staff systems

Jueves 10 de Dic 2008. Microsoft advierte sobre una vulnerabilidad Zero-Day en Internet Explorer.

Una vulnerabilidad zero-day es aquella que puede ser atacada por una explotación desde el mismo momento en que es dada a conocer.

La brecha surge de la forma en que Explorer maneja la sintaxis de XML. Microsoft informó sobre la vulnerabilidad al día siguiente de liberar su lote mensual de correcciones en el que había cuatro para IE. Pero no incluyó la solución para esta brecha que ya ha recibido ataques.

Según SANS Internet Storm Center (ISC), hasta el jueves en cuestión no se habían reportado ataques usando la brecha XML en otros browsers que no fueran IE 7.
Pero para IE 7 sí se han registrado ataques. ISC informa sobre uno de inyección SQL que se divulga en la red y Microsoft también reporta ataques en cantidad. Los países más afectados hasta el momento han sido Estados Unidos (64%), China y Canadá (7%) y Japón.

Los ataques más frecuentes, según Microsoft, utilizan malware de diferentes variedades: ladrones de passwords como nuevas variantes de Win32/OnLineGames y Win32/Lolyda; registradores de tecleado como Win32/lmir; aplicaciones de caballos troyanos como Win32/helpundalong y otras variantes nuevas genéricamente detectadas como Win32/systemHijack.
La mayoría de los sitios Web utilizados se hosteados en servidores chinos. Los nombres más usados son 7.htm, 17.htm, ie07.htm, msxml.htm, y ss.htm.

La propuesta de Microsoft es poner la zona de seguridad de Explorer en “alta” y usar Access Control Lists para deshabilitar a Ole32db.dll.

Jueves 18 de Dic 2008. Microsoft liberó el parche para cubrir la vulnerabilidad en IE que fuera divulgada la semana anterior.

Sin embargo, el browser sigue presentando problemas de seguridad que preocupan. El problema es que ya podrían existir variantes a las que el parche no protege.

El sábado pasado, eran más de 6.000 los sitios Web infectados y la cantidad sigue creciendo. Los especialistas dicen que las cosas van a empeorar aún más, incluso si todos los usuarios aplican el patch de inmediato como lo recomienda Microsoft. Según un funcionario de esa firma, los ataques sólo afectan a IE 7 y no han sido exitosos cuando se aplica el patch.

Los autores de malware han creado una customización de la explotación para IE y causado varios niveles de impacto, dicen desde McAfee. Uno de los ataques se realiza enviando un documento Word conteniendo un control ActiveX que se activa al abrirlo. Los ataques más recientes han sido, no obstante, del tipo inyección dirigida.

El ataque más reciente es plantando un IFrame en un sitio legítimo para que redirija a los visitantes a un sitio con código malicioso. Un IFrame es un elemento HTML que se embebe dentro de otro documento HTML. Esta clase de ataque ha logrado comprometer a miles de sitios Web.

Wolfgang Kandek, CTO de Kandek, cree que Microsoft debería quitar de IE muchas librerías que el usuario no necesita, ya que éstas responden a la integración con Windows y abren la puerta a explotaciones/ataques. La gente de McAfee no coincide y sus especialistas creen que la solución es una defensa adecuada, ya que el usuario quiere un browser cada vez más enriquecido en funciones.

Si bien no existe acuerdo respecto a la cantidad de sitios infectados y al impacto de estas vulnerabilidades, sí hay consenso respecto a algo: lo peor todavía está por verse.

Nosotros seguimos recomendando como las opciones más seguras: Opera para navegar desde windows y mejor aún, a Konqueror si lo hace en Linux/Unix.

Fuentes: CVE, Datamatión, Microsoft, PreguntasLinux, Secunia.