INFORME DE VULNERABILIDADES · Informe de vulnerabilidades 2º semestre 2010 6 1. INTRODUCCIÓN...

INFORME DE

VULNERABILIDADES

2º SEMESTRE 2010

2º Semestre 2010

Informe de vulnerabilidades 2º semestre 2010 2

El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es.

../../Accesibilidad%20%3e%20Formación%20%3e%20Manuales%20y%20Guías

http://www.inteco.es/


La presente publicación pertenece al Instituto Nacional de Tecnología de la Comunicación (INTECO) y esta bajo licencia Reconocimiento-No comercial 3.0 España de Creative Commons, y por ello estar permitido copiar, distribuir y comunicar públicamente esta obra bajo las condiciones siguientes: Reconocimiento: El contenido de este informe se puede reproducir total o parcialmente por terceros, citando su procedencia y haciendo referencia expresa tanto a INTECO como a su sitio web: www.inteco.es. Dicho reconocimiento no podrá en ningún caso sugerir que INTECO presta apoyo a dicho tercero o apoya el uso que hace de su obra. Uso No Comercial: El material original y los trabajos derivados pueden ser distribuidos, copiados y exhibidos mientras su uso no tenga fines comerciales. Al reutilizar o distribuir la obra, tiene que dejar bien claro los términos de la licencia de esta obra. Alguna de estas condiciones puede no aplicarse si se obtiene el permiso de INTECO como titular de los derechos de autor. Nada en esta licencia menoscaba o restringe los derechos morales de INTECO.

http://creativecommons.org/licenses/by-nc-sa/3.0/es/ El presente documento cumple con las condiciones de accesibilidad del formato PDF (Portable Document Format). Así, se trata de un documento estructurado y etiquetado, provisto de alternativas a todo elemento no textual, marcado de idioma y orden de lectura adecuado. Para ampliar información sobre la construcción de documentos PDF accesibles puede consultar la guía disponible

en la sección Accesibilidad > Formación > Manuales y Guías de la página http://www.inteco.es

http://creativecommons.org/licenses/by-nc-sa/3.0/es/

http://www.inteco.es/


ÍNDICE DE FIGURAS 5

1. INTRODUCCIÓN 6

2. VULNERABILIDADES 7

2.1. Nivel de severidad de las vulnerabilidades 7

2.2. Productos más afectados 8

2.3. Fabricantes más afectados 9

2.4. Vulnerabilidades más comunes según su tipo 10

2.4.1. Vulnerabilidad XSS 10

2.5. Vulnerabilidades según el sistema operativo para pc 12

2.1. Vulnerabilidades por navegadores 13

3. BUENAS PRÁCTICAS 14

3.1. Actualizaciones en sistemas Microsoft 14

3.2. Windows 7 15

3.3. Windows Vista. 17

3.4. Windows XP SP3 19


ÍNDICE DE FIGURAS

Figura 1: Vulnerabilidades por nivel de riesgo. 7

Figura 2: Productos más afectados por las últimas vulnerabilidades. 8

Figura 3: Fabricantes más afectados por las últimas vulnerabilidades. 9

Figura 4: Vulnerabilidades más comunes por tipo. 10

Figura 5: Vulnerabilidades por sistema operativo para PC 12

Figura 6: Vulnerabilidades por navegador 13

Figura 7: Actualizaciones de seguridad en Windows 7 (1) 15



Figura 10: Actualizaciones de seguridad en Windows Vista (1) 17



Figura 13: Actualizaciones de seguridad en Windows XP SP3 (1) 19

Figura 14: : Actualizaciones de seguridad en Windows XP SP3 (2) 19


1. INTRODUCCIÓN

Fruto del acuerdo de colaboración con el NIST (National Institute of Standards and

Technology), INTECO cuenta con un completo repositorio de más de 40.000

vulnerabilidades traducidas al castellano cuyo fin es informar y advertir a los usuarios sobre

los fallos de Seguridad existentes en los sistemas operativos, hardware y otro tipo de

aplicaciones.

