Habemus malware para MS06-040


En la madrugada del sábado 12/08 a domingo 13/08, antes de que acabe esta segunda semana de mes (la oficial de Microsoft para publicar parches de actualización) ya se han detectado ejemplares de malware que explotan una de las vulnerabilidades solventadas por estos.





El pasado martes, y dentro del marco de su famosa política de publicación mensual de parches, Microsoft publicó una larga lista de boletines que solventaban una lista aún mayor de vulnerabilidades, muchas de ellas clasificadas como críticas. Entre estos boletines nos encontrábamos con uno que, con solo echar un vistazo al contenido, clamaba a gritos ser convertido en vector de ataque para malware: MS06-040.

Este boletín describe una vulnerabilidad en el servicio Server utilizado en los sistemas 2000, XP y 2003. Afectaba a todos ellos, incluso en el caso de XP con su Service Pack 2 instalado, o 2003 con el SP1. Microsoft clasificó la gravedad del impacto sobre todas estas plataformas como crítica, por lo que puede dar a priori una idea de la peligrosidad del asunto.

El servicio Server ofrece un interface RPC (Remote Procedure Call: llamadas a procedimientos remotos) para soporte de impresión de archivos y compartición de pipes con nombre en entornos de red. El problema en sí se debe a un desbordamiento de buffer dentro de este servicio, que en principio podía ser explotado para provocar denegaciones de servicio o incluso para provocar la ejecución remota de código arbitrario.

El propio boletín de Microsoft ya avisaba sobre la especial propensión a sufrir este ataque por parte de plataformas Windows 2000, debido a la naturaleza en sí de la vulnerabilidad. No han pasado más que unos días para ver hecho realidad lo que todos temíamos: ya hay confirmación de la existencia de malware en la red que hace uso de la vulnerabilidad descrita para infectar sistemas afectados.

Ha sido Swa Frantzen, handler del Internet Storm Center de SANS, el encargado de avisar de la presencia de este malware que, en esta ocasión, viene en forma de bot que de momento se ha visto con el nombre 'wgareg.exe' y con un valor hash md5 de 9928a1e6601cf00d0b7826d13fb556f0.

Frantzen utilizó nuestro servicio VirusTotal para comprobar que tal se estaban portando las soluciones antivirus para detectar esta amenaza. Tras enviarlo al servicio, comprobó que sólo 9 de los 27 motores incluidos en el servicio eran capaces de detectarlo, y todos ellos mediante heurísticas.

No hay que confiarse de todas formas sobre este perfil, ya que la gente de LURHQ ha comentado que han detectado la existencia de una variante diferente, con nombre 'wgavm.exe' y valor hash md5 de 2bf2a4f0bdac42f4d6f8a062a7206797 que también está haciendo de las suyas. Dado que usa los mismos servidores de control que el anteriormente nombrado, se sospecha que esta otra variante es una versión precursora de la detectada con nombre 'wgareg.exe'.

Este malware está diseñado para formar parte de una red de bots de los utilizados para, por ejemplo, realizar ataques de denegación de servicio distribuidas (DDoS). Se cree que es una evolución de Mocbot, ejemplar que apareció a finales del año pasado y que explotaba la vulnerabilidad del servicio PNP descrita en el boletín MS05-039. Esta nueva versión es controlada también desde servidores IRC localizados en China. Al igual que los profesionales del Phishing, los creadores de este ejemplar de malware aprovechan la falta de cooperación de las entidades de dicho país a la hora de actuar contra sitios que hospedan contenido malicioso.

No podemos dejar de remarcar la importancia de mantener los sistemas parcheados de forma adecuada, no sólo como protección puntual contra este tipo de amenazas, sino como algo que debe formar parte de las buenas prácticas de seguridad en cualquier entorno corporativo o casero. Los creadores de malware aprovechan la desidia de los administradores y usuarios a la hora de aplicar esta regla para infectar decenas de miles de ordenadores con sus creaciones.

