miércoles, 29 de diciembre de 2010

Resumen de seguridad de 2010 (II)

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva (al más puro estilo periodístico) lo que ha sido 2010 en cuestión de seguridad informática. En cuatro entregas (tres meses por entrega) destacaremos muy brevemente lo que hemos considerado las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Abril 2010:

* En abril, a través de un post en el blog oficial del equipo de infraestructuras de Apache, se publican los detalles acerca de un ataque dirigido sobre los servidores de la fundación. Los atacantes emplean una vulnerabilidad desconocida hasta el momento en JIRA (un software de gestión de errores e incidencias en proyectos) que permite efectuar ataques de cross site scripting.

* A las 14:00 horas GMT del 21 de abril, McAfee libera un nuevo fichero DAT de actualización, el 5958 que contiene una firma que le indica al antivirus de McAfee que ponga en cuarentena al proceso svchost.exe de los sistemas operativos Windows XP SP3, al confundirlo con el virus W32/Wecorl.a. Esta acción provoca que cuando se reinicie el equipo éste entre en un bucle de reinicios consecutivos y vuelva a la máquina inoperable.

* Didier Stevens publica una técnica para ejecutar código en Adobe Reader con solo abrir un archivo PDF especialmente manipulado sin utilizar una vulnerabilidad en la implementación del programa..., sino en la especificación PDF.

Mayo 2010:

* Se da a conocer un problema en Facebook que permite a cualquier usuario visualizar el chat de sus amigos en tiempo real. El fallo, fácilmente reproducible por cualquier usuario con unas pocas pulsaciones de ratón, permitía visualizar las conversaciones que cualquiera de sus amigos estuviera manteniendo en ese momento. Todo ello sin necesidad de ningún conocimiento técnico ni escribir ninguna línea de código.

* Aza Raskin desvela un nuevo método de modificación de páginas en pestañas del navegador que puede ser utilizado para realizar ataques de phishing un poco más sofisticados. Está basado en una técnica con JavaScript que permite modificar el aspecto de una página cuando no tiene el "foco" de la pestaña del navegador. Aunque ingenioso, no es realmente usado en ataques. Se le bautiza como Tabnabbing.

* Financial Times publica una noticia en la que se afirma que según "varios empleados", en Google, están empezando a abandonar Windows en sus escritorios por cuestiones de seguridad, motivadas probablemente por el ataque que sufrió la compañía en enero. La decisión (y el titular) es cuando menos discutible, porque en definitiva, el ataque en el que se basó la operación "Aurora" fue un problema de políticas de seguridad de Google, no de un sistema operativo u otro.

Junio 2010:

* El día 9 de junio, Tavis Ormandy (que trabaja para Google) hace públicos todos los detalles de un fallo en el "Centro de soporte y ayuda de Windows" que permite la ejecución de código con solo visitar una web con cualquier navegador. Ofrece una prueba de concepto en una conocida lista de seguridad. Alega que ha avisado a Microsoft cinco días antes, que no se han puesto de acuerdo sobre los plazos y que considera que el problema es serio como para alertar a todos. Microsoft se ve obligada a publicar una alerta reconociendo el fallo, pero lógicamente, todavía sin parche. Poco después, para echar leña al fuego, Graham Cluley de Sophos, publica en su blog una entrada titulada "Tavis Ormandy, ¿estás contento? Páginas explotan el 0 day en Microsoft". Sophos descubre que la industria del malware ya está aprovechando la información de Tavis para realizar ataques de forma masiva. Y empeoraría con el tiempo. Se reabre el debate sobre la "divulgación responsable", que algunos ven como un término avieso creado por las grandes marcas para hacer pensar que cualquier otra vía de divulgación es necesariamente irresponsable.

* Un grupo de investigadores anónimos (y con mucho humor) forman el Microsoft-Spurned Researcher Collective, (un juego con el oficial Microsoft's Security Response Center) que se supone se trata de una formación que intenta encontrar vulnerabilidades en Windows y divulgar todos los detalles sin avisar a Microsoft, con el único fin de vengarse por el trato dado a Tavis. Google y Microsoft se acusan mutuamente. En un intento de calmar ánimos, Microsoft decide cambiar el término "responsible disclosure" por "coordinated disclosure" y la industria lo acepta como nuevo estándar.

* Se descubre que UnrealIRCd, un popular servidor de código abierto de IRC, está troyanizado y disponible desde la página oficial al menos desde noviembre de 2009. Los atacantes reemplazan el código fuente de la versión para sistemas Unix/Linux, y la modificación pasa inadvertida durante unos 8 meses. A raíz del incidente, comienzan a firmar su código.

* Microsoft vuelve a poner la excusa de la "incompatibilidad" para dejar sin un parche de seguridad a un producto al que todavía da "soporte extendido". En este caso se trata de Office XP. La suite ofimática aparecida en 2001, se queda sin el parche MS10-036, que corrige una vulnerabilidad que permite la ejecución de código. La razón oficial: incompatibilidad.


Sergio de los Santos
ssantos@hispasec.com



No hay comentarios:

Publicar un comentario en la entrada