Se hace público un exploit para una brecha crítica en Windows

Se ha hecho público un nuevo código de ataque que explota una brecha crítica en el sistema operativo Windows, presionando así a Microsoft para que cubra la vulnerabilidad antes de que el problema llegue a provocar una epidemia de gusanos informáticos.

La vulnerabilidad se conocía desde el 7 de septiembre, pero los programas públicamente disponibles hasta el momento que permitían aprovecharla para atacar a los PC no tenían más consecuencia que bloquear el funcionamiento de Windows. Ahora, sin embargo, un nuevo ataque desarrollado por Stephen Fewer, investigador senior de Harmony Security permite a los atacantes correr software no autorizado sobre las máquinas, generando un problema más serio. El código de Fewer ha sido añadido al kit de testing de penetración open source Metasploit.

Hace dos semanas, otra compañía, denominada Immunity, desarrolló su propio código de ataque para esta brecha, pero sólo lo facilitó a sus suscriptores de pago. Por el contrario, el de Metasploit puede ser descargado por cualquier interesado.

Este último software de explotación funciona sobre Windows Vista Service Pack 1 y 2, así como sobre el servidor Windows 2008 SP1 y Windows 2008 Service Pack 2. A diferencia de Conficker, sin embargo, no afecta a Windows XP, Windows Server 2003 y Windows 2000.

La vulnerabilidad que explota ha sido ya resuelta en Windows 7, pero de momento no se sabe si Microsoft tendrá listo el parche correspondiente para las versiones de su sistema operativo afectadas a tiempo de incluirlo en su próximo boletín mensual de seguridad, que será emitido el próximo 13 de octubre.

fuente: csospain.es

exploit


Anuncios

Las Web Sites mas “sucias” del verano 09

El servicio de ratings Norton Safe Web de Symantec presenta “the Dirtiest Web Sites of Summer 2009” o lo que vendria siendo en español como las web sites mas sucias del verano 09 – el top 100 de sitios infectados con base en el número de amenazas detectadas por la web de seguridad de Norton a partir de agosto de 2009.

Norton Safe Web analiza los sitios web usando metodos como el escaneo de firma en archivos, los motores de detección de intrusos, detección de comportamiento y de instalación / desinstalación de análisis para identificar los riesgos de seguridad incluyendo sitios de phishing, descargas maliciosas, vulnerabilidades de navegador y enlaces a sitios externos inseguro. En otras palabras – todas aquellas cosas sucias que no quisieramos en nuestro ordenador!

No es de extrañar que el 48% de los sitios “sucios” esten bien sucios ya que ofrecen contenido para adultos. Sin embargo, otros sitios “dirtiest”  son de diversos tipos de interes como los sitios dedicados a la caza de ciervos, restaurantes, patinaje artístico, servicios jurídicos y de compra de articulos electrónicos. Los virus son la amenaza más común que se presenta en la lista, seguidos por los riesgos de seguridad y vulnerabilidades en el navegador (exploits). Simplemente haciendo clic en alguno de estos sitios “sucios” con estas amenazas, exponemos nuestros equipos  a una infeccion o , peor aún, poner nuestra identidad, información personal y financiera en manos de delincuentes cibernéticos.

Ejemplos de la lista “Dirtiest Web Sites”:

fuente: safeweb.norton.com

dirty web sites 09

Sustituto de milw0rm?

Revisando las diversas listas de correos del mundillo “underground” a las que estamos suscritos, no hemos podido dejar de leer una cadena de correos titulados

“why milw0rm closed” dandonos cuenta de la gran aceptacion que ha tenido esta web  dentro del “hacktivismo”… leyendo los post de los colegas, cada uno con una teoria diferente del por que se va o no, nos hemos quedado con un link de una web (que a titulo personal desconocia) similarmente parecida en su diseño  a la de milworm pero que  su creador al parecer eso otro personaje el cual se autodenomina “inj3ctor”, pagina que nos ayudara tambien a mantenernos informados (por lo menos a mi) de los ultimos “zero” days que salgan a la luz…ya que como habiamos comentado anteriormente cuando nos enteramos de la posible desaparicion de milw0rm, hay vida mas alla de esto y que existen otras paginas dedicadas a los exploits, videos y mundo underground…

PAGINA inj3ct0r

by komz

komz

milw0rm…adios o hasta luego??

