elhacker.net cabecera Bienvenido(a), Visitante. Por favor Ingresar o Registrarse
¿Perdiste tu email de activación?.

 

 


Tema destacado: Usando Git para manipular el directorio de trabajo, el índice y commits (segunda parte)


+  Foro de elhacker.net
|-+  Foros Generales
| |-+  Foro Libre
| | |-+  Noticias (Moderadores: wolfbcn, El_Andaluz)
| | | |-+  Las vulnerabilidades más usadas por los kits de explotación
0 Usuarios y 1 Visitante están viendo este tema.
Páginas: [1] Ir Abajo Respuesta Imprimir
Autor Tema: Las vulnerabilidades más usadas por los kits de explotación  (Leído 2,272 veces)
wolfbcn
Moderador
***
Desconectado Desconectado

Mensajes: 53.662



Ver Perfil WWW
Las vulnerabilidades más usadas por los kits de explotación
« en: 29 Abril 2013, 13:32 pm »

Recientemente se ha publicado la última versión de una tabla colaborativa en la que se detallan qué "exploits packs" intentan explotar qué vulnerabilidades además de otros datos relevantes sobre los kits y sus posibilidades. Se observa de forma esquemática qué fallos son los más codiciados y utilizados.

Hoy, la mayor amenaza se encuentra en el navegador. Sus vulnerabilidades y las de los plugins que exponen al exterior, permiten a los atacantes ejecutar código en el sistema con solo visitar una web. Los exploits packs son los encargados de recopilar esos fallos, crear exploits y "servirlos" a la víctima según su perfil. A cada usuario se le buscará la vulnerabilidad adecuada que explotar, y el payload que lanzar. Con este esquema se mueven las grandes mafias desde hace años, alquilando o distribuyendo estos exploits kits para esparcir su malware.

En la tabla se analizan unos 50 exploits kits (contando las diferentes versiones de un mismo kit) que se han conocido desde 2011 a 2013. Observamos así a primera vista ya diferencias entre algunos. Si bien BlackHole es de los más reconocidos y prolíficos, no es el que contiene un mayor número de exploits en su arsenal. Unos 6 u 8 (es complicado ser exactos puesto que el usuario del kit puede añadir a su gusto). Sin sorpresas, todas las vulnerabilidades están destinadas a Java. La última que se le conoce es la CVE-2013-0431 que afecta a 7u11. El otro exploit kit por excelencia, el Cool Pack, es el que más exploits contiene. Quizás 20. 8 de Java, 4 de Internet Explorer y 2 contra Adobe PDF reader (incluyendo el 10).

La vulnerabilidad reciente más "famosa" entre los kits, presente en más de 20, es CVE-2012-1723. De esta vulnerabilidad ya hemos hablado en una-al-día (en la que se llegó a afirmar con la intención de llamar la atención sobre el grave problema que suponía: "Si no actualizas Java, estás infectado". Se hizo extremadamente popular en 2012 y fue prácticamente el pistoletazo de salida para el calvario de Java, una especie de ensañamiento de los atacantes contra esta tecnología. Se trataba de un fallo de diseño, no una vulnerabilidad en la máquina virtual. Fue solucionada el 12 de junio de 2012.

Otras muy populares son: CVE-2011-3544 (Java Rhino), CVE-2012-1723 (Java Byte / verifier) y CVE2012-5076 (Java-wx). En general, si observamos la panorámica de la tabla y tenemos en cuenta que las celdas de color amarillo fluorescente se corresponden con vulnerabilidades de Java, podemos hacernos una idea de su popularidad en los exploits en los últimos tiempos. A partir de 2006 en adelante, (quizás hasta 2010) las más populares atentaban contra Internet Explorer 6 (azul) y Adobe Reader (rosa)

http://3.bp.blogspot.com/-moPwd6YyaUo/UXlsuG3EbaI/AAAAAAAACeo/T-alfWgEyVk/s640/exploitpack1.png

https://docs.google.com/spreadsheet/ccc?key=0AjvsQV3iSLa1dE9EVGhjeUhvQTNReko3c2xhTmphLUE#gid=0

Otro software muy atacado es Internet Explorer en sí. CVE-2012-1889, CVE-2012-4792, y CVE-2012-4969 son recientes y bastante populares, y afectan a las versiones 8 y 9. Esto es menos rentable para los atacantes, puesto que depende mucho del sistema operativo y su explotación suele ser más compleja. Pero siguen usándola cuando no funcionan otras.

Si nos remontamos a vulnerabilidades más antiguas, tenemos que durante 2010, fue tremendamente popular CVE-2010-0188 que afectaba a Adobe Reader. Aunque sigue siendo objetivo de atacantes, rectificaciones en sus políticas y mejoras de seguridad han calmado el problema. Más allá todavía, sorprenden vulnerabilidades clásicas de Microsoft que todavía se siguen usando como CVE-2006-0003 (MDAC) que afectaba a Internet Explorer 6.

Conclusiones

Con los profesionales distribuyendo malware a través de medios profesionales a su vez (como lo son estos kits de explotación) es muy útil saber qué balas están usando contra las víctimas. Sabemos que durante 2012 el 50% de las infecciones por malware vinieron a través de la explotación de vulnerabilidades en el plugin de Java, y esta recopilación no hace más que confirmar cómo y por qué.

Aunque el usuario debe preocuparse de todas las vulnerabilidades, es necesario priorizar y comprender cuáles elevan realmente el riesgo y cuáles hacen asumibles ese peligro. Está claro que con cierto software, las probabilidades se disparan y es necesario vigilarlo de cerca.

Más información:

ExploitPackTable_2013 https://docs.google.com/spreadsheet/ccc?key=0AjvsQV3iSLa1dE9EVGhjeUhvQTNReko3c2xhTmphLUE#gid=0

http://www.laflecha.net/canales/seguridad/noticias/las-vulnerabilidades-mas-usadas-por-los-kits-de-explotacion


En línea

La mayoria pedimos consejo cuando sabemos la respuesta, pero queremos que nos den otra.
Páginas: [1] Ir Arriba Respuesta Imprimir 

Ir a:  

Mensajes similares
Asunto Iniciado por Respuestas Vistas Último mensaje
Reglas - Subforo de Heurística y Explotación de vulnerabilidades
Bugs y Exploits
Staff elhacker.net 0 14,167 Último mensaje 1 Marzo 2009, 00:22 am
por Staff elhacker.net
[Iniciación]Explotación de vulnerabilidades teoria + práctica « 1 2 »
Hacking
Debci 10 8,087 Último mensaje 4 Abril 2010, 14:36 pm
por Debci
¿Son legales las licencias de software usadas?
Noticias
wolfbcn 2 2,957 Último mensaje 5 Octubre 2011, 00:31 am
por B€T€B€
proxies usadas por Anons
Seguridad
TDoP1um 0 1,876 Último mensaje 10 Enero 2013, 15:43 pm
por TDoP1um
Kits de malware, una inversión muy rentable
Noticias
wolfbcn 0 1,478 Último mensaje 16 Junio 2015, 21:56 pm
por wolfbcn
WAP2 - Aviso Legal - Powered by SMF 1.1.21 | SMF © 2006-2008, Simple Machines