Operación Aurora
¿Cómo puedo saber si se ha infectado mi empresa?
A juzgar por los ataques realizados hasta el momento, Operación Aurora descarga un conjunto de archivos y utiliza una serie de dominios externos en sus ataques. El análisis de los sistemas y la infraestructura de su empresa en relación con estos identificadores pueden indicar si hay exposición. Más información.
¿Podría mi empresa estar en peligro de resultar infectada?
El código informático que aprovecha las vulnerabilidades de Microsoft Internet Explorer se ha hecho público, lamentablemente, y ahora está disponible en la Web. Al hacerse público, aumenta significativamente la posibilidad de que se generalicen los ataques que aprovechan esta vulnerabilidad, lo que coloca a los sistemas de Microsoft Internet Explorer en una situación potencial de riesgo grave.
Microsoft, consciente de los ataques dirigidos a objetivos concretos, ha publicado un boletín de seguridad y un parche, y cita como vulnerables las siguientes combinaciones: Internet Explorer 6 Service Pack 1 en Microsoft Windows 2000 Service Pack 4, e Internet Explorer 6, Internet Explorer 7 e Internet Explorer 8 en versiones compatibles de Windows XP, Windows Server 2003, Windows Vista, Windows Server 2008, Windows 7 y Windows Server 2008 R2.
¿Cómo puedo proteger mi organización?
Al conocer el ataque, los investigadores de McAfee Labs ofrecieron detección del malware; firmas de comportamiento y de contenido; actualizaciones de seguridad de la Web, IPS y seguridad de IP; sugerencias para la configuraciones del producto, y consejos en el blog de McAfee Labs.
McAfee Global Threat Intelligence, nuestro sistema de recogida de datos “en la nube” en tiempo real para amenazas conocidas y emergentes en todos los vectores clave de amenazas, vigila la Web en busca de aprovechamientos de vulnerabilidades y puntos de actividad intensa relacionados con la Operación Aurora y otras amenazas e inmediatamente distribuye protección a los productos de McAfee. Más información.
Para la protección de los sistemas, nosotros recomendamos los siguientes pasos:
- Asegúrese de que su software antivirus/antimalware de McAfee está actualizado con un archivo .DAT 5864 o superior.
- Realice un análisis completo de su sistema, o de cada sistema si sus archivos .DAT no estaban actualizados.
- Asegúrese de que tiene activada la tecnología McAfee Artemis™ en sus productos endpoint de McAfee. Se trata de una tecnología de análisis de la reputación de los archivos en tiempo real que protege frente a las amenazas de malware conocidas y emergentes. Si no sabe cómo hacerlo, visite la Base de conocimiento corporativa KnowledgeBase de McAfee para acceder a una guía en vídeo.
- Si no lo ha hecho ya, instale las actualizaciones de seguridad de Microsoft para las plataformas de IE correspondientes. Hasta que lo haga, sitúe la configuración de seguridad de su navegador en la posición de ALTA y restrinja la navegación a sitios conocidos.
- Si tiene otros productos de McAfee, visite el blog de los laboratorios McAfee Labs donde encontrará información sobre las últimas actualizaciones de firmas, configuraciones de productos, sugerencias y asesoramiento.
- Si tiene la capacidad de registrar todas las solicitudes Web de salida, hágalo para que sirvan a futuros análisis forenses.
Aproveche nuestros paquetes de soluciones y ofertas de productos de prueba gratuitos
Incident Response Services.Deje que nuestro equipo de respuesta a incidentes le ayude. Si cree que puede haberse infectado con Aurora, McAfee ofrece servicios gratuitos de respuesta a incidentes in situ a empresas cualificadas en Norteamérica afectadas por Aurora. Póngase en contacto con los servicios de McAfee Foundstone.
Evaluación de riesgos. Después de que Microsoft lanzara un parche fuera de banda para Aurora el 21 de enero de 2010, muchas empresas se preguntan qué sistemas son vulnerables y cuáles necesitan un parche. Para ayudar a las empresas a saber exactamente qué sistemas corren riesgo y cuáles necesitan o no un parche, ahora pueden aprovecharse de una versión de prueba gratuita del software McAfee Risk Advisor.
Detección de vulnerabilidades. Esta sencilla herramienta analiza su entorno para detectar los sistemas que tienen la vulnerabilidad de Microsoft Internet Explorer y los que han resultado infectados por Operación Aurora. Haga clic aquí para obtener más información y descargar la herramienta de McAfee para la detección de la vulnerabilidad Aurora .
Limpieza del sistema. Benefíciese de la herramienta gratuita Stinger de McAfee Benefíciese de los productos gratuitos de McAfee.
Gateway de la Web. La defensa avanzada antimalware que proporciona la solución McAfee Web Gateway protegió a las empresas que habían tomado medidas proactivamente frente a Aurora. Sin necesidad de actualizaciones y sin preocupaciones. Adelántese a la próxima amenaza zero-day. Benefíciese de una versión de prueba gratuita de McAfee Web Gateway hoy mismo.
