Todas las amenazas

Virus

Hackers

Spam

Todo el sitio    Sólo virus
  
Enciclopedia de virus
Alertas
Análisis
Noticias
Glosario
Bitácora

 
Archivo

<< 2014  
ene feb mar
abr may jun
jul ago sep
     
Sobre los autores de la bitácora del analista antivirus
About Diary's Authors

La bitácora del analista antivirus es un weblog mantenido por los analistas antivirus de Kaspersky Lab, encabezado por Eugene Kaspersky. Lea más sobre los autores de esta bitácora

 

  Home / Bitácora

Bitácora del analista antivirus

Distribución masiva del exploit “del día cero” de Java


  Kurt Baumgartner       11 enero 2013 | 23:07  MSK

Comentar  

Sólo una nota rápida: acaba de terminar la segunda semana de enero, pero 2013 ya nos ha traído la primera distribución masiva de un exploit "del día cero" de Java.

Parece que hay muchas redes de anuncios publicitarios que redirigen a sitios de Blackhole, ahondando el problema de la explotación masiva. Hemos visto anuncios en sitios legítimos, en especial en el Reino Unido, Brasil y Rusia, que dirigen a dominios que alojan la versión de Blackhole que está instalando el exploit "del día cero" de Java. Entre ellos hay sitios con información sobre el clima, de noticias y, por supuesto, sitios para adultos. Algunos archivos ofuscados se están descargando en los sistemas de las víctimas con nombres como Stretch.jar, Edit.jar, UTTER-OFFEND.JAR y más. A primera vista, parece que la primera aparición de la prevención del exploit en nuestra comunidad Kaspersky Security Network se dio el 6 de enero. Pero, al hacer un análisis retrospectivo, encontramos ejemplares que datan de mediados de diciembre. Así que hemos estado bloqueando esta vulnerabilidad en particular por bastante tiempo. Por ahora, parece que el primer caso en el mundo real que se dio del archivo del jar de esta vulnerabilidad es 7550ce423b2981ad5d3aaa5691832aa6. Los nombres de los archivos de clases siguen iguales por ahora. Sería interesante ver un ejemplar anterior.

Los usuarios de Kaspersky no deben preocuparse, ya que nuestro sistema de prevención automática de exploits (AEP) previene los exploits de esta vulnerabilidad de forma genérica. Sorprendentemente, aunque parece que no hay un nivel alto de ofuscación polimórfica del lado del servidor en los archivos de clase en sí, los archivos exploit alojados se están actualizando y cambiando desde ayer. Los desarrolladores y operadores de Blackhole se esforzaron mucho en cambiar los nombres de dominio.
Actualización (10.01.2013 3:30 p.m. MT): los desarrolladores de Metasploit han agregado un módulo de exploits que tiene esta vulnerabilidad como blanco (CVE-2013-0422).

Bueno, se acabaron los secretos. La amenaza del día cero no sólo estaba circulando en los paquetes de exploits más predominantes como Blackhole, Nuclear y Red Kit, todos están armados también con la versión metaploit. Aquí hay un poco más de información al respecto: los nombres de archivo del exploit cuando se lanzaron y después fueron prevenidos por nuestro AEP el 17 de diciembre (hora de Moscú), incluían ewjvaiwebvhtuai124a.class, hw.class, y test.class. Esto es interesante porque los anteriores exploits de Java en Blackhole sólo distribuían mac.class, hw.class y test.class en sus archivos comprimidos jar. Así que fue un cambio simple que seguro querían que pasara desapercibido. También es interesante que el primer sistema conocido que ejecutó el exploit recuperó el malcode con un navegador Firefox, lo que demuestra la solidez de los exploits de Java. Además, en diciembre de 2012, la vulnerabilidad del día cero se usó para distribuir el malware TDSS y ZeroAccess.

Este gráfico muestra nuestras detecciones de la vulnerabilidad del día cero de Java desde finales de diciembre hasta principios de enero de 2013. Fíjate en el salto que hay el 9 de enero. ¡Es maravilloso comprobar que nuestra tecnología está funcionando!:

Para aquellos que necesiten ver nuestras detecciones en virustotal para creer que “AV” previene una amenaza, también deberían buscar HEUR:Exploit.Java.CVE-2013-0422.gen, Exploit.Java.Agent.ic, Exploit.Java.Agent.id, Exploit.Java.Agent.ie, Exploit.Java.Agent.if y otras para realizar los análisis. Este es un mapa actualizado de las detecciones de HEUR:Exploit.Java.CVE-2013-0422.gen que muestra que el exploit ya se ha expandido hasta llegar a los miles. El mapa incluye información obtenida entre el 6 y el 11 de enero:

Uno de los encargados del ISC Storm Center presentó en una edición reciente de SANS NewsBites una de las mejores declaraciones que he visto en relación a la tan poco práctica actitud de "sólo desinstálalo": “Nota del editor ([Mat] Honan): Parece que cada vez que aparece un exploit del día cero en un programa, ya sea Java o cualquier otro, la industria recomienda a la gente que deje de utilizarlo. Siempre se descubrirán nuevas vulnerabilidades en los programas que utilizamos. Si nuestra mejor defensa contra una amenaza es causar una negación de servicio contra nosotros mismos, ésta es una estrategia sin ganadores para nosotros como industria. Necesitamos encontrar mejores formas de defender nuestros sistemas y datos, un buen lugar para comenzar son los 20 Controles de Seguridad Críticos http://www.sans.org/critical-security-controls/".

¡Brindo por eso!

 

Copyright © 1996 - 2014
Kaspersky Lab
Todos los derechos reservados

Correo electrónico: webmaster@viruslist.com