Top exploits 2011

Todos los años el laboratorio independiente, Virus Bulletin, celebra el evento más importante del año para la comunidad de investigadores de la industria antivirus, la Virus Bulletin Conference. En esta conferencia participan los principales investigadores de los laboratorios antivirus, entre ellos ESET, presentando las principales tendencias en lo que respecta al mundo del malware y cibercrimen.

Una de las charlas técnicas de gran importancia fue la dictada por Holly Stewart de Microsoft, ya que trató de los principales exploits del año 2011. A continuación hablaremos acerca de esta charla y los principales puntos expuestos. La manera más simple de diferenciar los distintos tipos de exploits es según la tecnología que utilicen, es decir, el medio que han vulnerado para así poder lograr su fin.

La explotación de las vulnerabilidades en Java han sido las más importantes en este año, esto es porque solo las 5 principales explotaciones de vulnerabilidades de Java representan un 89% del total de detecciones en los 5 primeros meses del corriente año. A continuación explicaremos los principales:

  • CVE-2010-0840: Se trata de un archivo malicioso de la clase de Java que explota una vulnerabilidad en el JRE (Java Runtime Enviroment). En caso de tener éxito en este proceso, puede generarse la descarga y ejecución de archivos sin que la víctima lo note. Adicionalmente, cabe remarcar, que se trata del exploit con más índice de detecciones en este año, llegando a más de 740000 equipos en el mes de Marzo.
  • CVE-2008-5353: Se trata de un exploit que utiliza una vulnerabilidad que afecta la versión 5, incluyendo la actualización 22, así como también la versión 6 y su actualización 10, de la Máquina Virtual de Java. La vulnerabilidad permite que un applet de java gane privilegios y posiblemente obtenga acceso sin restricciones al archivo hosts del sistema.

La explotación de vulnerabilidades en HTML/JS es difícil de contar debido a que muchos de ellos poseen la habilidad de ser ofuscado en los navegadores web. La mayoría de los estos exploits son genéricos y están relacionados con iframes y la utilización de JavaScript malicioso. A continuación enumeraremos los principales:

  • CVE-2010-0806: Se trata de un archive JavaScript diseñado para explotar la vulnerabilidad en el Internet Explorer 6 Service Pack 1 de Microsoft Windows 2000 Service Pack 4, y en el Internet Explorer 6 y 7.
  • Mult: Se trata de un JavaScript malicioso, el cual puede ser embebido en páginas web y documentos. Estos exploits provechan muchas vulnerabilidades.

En relación a los exploits para Sistemas Operativos, existen para todos ellos, como por ejemplo Windows, GNU/Linux, Andoid, etc. Por ejemplo están los exploits CplLnk, CVE-2010-1885 y Lotoor, los cuales forman un 94% del total de exploits creados para esta categoría, donde los dos primeros se tratan de amenazas programadas para Windows, mientras que la última fue desarrollada para los sistemas Android. A continuación desarrollaremos una breve explicación de cada uno de ellos:

  • CplLnk: Se trata de un exploit que aprovecha el cómo la Shell de Windows maneja los atajos de los archivos. Esta vulnerabilidad fue publicada gracias al análisis del gusano Stuxnet.
  • CVE-2010-1885: Este exploit afecta la Ayuda y el Centro de Soporte de Windows XP y Windows Server 2003. Al no tratarse de una divulgación coordinada, no era posible aún una actualización.
  • Lootor: Se trata de un exploit creado especialmente para Android. Este explota el Sistema Operativo para ganar privilegios de root , lo que ocasiona que un atacante pueda poseer privilegios de administrador por sobre el dispositivo de manera remota.

En relación a la explotación de Documentos, estos se encuentran ocultos, en su gran mayoría, en el software Adobe PDF, representando un 96% del total de exploits creados para los Documentos.

En el grupo de Shockwave Flash, un exploit llamado CVE-2011-0611 representa un 70% de los equipos vulnerados por este grupo. Esta amenaza fue originalmente descubierta en lo que parecía ser un ataque a un objetivo en particular.

En resumen, es importante siempre contar con una solución antivirus con capacidad de detección proactiva, buenas prácticas para navegar en internet y mantener todos sus sistemas actualizados a todo momento, para así poder disminuir el riesgo de infección de sus dispositivos a través de estos exploits.

Gonzalo Presa
Analista Jr. de Seguridad

Autor , ESET

Síguenos