CIBERCRIMINALES EXPLOTAN FALLO EN WINDOWS

05/10/2006 - 01:28 por Simplemente Osvaldo | Informe spam
INFORMACIÓN DE IMPORTANCIA PUBLICADA EN VSANTIVIRUS:



1 - Cibercriminales explotan fallo en Windows
_____________________________________________________________

http://www.vsantivirus.com/na-04-10-06.htm

Cibercriminales explotan fallo en Windows

Por Nela Adans
nela@videosoft.net.uy

El fallo, empezó a ser explotado la pasada semana, casi
enseguida que Microsoft publicara un importante parche para
otra vulnerabilidad crítica. El problema se encuentra en un
componente central de Windows, utilizado por muchos
programas. Microsoft anunció un parche para el próximo martes.

El Internet Storm Center del SANS Institute, fijó su nivel de
alerta en "Amarillo" sobre el fin de semana pasado, mientras
los piratas informáticos aumentaban los ataques a través del
navegador Internet Explorer, aprovechando este fallo de la
seguridad.

El lunes, lo regresaron a "Verde", aclarando que "no
significa que el peligro haya pasado, el riesgo sigue siendo
alto hasta que se remienden las vulnerabilidades, porque
sabemos que hay muchas variantes del exploit. Existen incluso
módulos de Metasploit [un entorno de desarrollo de exploits]
lanzados sobre el fin de semana, así que no se necesita mucho
talento a este punto para crear un nuevo exploit."

En VSAntivirus.com, hemos subido el nivel de alerta a
"Naranja", y así se mantendrá mientras los ataques sigan
existiendo, y no se haya publicado el parche oficial. El
nivel NARANJA se establece cuando "es inminente o en progreso
la ejecución de alguna rutina destructiva de algún gusano, o
la propagación masiva de una nueva amenaza que requiere su
mayor atención (aprovechando alguna nueva vulnerabilidad no
corregida, etc.)." (Ver "Explicación de códigos de alertas",
http://www.vsantivirus.com/codigos-alertas.htm).

El investigador de seguridad H.D. Moore, hizo público éste
problema de seguridad de Windows en julio, pero en ese
momento él solamente divulgó que podría ser utilizado para
cerrar el navegador (denegación de servicio).

La semana pasada, lanzó un código como prueba de concepto
(PoF, Proof-of-Concept), que demostraba cómo un bug en el
método "setslice ()" en el control ActiveX
"WebViewFolderIcon" del IE, podría ser utilizado para
ejecutar códigos maliciosos en el sistema de un usuario.

La raíz del problema está en un "desbordamiento de entero"
(integer overflow), en un componente central de Windows
llamado COMCTL32.DLL (Common Controls Library), que es
utilizado por muchos programas, han dicho los investigadores.
Un "integer overflow" se produce cuando una variable definida
como entera, sobrepasa los valores asignados.

"El WebViewFolderIcon ActiveX Control, es solamente el más
probable de los vectores de ataque para ésta vulnerabilidad,"
dijo Alex Sotirov de la compañía Determina en la lista de
correo Full Disclosure.

Dos grupos criminales, por separado, comenzaron a atacar a
los usuarios utilizando los motores de búsqueda, a través de
sitios Web y campañas de spam. Implementan disimuladamente
una etiqueta HTML maliciosa (iFrame), en el sitio, desviando
al usuario a un servidor con el exploit y controlado por
ellos para ejecutar códigos de forma remota.

Estos servidores procuran implantar varios códigos maliciosos
en los sistemas de los usuarios, incluyendo versiones del
conocido spyware CoolWebSearch, que es notoriamente difícil
de quitar, según el SANS.

"Estos individuos tienen una red enorme de señuelos que
atraen el tráfico desde adentro de los motores de búsqueda
legítimos," dice Roger Thompson, principal oficial técnico de
Exploit Prevention Labs.

"Éste es el mismo grupo que descubrimos detrás del exploit
del WMF (Windows Meta File), en diciembre de 2005. A la fecha
de esta alarma tenemos más de 600 sitios activos que tienen
IFRAME con código efectivo en ellos. Esto no significa que
todos los sitios tengan el código reciente de este Zero Day
[exploit "día cero"], pero significa que ellos son un peligro
potencial, porque principalmente señalan a los servidores que
podrían ser utilizados para ello," alerta el Websense
Security Labs.

