Forum: HispaMSX BBS

=?iso-8859-1?q?una-al-dia_=2812/01/2009=29_El_gusano_Conficker_consigue

From noticias@hispasec.com@2:341/201.99 to All on Tue Jan 13 18:15:02 2009

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA1

-------------------------------------------------------------------
Hispasec - una-al-d�a 12/01/2009
Todos los d�as una noticia de seguridad www.hispasec.com
-------------------------------------------------------------------

El gusano Conficker consigue niveles aceptables de infecci�n,
al fin y al cabo
-------------------------------------------------------------

En octubre, cuando Microsoft public� su bolet�n MS08-067, se daba por
hecho que aparecer�a un gusano capaz de aprovechar la vulnerabilidad,
dadas sus caracter�sticas. No se apostaba por una infecci�n masiva
(tipo Blaster) aunque finalmente parece que est� causando m�s da�o
del esperado, quiz�s gracias a un cambio de estrategia combinada que
le est� sirviendo como una eficaz v�a de propagaci�n.

El d�a 23 de octubre Microsoft public� un parche fuera de su ciclo
habitual, de car�cter cr�tico, en el que se solucionaba un problema
de seguridad en el servicio Server de las distintas versiones del
sistema operativo Windows. El exploit era p�blico un d�a despu�s.
La vulnerabilidad se volv�a "ideal" para ser aprovechada por un gusano
tipo Blaster (la pesadilla del verano de 2003). En Hispasec apostamos
a que no se alcanzar�a ese grado de epidemia por muchas razones. La
m�s poderosa es la existencia de cortafuegos activo por defecto en
los Windows m�s modernos, que impide que el gusano tenga acceso al
servicio vulnerable.

Tambi�n advert�amos que "el fallo puede ser m�s grave en empresas.
Si un sistema se infecta con un gusano que aproveche esta �ltima vulnerabilidad, es muy probable que pueda acceder a los puertos de otros ordenadores de la misma red sin que se vea bloqueado por cortafuegos.
Sobre todo si la red no est� convenientemente segmentada". Finalmente
s� que est� consiguiendo cierto grado de infecci�n (m�s del que
esper�bamos) en redes internas y fuera de ellas, en parte porque no
s�lo se est� esparciendo accediendo al servicio vulnerable sino tambi�n
a trav�s de memorias USB.

Desde diciembre, el gusano adopta una nueva estrategia de infecci�n,
copi�ndose en las unidades mapeadas en el sistema y, sobre todo, en los dispositivos extra�bles (memorias USB, b�sicamente). Ah�, aprovecha el
arranque autom�tico para poder ejecutarse en la siguiente v�ctima. Con
este doble enfoque, consigue dar el salto desde las redes internas desprotegidas (donde aparentemente tiene m�s posibilidades de
propagarse) hacia cualquier otro sistema externo, y esparcirse as� en
redes en principio "a salvo" gracias al cortafuegos (su verdadero
enemigo).

Aunque existe parche disponible desde antes de su aparici�n y el grueso
de los antivirus lo detectan, en las �ltimas semanas est� siendo una
molestia para muchas empresas y organizaciones con redes mal
configuradas. Uno de los "s�ntomas" que se pueden sufrir es que de
repente algunas cuentas de dominio aparezcan deshabilitadas. El gusano
fuerza por diccionario el recurso compartido ADMIN$ para acceder y
copiarse en �l. Esto provoca que como medida preventiva el usuario quede bloqueado.

Lo curioso es que estos m�todos de infecci�n se consideran obsoletos.
Con la aparici�n del cortafuegos por defecto en Windows los gusanos "de
toda la vida" quedaron olvidados. Igualmente, con la desaparici�n del
disquete y la mejora de la seguridad de los clientes de correo, la
infecci�n se ha trasladado durante mucho tiempo hacia el navegador. Las memorias USB han hecho resurgir una t�cnica de infecci�n "tradicional"
en la que el gusano se copia a s� mismo en la memoria y espera a ser introducido en otro ordenador. Conficker consigue as�, combinando dos
"viejas" t�cnicas usadas desde hace a�os, un �xito relativo.

