La gran red social de Mark Zuckerberg dio a conocer a través de su publicación Protecting People on Facebook, que sus sistemas fueron infectados por un código malicioso que logró ingresar a través de la explotación de una vulnerabilidad 0-day en Java. El siguiente post tiene como objetivo explicar en qué consistió este ataque y aclarar algunos aspectos de esta situación.
Este exploit que es detectado por los productos de ESET como Java/Exploit.CVE-2013-0422, fue subido por cibercriminales al sitio web comprometido de un desarrollador de aplicaciones móviles. Luego, algunos empleados de Facebook visitaron esta página y el sistema de la empresa resultó infectado. De acuerdo a la red social, las computadoras portátiles de los trabajadores tenían todos los parches instalados y un antivirus actualizado, sin embargo, esto no fue suficiente. Posteriormente, el ataque fue detectado por un equipo de Facebook especializado en seguridad informática, quienes encontraron un dominio sospechoso en los registros DNS de la empresa. Tras seguir esta pista, el equipo pudo determinar que existían varias computadoras corporativas infectadas, sin embargo, la empresa afirmó que no hay indicios de que la información de los usuarios de Facebook haya resultado comprometida. Por otro lado, la compañía continúa investigando el ataque y está trabajando con las autoridades pertinentes para poder aprender de este incidente y prevenir situaciones similares en el futuro.
¿En qué consistió este ataque? ¿Fue realmente tan complejo y novedoso?
Si se analiza todo lo ocurrido, se pueden destacar algunos elementos fundamentales de este incidente. Primero, la vulnerabilidad de un sitio web legítimo como parte primordial del ataque. Tal como se mencionó en el artículo Tendencias 2013: vertiginoso crecimiento de malware para móviles, la propagación utilizando un intermediario (servidor web vulnerado) es una modalidad de ataque que se está usando cada vez con mayor frecuencia por parte de los cibercriminales. De este modo, quienes visitan la página comprometida no se percatan que están visualizando un sitio que ha sido modificado maliciosamente. Aunque este punto facilitó la propagación del malware, no se trata de una situación novedosa ni compleja pues gran cantidad de códigos maliciosos son propagados de este modo.
En segundo lugar destaca la utilización de un exploit 0-day que se aprovecha de una vulnerabilidad en Java. Este aspecto sin dudas permitió que el código malicioso infectara las computadoras sin levantar sospechas inmediatas. Aunque no todos los ataques explotan agujeros de seguridad para conseguir víctimas, no es la primera vez que observamos casos como este. El uso de otra vulnerabilidad de Java para propagar una variante del troyano Win32/Poison es un ejemplo de aquello que afectó a usuarios finales. Asimismo, es posible que podamos observar más casos como este si se considera que estas vulnerabilidades de Java forman parte de algunos kits de exploits masivos. Pese a que el ataque fue exitoso y novedoso desde el punto de vista de los cibercriminales (lograron comprometer la infraestructura informática de Facebook), el uso de exploits es algo común y no representa un elemento sofisticado ni novedoso. A continuación se muestran las distintas etapas que componen este ataque:
Tal como puede observarse, las víctimas visitaron un sitio vulnerado por ciberdelincuentes para propagar amenazas informáticas. Es importante destacar que este es un ataque de malware, es decir, los sistemas son comprometidos mediante el uso de un código malicioso y no de forma “directa” como ocurre en otros casos como el ataque a Twitter que comprometió a 250.000 usuarios. Por otro lado, resulta preocupante el alto impacto que puede llegar a tener para otra empresa, el nivel de (in)seguridad de un sitio web. Finalmente, recomendamos a los que no necesiten Java, proceder a desinstalarlo de la computadora. Para aquellos que sí lo necesiten es importante que sepan cómo configurar el plugin de Java de forma segura.
André Goujon
Especialista de Awareness & Research