no
efectúa "llamadas a casa" (phone home).

Julio 2006:

* HD Moore inaugura con gran éxito (tras comprobar la repercusión e
imitadores posteriores) su mes de los fallos en navegadores, donde
publica en un blog (al estilo una-al-día) un fallo o bug en navegadores
por cada día del mes. Algunos de ellos, más tarde, se revelaron como
grandes problemas de seguridad que fueron aprovechados de forma masiva.

* Se detecta una vulnerabilidad 0day en las versiones del Kernel Linux
pertenecientes a la rama 2.6 que facilita la escalada de privilegios
local. Este problema es usado para atacar sistemas base de Debian, que
a través de una cuenta de usuario sin privilegios comprometida, logra
hacerse con el control de uno de los servidores del proyecto.

Agosto 2006:

* Microsoft publica el boletín MS06-042, en el que se recomienda la
aplicación de un parche acumulativo para Internet Explorer que soluciona
ocho problemas de seguridad. Dos semanas
después se hace público que este parche introducía una nueva
vulnerabilidad crítica. Eeye, que detecta el grave error, protagoniza
una guerra verbal contra Microsoft.


Sergio de los Santos
ssantos@hispasec.com