0-day en Internet Explorer: Detrás de los ataques a grandes compañías
Hace unos días Google reconocía en su blog oficial
haber sido objeto de un ataque "altamente sofisticado" de origen chino
sobre sus infraestructuras. En su evaluación de daños declaraban el
robo de propiedad intelectual y un ataque limitado sobre dos cuentas de
correos de GMail, señalando, que tenían evidencias de que el objetivo
final era la obtención de información sobre activistas chinos para los
derechos humanos.
En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail que han estado siendo accedidas de forma ilícita durante cierto tiempo, relacionadas con activistas pro derechos humanos en China de varios continentes.
Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.
McAfee y la "Operación Aurora"
Dentro del marco de investigación conjunta de las compañías afectadas y entidades públicas, los laboratorios de McAfee han analizado varias muestras de malware involucrado en los ataques. De esta forma descubrieron en uno de los ejemplares una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario.
En detalles sobre el ataque, McAfee sospecha que han sido planeados sobre objetivos muy concretos, en particular, personal con acceso a propiedad intelectual valiosa y con métodos de ingeniería social para garantizar el éxito de la infección.
Acerca del malware, utiliza un abanico de vulnerabilidades 0-day. En este punto, McAfee aclara que no han encontrado evidencias hasta el momento sobre un posible y nuevo 0-day en el lector de Adobe, tal como se ha estado especulando en los medios. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado.
Respecto del mediático nombre de "Operación Aurora", se debe a que el nombre "Aurora" aparece como parte en una ruta de archivo que McAfee halló en dos de los binarios analizados y que presumiblemente, según McAfee, sería el nombre con el que el atacante bautizó la operación.
Microsoft y el 0-day
Poco después, la reacción de Microsoft no se hizo esperar y ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer. Que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Está vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada para este fin.
Las versiones afectadas son la 6, 7 y 8 en los sistemas operativos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008.
Más Información:
Googleblog - A new approach to China
http://googleblog.blogspot.com/2010/01/new-approach-to-china.html
Operation "Aurora" Hit Google, Others
http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/
Microsoft Security Advisory (979352)
http://www.microsoft.com/technet/security/advisory/979352.mspx
MSRC Blog - Security Advisory 979352 Released
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx
Autor: David García
Fuente: Hispasec
En la investigación abierta descubrieron que alrededor de veinte grandes compañías de varios sectores habrían sido atacadas de manera similar, además de docenas de cuentas de GMail que han estado siendo accedidas de forma ilícita durante cierto tiempo, relacionadas con activistas pro derechos humanos en China de varios continentes.
Finalmente, se tiene noticia de que al menos 34 grandes firmas han sido objeto de estos ataques, entre las que se cuentan, además de la misma Google: Yahoo, Symantec, Adobe, Northrop Grumman y Dow Chemical entre otras.
McAfee y la "Operación Aurora"
Dentro del marco de investigación conjunta de las compañías afectadas y entidades públicas, los laboratorios de McAfee han analizado varias muestras de malware involucrado en los ataques. De esta forma descubrieron en uno de los ejemplares una vulnerabilidad desconocida en el navegador de Microsoft, Internet Explorer, que permite ejecutar código arbitrario.
En detalles sobre el ataque, McAfee sospecha que han sido planeados sobre objetivos muy concretos, en particular, personal con acceso a propiedad intelectual valiosa y con métodos de ingeniería social para garantizar el éxito de la infección.
Acerca del malware, utiliza un abanico de vulnerabilidades 0-day. En este punto, McAfee aclara que no han encontrado evidencias hasta el momento sobre un posible y nuevo 0-day en el lector de Adobe, tal como se ha estado especulando en los medios. Tras explotar una de estas vulnerabilidades instala un mecanismo de puerta trasera que permite a los atacantes acceder y controlar el equipo infectado.
Respecto del mediático nombre de "Operación Aurora", se debe a que el nombre "Aurora" aparece como parte en una ruta de archivo que McAfee halló en dos de los binarios analizados y que presumiblemente, según McAfee, sería el nombre con el que el atacante bautizó la operación.
Microsoft y el 0-day
Poco después, la reacción de Microsoft no se hizo esperar y ha publicado un aviso de seguridad en el que confirma la existencia de un error en Internet Explorer. Que permite, bajo ciertas circunstancias, el control de un puntero tras la liberación de un objeto. Está vulnerabilidad puede ser aprovechada por un atacante remoto para ejecutar código arbitrario a través de una página web especialmente manipulada para este fin.
Las versiones afectadas son la 6, 7 y 8 en los sistemas operativos Windows 2000, XP, Vista, 7, Server 2003 y Server 2008.
Más Información:
Googleblog - A new approach to China
http://googleblog.blogspot.com/2010/01/new-approach-to-china.html
Operation "Aurora" Hit Google, Others
http://siblog.mcafee.com/cto/operation-%E2%80%9Caurora%E2%80%9D-hit-google-others/
Microsoft Security Advisory (979352)
http://www.microsoft.com/technet/security/advisory/979352.mspx
MSRC Blog - Security Advisory 979352 Released
http://blogs.technet.com/msrc/archive/2010/01/14/security-advisory-979352.aspx
Autor: David García
Fuente: Hispasec
Metasploit ya libero el exploit en su herramienta.
ResponderBorrarhttp://blog.metasploit.com/2010/01/reproducing-aurora-ie-exploit.html
anonimok