Decimos �xito "relativo" porque si bien est� siendo molesto para muchos administradores, las cifras tampoco resultan espectaculares. Aunque los
datos no deben ser tratados como definitivos y haya que tomarlos con precauci�n, en VirusTotal hemos recibido unas 2.500 muestras de archivos calificados como Cockflicker o Downadup desde finales de noviembre. De
otras amenazas m�s sofisticadas como por ejemplo Zbot, que s� deben ser consideradas como peligrosas epidemias, hemos recibido casi 8.000 en el
mismo periodo.

Opina sobre esta noticia:
http://www.hispasec.com/unaaldia/3733/comentar

M�s informaci�n:

27/05/2008 Virus y promiscuidad. Del disquete al USB http://www.hispasec.com/unaaldia/3503

24/10/2008 �ltimo parche de Microsoft: �Sufriremos otro Blaster?... No. http://www.hispasec.com/unaaldia/3653

Downadup / Conficker - MS08-067 exploit and Windows domain account lockout http://isc.sans.org/diary.php?storyid=5671

Sergio de los Santos
ssantos@hispasec.com

Tal d�a como hoy:
-----------------

12/01/2008: Ejecuci�n remota de c�digo a trav�s de OVTrace en productos HP OpenView
http://www.hispasec.com/unaaldia/3367

12/01/2007: Oracle sigue el modelo Microsoft y notifica con antelaci�n sus parches
http://www.hispasec.com/unaaldia/3002

12/01/2006: �ltimas vulnerabilidades en m�dulos de Apache
http://www.hispasec.com/unaaldia/2637

12/01/2005: Vulnerabilidad en los kernel Linux
http://www.hispasec.com/unaaldia/2272

12/01/2004: Vulnerabilidad en autenticaci�n de Cisco Personal Assistant
http://www.hispasec.com/unaaldia/1905

12/01/2003: Denegaci�n de servicio en routers Speedstream serie 5800
http://www.hispasec.com/unaaldia/1540

12/01/2002: Error de dise�o en el plugin para Outlook de PGP 7.0
http://www.hispasec.com/unaaldia/1175

12/01/2001: Los hackers avisan contra la "Nueva Econom�a", desde Berl�n
http://www.hispasec.com/unaaldia/810

12/01/2000: Escalada de privilegios en Windows NT
http://www.hispasec.com/unaaldia/442

12/01/1999: Ataque DoS para el IIS 3 y 4.0
http://www.hispasec.com/unaaldia/77

-------------------------------------------------------------------
Claves PGP en http://www.hispasec.com/directorio/hispasec
-------------------------------------------------------------------
Bajas: mailto:unaaldia-request@hispasec.com?subject=unsubscribe
Altas: mailto:unaaldia-request@hispasec.com?subject=subscribe
-------------------------------------------------------------------
(c) 2009 Hispasec http://www.hispasec.com/copyright
-------------------------------------------------------------------

--- SoupGate-DOS v1.05
* Origin: Pasarela FTN-INet telnet://pucelabbs.dyndns.org:4000 (2:341/201.99)

Who's Online
Recent Visitors
- Guest
  from Polaris, Alpha Centauri via Telnet
- Volcanicsugar39
  from Coatzintla Veracruz Mexico via Telnet
- Guest
  from Amf via Telnet
- Guest
  from Eindhoven, Nl via Telnet

System Info

Sysop:	Karloch
Location:	Madrid, Spain
Users:	75
Nodes:	8 (0 / 8)
Uptime:	24:01:58
Calls:	1,495
Calls today:	2
Files:	17,895
D/L today:	428 files (15,368K bytes)
Messages:	65,841

=?iso-8859-1?q?una-al-dia_=2812/01/2009=29_El_gusano_Conficker_consigue

Who's Online

Recent Visitors

System Info