15 junio, 2007

Problemas Con Windows Update y los Security Alerts

Hace menos de un mes nos enteramos que el Windows Update de Microsoft tiene un componente que puede ser explotado. Ahora al parecer los hackers estan haciendo de las suyas con trucos más ingeniosos sobre las actualizaciones.

El Background Intelligent Transfer Service (BITS) es un servicio que les permite bajar las actualizaciones de windows, mientras hacen otras cosas en la pc, junto con otras bondades como si se desconectan de la red, les permite, resumir la descarga desde donde se quedaron.

Mientras que en la mayoría de los casos esto es genial, tiene un pequeño defecto. El firewall de windows y en general la mayoría de los firewall que se instalan con su solución antivirus no escanean lo que baja el BITS, ya que es parte del sistema operativo.

Como bien comenta Elia Florio, un investigador del Symantec's security response team: "Es una bella herramienta, y si consideran que tiene soporte para http, y puede ser programada via un COM API, es la herramienta perfecta para hacer que Windows baje lo que desees. Desafortunadamente esto incluye archivos maliciosos"

La gran ventaja de utilizar BITS es que los hackers no tienen que crear sus propios downloaders, pues no solo es gratis, sino que ya esta preinstalado y es muy confiable, aparte de que no hay una manera sencilla actualmente de checar si lo que baja lo debería estar bajando o no.

Algo interesante a notar es que los hackers "se estan volviendo más modulares, haciendo uso de los componentes existentes, siguiendo así la tendencia del software profesional" como bien comenta Oliver Friedrichs, director del Symantec's security response group.

La buenas noticias son que el windows update per se, no esta comprometido, y cuando microsoft baje sus parches de seguridad, hasta el momento no hay forma de explotar este update para subir otros archivos en lugar de los originales. Sin embargo ya hay emails circulando haciendose pasar por Security Alerts de Microsoft pidendoles bajar alguna actualización, pero cuando hacemos click en el link realmente baja el Trojan-Downloader.Win32.Agent.avk. El cuáñ va y busca más computadoras en internet para bajar más programas maliciosos a la máquina.

El primero de estos scams, lo publicaron los de SANS hace unos días y hay un segundo encontrado por el
Chinese Internet Security Response Team. Todo parece indicar que se estan preparando para más ataques pues el programa trata de conectarse a dominios que todavía no estan registrados.

Los emails contienen errores obvios como el nombre de la actulización de junio MS06-4 lo cuál no es creíble, mientras que un nombre como MS07-015 hubiera parecido correcto. Algo interesante a notar es que los links en estos email no estan ligados directamente al ejecutable, sino a un boletin de seguridad falso.

Como siempre navegen seguros, desconfíen de los emails que no son comunes y conocidos y siempre revisen las direcciones en sus exploradores de los links que hagan click.


1 comentario:

Anónimo dijo...

windows security alerts problems ?