Es muy importante también aplicar una política de defensa en profundidad a la hora de utilizar tecnologías antivirus en entornos corporativos. La planificación y aplicación de políticas y procedimientos sólidos y coherentes con cada entorno particular es uno de los puntos importantes que destacamos durante nuestras actividades de auditoría y consultoría en este campo. Es recomendable, por ejemplo, el uso de al menos dos soluciones antivirus de casas diferentes para complementar las capacidades de ambas y así minimizar en lo posible el riesgo de una infección dentro de las redes.

Para luchar contra esta amenaza en concreto, también existen firmas de SNORT que detectarían la presencia de la amenaza en entornos infectados. Hay ya unas escritas y disponibles para su uso, y que pueden ser encontradas en el enlace que incluimos al pie de este una-al-día, concretamente en el aviso de LURHQ.

Más información:
- ----------

Vulnerability in Server Service Could Allow Remote Code Execution (921883)
http://www.microsoft.com/technet/security/Bulletin/MS06-040.mspx

MS06-040 exploit in the wild
http://isc.sans.org/diary.php?storyid=1592

Mocbot/MS06-040 IRC Bot Analysis
http://www.lurhq.com/mocbot-ms06040.html

Microsoft Security Advisory (922437): Exploit Code Published Affecting the Server Service
http://www.microsoft.com/technet/security/advisory/922437.mspx

VirusTotal
http://www.virustotal.com

Wikipedia: Botnets
http://es.wikipedia.org/wiki/Botnet

Fuente:
Julio Canto
hispasec.com



Otras noticias de interés:

Exploit permite manipular contraseñas de Playstation Network
Un nuevo exploit asalta los servicios online de Sony y permite alterar la contraseña de un jugador con tan solo conocer su dirección de correo electrónico y su fecha de nacimiento. El sitio Myleveia ha destapado este error del que podrían sacar p...
Ocho fabricantes se alían para llevar Linux al mercado de electrónica de consumo
En un movimiento que podría acercar Linux a las masas, seis grandes fabricantes de electrónica han formado una alianza para promover el desarrollo del sistema de código abierto para dispositivos digitales de audio, vídeo y telefonía móvil. Este...
Instalaciones y Charlas para el Flisol 2014 Valencia - Carabobo
Lleva tu laptop o Pc de escritorio para que pruebes las siguientes distribuciones Linux...
Curso Nivel II DE PHP en Caracas
Fecha: 28/04/07 Hora: 8:00am Duración: 16 horas. Cupos disponibles: 30. ...
Hackers, crackers, seguridad y libertad
El filósofo Pekka Himanen argumenta convincentemente que la cultura hacker es la matriz cultural de la era de la información, tal y como la ética protestante fue el sistema de valores que coadyuvó decisivamente al desarrollo del capitalismo.…...
Gestión de contraseñas
En la Sociedad de la Información actual, las contraseñas son el primer nivel para proteger el acceso a diferentes recursos personales, tanto los alojados en redes locales como online. Por ello, también son un objetivo deseado por los atacantes, qu...
Virus, antivirus, y sensacionalismo mediático
A lo largo de la historia los creadores de virus han explotado los temas de máxima actualidad en sus especímenes, bien como reclamo para llamar la atención de los usuarios y conseguir así mayor número de infecciones, bien para aumentar las proba...
Error en proceso de MIME productos Microsoft
Procesar S/MIME en Microsoft Office, Outlook y Live Mail podría provocar el acceso a URLs arbitrarias, se ha encontrado una vulnerabilidad provocada por un fallo de diseño a la hora de procesar el cifrado S/MIME en Microsoft Office, Outlook y Windo...
Microsoft confirma errores en el parche MS04-039
Microsoft ha confirmado la existencia de errores en la actualización de noviembre de sus parches (MS04-039). Este parche soluciona una vulnerabilidad en Microsoft Proxy Server 2.0 y Microsoft Internet Security and Acceleration (ISA) Server 2000. L...
Hotmail no detecta el virus Ganda
Los usuarios reciben la notificación corriente de que el anexo no contiene virus. Sin embargo, al descargarlo se constata que contiene el código maligno Ganda. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • habemus
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • malware
  • micros
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra