lunes, 25 de septiembre de 2006

Parche no oficial para la vulnerabilidad VML

De nuevo, una organización independiente ha decidido publicar un parche
para solucionar temporalmente el problema que supone el fallo VML, que
está siendo aprovechado para la distribución e instalación de todo tipo
de malware a través de Internet Explorer.

Tal y como ocurriera a principios de año con la popular vulnerabilidad
WMF, la gravedad del fallo VML ha promovido la aparición de un parche no
oficial. De hecho, fue a partir de aquella experiencia (una especie de
plaga, en la que miles de sistemas Windows quedaron infectados) que un
grupo de reputados expertos (entre los que se encuentra Ilfak Guilfanov,
programador del exitoso primer parche no oficial) creó la organización
ZERT (Zero Day Emergency Response Team). Su objetivo desde entonces es
el de programar parches para solventar problemas de seguridad de tipo "0
day" siempre que su gravedad lo requiera. Esta es una de esas ocasiones.
La actualización creada por ZERT permite mantener la funcionalidad VML
de Internet Explorer y evitar que sea vulnerable. Hasta ahora, las
soluciones sólo permitían mitigar el problema por ejemplo deshabilitando
javascript o desregistrando la librería responsable (vgx.dll).

ZERT no pretende reemplazar a los parches oficiales. Según ellos, sólo
ofrecen una alternativa en un momento de crisis. De hecho recomiendan
que el suyo sea desinstalado cuando Microsoft publique el oficial. La
idea es proporcionar una respuesta rápida y eficaz a un problema cuando
no existe otra solución.

Y es que la vulnerabilidad basada en la funcionalidad VML (Vector Markup
Language) del navegador Internet Explorer necesita soluciones porque
está siendo aprovechada de forma masiva. Cada vez son más las páginas
que (si son visitadas con permisos de administrador) intentan infectar a
los sistemas con decenas de troyanos distintos. En el laboratorio de
Hispasec, estamos comprobando y analizando las nuevas formas de
aprovechar la vulnerabilidad, y sorprende la rapidez con la que el
código es modificado y ofuscado para pasar desapercibido ante los
programas antivirus. Con la ayuda de VirusTotal, estamos comprobando que
son muy pocos los productos que son capaces de alertar del intento de
explotación, e incluso éste es modificado constantemente. Esto indica
una clara voluntad por parte de los atacantes de aprovechar al máximo el
problema mientras no exista parche y sin que los antivirus entorpezcan
su difusión.

Microsoft por su parte no termina de recomendar la aplicación de parches
de terceros. También ha publicado una entrada en su blog en la que deja
entrever que es posible que publique una solución fuera del ciclo
habitual, aunque no reconoce que el problema esté siendo aprovechado de
forma tan masiva.

Según ZERT, el grupo ha tardado 19 horas en crear su parche, comprobarlo
y publicarlo. Microsoft dice que cuando la programación de su
actualización llegue al nivel de calidad y compatibilidad al que
aspiran, será puesto a disposición de todos. Según ellos han avanzado
bastante en estos días y la publicación podría ocurrir antes del día 10
de octubre, porque prima la calidad y la protección de sus usuarios
antes que un estricto cumplimiento del ciclo de actualización.

Si estas iniciativas no oficiales siguen proliferando, junto con la cada
vez más habitual aparición de graves vulnerabilidades antes de la
publicación de parches, es posible que Microsoft tenga que replantearse
la eficacia de su ciclo actual de actualizaciones o, con el fin de
agilizar su publicación, bajar el listón de "calidad" al que aspiran.


Sergio de los Santos
ssantos@hispasec.com


Más información:

El último parche acumulativo para Internet Explorer introduce una nueva
vulnerabilidad
http://www.hispasec.com/unaaldia/2860

A quick entry on the VML issue
http://blogs.technet.com/msrc/archive/2006/09/22/458266.aspx

ZERT y parche no oficial
http://isotf.org/zert/

No hay comentarios:

Publicar un comentario en la entrada