|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es |
Vulnerabilidad en RealPlayer e infección masiva en servidores MSSQL
A primeros de año se descubrió un agujero de seguridad que permitía ejecución de código remoto en el RealPlayer, pasando a ser un "0-Day", como se denomina a los agujeros de seguridad conocidos para los que todavía no existen parches.
http://isc.sans.org/diary.html?storyid=3810
Por otro lado en estos últimos días ha habido una infección masiva a más de 70.000 servidores que utilizan Microsoft SQL Server, de forma que quienes accedan a ellos puedan resultar infectados por la indicada nueva vulnerabilidad del Real Player o por cualquiera de las otras vulnerabilidades si no han sido parcheadas, de forma que los visitantes a dichas páginas "legales" pueden resultar infectados.
http://isc.sans.org/diary.html?storyid=3823
Inicialmente se sabía que el código insertado en los servidores en cuestión hacia referencia al dominio uc8010.com , el cual cuando lo buscamos con el Google, encontramos 95.400 incidencias, si bien ahora con las noticias al respecto se encontraran más, pero de ellas unas 70.000 corresponden a webs infectadas. Actualmente se conocen dos nuevos códigos con referencia a los dominios ucmal.com y rnmb.net , que son otras webs donde residen los scripts que explotan el agujero.
El caso es que hemos notado un notable aumento de ordenadores infectados, generalmente faltos de algún parche de Microsoft, si bien otros con todos los parches, pero con el agujero del RealPlayer indicado, que han sufrido ataques e infecciones de keyloggers, backdoors, downloaders y cazapasswords y que pueden afectar tarde o temprano al usuario, y lo que es peor, incluso es posible que ¡ a su economía... !
Si bien esta vez han sido las webs que utilizan Microsoft SQL Server las afectadas, en otra ocasión si se encuentran vulnerabilidades en otras bases de datos como Oracle, MySQL, etc., podrían ser esas webs basadas en dichas bases de datos, por lo que los Administradores de servidores web deben cuidar y revisar el código de sus páginas para evitar esta introducción de códigos en el SQL, y los usuarios aplicar todos los parches conocidos y poner bien alta la protección de seguridad, pues aun no existe parche para el agujero del RealPlayer.
Estos últimos días estamos teniendo un notable aumento de incidencias en el servicio técnico, especialmente sobre nuevas variantes de VUNDO 9, ONLINE GAME, etc., aparte de estar recibiendo continuamente nuevas muestras de variantes de Bagle (McAfee les llama a algunas SDBOT), lo cual creemos puede estar relacionado con lo antes indicado.
Actualmente estamos desarrollando casi a diario nuevas versiones de nuestras utilidades EliStarA , EliBaglA y EliTriIP para el control y eliminación de dichas nuevas variantes, con lo cual vamos manteniendo a raya estos ¡ malditos roedores !
Recordar que la última moda es propagarse luego por dispositivos de almacenamiento USB, como lo hace el ONLINE GAME, por lo que es muy conveniente vacunar ordenador y esos dispositivos con nuestra utilidad EliPen.
Pulse aquí para descargarse EliPen
SATINFO, SERVICIO DE ASISTENCIA TÉCNICA INFORMATICA 17 de Enero de 2008