{"id":2164,"date":"2012-09-18T14:25:50","date_gmt":"2012-09-18T12:25:50","guid":{"rendered":"http:\/\/www.palentino.es\/blog\/?p=2164"},"modified":"2012-09-18T18:29:55","modified_gmt":"2012-09-18T16:29:55","slug":"ataque-zero-day-que-es-exactamente-explicacion-del-fallo-de-microsoft","status":"publish","type":"post","link":"https:\/\/www.palentino.es\/blog\/ataque-zero-day-que-es-exactamente-explicacion-del-fallo-de-microsoft\/","title":{"rendered":"Ataque Zero Day, \u00bfQu\u00e9 es exactamente ?, explicaci\u00f3n del fallo de Microsoft"},"content":{"rendered":"

La imagen del libro\u00a0Zero-Day Exploit: Countdown to Darkness (Cyber-Fiction)<\/a>, \u00a0de Rob Shein<\/a>\u00a0del t\u00edtular del post lo resume perfectamente.<\/p>\n

“Fallo Zero Day, la cuenta atr\u00e1s a la oscuridad.”<\/strong><\/span><\/p>\n

Pero el titular\u00a0tecnol\u00f3gico\u00a0de hoy a nivel mundial es:<\/p>\n

Microsoft advierte de un fallo de seguridad en Internet Explorer.\u00a0El fallo de seguridad afecta a cientos de millones de usuarios<\/strong>.<\/p>\n

Las vulnerabilidades denominadas ‘zero-day’ son raras, sobre todo porque son dif\u00edciles de identificar, exige ingenieros de ‘software’ altamente cualificados o piratas inform\u00e1ticos con un mont\u00f3n de tiempo para analizar c\u00f3digos que pueden ser explotados para lanzar ataques.<\/p>\n

Los expertos en seguridad s\u00f3lo descubrieron ocho de las principales vulnerabilidades ‘zero-day’ en todo el 2011, seg\u00fan Symantec<\/strong><\/a>.<\/p>\n

\u00bf Donde viene ese t\u00e9rmino? y \u00bf Qu\u00e9 es exactamente ?<\/p>\n

<\/p>\n

Un\u00a0ataque de d\u00eda-cero<\/strong>\u00a0(tambi\u00e9n “0<\/strong>“\u00a0day<\/strong>) es un ataque contra una\u00a0computadora, basado en encontrar vulnerabilidades a\u00fan desconocidas en las\u00a0aplicaciones inform\u00e1ticas<\/strong>.<\/p>\n

Este tipo de\u00a0exploit<\/a>\u00a0circula generalmente entre las filas de los potenciales atacantes<\/strong> hasta que finalmente es publicado en foros p\u00fablicos<\/strong>.<\/p>\n

Un exploit de d\u00eda-cero normalmente es desconocido para la gente y el fabricante del producto.<\/p>\n

Considero que, lo m\u00e1s\u00a0peligroso\u00a0es, el tiempo empleado para generar estos parches y corregir el error, ya que puede durar varios d\u00edas<\/strong>, y durante \u00a0este periodo\u00a0la \u00a0ventana para un ataque estar\u00e1 abierta. \u00a0Adem\u00e1s de no existir nada, ni nadie que conozca el fallo.<\/strong><\/p>\n

El t\u00e9rmino “Zero Day” se define como un ataque cronometrado que se lleva a cabo dentro de un corto per\u00edodo de tiempo, generalmente menos de un d\u00eda. Estos ataques \u00a0son cuidadosamente orquestados para hacer el m\u00e1ximo da\u00f1o porque los antivirus tradicionales, herramientas (parches de software, antivirus, etc …) no tienen tiempo suficiente para reaccionar.<\/p>\n

“El da\u00f1o ser\u00e1 mayor cuantos m\u00e1s d\u00edas pasen del dia cero<\/strong>.”<\/p>\n

En el caso de Microsoft, y la\u00a0Hiedra venenosa (Poison Ivy)<\/strong><\/p>\n

\u00a0\u00bf Cu\u00e1ntos d\u00edas han pasado hasta que\u00a0Eric Romang, investigador en Luxemburgo lo detect\u00f3 ?<\/p>\n

El nuevo y desconocido exploit puede ser usado para cargar software malicioso y tomar control remoto en m\u00e1quinas que funcionan con todos los parches de Windows XP SP3 con las \u00faltimas ediciones de IE 7 y el navegador Internet Explorer 8 y el software Flash de Adobe, seg\u00fan Eric Romang, que descubri\u00f3 la vulnerabilidad.<\/p>\n

Despu\u00e9s de ejecutar uno de los archivos de ejemplo en un sistema, con todos los parches de Windows XP SP3, con una versi\u00f3n puesta al d\u00eda de Adobe Flash, Romang se sorprendi\u00f3 al encontrar los archivos infectados con software malicioso en su sistema XP<\/p>\n

El nuevo troyano, seg\u00fan he podido analizar,\u00a0carga el fichero Flash<\/strong> MOH2010.SWF.<\/strong><\/span> \u00a0<\/em>Una vez visitada la web, el html carga el objeto flash que provoca el fallo en el n\u00facleo de ejecuci\u00f3n de Explorer<\/strong>.
\nPor lo tanto, al visitar la web con dicho objeto swf nos podemos infectar.<\/p>\n

Un an\u00e1lisis m\u00e1s detallado\u00a0especifica\u00a0el \u00a0uso de una t\u00e9cnica com\u00fan denominada “heap spray<\/a>” que permiti\u00f3 sentar las bases del ataque por iFrame contra los sistemas vulnerables , instalando un programa malicioso, el 111.exe.<\/p>\n

El malware ha sido identificado como una nueva variante del programa Posion Ivy caballo de Troya<\/strong>, seg\u00fan la firma de seguridad Labs AlienVault.<\/strong><\/p>\n

Lo \u00fanico que nos puede salvar en sucesivas ocasiones es:<\/span><\/p>\n