Zero-day admin: All windows versions ($ 90.000)

Antes de “comentaros la jugada” –noticia de hace un par de días como mucho- veamos el significado de <ZeroDay> o ·ataque de día cero· (0day);

Según nuestra querida amiga (aunque no fiable) <Wiki> dice algo tal que así. Adjunto captura:

<Ataque de día cero>

1-ZDW
From; Wikipedia

 

<Vías de ataque>

2-ZDW

From; Wikipedia again! 😉

Tras estas capturas y resumiendo bastante, por no decir mucho, ya os podéis hacer una idea de lo que “significa” lo que acabáis de leer (y muy resumido). Bien, pues vamos al lío.


3-ZDW


Hace un “par de días” unos <Cibercriminales> (“piratas informáticos“) afirmaron haber descubierto una “vulnerabilidad” (agujero de seguridad) de ·día cero· que da a los <atacantes> derechos de administrador a cualquier máquina con –sistema operativo– <Windows>, desde la versión windows2.000” a una versión con todos los parches de windows10“.

Dicho <Zeroday> está a la venta en el mercado negro por la módica cantidad de <$ 90.000> (dólares).

Ziv Mador (@ZivMador) vicepresidente de investigación de seguridad de <Trustwave> dijo en una entrevista con “Threatpost” (portal web de noticias relacionado con la seguridad informática) lo siguiente;

“Una banda de <cibercriminales> estarían deseosos de utilizar dicha “vulnerabilidad” para financiar –malware-, como por ejemplo del tipo ·ransomware·, para conseguir un mayor beneficio económico en base a explotar el citado <0day>. Es decir, compran la “vulnerabilidad”, la explotan creando “malware” a su antojo y lo explotan aumentando sus beneficios, o esa es su idea.

4-ZDW
<TrustWave> asegura que no hay manera de saber con –absoluta certeza– si el <Zeroday> es legítimo si que se tenga la necesidad de aquirir dicho “exploit“. Sin embargo, Mador dice que hay una serie de fuertes indicios (e indicadores) de que el “exploit” es totalmente fiable tales como el vendedor que ofrece el servicio de un –agente de custodiaindependiente para ·verificar· el “exploit” horas antes de que se efectúe el pago.

<vídeos>;

Otros “indicativos” para la fiabilidad de -dicho exploit– son unos “vídeos” dónde los citados <cibercriminales> hacen de las suyas y muestran el <0day> en acción, explicando tal proceso. Uno de estos vídeos muestran tal hazaña sin éxito ante las protecciones ·EMET· (Enhanced Mitigation Experience Toolkit) de –Microsoft Windows– en su última versión.

¿Qué versiones de EMET tienen actualmente soporte técnico?

5-ZDW
From; support.microsoft.com 😉

El <segundo vídeo>;

Este muestra una máquina totalmente actualizada con “Windows 10” como –sistema operativo– el cuál es explotado con éxito, elevando el proceso del intérprete de comandos <CMD.EXE> (símbolo del sistema).

En ambos casos, se demuestra por parte de losciberdelincuentes” que consiguen aprovechar la “vulnerabilidad” para la –elevación de privilegioslocal en “Windows“.

La descripción para el “exploit” se define como; <Una explotación con elevación local de privilegios> (LPE) para vulnerarwin32k.sys” y que, según el vendedor delexploit“, existe en todas las versiones delsistema operativoMicrosoft Windows a partir de su versión <Windows 2.000>.

6-ZDW

El <Zeroday> fue descubierto porTrustWave” el pasado día 11 de mayo (2016) en un sitio subterráneo (localización). Según su publicación el “exploitse venderá exclusivamente a un solo comprador. Originalmente (o incialmente) el vendedor se ofreció a vender dicho “0day” por la suma de –95.000 dólares-, pero desde entonces su precio ha caído a los90.000 dólares-.

Microsoft no ha respondido a solicitudes respecto a los comentarios sobre este informe. Sin embargo, si se ha pronunciado en “reconocer” públicamente la existencia de este “0day“. El estratega de “seguridad” con Microsoft <Jeff Jones> señaló en un comunicado en <krebsonsecurity.com> que Microsoft tiene un –programa de recompensas– cuya cantidad (como recompensa) por descubrir un “exploit” (vulnerabilidad) ronda los -$50.000 y $100.000– por conseguir saltarse “EMET” (algo que el <Zero-day> consigue).

7-ZDW
From; krebsonsecurity.com }:P

Salu2

8-ZDW

Anuncios

Responder

Por favor, inicia sesión con uno de estos métodos para publicar tu comentario:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s