Continúa la avalancha de ataques a la vulnerabilidad VML de IE

La ola de ataques dirigidos a la vulnerabilidad VML (Vector Markup Language) en el navegador Web Internet Explorer (IE) parece no haber alcanzado aún su máxima intensidad. Diversas firmas de seguridad han informado sobre la disponibilidad pública de nuevos medios de explotación del agujero, incluidos los dirigidos a los sistemas Windows XP Service Pack 2 y otros publicados en Metasploit Project.

Por su parte, la firma de seguridad Websense ha alertado sobre ataques difundidos a través de envíos masivos de correos electrónicos diseñados para atraer a los usuarios a sitios Web donde se albergaba el código de explotación de VML. Por ejemplo, han circulado correos que aparentaban tratarse de una tarjeta de felicitación de Yahoo, pero que, una vez abiertos, dirigían a los usuarios al sitio con el código de ataque.

La alerta de Websense es similar a otra emitida por Australian Computer Emergency Response Team la semana pasada. En ella se advertía de un ataque basado en spam en el que fraudulentamente el remitente se identificaba como la entidad bancaria Commonwealth Bank of Australia y cuyo objetivo era llevar a las víctimas a los sitios trampa.

Un mecanismo de explotación complejo
Además, la unidad de VeriSign iDefense asegura que cerca de 2.000 servidores de hosting de dominios Web han sido secuestrados la semana pasada para fines similares. Este ataque era especialmente complejo, dado que aprovechaba una brecha diferente para acceder al fallo de IE. Más concretamente, los atacantes utilizaban una vulnerabilidad de día cero distinta al agujero VML –en concreto, un fallo de la popular herramienta de gestión de sitios Web cPanel- para hacerse con el control de los sitios de hosting y después redirigían a los usuarios, mediante enlaces iFrame, a sitios Web remotos con el código de explotación.

Según iDefense, varios cientos de miles –posiblemente, más de tres millones de sitios- podrían haberse visto infectados con estos enlaces iFrame. Por su parte, VeriSign ha confirmado el éxito de ataques VML en 45 grandes redes y la existencia de más de 10.000 millones de usuarios infectados en tan solo una de ellas.

La vulnerabilidad VML abre la puerta a ataques basados en sobrecarga de buffer y permite a los hackers hacerse con el control completo de un sistema. De momento, al menos, los ataques que se han producido exigen la intervención de los usuarios, que deben pinchar en un vínculo HTML para que el proceso de explotación se inicie. Pero los analistas de seguridad temen que es sólo cuestión de tiempo que aparezca algún correo electrónico que no requiera intervención alguna por parte de la víctima para infectar su máquina.

Por otra parte, aunque en un primer momento, los códigos de explotación se detectaron en un conjunto de sitios dedicados a pornografía y ubicados en Rusia, en los últimos días, los focos de infección se han difundido ampliamente. Microsoft, por su parte, ha indicado que los usuarios deberán esperar a su próxima actualización mensual de seguridad, que será publicada el 10 de octubre, para disponer de un parche, pese a que el viernes pasado SANS Internet Storm Center elevó el nivel de alerta asociado a esta brecha de verde a amarillo, como símbolo del aumento en la expansión de los ataques.

ZERT se adelanta al parche oficial de Microsoft
Dada la situación, un grupo de investigadores especializados en seguridad ha decidido dar una solución más inmediata. Este grupo, que actúa bajo el nombre de ZERT (Zeroday Emergency Response Team), ha publicado ya un parche anticipándose a Microsoft.

Sin embargo, Microsoft ha sugerido diversos rodeos para evitar el problema y ha recomendado a los usuarios no instalar el parche de ZERT. “Nos alegramos de que haya personas trabajando para proteger a nuestros clientes, pero como siempre decimos, no podemos adherirnos a actualizaciones de terceras partes”, escribía el director de operaciones del centro Microsoft Security Response, Scott Deacon en el blog http://blogs.technet.com/msrc/archive/2006/09/22/458266.aspx

Los expertos en seguridad advierten que, mientras Microsoft somete sus parches a un riguroso proceso de pruebas para eliminar cualquier problema que el nuevo software pudiera introducir, el parche de ZERT no ha sido ampliamente probado y podría crear inconvenientes una vez instalado.

En cualquier caso, ZERT continuará desarrollando sus propios parches siempre que un agujero particularmente crítico empiece a representar “un serio riesgo para el público, la infraestructura de Internet, o ambos”, según indica el grupo en un manifiesto publicado en su sitio Web. “El propósito de ZERT no es invadir productos, sino evitar que los invadan”.

Según Roger Thompson, CTO de Exploit Prevention Labs y miembro de ZERT, “Entendemos que Microsoft quiera establecer un calendario regular para el lanzamiento de sus actualizaciones. Hasta cierto punto, es aconsejable esperar estas actualizaciones mensuales, pero cuando la situación empieza a descontrolarse, lo que en nuestra opinión está ocurriendo con VML, se requiere una solución más urgente”.

Para la formación del grupo, de hecho, sirvió de estimulo la vulnerabilidad VMF (Windows Metafile) de Microsoft, descubierta a finales de 2005. Entonces, cientos de miles de usuarios de Microsoft descargaron parches de terceros para cubrir el agujero, hasta el punto de que el fabricante se vio finalmente forzado a publicar un parche oficial saliéndose de su ciclo mensual de actualizaciones.

Randy Abrams, director de educación técnica en la compañía Eset y, como Thompson, miembro de ZERT, considera que obviamente Microsoft desea evitar que los usuarios caigan en el hábito de instalar parches de seguridad de terceras partes. “Por eso, si empiezan a producirse un elevado número de descargas del software de ZERT, quizá decida darse más prisa en el desarrollo de su propio parche VML, y lanzarlo antes de su próximo boletín”.

Los mecanismos provisionales recomendados oficialmente por Microsoft a sus clientes para protegerse de ataques a VML pueden encontrarse en http://www.microsoft.com/technet/security/advisory/925568.mspx


TE PUEDE INTERESAR...

Nuevo número de nuestra revista de canal 
 
DealerWorld Digital

 

Cobertura de nuestros encuentros

 

Documentos ComputerWorld



Forma parte de nuestra comunidad

 

¿Te interesan nuestras conferencias?