#Flame utiliza Evilgrade Attack
Desde el descubrimiento de Flame, se había estado investigado el motivo por el cual se podía infectar equipos con Windows 7 totalmente parcheados y a la fecha. Kaspersky ha encontrado dos módulos módulo especiales llamados "Gadget" y "Munch" y si bien la infección inicial puede haber sifo a través de vulnerabilidades 0-day, el módulo "gadget" se utiliza simplemente para difundir la amenazas dentro de una red de una máquina que ya ha sido infectada previamente.
"Gadget" y "Munch" ponen en práctica un interesante ataque Man-in-the-Middle contra toos los equipos en la red. Cuando una máquina intenta conectarse a Windows Update de Microsoft, se redirige la conexión a través de una máquina infectada y se envía una actualización falsa, el cliente. Este ataque fue descripto por Francisco Amato y Federico Kirchbaum como "Evilgrade Attack" en Defcon 18.
En el proceso se utilizan 8 ficheros CAB y uno de ellos contiene un programa WuSetupV.exe firmado con un certificado falso de Microsoft. La primera máquina infectada instalar un servidor falso con el nombre "MSHOME-F3BE293C", que alberga un script que sirve el cuerpo completo del malware a las otras máquinas víctimas. Esto es realizado por el módulo llamado "Munch", cuando una víctima intenta actualizarse a través de Windows Update, la consulta es interceptada y la actualización falsa es enviada, infectando al equipo.
Para realizar la interceptación, (ataque Man-in-the-Middle) el equipo infectado se "anuncia" como proxy en el dominio, a través de WPAD y siempre y cuando las máquinas tengan la configuración de proxy en "Auto".
Microsoft lanzó una serie de publicaciones en el blog y una actualización para Windows que está bloqueando tres certificados fraudulentos utilizados y es recomendable aplicar esta actualización inmediatamente.
Fuente: Viruslist
"Gadget" y "Munch" ponen en práctica un interesante ataque Man-in-the-Middle contra toos los equipos en la red. Cuando una máquina intenta conectarse a Windows Update de Microsoft, se redirige la conexión a través de una máquina infectada y se envía una actualización falsa, el cliente. Este ataque fue descripto por Francisco Amato y Federico Kirchbaum como "Evilgrade Attack" en Defcon 18.
En el proceso se utilizan 8 ficheros CAB y uno de ellos contiene un programa WuSetupV.exe firmado con un certificado falso de Microsoft. La primera máquina infectada instalar un servidor falso con el nombre "MSHOME-F3BE293C", que alberga un script que sirve el cuerpo completo del malware a las otras máquinas víctimas. Esto es realizado por el módulo llamado "Munch", cuando una víctima intenta actualizarse a través de Windows Update, la consulta es interceptada y la actualización falsa es enviada, infectando al equipo.
Para realizar la interceptación, (ataque Man-in-the-Middle) el equipo infectado se "anuncia" como proxy en el dominio, a través de WPAD y siempre y cuando las máquinas tengan la configuración de proxy en "Auto".
Microsoft lanzó una serie de publicaciones en el blog y una actualización para Windows que está bloqueando tres certificados fraudulentos utilizados y es recomendable aplicar esta actualización inmediatamente.
Fuente: Viruslist
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!