Con este informe se pretende mostrar un resumen de información de carácter general sobre

las vulnerabilidades aparecidas en el segundo semestre de 2010, expresado en gráficas,

para ofrecer una visión global de la actividad generada durante el periodo de tiempo

mencionado.

También es objetivo de este informe concienciar de la importancia de las actualizaciones de

seguridad en los sistemas para minimizar los riesgos provocados por las vulnerabilidades

como vectores de ataque del software malicioso actual.

Desde INTECO-CERT se tata de fomentar una cultura de Seguridad siguiendo unas

instrucciones básicas, que serán las que deban fundamentar esa Seguridad además de

crear en el usuario usa serie de hábitos para que, de forma natural, los utilice y mejore su

experiencia en Internet.

En cada informe se pretende resaltar los aspectos que se consideran oportunos con el fin de

aportar un valor especial al mismo. Además, se trata de difundir una serie de datos y de

interpretarlos así como de proporcionar los conocimientos necesarios acerca de esos

aspectos, siempre desde el objetivo de la prevención.

Los datos originales procesados en INTECO-CERT se obtienen de su buscador de

vulnerabilidades, que es la traducción al español de las vulnerabilidades que se publican en

el NIST.

http://cert.inteco.es/vulnSearch/Actualidad/Actualidad_Vulnerabilidades/buscador_vulnerabilidades/

http://cert.inteco.es/vulnSearch/Actualidad/Actualidad_Vulnerabilidades/buscador_vulnerabilidades/


2. VULNERABILIDADES

2.1. NIVEL DE SEVERIDAD DE LAS VULNERABILIDADES

La siguiente gráfica muestra el número de vulnerabilidades documentadas en

http://cert.inteco.es y su nivel de severidad a lo largo del semestre, periodo durante el cual

se emitieron un total de 6474. Los niveles de severidad de las vulnerabilidades publicadas

aparecen en la siguiente figura.

Figura 1: Vulnerabilidades por nivel de riesgo.

Según el gráfico anterior es posible observar que, durante todo el periodo analizado, las

vulnerabilidades que más aparecen son las correspondientes al nivel de gravedad alta y

media. Esto significa que ha sido un periodo, al menos, «preocupante» ya que estas

vulnerabilidades podrían provocar problemas en caso de que explotasen.

http://cert.inteco.es/


2.2. PRODUCTOS MÁS AFECTADOS

La siguiente figura muestra los productos más afectados por las vulnerabilidades del

trimestre. Nótese que sólo aparecen aquellos productos afectados por el mayor número de

nuevas vulnerabilidades.

Figura 2: Productos más afectados por las últimas vulnerabilidades.

Los primeros puestos los ocupan los navegadores (webkit es la estructura base

(Framework) que usan Safari, Chrome y algunos navegadores para móviles).Esto indica que

se debe tener especial cuidado al navegar por Internet ya que es uno de los vectores de

ataque más utilizados por los cibercriminales.


2.3. FABRICANTES MÁS AFECTADOS

La figura muestra los diez fabricantes más afectados por las vulnerabilidades detectadas

durante el trimestre.

Figura 3: Fabricantes más afectados por las últimas vulnerabilidades.

Dentro de los fabricantes más afectados por las vulnerabilidades aparece Microsoft como el

primero y destacado sobre el resto. Hay que matizar este dato ya que dentro de Microsoft,

como fabricante, van incluidos todos los productos de Microsoft: sistemas operativos

(soportados hay XP SP3, Vista, 7, 2003 server y 2008 server en todas sus versiones)

software ofimático, navegador de Internet, correo electrónico, servidor web, entornos de

programación, etc. Esto provoca que aparezca en las estadísticas en el primer puesto por

fabricante, lo que no indica que sea especialmente problemático con las vulnerabilidades.

De hecho se está observando que los cibercriminales comienzan a utilizar vulnerabilidades

de software multiplataforma ya que una vulnerabilidad de un producto que se instale en

varios sistemas operativos (navegador, correo, lectores, visores…) puede «explotar»

diversos sistemas.

