Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
 

Busque su tema:

VSantivirus  Internet
Proporcionado por FreeFind

Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Galería
Chat

       

Cibercriminales explotan fallo en Windows
 
VSantivirus No 2260 Año 10, miércoles 4 de octubre de 2006

Cibercriminales explotan fallo en Windows
http://www.vsantivirus.com/na-04-10-06.htm

Por Nela Adans
nela@videosoft.net.uy


El fallo, empezó a ser explotado la pasada semana, casi enseguida que Microsoft publicara un importante parche para otra vulnerabilidad crítica. El problema se encuentra en un componente central de Windows, utilizado por muchos programas. Microsoft anunció un parche para el próximo martes.

El Internet Storm Center del SANS Institute, fijó su nivel de alerta en "Amarillo" sobre el fin de semana pasado, mientras los piratas informáticos aumentaban los ataques a través del navegador Internet Explorer, aprovechando este fallo de la seguridad.

El lunes, lo regresaron a "Verde", aclarando que "no significa que el peligro haya pasado, el riesgo sigue siendo alto hasta que se remienden las vulnerabilidades, porque sabemos que hay muchas variantes del exploit. Existen incluso módulos de Metasploit [un entorno de desarrollo de exploits] lanzados sobre el fin de semana, así que no se necesita mucho talento a este punto para crear un nuevo exploit."

En VSAntivirus.com, hemos subido el nivel de alerta a "Naranja", y así se mantendrá mientras los ataques sigan existiendo, y no se haya publicado el parche oficial. El nivel NARANJA se establece cuando "es inminente o en progreso la ejecución de alguna rutina destructiva de algún gusano, o la propagación masiva de una nueva amenaza que requiere su mayor atención (aprovechando alguna nueva vulnerabilidad no corregida, etc.)." (Ver "Explicación de códigos de alertas", http://www.vsantivirus.com/codigos-alertas.htm).

El investigador de seguridad H.D. Moore, hizo público éste problema de seguridad de Windows en julio, pero en ese momento él solamente divulgó que podría ser utilizado para cerrar el navegador (denegación de servicio).

La semana pasada, lanzó un código como prueba de concepto (PoF, Proof-of-Concept), que demostraba cómo un bug en el método "setslice ()" en el control ActiveX "WebViewFolderIcon" del IE, podría ser utilizado para ejecutar códigos maliciosos en el sistema de un usuario.

La raíz del problema está en un "desbordamiento de entero" (integer overflow), en un componente central de Windows llamado COMCTL32.DLL (Common Controls Library), que es utilizado por muchos programas, han dicho los investigadores. Un "integer overflow" se produce cuando una variable definida como entera, sobrepasa los valores asignados.

"El WebViewFolderIcon ActiveX Control, es solamente el más probable de los vectores de ataque para ésta vulnerabilidad," dijo Alex Sotirov de la compañía Determina en la lista de correo Full Disclosure.

Dos grupos criminales, por separado, comenzaron a atacar a los usuarios utilizando los motores de búsqueda, a través de sitios Web y campañas de spam. Implementan disimuladamente una etiqueta HTML maliciosa (iFrame), en el sitio, desviando al usuario a un servidor con el exploit y controlado por ellos para ejecutar códigos de forma remota.

Estos servidores procuran implantar varios códigos maliciosos en los sistemas de los usuarios, incluyendo versiones del conocido spyware CoolWebSearch, que es notoriamente difícil de quitar, según el SANS.

"Estos individuos tienen una red enorme de señuelos que atraen el tráfico desde adentro de los motores de búsqueda legítimos," dice Roger Thompson, principal oficial técnico de Exploit Prevention Labs.

"Éste es el mismo grupo que descubrimos detrás del exploit del WMF (Windows Meta File), en diciembre de 2005. A la fecha de esta alarma tenemos más de 600 sitios activos que tienen IFRAME con código efectivo en ellos. Esto no significa que todos los sitios tengan el código reciente de este Zero Day [exploit "día cero"], pero significa que ellos son un peligro potencial, porque principalmente señalan a los servidores que podrían ser utilizados para ello," alerta el Websense Security Labs.

Los expertos en seguridad dijeron que la escalada de ataques de este fin de semana utilizando el método del "setslice()", se debió a la utilización de diversos defectos del IE, también sin emparchar en ese entonces. Microsoft publicó un remiendo de emergencia para una de esas vulnerabilidades (VML), la semana pasada, pero no todos lo han aplicado.


Más información:

MS06-057 Vulnerabilidad en WebViewFolderIcon (923191)
http://www.vsantivirus.com/vulms06-057.htm

Vulnerabilidad crítica y parches de terceros
http://www.enciclopediavirus.com/noticias/verNoticia.php?id=679


Relacionados:

Exploit.IESlice. Detección de exploit "setslice()"
http://www.vsantivirus.com/exploit-ieslice.htm

MS06-055 Ejecución de código en IE (VML) (925486)
http://www.vsantivirus.com/vulms06-055.htm

Explicación de códigos de alertas
http://www.vsantivirus.com/codigos-alertas.htm

Gangs exploit another unpatched Windows bug
http://www.techworld.com/news/index.cfm?newsID=7005

Crime Rings Target IE 'SetSlice' Flaw; ZProtector Released
http://www.eweek.com/article2/0,1895,2022805,00.asp

Cybercrooks add Windows flaw to arsenal
http://news.com.com/Cybercrooks+add+Windows+flaw+to+arsenal/2100-7349_3-6121584.html

Malicious Web Site / Malicious Code:
WebView FolderIcon setSlice Vulnerability 
http://www.websense.com/securitylabs/alerts/alert.php?AlertID=644



[Última modificación: 10/10/06 20:32 -0200 ]



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2006 Video Soft BBS