Los expertos en seguridad dijeron que la escalada de ataques
de este fin de semana utilizando el método del "setslice()",
se debió a la utilización de diversos defectos del IE,
también sin emparchar en ese entonces. Microsoft publicó un
remiendo de emergencia para una de esas vulnerabilidades
(VML), la semana pasada, pero no todos lo han aplicado.

Microsoft está enterado de este nuevo problema, y el
remiendo sería parte del ciclo regular de actualizaciones de
seguridad de la compañía este 10 de octubre. Mientras tanto,
la compañía recomienda a los usuarios configurar los "kill
bits" que inhabilitan el control.

Al menos dos parches no oficiales han sido publicados, pero
los expertos no aconsejan su instalación.

El siguiente artículo de VSAntivirus.com, explica como
configurar los "kill bits" que desactivan el objeto ActiveX
involucrado con esta vulnerabilidad:

Vulnerabilidad crítica en Windows (WebViewFolderIcon)
http://www.vsantivirus.com/vul-wind...280906.htm


* Más información:

Vulnerabilidad crítica y parches de terceros
http://www.enciclopediavirus.com/no...a.php?idg9


* Relacionados:

MS06-055 Ejecución de código en IE (VML) (925486)
http://www.vsantivirus.com/vulms06-055.htm

Explicación de códigos de alertas
http://www.vsantivirus.com/codigos-alertas.htm

Gangs exploit another unpatched Windows bug
http://www.techworld.com/news/index.cfm?newsIDp05

Crime Rings Target IE 'SetSlice' Flaw; ZProtector Released
http://www.eweek.com/article2/0,189...805,00.asp

Cybercrooks add Windows flaw to
arsenal
http://news.com.com/Cybercrooks+add...21584.html

Malicious Web Site / Malicious Code:
WebView FolderIcon setSlice Vulnerability
http://www.websense.com/securitylab...?AlertIDd4


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com




Osvaldo Luis Vila
Burzaco- Buenos Aires-
Argentina-
Casi al sur del Continente Americano-

Te interesa la informática y la seguridad de tu computadora:
www.vsantivirus.com
El sitio de un ESTUDIOSO de la informatica:
http://www.miguelms.com/indice.htm
Quieres saber mas: http://www.fermu.com
Un momento de relax: http://listas.vsantivirus.com/lista/vsamigos
Grupos Microsoft: news://msnews.microsoft.com/microsoft.public.es
 

Leer las respuestas

#1 Luis Montenegro Mena
05/10/2006 - 18:18 | Informe spam
Esto no hace más que reafirmar la necesidad de mantener los equipos
actualizados. Mucho ojo!!

Saludos

En Wed, 04 Oct 2006 19:28:32 -0400, Simplemente Osvaldo
escribió:

INFORMACIÓN DE IMPORTANCIA PUBLICADA EN VSANTIVIRUS:



1 - Cibercriminales explotan fallo en Windows
_____________________________________________________________

http://www.vsantivirus.com/na-04-10-06.htm

Cibercriminales explotan fallo en Windows

Por Nela Adans


El fallo, empezó a ser explotado la pasada semana, casi
enseguida que Microsoft publicara un importante parche para
otra vulnerabilidad crítica. El problema se encuentra en un
componente central de Windows, utilizado por muchos
programas. Microsoft anunció un parche para el próximo martes.

El Internet Storm Center del SANS Institute, fijó su nivel de
alerta en "Amarillo" sobre el fin de semana pasado, mientras
los piratas informáticos aumentaban los ataques a través del
navegador Internet Explorer, aprovechando este fallo de la
seguridad.

El lunes, lo regresaron a "Verde", aclarando que "no
significa que el peligro haya pasado, el riesgo sigue siendo
alto hasta que se remienden las vulnerabilidades, porque
sabemos que hay muchas variantes del exploit. Existen incluso
módulos de Metasploit [un entorno de desarrollo de exploits]
lanzados sobre el fin de semana, así que no se necesita mucho
talento a este punto para crear un nuevo exploit."

En VSAntivirus.com, hemos subido el nivel de alerta a
"Naranja", y así se mantendrá mientras los ataques sigan
existiendo, y no se haya publicado el parche oficial. El
nivel NARANJA se establece cuando "es inminente o en progreso
la ejecución de alguna rutina destructiva de algún gusano, o
la propagación masiva de una nueva amenaza que requiere su
mayor atención (aprovechando alguna nueva vulnerabilidad no
corregida, etc.)." (Ver "Explicación de códigos de alertas",
http://www.vsantivirus.com/codigos-alertas.htm).