En este apartado pretende mostrar la forma en que se actualiza cada uno de los fabricantes.

En cada informe se comenta uno de ellos de forma pormenorizada y en el presente le toca

el turno a Microsoft. En sucesivos informes se desarrollarán otros

fabricantes/desarrolladores.

En los siguientes puestos aparecen compañías como SUN, Adobe y Mozilla, todas ellas

desarrolladoras de software multiplataforma y de gran difusión entre todos los usuarios.


2.4. VULNERABILIDADES MÁS COMUNES SEGÚN SU TIPO

El siguiente gráfico muestra los tipos de vulnerabilidades más comunes registradas en el

semestre y la proporción que cada uno de ellos representa sobre el total de vulnerabilidades

registradas.

Figura 4: Vulnerabilidades más comunes por tipo.

En el gráfico aparece como más común el grupo «Otros», con un 34%. Esto es debido a que

el proceso de alta de vulnerabilidades consiste en varios pasos: reporte de las mismas,

comprobación de que efectivamente son ciertas, comprobación de qué productos le afectan,

a qué son debidas, etc., este proceso puede durar algo de tiempo, y en algunos casos es

muy complicado determinar el tipo de vulnerabilidad debido a que puede deberse a varios

factores, o a otros no contemplados en la clasificación actual, lo que produce que

normalmente sea el grupo mayor.

2.4.1. Vulnerabilidad XSS

Los ataques XSS (Cross Site Scripting) tratan de aprovechar vulnerabilidades generadas por

una incorrecta validación de datos de entrada en una aplicación web. Básicamente se trata


de engañar al usuario para que pulse una URL especialmente manipulada que, al abrirse,

ejecutará generalmente código Javascript, que será interpretado en el navegador del

usuario. El código que inyecta el atacante llamará a diversos objetos DOM (Document

Object Model) para ejecutar acciones en el equipo de la víctima. Asimismo, para dar un

aspecto más amigable a la URL y para evitar ciertos filtros, ésta suele ser transformada

mediante acortadores URL o codificada en hexadecimal.

Ejemplo:

<script>document.write('<img src="http://inteco.com/img.jpg" />')</script> %3Cscript%3Edocument.write%28%27%3Cimg%20src %3D%22http%3A%2F%2Finteco.com%2Fimg.jpg%22%20%2F%3E%27%29%3C%2Fscript%3E

Generalmente estos ataques están catalogados como «no persistentes» al ejecutarse en el

contexto del navegador sin modificar la página web original. Por otro lado, los conocidos

como «persistentes» son más peligrosos ya que el código Javascript es directamente

insertado en una base de datos, de tal forma que todos los usuarios que visualicen registros

de dicha BBDD se verán afectados.

Hasta ahora, la mayor parte de ataques XSS se centraban en ataques de phishing, robo de

cookies, redireccionamientos de URL, defacements, carga de iframes con código malicioso,

etc. Sin embargo, poco a poco, van surgiendo técnicas más sofisticadas que van un paso

más allá y que hacen valorar en mayor medida la importancia de este tipo de ataques. “Shell

of the Future” o “BeFF” son un claro ejemplo de ello.

El problema que origina normalmente este tipo de vulnerabilidades es que no se validan de

forma adecuada los datos de entrada que usan algunas aplicaciones. Esto es un problema

de programación ya que las entradas de datos no sólo hay que validarlas a nivel de

conformidad sintáctica sino que también hay que comprobar su conformidad semántica para

evitar esta vulnerabilidad y otras cuyo origen es el mismo: la validación de la entrada (como

la inyección de comandos SQL, por ejemplo).

Siempre hay que prestar especial atención a las buenas prácticas en programación ya que

son el primer bastión para que las aplicaciones sean seguras por sí mismas.


2.5. VULNERABILIDADES SEGÚN EL SISTEMA OPERATIVO PARA

PC

El siguiente gráfico muestra los datos correspondientes a los sistemas operativos

monitorizados debido al número de equipos que los utilizan.

