Hace rato que no publico noticias (en gran parte porque hay muchos blogs de noticias), pero hoy tengo una muy interesante.
Durante diciembre le dieron duro a varias grandes empresas como Google o Adobe utilizando un exploit en Internet Explorer 6 que permite remote code execution. Según Google, fueron víctimas de un ataque altamente sofisticado y coordinado, mediante el cual les robaron información y accedieron a cuentas Gmail de activistas por los derechos humanos.
Otras empresas que reportaron ataques fueron Yahoo, Northrop Grumman y Dow Chemical, por nombrar algunas de las 34 que se vieron afectadas.
Al parecer los hackers utilizan el exploit para instalar el troyano Hydraq el cual les permite acceder a la red corporativa.
Los rumores dicen que el gobierno Chino está detrás del ataque, debido a que el código del exploit es tan sofisticado que sólo pudo haber sido descubierto con el respaldo de un organismo muy interesado en los resultados. Gracias a esto, Google, como contraataque, dejó de censurar los resultados de su buscador para los navegantes chinos.
Estos ataques recibieron el nombre "Operación Aurora", nombre con el cual pueden encontrar muchos posts en internet, además del código para utilizarlo >=)
En exploit database pueden descargar un ejemplo del código en python listo para ser testeado. Este aprovecha la vulnerabilidad y nos abre la calculadora de Windows. Yo lo probé y funciona perfecto, el antivirus ni se entera.
Metasploit también agregó el exploit a su base de datos, así que si actualizan el framework, lo tendrán a su disposición. En el blog de metasploit pueden encontrar información sobre cómo utilizarlo.
Y de qué va la vulnerabilidad? Bueno, al parecer es posible acceder a un puntero inválido después de que se borra un objeto. Armando un ataque especial, intentando acceder al objeto liberado, es posible causar remote code execution.
El problema resultó tan serio que el gobierno alemán salió a pedir a sus usuarios que dejen de utilizar IE hasta que los de MS parchen el agujero.
Por su parte, MS pide a sus usuarios que actualicen a IE8, aunque admiten que tanto IE7 como 8 también son vulnerables al problema.
Igualmente MS sigue con su política "parcho cuando YO quiero" y el parche para este problema está planeado para el 9 de febrero!!! Realmente es de no creer!
Mi recomendación? ya se deben imaginar... no usen IE!, ni Windows! Pero bueno, si no les queda otra que usar Windows, al menos prueben Firefox u Opera.
Algunas referencias para leer son:
- Attack code used to hack Google now public
- Hack of Google, Adobe Conducted Through Zero-Day IE Flaw
- Microsoft Says Upgrade To IE8, Even Though It's Vulnerable
Suscribirse a:
Enviar comentarios (Atom)
4 comentarios:
No termino de entender como se relaciona el bug en IE, con el ataque a las empresas.
Según entendí, el bug permite "hacer cosas" sobre el SO donde corre IE, pero no comprendo porque ese bug permite filtrarse en Google y demás compañias.
Seguramente me estoy perdiendo en alguna parte...
Saludos
Pensando un poco mas, ¿la infección se habría dado porque empleados de esas empresas usaban IE y de esa manera infectaron los equipos de Google?
Claro, algún/os empleado/s entró en una página que contenía el exploit y así permitieron que se instale el troyano.
No se bien como lograron eso, probablemente con algún mail o insertando el código en alguna propaganda, andá a saber.
Lo más interesante de todo esto es que nadie está a salvo, en google como en todas las empresas corres el riesgo de tener empleados que sufran este tipo de ataques. Y no los culpo, con la cantidad de páginas infectadas ya no se puede confiar en ningún site... pero si es bajo usar IE6... por qué no usarán chrome? =P
Claro, esa era mi duda.
Me sorprende que no tengan políticas de seguridad/administración más estrictas, y que un empleado use el anticuado IE6, y esto lo digo para todas las mega-empresas afectadas.
Salvo... el típico empleaducho/visitante con su notebook, se conecto mediante wi-fi y metio la pata =P
Saludos
Publicar un comentario