[HACK] Abril se convierte en un nefasto mes para la seguridad.

Thu Apr 29 12:47:34 CEST 2004

29/04/04

Sergio de los Santos
http://www.forzis.com

Este mes de abril de 2004 ha sido especialmente crítico en 
vulnerabilidades y ataques y por tanto, potencialmente nefasto para la 
seguridad informática. El voluminoso parche de seguridad  que Microsoft  
lanzó el día trece, las herramientas que facilitaban la explotación de 
problemas de routers Cisco, y la omnipresencia y persistencia de NetSky, 
son sólo una muestra de las amenazas que han protagonizado estos últimos 
treinta días.

El pasado martes día trece de abril, Microsoft publicaba cuatro nuevos 
boletines de seguridad (MS04-011, MS04-012, MS04-013, MS04-014) donde los 
tres primeros eran calificados como críticos y que afectaban a 
prácticamente todas las versiones y variantes de su sistema operativo 
Windows, desde 98 a 2003 edición 64 bits.  En total, más de veinte nuevas 
vulnerabilidades, la inmensa mayoría críticas que permiten la ejecución de 
código remoto y por tanto, obtener el control de la máquina afectada.

Se sabe que código automático capaz de aprovechar dos de esas 
vulnerabilidades ha sido hecho público en Internet. Si bien el proceso no 
ha sido automatizado por completo en forma de gusano, la vulnerabilidad 
está siendo efectivamente explotada gracias al uso "manual" del exploit. 
En el momento en el que el código sea inscrito en el cuerpo de un gusano 
de gran propagación, el problema puede ser realmente grave para todos. 
Muchos esperan un nuevo y más agresivo "Blaster" muy pronto.

A principios de mes, conocimos que un grupo de quinceañeros italianos que 
se hace llamar "Black Angels" se adjudicó la programación de la 
herramienta múltiple  "Cisco Global Exploiter", un conjunto de exploits 
que permite atacar desde switches Catalyst hasta el mismísimo sistema 
operativo de la compañía Cisco llamado Internetwork Operating System 
(IOS). La mayoría de las vulnerabilidades permitirían al atacante detener 
el funcionamiento de la víctima, provocando una denegación de servicio que 
inhabilitará el dispositivo hasta que vuelva a ser iniciado. Sin embargo, 
al menos uno de los problemas de seguridad que podrían ser aprovechados 
permite ganar acceso libre y total al sistema, con lo que los atacantes 
podrían robar información confidencial o acometer ofensivas aún más 
elaboradas de forma totalmente automatizada.

NetSky, por su parte, lleva liderando la tabla de los virus más activos y 
mutantes desde enero. Si anunciábamos hace pocas semanas que NetSky se 
posicionaba como tercer virus más extendido de la historia en España, hoy 
podemos afirmar que también ostenta el título del virus con más versiones 
conocidas. Hoy por hoy, ha llegado a su versión AB, lo que significa que 
le han precedido casi treinta variantes diferentes en tres meses.  	

Si unimos esto a los últimos y graves problemas de seguridad de otras 
plataformas como Sun, el verdadero problema para los administradores de 
sistemas este mes no ha sido tanto enfrentarse a las nuevas amenazas, como 
un empacho de información crítica que cuesta digerir y analizar.	

Más información y referencias:

April alerts arrive in record numbers	
http://searchsecurity.techtarget.com/originalContent/0,289142,sid14_gci961516,00.html

Windows hacks available on the net
http://software.silicon.com/security/0,39024655,39120339,00.htm

NetSky vuelve a superarse
http://www.forzis.com/news/noticias.php?cod_noticia=114

Exploits para los nuevos fallos de Microsoft
http://www.forzis.com/news/noticias.php?cod_noticia=113

Código para atacar a Cisco
http://www.forzis.com/news/noticias.php?cod_noticia=109