Figura 5: Vulnerabilidades por sistema operativo para PC

El ranking de vulnerabilidades por sistema operativo durante este periodo es encabezado

por Linux, seguido de Windows y, por último, está Mac OS X. Este indicador se utiliza para

analizar la evolución a lo largo del tiempo ya que, de forma aislada, no se puede usar para

afirmar que un sistema operativo es más seguro que otro sin tener en cuenta la importancia

de las vulnerabilidades, el tiempo de resolución y el grado de explotación de las mismas.

Estos datos que son complicados de cruzar.


2.1. VULNERABILIDADES POR NAVEGADORES

El siguiente gráfico muestra los datos correspondientes a las vulnerabilidades reportadas

para cada navegador monitorizado.

Figura 6: Vulnerabilidades por navegador

Dentro de los navegadores se encuentra Google Chrome como muy destacado, seguido de

Mozilla Firefox. Igual que ocurre con los sistemas operativos, sólo con este gráfico no se

puede llegar a afirmar que Google Chrome sea el más inseguro, pero sí se puede decir que

es el navegador del que más vulnerabilidades se han reportado. Desde INTECO-CERT

continuará la monitorización para poder comprobar la tendencia en este tipo de software a lo

largo del tiempo.


3. BUENAS PRÁCTICAS

Con este informe de vulnerabilidades no sólo se pretende informar sobre cuántas se han

reportado y mostrar algunas clasificaciones, sino que también se pretende concienciar sobre

las medidas debemos a utilizar para mejorar la Seguridad de los sistemas.

Dentro de las consignas de seguridad de INTECO-CERT se tienen como base de trabajo los

siguientes tres conceptos:

- actualizar

- proteger

- prevenir

3.1. ACTUALIZACIONES EN SISTEMAS MICROSOFT

Microsoft tiene una política de actualizaciones que consiste en ir resolviendo

vulnerabilidades y agrupar estas soluciones en una actualización de Seguridad que se

publica el segundo martes de cada mes.

En caso de que alguna vulnerabilidad importante esté siendo explotada de forma importante,

en el momento que tienen su actualización de Seguridad preparada, publican una

actualización de Seguridad «fuera de ciclo» para que los usuarios la solucionen lo antes

posible.

En general, las actualizaciones de Microsoft (Windows Update) se pueden configurar de

varias formas, para adaptarlas a las necesidades de cada usuario, permitiendo seleccionar

varios modos en lo relativo al aviso, descarga e instalación.

- No buscar actualizaciones. De esta forma el sistema no se conectará con los

servidores de Microsoft para comprobar si hay actualizaciones de Seguridad. Esta

práctica no está indicada para equipos de usuario básico/medio ya que el usuario no

va recibir advertencias de nuevas actualizaciones a menos que las busque por sí

mismo en la página de Microsoft, en los boletines de avisos de seguridad de

INTECO-CERT u otros medios. Esta opción sólo se suele utilizar en entornos con

muchos equipos en los cuales se suelen probar las actualizaciones en algún

ordenador para comprobar que no afectan a los sistemas de forma negativa.

- Buscar actualizaciones, mostrar un mensaje permitiendo seleccionar las que

queremos descargar e instalar. Esta opción nos avisa de las nuevas actualizaciones,

las cuales podemos descargar e instalar. Se suele aplicar, al igual que las anteriores

en entornos donde antes de instalarlas hay que verificar su necesidad e interacción

con otros programas o sistemas.

- Descargarlas y preguntar por las que se quiere instalar. Similar a la anterior.


- Instalar las actualizaciones automáticamente. Esta opción es la recomendada para la

mayoría de los usuarios ya que, en el momento que se detecta una nueva

actualización, se procede a la descarga e instalación de la misma quedando el

sistema protegido de forma automática.

Todos los sistemas se básicamente configuran de una forma idéntica. Puede cambiar la

forma de hacerlo, pero el fondo es igual en todos los casos. A continuación, se hace un

repaso a cada sistema.

