Cómo fue el ataque a Google por parte de China

Hace una semana aproximadamente, una noticia sacudió los medios de comunicación.

El motivo de la Noticia: Un supuesto ataque dirigido por parte del gobierno chino hacia Google, Adobe, Juniper y otras 29 empresas con sucursales en China.

El objetivo principal del ataque: supuestamente por parte del gobierno chino era obtener información confidencial de activistas de los Derechos Humanos en China.

Vector de ataque: Explotación de vulnerabilidad desconocida en Internet Explorer del Lado de Cliente ( Client-Side Exploitation).

Vunerabilidad explotada: Referencia a puntero inválido en Internet Explorer 6, 7 y 8 que permite ejecución remota arbitraria de código.

Nombre asignado al ataque: Aurora IE Exploit

Se llegó a identificar equipos y cuentas de usuarios que laboraban en estas empresas con información confidencial comprometida. Pero según Google no fueron más de 2 ó 3 cuentas comprometidas.

El equipo de Metasploit en tiempo récord ya ha logrado reproducir las condiciones de ataque y el correspondiente código de explotación – que según describe McAffee – es el mismo que se identificó en la investigación.

Y gracias a los amigos de http://praetorianprefect.com que han hecho un video que muestra cómo inicialmente los crackers consiguieron acceso a las redes corporativas de Google y los demás afectados.

En el video se muestra a Metasploit configurar una sessión a la escucha, y configurar un servidor web que hospeda el código malicioso, espera la visita inocente del usuario hacia el sitio web, lanza el ataque que explota la vulnerabilidad de Internet Explorer y abre una conexión hacia la computadora del atacante. Una vez obtenida la sesión, el atacante ya tiene el control de la máquina, puede listar procesos, terminarlos (en el video de ejemplo se cierra el proceso del Notepad.exe). Se usa Internet Explorer versión 6, ya que Microsoft referencia que éste fue usado en los ataques sobre estas compañías. Tampoco se descarta la explotación exitosa de esta vulnerabilidad sobre las versiones posteriores como lo son Internet Explorer 8 y 9.

Este ataque puede haber llegado por medio de correos electrónicos incitando al usuario a visitar ciertos sitios web que alojaban el código malicioso en javascript, y éste apuntaba a un puntero inválido e inyecta la shellcode que contiene el código arbitrario a ser ejecutado.

Lección repetida: La seguridad en el lado del cliente necesariamente requiere la ecuación: (Conocimiento+Entrenamiento)+Sentido común.


Así que: No hagas click! en cualquier cosa.

Saludos,

Felipe

Referencias:

http://www.computerworld.com/s/article/9144844/Hackers_used_IE_zero_day_not_PDF_in_China_Google_attacks?source=toc

http://praetorianprefect.com/archives/2010/01/the-aurora-ie-exploit-in-action/comment-page-1/

http://wepawet.iseclab.org/view.php?hash=1aea206aa64ebeabb07237f1e2230d0f&type=js

Un comentario en “Cómo fue el ataque a Google por parte de China

  1. Pingback: Tweets that mention Cómo fue el ataque a Google por parte de China | Tecnología Nerd -- Topsy.com

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *