miércoles, 5 de junio de 2013

En el interior del ojo de un 0 -  DAY en Microsoft
FireEye descubrió dos de las vulnerabilidad más notorios 0-DAY en los últimos meses. ¿Cómo surgió la empresa de seguridad lo hace?
Por  Sean Michael Kerner 

En el mundo de la seguridad de la información, una falla 0 - DAY es uno de los descubrimientos más preciados para cualquier investigador de seguridad.

Cuando un grupo es capaz de encontrar no uno, sino dos de estas fallas en el navegador Internet Explorer de Microsoft en un corto período de tiempo, se plantea la pregunta: ¿De qué manera una vulnerabilidad de día cero quedar descubierto en el primer lugar?
A finales de diciembre de 2012, la empresa de seguridad FireEye descubrió un ataque de día cero que afectó a Microsoft IE. Microsoft ha solucionado el problema en un out-of-band MS13-008 parche de emergencia que se publicó en enero. En mayo de 2013, FireEye encontró otro ataque de día cero que va después de IE8. Microsoft proporciona un parche para el segundo descubrimiento de día cero como parte de la actualización de mayo en su martes de parches .
Zheng Bu, director de investigación de seguridad de FireEye, explicó Planet eSecurity que los recientes descubrimientos de los dos fallos de día cero demuestran el poder de la tecnología de FireEye. Bu señaló que la plataforma FireEye utiliza el análisis multi-flujo y multi-vector para detectar amenazas generación siguiente que de otro modo irían por descubrir.
"No somos como otros proveedores de seguridad, que en gran medida dependen de la cadena coincide", dijo Bu. "Lo que tenemos aquí es una tecnología de sandbox, con nuestro propio hipervisor para ejecutar básicamente objetos desconocidos en un ambiente controlado."
Bu agregó que si el objeto desconocido está diseñado para hacer algún tipo de mal, el sistema FireEye es capaz de detectar que en el interior de la caja de arena segura. FireEye también es capaz de identificar lo que el malware tiene la intención de hacer y la carga útil posible.
Descubrimiento de un 0-DAY
Con el descubrimiento MS13-008, Bu dijo FireEye fue capaz de detectar lo que se conoce como un ataque de abrevadero. En un ataque de abrevadero, un sitio está infectado con algún tipo de malware que redirige a los usuarios a descargar o ejecutar código malicioso desde un sitio de terceros.
"En ese ataque, el sitio fue comprometido y se alojael 0-DAY en  un IE", dijo Bu.
La tecnología de FireEye aprovecha automatizado de exploración, así como la inteligencia humana para verificar la existencia y la causa raíz de los ataques de día cero. Bu dice que cuando FireEye presentó sus defectos de el 0-DAY a Microsoft, Microsoft solicitó información más allá de lo escaseo y análisis automatizado es capaz de ofrecer, que es donde la intervención humana entra en juego.
"La mayoría de las piezas de análisis estático se han automatizado en nuestro sistema de descubrimiento de día cero", dijo Bu. "Pero todavía hay algunas cosas que no se pueden hacer con una máquina, y hay que hacer las cosas con los seres humanos."
La respuesta de Microsoft
Lidiar con los descubrimientos de día cero, desde una perspectiva de investigación sobre seguridad es una cosa, la fijación de ellos desde una perspectiva de proveedor es otra muy distinta. Bu señaló que él ha estado trabajando con Microsoft desde hace algún tiempo, y la compañía ha mejorado su respuesta de seguridad en los últimos años.

"Cuando nos quejamos los últimos cero-día de Microsoft, respondieron muy rápidamente y con precisión", dijo Bu.
Bu cree que Microsoft es particularmente sensible a los informes de FireEye porque no se basan en común fuzzing , una técnica simple y poco sofisticado utilizado por muchos investigadores de seguridad para ayudar a identificar las fuentes de potencial explotación.
"Hay muchas personas que escriben fuzzers para descubrir las vulnerabilidades, pero los que no siempre son las vulnerabilidades que están siendo explotados en la naturaleza", dijo Bu. "Los ataques de día cero que descubrimos son diferentes, detectamos las hazañas en estado salvaje, y luego comprobamos que son días de cero."
Además de cero-día en Microsoft Internet Explorer, Bu dijo que su empresa ha informado de los últimos días-cero en Adobe PDF, Adobe Flash y Java de Oracle. Mientras Bu ha tenido una experiencia positiva de trabajo con Microsoft, dijo que cree que Oracle podría beneficiarse de establecer vínculos más estrechos con los investigadores de seguridad.
"Hemos hecho muchas sugerencias a Oracle para mejorar su capacidad de respuesta. Creo que Oracle puede hacer uso de un buen programa de divulgación de vulnerabilidades y trabajar con los proveedores para informar y, a cambio de obtener primeros notificaciones de parches de seguridad, similares a los que tienen Microsoft y Adobe estado haciendo ".
Sean Michael Kerner es un editor senior de eSecurityPlanet y InternetNews.com. Síguelo en Twitter @ TechJournalist.

No hay comentarios:

Publicar un comentario

Deja tus opiniones y/o comentarios, nos sirven para mejorar nuestro blog, gracias