3.2. WINDOWS 7

Se comienza haciendo clic en el botón «Inicio». A continuación se selecciona la opción

«Panel de control» donde se hace clic en el enlace a «Sistema y seguridad». Dentro de

«Windows Update» se seleccionala opción «Activar o desactivar la actualización

automática».

Figura 7: Actualizaciones de seguridad en Windows 7 (1)

Ahí aparece la ventana «Cambiar configuración».

En ella se muestra un campo desplegable con las opciones correspondientes a las

actualizaciones importantes:

- instalar actualizaciones automáticamente (recomendado)


- descargar actualizaciones, pero permitirme elegir si deseo instalarlas

- buscar actualizaciones, pero permitirme elegir si deseo descargarlas e instalarlas

- no buscar actualizaciones (no recomendado)


Se debe seleccionar la opción que mejor se adapte a cada necesidad y, en caso de

desconocer la mejor opción, se debería seleccionar la opción «Instalar las actualizaciones

automáticamente», ya que es la que mayor nivel de Seguridad nos va a aportar.

Junto a estas opciones aparecen otras relacionadas con actualizaciones recomendadas (si

se quiere que se actúe con ellas como con las importantes), que permiten especificar si se

desea que las actualizaciones las pueda instalar cualquier usuario, y no solo un

administrador (este punto es importante, ya que si tenemos las actualizaciones en «modo

automático» se debería marcar la opción, para que cualquier usuario (sea administrador o

usuario limitado) pueda instalarlas. Otra opción es la de ofrecer actualizaciones de otros

productos Microsoft y nuevo software. Ésta es una mezcla entre las utilidades instaladas en

el ordenador y otras nuevas. La última opción es para que se muestren nuevos productos de

Microsoft.



3.3. WINDOWS VISTA.

Se hace clic en el «botón de Inicio» y se selecciona la opción «Panel de control». En la

ventana del panel de control se hace clic en el enlace «Sistema y seguridad». De las

opciones que aparecendentro de «Windows Update» se elije la opción «Activar o desactivar

la actualización automática».

Figura 10: Actualizaciones de seguridad en Windows Vista (1)


Aparece la ventana «Cambiar configuración» desde la que hay que seleccionar cómo se

realizan las actualizaciones importantes, con qué frecuencia y a qué hora. Además, permite

seleccionar si se pretende que gestione de la misma forma las actualizaciones

recomendadas y que todos los usuarios puedan instalar las actualizaciones.


Dentro de la forma de realizar las actualizaciones importantes, es posible seleccionar cuatro

modos:


- instalar automáticamente (recomendado)

- descargar actualizaciones y permitir seleccionar las que se instalarán

- buscar y avisar de que las hay, pero permitir seleccionar las que se descargan e

instalan



3.4. WINDOWS XP SP3

Se hace clic en el «botón de Inicio» y se selecciona la opción «Panel de control». En la

ventana del panel de control se pincha en el icono «Actualizaciones Automáticas»

Figura 13: Actualizaciones de seguridad en Windows XP SP3 (1)

Aquí aparecerá la ventana «Actualizaciones automáticas».

Figura 14: : Actualizaciones de seguridad en Windows XP SP3 (2)


En ese momento, aparecerá una selección de opciones mediante botones de radio (sólo

permite seleccionar una opción, y en caso de ser la primera opción, permite seleccionar la

periodicidad y la hora). Las opciones de actualización, al igual que en los otros sistemas

son:

- instalar automáticamente (recomendado)

- dDescargar actualizaciones y permitir seleccionar las que se instalarán

- buscar y avisar de que las hay, pero permitir seleccionar las que se descargan e

instalan


INFORME DE VULNERABILIDADES · Informe de vulnerabilidades 2º semestre 2010 6 1. INTRODUCCIÓN...

Documents

Transcript of INFORME DE VULNERABILIDADES · Informe de vulnerabilidades 2º semestre 2010 6 1. INTRODUCCIÓN...