Bugs y Exploits

Este mes de abril de 2004 ha sido especialmente crítico en vulnerabilidades y ataques y por tanto, potencialmente nefasto para la seguridad informática. El voluminoso parche de seguridad que Microsoft lanzó el día trece, las herramientas que facilitaban la explotación de problemas de routers Cisco, y la omnipresencia y persistencia de NetSky, son sólo una muestra de las amenazas que han protagonizado estos últimos treinta días.

29-04-2004 - El pasado martes día trece de abril, Microsoft publicaba cuatro nuevos boletines de seguridad (MS04-011, MS04-012, MS04-013, MS04-014) donde los tres primeros eran calificados como críticos y que afectaban a prácticamente todas las versiones y variantes de su sistema operativo Windows, desde 98 a 2003 edición 64 bits. En total, más de veinte nuevas vulnerabilidades, la inmensa mayoría críticas que permiten la ejecución de código remoto y por tanto, obtener el control de la máquina afectada.

Se sabe que código automático capaz de aprovechar dos de esas vulnerabilidades ha sido hecho público en Internet. Si bien el proceso no ha sido automatizado por completo en forma de gusano, la vulnerabilidad está siendo efectivamente explotada gracias al uso "manual" del exploit. En el momento en el que el código sea inscrito en el cuerpo de un gusano de gran propagación, el problema puede ser realmente grave para todos. Muchos esperan un nuevo y más agresivo "Blaster" muy pronto.

A principios de mes, conocimos que un grupo de quinceañeros italianos que se hace llamar "Black Angels" se adjudicó la programación de la herramienta múltiple "Cisco Global Exploiter", un conjunto de exploits que permite atacar desde switches Catalyst hasta el mismísimo sistema operativo de la compañía Cisco llamado Internetwork Operating System (IOS). La mayoría de las vulnerabilidades permitirían al atacante detener el funcionamiento de la víctima, provocando una denegación de servicio que inhabilitará el dispositivo hasta que vuelva a ser iniciado. Sin embargo, al menos uno de los problemas de seguridad que podrían ser aprovechados permite ganar acceso libre y total al sistema, con lo que los atacantes podrían robar información confidencial o acometer ofensivas aún más elaboradas de forma totalmente automatizada.

NetSky, por su parte, lleva liderando la tabla de los virus más activos y mutantes desde enero. Si anunciábamos hace pocas semanas que NetSky se posicionaba como tercer virus más extendido de la historia en España, hoy podemos afirmar que también ostenta el título del virus con más versiones conocidas. Hoy por hoy, ha llegado a su versión AB, lo que significa que le han precedido casi treinta variantes diferentes en tres meses.

Si unimos esto a los últimos y graves problemas de seguridad de otras plataformas como Sun, el verdadero problema para los administradores de sistemas este mes no ha sido tanto enfrentarse a las nuevas amenazas, como un empacho de información crítica que cuesta digerir y analizar.

Más información y referencias:

April alerts arrive in record numbers
http://searchsecurity.techtarget.com/originalContent/ 0,289142,sid14_gci961516,00.html

Windows hacks available on the net
http://software.silicon.com/security/0,39024655,39120339,00.htm

NetSky vuelve a superarse
http://www.forzis.com/news/noticias.php?cod_noticia=114

Exploits para los nuevos fallos de Microsoft
http://www.forzis.com/news/noticias.php?cod_noticia=113

Código para atacar a Cisco
http://www.forzis.com/news/noticias.php?cod_noticia=109

Sergio de los Santos
http://www.forzis.com