Actividad maliciosa detectada a mediados de diciembre fue dirigida hacia al menos 20 organizaciones de múltiples industrias incluyendo la química, financiera, tecnologías de la información, y medios. Investigaciones acerca de esta actividad revelaron que terceras partes accedieron rutinariamente a cuentas de correo electrónico personales de docenas de usuarios establecidos en Estados Unidos, China y Europa. Futuros análisis revelaron que estos usuarios fueron víctimas de ataques de phishing-scam, por medio de los cuales los actores de amenaza lograron el acceso exitoso a sus cuentas de correo electrónico.
Windows 7, y Windows Server 2008 R2
A través del análisis del código malicioso usando en el incidente, McAfee descubrió que una de las muestras del código malicioso explotó una vulnerabilidad sobre Microsoft Internet Explorer (IE). La vulnerabilidad se manifiesta como una referencia de puntero inválida dentro de IE y, si es explotada satisfactoriamente, permite la ejecución remota de código.
Microsoft ha liberado el Boletín de Seguridad MS10-002, el cual brinda actualizaciones para Internet Explorer que apuntan a esta y otras vulnerabilidades.
El US-CERT está proporcionando indicadores técnicos que pueden ser incorporados dentro del perfil de seguridad de las organizaciones para detectar y mitigar cualquier actividad maliciosa.
Por favor ver https://www.us-cert.gov/cas/techalerts/TA10-055A.html para futuros detalles.
Las siguientes firmas pueden ser desplegadas para asistir in la detección de actividad maliciosa asociada con este incidente:
Alerta de malware primaria
alert tcp any any -> any any (msg:"Targeted Malware Communication Beacon Detected"; flow:to_server,established; dsize:20; content:"|ff ff ff ff ff ff 00 00 fe ff ff ff ff ff ff ff ff ff 88 ff|"; depth:20; sid:7777777; rev:1;)
Alerta de malware secundaria
alert tcp any any any any (msg:"ORC:DIS:BEACON_380DFF"; content:"|38 0d ff 0a d7 ee 9d d7 ec 59 13 56|"; sid:99980060; rev:1;)
Nota: el US-CERT no ha verificado o probado estas firmas y recomienda una apropiada prueba previamente a su utilización.
Por medio de convencer al usuario de ver un documento HTML tratado especialmente o un documento de Microsoft Office, un atacante puede ser capaz de ejecutar código arbitrario con privilegios del usuario.
La vulnerabilidad de Internet Explorer usada en estos ataques es tratada con las actualizaciones proporcionadas en el Boletín de Seguridad de Microsoft MS10-002.
Otras recomendaciones incluyen:
La Coordinación de Seguridad de la Información/UNAM-CERT agradece el apoyo en la elaboración ó traducción y revisión de éste Documento a:
UNAM-CERT
Equipo de Respuesta a Incidentes UNAM
Coordinación de Seguridad de la Información
incidentes at seguridad.unam.mx
phishing at seguridad.unam.mx
http://www.cert.org.mx
http://www.seguridad.unam.mx
ftp://ftp.seguridad.unam.mx
Tel: 56 22 81 69
Fax: 56 22 80 47
Aviso legal |
Créditos |
Staff |
Administración
Copyright © Todos los derechos reservados
UNAM - CERT