Milw0rm, la página recopilatoria de exploits por excelencia, deja de ser mantenida por su creador, str0ke. Str0ke editó el header de la web con el siguiente mensaje (traducción al castellano):

milw0rm

“Bueno, pues esta es mi cabecera de despedida para milw0rm. Ójala contase con el tiempo con el que disponía en el pasado para publicar exploits, pero no lo tengo :(. Desde los últimos 3 meses la verdad es que he hecho un muy mal trabajo en conseguir que la gente sacase esto adelante lo suficientemente rápido como para estar orgulloso de ello, estar de 0 a 72 horas (arrebatando fines de semana…) no es justo para los autores de este sitio. Aprecio y agradezco a todo el mundo su apoyo en el pasado. Seguid seguros”, /str0ke.

Justamente en el footer de la web, podemos leer lo siguiente en referencia a las submissions, o aportaciones por parte de los usuarios:

submissions are closed.

Ya no se aceptan más aportaciones, por lo que podríamos decir que de momento se da un parón en el proyecto, y no sabemos a ciencia cierta si alguien lo retomará.

De comenzar siendo una típica página que se dedicaba a indexar exploits enviados por la gente, y que poco a poco iba ocupando el hueco de la malograda hack.co.za, se convirtió en un proyecto en el que teníamos (y tenemos todavía) videos demostrativos de técnicas y exploits en funcionamiento, shellcodes, e incluso un cracker de md5.

Paginas similares:

packetstorm / exploits
SecurityTube / videos

fuente: securitybydefault.com

milw0rm-wi

ATENCION!! Aumentan los gusanos que explotan la última vulnerabilidad de Windows. MS08-067 Exploits

A principios de la semana pasada se posteo en el blog acerca del exploit MS08-067. En aquel tiempo, el número de exploits en el hábitat natural era todavía bajo y sobre todo solo atacaban objetivos especificos. Sin embargo, durante el fin de semana Microsoft comenzo a recibir informes de clientes reportando un nuevo malware que explota esta vulnerabilidad. Durante los dos ultimos dias el malware fue ganando ímpetu y por consiguiente se ha incrementado el volumen de llamada al call center para pedir ayuda. El hash SHA1 del malware es 0x5815B13044FC9248BF7C2DBA771F0E6496D9E536 y ha sido descubierto como Worm:Win32/Conficker. A.

Este malware sobre todo se expande dentro de las empresas, pero también fue reportado por varios cientos de usuarios domesticos El malware abre un puerto arbitrario entre los puertos 1024 y 10000 actuando como un servidor web. Se propaga de forma arbitraria entre los ordenadores de la red explotando la vulnerabildiad MS08-067. Una vez que el ordenador remoto es “explotado”, ese ordenador descarga por alguno de los puertos abiertos una copia del gusano vía HTTP. El gusano a menudo usa una extensiojn .JPG al momento de ser copiado y luego es salvado dentro de la carpeta de sistema local como una dll.

La mayor parte de los reportes vienen de usuarios en los Estados Unidos, pero también se reciben reportes de otros países como Alemania, España, Francia, Italia, Taiwán, Japón, Brasil, Turquía, China, México, Canadá, Argentina y Chile.

También se han encontrado varios bots que explotan la vulenabildiad MS08-067. Se han detectado como Backdoor:Win32/IRCbot. BH.

Por medio de este blog se recomienda a todos los usuarios que instalen la actualizacion MS08-067 para estar protegidos contra este malware.

fuente: blogs.technet

BOLETIN DE SEGURIDAD MS08-067

INFORMACION SOBRE Worm:Win32/Conficker. A.


technet_microsoft1