El investigador de seguridad H.D. Moore, hizo público éste
problema de seguridad de Windows en julio, pero en ese
momento él solamente divulgó que podría ser utilizado para
cerrar el navegador (denegación de servicio).

La semana pasada, lanzó un código como prueba de concepto
(PoF, Proof-of-Concept), que demostraba cómo un bug en el
método "setslice ()" en el control ActiveX
"WebViewFolderIcon" del IE, podría ser utilizado para
ejecutar códigos maliciosos en el sistema de un usuario.

La raíz del problema está en un "desbordamiento de entero"
(integer overflow), en un componente central de Windows
llamado COMCTL32.DLL (Common Controls Library), que es
utilizado por muchos programas, han dicho los investigadores.
Un "integer overflow" se produce cuando una variable definida
como entera, sobrepasa los valores asignados.

"El WebViewFolderIcon ActiveX Control, es solamente el más
probable de los vectores de ataque para ésta vulnerabilidad,"
dijo Alex Sotirov de la compañía Determina en la lista de
correo Full Disclosure.

Dos grupos criminales, por separado, comenzaron a atacar a
los usuarios utilizando los motores de búsqueda, a través de
sitios Web y campañas de spam. Implementan disimuladamente
una etiqueta HTML maliciosa (iFrame), en el sitio, desviando
al usuario a un servidor con el exploit y controlado por
ellos para ejecutar códigos de forma remota.

Estos servidores procuran implantar varios códigos maliciosos
en los sistemas de los usuarios, incluyendo versiones del
conocido spyware CoolWebSearch, que es notoriamente difícil
de quitar, según el SANS.

"Estos individuos tienen una red enorme de señuelos que
atraen el tráfico desde adentro de los motores de búsqueda
legítimos," dice Roger Thompson, principal oficial técnico de
Exploit Prevention Labs.

"Éste es el mismo grupo que descubrimos detrás del exploit
del WMF (Windows Meta File), en diciembre de 2005. A la fecha
de esta alarma tenemos más de 600 sitios activos que tienen
IFRAME con código efectivo en ellos. Esto no significa que
todos los sitios tengan el código reciente de este Zero Day
[exploit "día cero"], pero significa que ellos son un peligro
potencial, porque principalmente señalan a los servidores que
podrían ser utilizados para ello," alerta el Websense
Security Labs.

Los expertos en seguridad dijeron que la escalada de ataques
de este fin de semana utilizando el método del "setslice()",
se debió a la utilización de diversos defectos del IE,
también sin emparchar en ese entonces. Microsoft publicó un
remiendo de emergencia para una de esas vulnerabilidades
(VML), la semana pasada, pero no todos lo han aplicado.

Microsoft está enterado de este nuevo problema, y el
remiendo sería parte del ciclo regular de actualizaciones de
seguridad de la compañía este 10 de octubre. Mientras tanto,
la compañía recomienda a los usuarios configurar los "kill
bits" que inhabilitan el control.

Al menos dos parches no oficiales han sido publicados, pero
los expertos no aconsejan su instalación.

El siguiente artículo de VSAntivirus.com, explica como
configurar los "kill bits" que desactivan el objeto ActiveX
involucrado con esta vulnerabilidad:

Vulnerabilidad crítica en Windows (WebViewFolderIcon)
http://www.vsantivirus.com/vul-wind...280906.htm


* Más información:

Vulnerabilidad crítica y parches de terceros
http://www.enciclopediavirus.com/no...a.php?idg9


* Relacionados:

MS06-055 Ejecución de código en IE (VML) (925486)
http://www.vsantivirus.com/vulms06-055.htm

Explicación de códigos de alertas
http://www.vsantivirus.com/codigos-alertas.htm

Gangs exploit another unpatched Windows bug
http://www.techworld.com/news/index.cfm?newsIDp05

Crime Rings Target IE 'SetSlice' Flaw; ZProtector Released
http://www.eweek.com/article2/0,189...805,00.asp

Cybercrooks add Windows flaw to
arsenal
http://news.com.com/Cybercrooks+add...21584.html

Malicious Web Site / Malicious Code:
WebView FolderIcon setSlice Vulnerability
http://www.websense.com/securitylab...?AlertIDd4


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com









Luis Montenegro
Ingeniero Civil Electrónico
Windows - Security MVP 2007
Consejo de Alumnos ALSI
Comunidad Chilena InfoClan http://www.infoclan.cl - Director
Teléfono: +56(33)314603
Móvil: +56(9)3774097
Messenger:
Blog: http://luismontenegro.spaces.live.com/

Preguntas similares