¿Qué son los exploits y por qué son una amenaza?

Los expertos en seguridad suelen hablar de los exploits como uno de los mayores problemas, aunque no siempre está claro por qué son tan especiales y alarmantes. A continuación trataremos de explicarlo.

Los expertos en seguridad suelen hablar de los exploits como uno de los mayores problemas relativos a la seguridad de los datos y de los sistemas; aunque no siempre está clara la diferencia entre los exploits y el malware en general. A continuación trataremos de explicarlo.

¿Qué es un exploit?

Los exploits son un tipo de malware. Se trata de programas maliciosos que contienen datos o códigos ejecutables, que se aprovechan de las vulnerabilidades del software ejecutado en un equipo local o remoto.

En pocas palabras: Al utilizar un navegador, hay vulnerabilidades que permiten ejecutar “un código arbitrario” (por ejemplo: instalar y abrir un programa malicioso) en el sistema sin tu consentimiento. A menudo, el primer paso de los atacantes es el de habilitar la escalada de privilegios, para poder realizar cualquier acción en el sistema atacado.

Los navegadores, junto con Flash, Java y Microsoft Office, son uno de los objetivos principales de entre las categorías de software. Son omnipresentes y, tanto los expertos en seguridad como los hackers, los examinan exhaustivamente, obligando a los desarrolladores a lanzar continuamente parches para corregir las vulnerabilidades. Lo recomendable es instalar estos parches a la vez, pero, por desgracia este no es siempre el caso. Por ejemplo, deberías cerrar todas las pestañas del navegador y los documentos que tengas abiertos para llevar a cabo una actualización.

Otro problema se encuentra en los exploits de las vulnerabilidades desconocidas, descubiertas por los hackers blackhats: los llamados ataques de día cero (en inglés zero-day attack o 0-day attack. Los proveedores pueden tardar en descubrir que existe un problema y solucionarlo.

Vías de infección

Los cibercriminales suelen elegir los exploits entre otras formas de infección como la ingeniería social, que puede tener éxito o fracasar; el uso de las vulnerabilidades sigue teniendo los resultados deseados.

Hay dos formas en las que los usuarios pueden recibir exploits. En primer lugar, al visitar una página web que contenga códigos de exploit maliciosos. En segundo lugar, abriendo un documento aparentemente seguro que esconde un código malicioso. Como se puede intuir fácilmente, lo más probable es que sea un spam o un correo de tipo phising el que traerá el exploit.

Como señala Viruslist, los exploits están diseñados para atacar a versiones de software específicas que contienen vulnerabilidades. Si el usuario tiene esa versión de software, al abrir un objeto o entrar en una página web que utilice este software, se dispara el exploit.

Al conseguir acceder mediante una vulnerabilidad, el exploit carga malware adicional desde el servidor del atacante, llevando a cabo actividades maliciosas como el robo de información personal, utilizando el ordenador como parte de un botnet para distribuir spam o iniciar ataques DDoS, o cualquier otra cosa que los criminales tengan en mente.

Los exploits son una amenaza incluso para los usuarios que son más conscientes de estos peligros y mantienen actualizado el software. La razón es el lapso de tiempo que hay entre el descubrimiento de la vulnerabilidad y el lanzamiento del parche para solucionarla. Durante ese período de tiempo, los exploit son capaces de operar libremente y amenazar la seguridad de casi todos los usuarios de internet, salvo que existan herramientas automáticas para prevenir el ataque de los exploits instalados

Y no nos olvidemos del ya mencionado “síndrome de las pestañas abiertas”: hay que pagar un precio por las actualizaciones, y no todos los usuarios están dispuestos a pagarlo en cuanto el parche está disponible.

Los exploits vienen en packs

Los exploits suelen ir en packs para llevar a cabo una comprobación de las vulnerabilidades del sistema atacado; y, en cuanto se detecta una vulnerabilidad o varias, se dispara el exploit adecuado. Además, los exploit kits también utilizan la ofuscación del código para evitar ser detectados, y cifran las rutas URL para evitar que los investigadores los deshabiliten.

Entre los más conocidos se encuentran:

Angler: se trata de uno de los kits más sofisticados del mercado negro. Fue el que cambió las reglas del juego al ser el primero en detectar a los antivirus y las máquinas virtuales (que los investigadores de seguridad usan de forma frecuente como cebo), enviando archivos cifrados con cuentagotas. Es uno de los kits que antes incorporan los nuevos ataques de día cero, y su malware se ejecuta desde la memoria, sin tener que escribir en el disco duro de sus víctimas. Aquí tenemos una descripción más técnica del paquete.

Nuclear Pack: ataca a sus víctimas con exploits en Java y Adobe PDF, además de introducir el Caphaw, un conocido troyano bancario. Más información aquí.

Neutrino: un kit ruso que contiene algunos exploits en Java, apareció en todos los titulares el año pasado ya que su dueño lo puso en venta por el módico precio de 34.000 dólares. Lo más probable es que se hiciera tras el arresto de un tal Pauch, creador del siguiente kit del que vamos a hablar.

Blackhole Kit: la amenaza más extendida en la web en 2012. Tiene como objetivo las vulnerabilidades de las versiones antiguas de navegadores como Firefox, Chrome, Internet Explorer y Safari, además de los plugins más populares son Adobe Flash, Adobe Acrobat y Java. Tras dirigir a la víctima a una landing page, el kit detecta qué hay en el ordenador de la víctima y carga todos los exploits a los que este equipo es vulnerable.

Al contrario que la mayoría de los kits, Blackhole tiene su propia entrada en la Wikipedia, aunque tras el arresto de Paunch, el kit casi se ha extinguido.

Conclusión

Los exploits no siempre pueden detectarse mediante software de seguridad. Para detectar con éxito un exploit, el software de seguridad debe emplear análisis del comportamiento, es la única forma efectiva de acabar con los exploits. Existen una gran cantidad de programas de malware diversos, pero la mayoría de ellos presentan unos patrones de comportamiento similares.

Kaspersky Internet Security, junto con otros productos estrella de Kaspersky Lab, emplea la tecnología de Prevención Automática de Exploits y utiliza la información sobre el comportamiento típico de los exploits conocidos. El comportamiento característico de este tipo de programas maliciosos ayuda a prevenir la infección incluso en el caso de una vulnerabilidad de exploit de día cero desconocido hasta la fecha.

Encontrarás más información acerca de la Prevención Automática de Exploits aquí.

Consejos