4 jun 2012

#Flame utiliza Evilgrade Attack

Desde el descubrimiento de Flame, se había estado investigado el motivo por el cual se podía infectar equipos con Windows 7 totalmente parcheados y a la fecha. Kaspersky ha encontrado dos módulos módulo especiales llamados "Gadget" y "Munch" y si bien la infección inicial puede haber sifo a través de vulnerabilidades 0-day, el módulo "gadget" se utiliza simplemente para difundir la amenazas dentro de una red de una máquina que ya ha sido infectada previamente.

"Gadget" y "Munch" ponen en práctica un interesante ataque Man-in-the-Middle contra toos los equipos en la red. Cuando una máquina intenta conectarse a Windows Update de Microsoft, se redirige la conexión a través de una máquina infectada y se envía una actualización falsa, el cliente. Este ataque fue descripto por Francisco Amato y Federico Kirchbaum como "Evilgrade Attack" en Defcon 18.

En el proceso se utilizan 8 ficheros CAB y uno de ellos contiene un programa WuSetupV.exe firmado con un certificado falso de Microsoft. La primera máquina infectada instalar un servidor falso con el nombre "MSHOME-F3BE293C", que alberga un script que sirve el cuerpo completo del malware a las otras máquinas víctimas. Esto es realizado por el módulo llamado "Munch", cuando una víctima intenta actualizarse a través de Windows Update, la consulta es interceptada y la actualización falsa es enviada, infectando al equipo.

Para realizar la interceptación, (ataque Man-in-the-Middle) el equipo infectado se "anuncia" como proxy en el dominio, a través de WPAD y siempre y cuando las máquinas tengan la configuración de proxy en "Auto".

Microsoft lanzó una serie de publicaciones en el blog y una actualización para Windows que está bloqueando tres certificados fraudulentos utilizados y es recomendable aplicar esta actualización inmediatamente.

Fuente: Viruslist

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!