Las vulnerabilidades encontradas en el DNS, más allá de haberse mostrado como un fiasco, está trayendo cada vez más peligros a cualquier equipo que se conecte a Internet. Una nueva herramienta, llamada Evilgrade (presentación en PDF), utiliza estas técnicas de explotación junto a otras más para hacer que cualquier equipo descargue e instale falsas actualizaciones de software que en realidad pueden ser troyanos, virus, o cualquier otro tipo de payload que el atacante desee.
Evilgrade, creado por Francisco Amato, especialista en seguridad informática argentino y fundador de Infobyte Security Research, se trata de un kit de herramientas diseñado para aprovecharse de los sistemas de actualización online inseguros que muchos fabricantes de software implementan, en donde no se verifica ninguna integridad del supuesto paquete de actualización que se descarga, confiando plenamente en que si se lo está descargando de update.fabricante.com éste tiene que ser original y puede ejecutarse en el sistema con total tranquilidad. Entre las armas que Evilgrade utiliza, además del DNS Cache Poisoning de moda se encuentran también otras técnicas conocidas como el ARP y el DHCP Spoofing. Está programado en Perl y funciona en base a módulos, incluyendo en esta primer versión los que permiten aprovecharse de los sistemas de actualización de Sun Java, Winzip, Winamp, Mac OS X, OpenOffice, iTunes, Linkedin Toolbar, DAP, Notepad++ y Speedbit. En este video puede verse una demostración en la que se logra ejecutar código malicioso en una PC con un Windows totalmente actualizado a través del sistema de actualización de la máquina virtual Java de Sun Microsystems. Por supuesto, de momento y para causar más revuelo a raíz de la masividad que supone, muchos de los módulos están pensados para software que corre bajo Windows, pero como puede verse este mecanismo de intrusión es completamente independiente de la plataforma, sólo requiere que la actualización falsa sea el malware adecuado para el SO que se quiere comprometer.
Con todas estas amenazas, hoy más que nunca es importante prestarle atención al fallo de los DNS y actualizar todos los sistemas que sean necesarios y/o utilizar servicios que no están afectados como OpenDNS.
Vía Kriptópolis.
Entradas Relacionadas
Actualización de seguridad para DD-WRT v24
Actualización a Opera 9.52 soluciona múltiples problemas de seguridad
1 comentario
Comentarios asociados a este artículo
Enlace al trackback
http://geekotic.com/2008/07/30/evilgrade-tu-prxima-actualizacin-puede-no-ser-como-esperabas/trackback/
30/Julio/2008 a las 15:38
SpamLoco
Usando
Mozilla Firefox 3.0.1 en 
Windows XP
Mi isp sigue siendo vulnerable y sabiendo como son, creo que van a seguir así para siempre.