Video: Optimizando nuestro sistema de riego tecnificado – Parte 3: Bomba (Noviembre 2024)
Los atacantes están explotando vulnerabilidades graves en Internet Explorer en un ataque a un pozo de agua, advirtieron investigadores de la firma de seguridad FireEye. Los usuarios engañados para acceder al sitio web infectado son golpeados con malware que infecta la memoria de la computadora en un ataque clásico.
Los atacantes han incorporado el código malicioso que explota al menos dos fallas de día cero en Internet Explorer en "un sitio web estratégicamente importante, conocido por atraer visitantes que probablemente estén interesados en la política de seguridad nacional e internacional", dijo FireEye en su análisis la semana pasada. FireEye no identificó el sitio más allá del hecho de que estaba basado en los Estados Unidos.
"El exploit aprovecha una nueva vulnerabilidad de fuga de información y una vulnerabilidad de acceso a la memoria fuera de los límites de IE para lograr la ejecución del código", escribieron los investigadores de FireEye. "Es una vulnerabilidad que se explota de varias maneras diferentes".
Las vulnerabilidades están presentes en Internet Explorer 7, 8, 9 y 10, que se ejecutan en Windows XP o Windows 7. Si bien el ataque actual se dirige a la versión en inglés de Internet Explorer 7 y 8 que se ejecuta tanto en Windows XP como en Windows 8, la vulnerabilidad podría se cambiará para apuntar a otras versiones e idiomas, dijo FireEye.
APT inusualmente sofisticado
FireEye dijo que esta campaña avanzada de amenaza persistente (APT) está utilizando algunos de los mismos servidores de comando y control que los utilizados en los ataques APT anteriores contra objetivos japoneses y chinos, conocidos como Operation DeputyDog. FireEye descubrió que este APT es inusualmente sofisticado porque distribuye una carga útil maliciosa que se ejecuta únicamente en la memoria de la computadora. Como no se escribe en el disco, es mucho más difícil de detectar o encontrar evidencia forense en máquinas infectadas.
"Al utilizar compromisos web estratégicos junto con tácticas de entrega de carga útil en memoria y múltiples métodos anidados de ofuscación, esta campaña ha demostrado ser excepcionalmente lograda y esquiva", dijo FireEye.
Sin embargo, dado que el malware sin disco reside completamente en la memoria, simplemente reiniciar la máquina parece eliminar la infección. Los atacantes no parecen estar preocupados por ser persistentes, lo que sugiere que los atacantes están "seguros de que sus objetivos previstos simplemente volverían a visitar el sitio web comprometido y se volverían a infectar", escribieron los investigadores de FireEye.
También significa que los atacantes se están moviendo muy rápido, ya que necesitan moverse a través de la red para alcanzar otros objetivos o encontrar la información que buscan antes de que el usuario reinicie la máquina y elimine la infección. "Una vez que el atacante ingresa y aumenta los privilegios, puede desplegar muchos otros métodos para establecer la persistencia", dijo Ken Westin, investigador de seguridad de Tripwire.
Los investigadores de la empresa de seguridad Triumfant han afirmado un aumento en el malware sin disco y se refieren a estos ataques como Amenazas volátiles avanzadas (AVT).
No relacionado con la falla de la oficina
La última vulnerabilidad de día cero de Internet Explorer viene inmediatamente después de una falla crítica en Microsoft Office que también se informó la semana pasada. La falla en cómo Microsoft Windows y Office acceden a las imágenes TIFF no está relacionada con este error de Internet Explorer. Si bien los atacantes ya están explotando el error de Office, la mayoría de los objetivos se encuentran actualmente en Oriente Medio y Asia. Se alienta a los usuarios a instalar el FixIt, que limita la capacidad de la computadora para abrir gráficos, mientras esperan un parche permanente.
FireEye ha notificado a Microsoft sobre la vulnerabilidad, pero Microsoft aún no ha hecho comentarios públicos sobre la falla. Es tremendamente improbable que este error se solucione a tiempo para el lanzamiento de Patch Tuesday de mañana.
La última versión de Microsoft EMET, Enhanced Mitigation Experience Toolkit, bloquea con éxito los ataques dirigidos a las vulnerabilidades de IE, así como a Office. Las organizaciones deberían considerar instalar EMET. Los usuarios también pueden considerar actualizar a la versión 11 de Internet Explorer, o usar navegadores que no sean Internet Explorer hasta que se solucione el error.
Problemas de XP
Esta última campaña de abrevaderos también destaca cómo los atacantes están apuntando a los usuarios de Windows XP. Microsoft ha recordado repetidamente a los usuarios que dejará de proporcionar actualizaciones de seguridad para Windows XP después de abril de 2014, y los usuarios deben actualizar a versiones más recientes del sistema operativo. Los investigadores de seguridad creen que muchos atacantes se encuentran en cachés de vulnerabilidades de XP y creen que habrá una ola de ataques dirigidos a Windows XP después de que Microsoft finalice el soporte para el viejo sistema operativo.
"No se demore: actualice de Windows XP a otra cosa tan pronto como sea posible si valora su seguridad", escribió Graham Cluley, un investigador de seguridad independiente, en su blog.
