Resumen de seguridad de 2006 (II)

Termina el año y desde Hispasec echamos la vista atrás para recordar y analizar con perspectiva lo que ha sido el segundo cuatrimestre de 2006 en cuestión de seguridad informática. Estas son las que consideramos las noticias más importantes de cada mes publicadas en nuestro boletín diario.

Mayo 2006:

* El servicio de análisis online de archivos VirusTotal añade el motor antivirus proporcionado por Microsoft, además de presentar considerables mejoras de rendimiento y presentación de resultados al usuario.

* Steve Wiseman descubre casi por casualidad, una importante vulnerabilidad en VNC (un software de administración remota muy usado en distintos sistemas operativos que permite interactuar con el escritorio). El fallo permitía eludir de forma trivial la autenticación y acceder al equipo sin necesidad de conocer la contraseña. Muchas máquinas gestionadas con este programa de forma remota son “secuestradas”.

Junio 2006:

* Comienza la retahíla de 0days para productos Microsoft Office que aparecen días después de las actualizaciones mensuales de la compañía. Esta “política” de revelación de vulnerabilidades y descubrimiento de fallos de forma estratégica en la suite de Microsoft se prologaría durante todo el año.

* Se conoce que HP ha hospedado en su página web, durante un tiempo indefinido, uno de sus controladores de impresora infectado por FunLove, un virus de hace casi seis años.

* Tras una controversia mediática y un debate importante producido en el sector, Microsoft opta finalmente por poner a disposición de los usuarios una nueva versión de WGA (Windows Genuine Advantage) que no efectúa “llamadas a casa” (phone home).

Julio 2006:

* HD Moore inaugura con gran éxito (tras comprobar la repercusión e imitadores posteriores) su mes de los fallos en navegadores, donde publica en un blog (al estilo una-al-día) un fallo o bug en navegadores por cada día del mes. Algunos de ellos, más tarde, se revelaron como grandes problemas de seguridad que fueron aprovechados de forma masiva.

* Se detecta una vulnerabilidad 0day en las versiones del Kernel Linux pertenecientes a la rama 2.6 que facilita la escalada de privilegios local. Este problema es usado para atacar sistemas base de Debian, que a través de una cuenta de usuario sin privilegios comprometida, logra hacerse con el control de uno de los servidores del proyecto.

Agosto 2006:

* Microsoft publica el boletín MS06-042, en el que se recomienda la aplicación de un parche acumulativo para Internet Explorer que soluciona ocho problemas de seguridad. Dos semanas después se hace público que este parche introducía una nueva vulnerabilidad crítica. Eeye, que detecta el grave error, protagoniza una guerra verbal contra Microsoft.