Seguridad de los endpoints. Para ayudarle a proteger su empresa frente a Operación Aurora, aproveche las ventajas de una versión de prueba gratuita del software McAfee Total Protection for Endpoint, con nuestra tecnología antimalware, prevención de intrusiones, protección en Internet y solución de firewall en endpoints, "todo en uno". Regístrese aquí para disponer de la versión de prueba gratuita.
Listas blancas de aplicaciones. Benefíciese de una versión de prueba gratuita del software McAfee Application Control, nuestra solución líder del sector para listas blancas de aplicaciones, que no requiere ninguna actualización de firmas. Para evitar que Aurora y otros ataques zero-day irrumpan en su entorno, descargue la versión de prueba gratuita.
Seguridad de la red. Proteja su red hoy mismo frente al ataque de Aurora con las avanzadas tecnologías de McAfee Network Security. Las redes más sensibles y más atacadas del mundo confían en las soluciones McAfee Network Security. Regístrese para solicitar versiones de evaluación gratuitas de nuestro Firewall Enterprise Virtual Appliance y una versión virtual de nuestra solución Network Threat Response.
Cobertura de los productos de McAfee para Aurora
Al conocer el ataque, los investigadores de McAfee Labs ofrecieron detección del malware; firmas de comportamiento y de contenido; actualizaciones de seguridad de la Web, IPS y seguridad de IP; sugerencias para la configuraciones del producto, y consejos en el blog de McAfee Labs.
Operación Aurora fue un ataque con varias etapas. McAfee ofrece los siguientes productos y soluciones que protegen a los clientes en todas las etapas de Operación Aurora.
Paso 1: Ataque iniciado. Un usuario con una vulnerabilidad de Internet Explorer visita un sitio Web infectado con el malware Operación Aurora.
- Risk Advisor (identifica el riesgo global que corre la red frente a Aurora)
- McAfee Vulnerability Manager (identifica los sistemas que utilizan versiones de IE vulnerables)
- McAfee SiteAdvisor (bloquea el acceso a los sitios asociados con Aurora)
- McAfee Firewall (bloquea el acceso a los sitios asociados con Aurora)
- McAfee Web Gateway (bloquea el acceso a los sitios asociados con Aurora)
- McAfee Email and Web Security Appliance (bloquea el acceso a los sitios asociados con Aurora)
- McAfee Network Security Platform (detiene la explotación de IE)
- Foundstone Services
Paso 2: Ataque en curso. El sitio Web aprovecha la vulnerabilidad; se descarga el malware (camuflado como archivo JPG) en el sistema del usuario.
- McAfee VirusScan Enterprise, con la tecnología McAfee Artemis activada (bloquea el malware de Aurora)
- McAfee Firewall Enterprise (bloquea la conexión con Aurora mediante la reputación de IP)
- McAfee Web Gateway (detecta/bloquea el malware de Aurora camuflado como archivos JPG) (protección zero-day)
- McAfee Email and Web Security Appliance (detecta/bloquea el malware de Aurora camuflado como archivos JPG)
- McAfee Network Threat Response (detecta el malware camuflado como archivos JPG) (protección zero-day)
- McAfee Host Intrusion Prevention (impide la explotación de la vulnerabilidad de IE)
- Foundstone Services
Paso 3: Ataque realizado. El malware se ha instalado en el sistema del usuario y abre la puerta trasera (utilizando un protocolo personalizado que actúa como SSL) que proporciona acceso a los datos confidenciales.
- McAfee Firewall Enterprise (detecta/bloquea el canal trasero de comunicación de Aurora) (protección zero-day)
- McAfee Web Gateway (detecta/bloquea el canal trasero de comunicación de Aurora) (protección zero-day)
- McAfee Email and Web Security Appliance (detecta/bloquea el canal trasero de comunicación de Aurora)
- McAfee VirusScan Enterprise (detecta y elimina el malware de Aurora)
- McAfee Network User Behavior Analysis (identifica el comportamiento inesperado de los usuarios durante las fases de reconocimiento y recopilación de datos de Aurora)
- McAfee Application Control (impide la instalación de malware de Aurora) (protección zero-day)
- McAfee Network Data Loss Prevention (impide que Aurora saque datos confidenciales de la red; proporciona datos forenses sobre el movimiento de los datos) (protección zero-day)
- Foundstone Services
Recursos
- Informe: Protección de los activos críticos: lecciones aprendidas de “Operación Aurora”
- Vídeo: Operación Aurora para líderes empresariales
- Vídeo: Modo en que los productos de McAfee y la inteligencia global de amenazas (Global Threat Intelligence) de McAfee protegen a los clientes frente a Aurora
- Guías con consejos rápidos: Modo en que determinados productos de McAfee detectan y frustran la operación Aurora